Crypto Virus - Come difendersi e recuperare i dati

Premessa

Infolab Data è un’azienda che si occupa di recupero dati da hard disk e in generale da supporti digitali, per questo motivo spesso ci arrivano richieste di recupero dati dal virus Cryptolocker e da casi simili dove la perdita di dati non è causata da un guasto ma bensì da un attacco di un malware con richiesta di riscatto.

Abbiamo avuto sporadici successi con alcuni casi grazi a delle falle nel sistema di criptazione o grazie all’utilizzo di tecniche specifiche per il recupero dati logico.  Cercando la soluzione al problema abbiamo individuato alcuni centri in Italia con i quali collaboriamo principalmente per poter offrire la soluzione ai nostri clienti coinvolti in questo tipo di attacco.  Purtroppo il servizio risulta piuttosto oneroso e per questo accessibile solo ad aziende che devono affrontare una grave perdita di informazioni.

Per questo il nostro consiglio è sempre quello della prevenzione, la migliore tecnica di difesa ad oggi conosciuta è il Backup differenziale in Cloud (con soli 60 €/anno il cryptovirus non potrà farti nessun male).

Infolab DATA è assolutamente contraria al pagamento del riscatto e rifiuta categoricamente qualsiasi attività diversa da quella tecnica di puro recupero dati in laboratorio.  Oltre l’impegno diretto, quando non abbiamo la soluzione collaboriamo con aziende professioniste del settore di recupero dati in Italia dove crediamo di poter ottenere i risultati attesi dai nostri clienti.

Per i nostri servizi di recupero dati e simili in caso di insuccesso non viene addebitato il costo della lavorazione. Contattaci  per un preventivo, posiamo aiutarti.

 

Crypto Virus: di cosa si tratta?

CryptoLocker, CryptoWall, TeslaCrypt, Freespeech.virus e Cryptobit sono solo alcune delle varianti di una tipologia di virus di nuova generazione: i ransomware. Questi malware molto aggressivi rendono inutilizzabili tutti i file dalle estensioni più comuni (.doc, .xls, .pdf, .jpg, .psd, ecc.) e chiedono il pagamento di un riscatto (“ransom” in inglese) per ottenere la chiave di decrittazione. In poche parole: si tratta di un ricatto, un crimine informatico bello e buono.

Ma come ho fatto ad infettarmi?

Ci sono moltissimi modi in cui questi virus possono diffondersi. Basta ricevere una mail con un link o un allegato infetto, scaricare aggiornamenti da siti poco sicuri o utilizzare supporti esterni infettati dal virus.

Sfortunatamente, molti antivirus non si accorgono del problema e non riescono a individuare la minaccia. Una volta avviato il programma, il virus inizia a criptare i dati tramite algoritmi sempre più sofisticati. Tra questi algoritmi troviamo anche il temuto RSA 2048 bit, in grado di generare una chiave di cifratura che, al momento, rende impossibile ogni tentativo di decrittazione.

L’unica difesa sono programmi antivirus aggiornati e sensibili a questo tipo di attacchi (ransomware), combinati con i sistemi di backup in cloud che permettono di salvare periodicamente e con elevati protocolli di sicurezza i propri dati.

Noi personalmente consigliamo ai nostri clienti Atollo Backup, il software offerto da InfoLAB Cloud a soli 4 €/mese :)

Cosa fare per limitare i danni?

Se vi accorgete che il computer è diventato visibilmente più lento senza motivo e che è stato avviato un programma sospetto, l’azione giusta è sempre quella di chiudere il sistema in modo forzato e contattare dei professionisti del recupero dati per una valutazione della situazione.

Con uno spegnimento tempestivo del sistema c’è una buona probabilità di salvare gran parte dei dati che il malware non ha avuto il tempo di raggiungere. Se si dispone di un sistema backup di sicurezza (come il sopracitato Atollo Backup, ad esempio) è necessario pulire il sistema dal virus e, con l’aiuto di un esperto, ripristinare il computer direttamente dal cloud.

È possibile recuperare dati infettati da virus di questo tipo?

Sì, esistono diversi metodi che permettono di decrittare i dati. Da molto tempo il gruppo InfoLAB Data cerca di risolvere il problema e, in alcuni casi, è anche riuscito a trovare delle valide soluzioni.

Tutti i virus di questo tipo offrono la possibilità di pagare un riscatto ma, ovviamente, non c’è nessuna garanzia che, una volta avvenuto il pagamento, venga inviata anche la chiave di decrittazione necessaria a decodificare i dati. Per questo noi sconsigliamo sempre di percorrere questa strada perchè oltre a spendere inutilmente i vostri soldi state anche contribuendo allo sviluppo e al mantenimento di questi virus.

Insomma: oltre il danno anche la beffa.

Tecniche per il recupero dei dati:

La prima opzione (ed anche la più semplice) è il “data mining”, cioè una tecnica che tramite la lettura dell’intera struttura dei settori del disco è in grado di individuare dati nascosti al sistema. Tali dati non hanno subito la criptazione e possono essere recuperati. In questi casi i dati recuperati correttamente sono compresi tra il 10% e il 30% dell’ammontare totale. L’entità limitata del recupero è dovuta al fatto che il metodo non utilizza la decrittazione, ma fa affidamento sui file non infettati dal malware.

Un’altra opzione (molto più complessa) prevede il recupero di dati sfruttando le possibili conoscenze legate allo specifico virus. Alcuni virus, infatti, hanno dei “punti deboli”, delle falle che è possibile sfruttare per riavere i propri dati. Si tratta quindi di sfruttare gli errori commessi dagli hacker che hanno creato il virus.

I casi più frequenti:

  • Alcuni virus adoperano algoritmi di crittografia scritti male, per cui sono state trovate delle soluzioni. Purtroppo questi casi sono sempre più rari, perché gli stessi autori dei virus si sono orientati verso algoritmi più efficaci.
  • Alcuni virus presentano un errore nella generazione finale della “chiave pubblica” con la quale è stata eseguita la crittazione (un esempio è il virus TeslaCrypt). In questi casi la decrittazione è possibile attraverso una procedura di analisi matematica.
  • Alcuni virus offrono l’opportunità di avere dai ricattatori un singolo file decriptato, come prova che il pagamento conviene e serve effettivamente a riavere i dati. Utilizzando il file originale e quello decriptato si riesce a risalire alla chiave di decrittazione necessaria alla lettura del sistema infetto.

InfoLAB Data.