Qualche giorno fa in ufficio la mia gentilissima impiegata mi passò una telefonata e prima di inoltrarmi il cliente mi disse soltanto: “Ste, tutto criptato! Ci risiamo!”
Sono circa tre anni che mi scontro con queste problematiche e posso dire per esperienza che ci sono solo due strade principali da percorrere quando si tratta della criptazione dei dati sensibili, documenti, macchine virtuali, database, ecc. e sono semplicemente riassunte cosi:
1) Hai un backup non direttamente connesso al PC o SERVER infetto?
– Se la risposta è positiva siamo a cavallo, basta formattare la macchina infetta e dal backup ripristinare dati, configurazioni e quant’altro.
– Se la risposta è negativa puoi saltare direttamente al punto successivo.
2) Non hai un backup? Restano ben poche attività da testare per cercare di recuperare la funzionalità dei tuoi dati:
– Cercare di scaricare un l’ultima versione di software anti Ransomware o WindowsUnlocker, incrociando le dita e sperando che la versione di Cryptoloker che ha infettato la tua macchina sia conosciuta dal software e che la scansione capisca il codice o algoritmo di decriptazione e permetta quindi di ripristinare tutti i dati (fino ad ora a me non ha mai funzionato).
– Pagare il riscatto, ovvero versare la cifra richiesta dall’Hacker in BitCoin, solitamente dell’ordine di 2BTC, 3BTC o 4BTC e sperare che chi ci ha chiesto il riscatto, una volta saldato, mantenga la parola e risponda mandando codice di decriptazione unitamente al programma per scansione e ripristino dei file.
– Qualora il software anti Ransomware o WindowsUnlocker non funzionassero o l’Hacker non rispondesse nonostante il pagamento, beh, non resta che mettersi una mano sul cuore ed essere consci che tutti i dati sono irrimediabilmente persi, o più precisamente, irrimediabilmente bloccati!
Come si presente un PC Criptato?
Di punto in bianco nessun file è più accessibile, nessun documento, nessuna immagine, nessun collegamento! Il computer \ server è completamente inutile, pieno di file con un’estensione inesistente.Nella versione specifica che vi sto raccontando l’hacker ha cambiato lo sfondo del desktop del cliente con questo messaggio:
“ATTENZIONE Per ripristinare le vostre informazioni spedite una mail allegando TRE file Criptati all’indirizzo vegclass@aol.com”
In sostanza questo indirizzo appartenente ad un provider americano è l’indirizzo che utilizza l’hacker che ha criptato i file del nostro computer per essere contattato e richiedere il riscatto.
Molta gente mi ha chiesto: “è possibile che non riescono a trovarlo se ci dialoghi addirittura?”. Purtroppo ho personalmente controllato l’header dell’indirizzo e l’IP di provenienza ed appartengono ad un server smtp della rete TOR, quindi l’hacker in questione solitamente è pressoché irrintracciabile. Ho quindi continuato a seguire le istruzioni, ho realizzato una mail ad hoc utilizzando Virgilio come provider, ho allegato i tre file ed alle 12:46 abbiamo mandato la prima mail:
Alle 18:36 abbiamo ricevuto la prima risposta da questo Hacker che utilizza come nic name “Veg Class”:
“Il costo del decoder è: oggi 2 Bitcoin, domani 3 Bitcoin. ” Poi l’hacker mi dà delle istruzioni per recuperare i bitcoin.
“Manda i bitcoin dal tuo indirizzo (wallet) a quello sotto indicato (il wallet dell’hacker).
Se hai delle domande, puoi contare questa mail di supporto. Conferma il pagamento e ti darò tutte le informazioni per eseguire una scansione e mandarmi una mail.”
Trovare BTC non è una cosa difficile, semplicemente ci vuole il tempo fisico di spostare valute in € per cambiarle tramite un broker o tramite un sito di scambio BTC e farli pervenire nel wallet personale in modo da poter effettuare il pagamento del riscatto. Ho quindi chiesto tempo… Ho atteso quindi la risposta dell’hacker sperano in un po’ di umanità.
“NO, 3 BTC domani”
…non servono molte spiegazioni a riguardo.
Sconfortato dalla risposta dell’hacker e dalle continue pressioni del cliente, il quale chiamava disperato (giustamente) ogni 35\40 minuti, ho recuperato i 3 BTC e ho proseguito eseguendo la transazione BTC.
Ho quindi ricevuto un link per scaricare (da un sito simile a WeTransfer americano) il programma per scansionare i file ed estrapolare la chiave di criptazione:
Il risultato della scansione, durata circa 40 minuti, è un insieme di caratteri alfanumerici che identificano la criptazione dei file del cliente su server, ovvero la chiave privata e nascosta che ci impedisce di poter leggere i nostri file:
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
Ho quindi preso l’output della scansione (la chiave privata) e l’ho inoltrato al nostro simpatico hacker sempre utilizzando la mail fittizia di Virgilio. La riposta è arrivata circa il giorno a seguire e conteneva questa chiave di decriptazione:
o0onKhtSHzU4GAdFEBhrYPd36Bc5BYMgfRatLvJs1F8unbr7oA56PdyyAzQx8XjvhXpkXjj+/bBRq4twMLpppu+3vycubnFUDM7CjpU6d4L65EeIx6TssbRtOF4EsCF5L5BcOFiiNgl4nSi6ClBFlHlOzpq44YoEof4dWGcqlgaMT4m5FVI3z41KMWn3SUsX3eBqCaLYWj11B5S1xCtzaNRukuww2AkQhtC9HdUOJzCYjzazfDLyX83h8DdnHL8jP/iP9gkixqrP/RCprsuU2tKmF4nBJa0fEbYOzIcsvKBwNx2B9r0jC6H1cXujM5xU8LbtsMN6Nq8yr29zGys0QQ1d73wjRNnvp3Ju5BXpvMQc1ZmRQQaZivXAqirSjdbPKsdd2/SnMrTuIKSt+GATeMR6bSTxrPrivWs4/BSTFWG2bxfjH7OSoxho703onX5Cl0+DUlHx2rj9nbjQWXjPO2ZOZvSkjixVZfuul9XJlEE=
Una volta controllata la validità della chiave pubblica univoca, l’ho inserita nel programma precedentemente scaricato su istruzione dell’hacker e come per magia il processo ha iniziato a elaborare l’algoritmo che “liberava” i file del cliente dal blocco. Il riscatto aveva dato i sui frutti, ovvero dall’impossibilità di avere i file leggibili:
Finalmente si cominciava a vedere lo sblocco di tutti i vari file presenti nei dischi del PC e del SERVER.
Dopo circa un’ora il PC ed il SERVER risultavano ancora leggibili come tre giorni prima, come se nulla fosse mai successo.
Ricapitolando, dopo aver speso un paio di migliaia di Euro e dopo 4 giorni di conversazioni notturne l’Azienda è ripartita forte tanto quanto prima.
Adesso avete capito e visto in maniera pratica cosa provoca e come si comporta il virus che cripta i file. Cercate di stare molto molto attenti a quanto leggete, a quanto aprite o scaricate tramite mail. Vi terrò aggiornati su eventuali evolversi a riguardo.
Stefano Biffi – info@stefanobiffi.net
