Ramsonware” è la generica etichetta con cui si classificano i programmi maligni che – utilizzando micidiali tecniche di cifratura dei file – rendono inutilizzabili documenti, archivi, immagini e qualunque altro contenuto sia memorizzato sul disco di chiunque ne finisca vittima. L’operazione criminale è il preludio di una manovra estorsiva che si realizza con il rilascio di una salvifica parola chiave a fronte del pagamento di una determinata somma: “ramson”, infatti, è il termine anglofono che identifica il riscatto. A cadere in una simile dolorosissima trappola sono stati molti utenti e parecchie aziende hanno visto compromesso il vitale patrimonio informativo, subendo considerevoli danni. Qualcuno ha ceduto alla dinamica ricattatoria talvolta non senza la doppia beffa di non ricevere l’ “abracadabra” per riaprire i propri file, qualcun altro ha resistito sperando nella più o meno rapida scoperta di un rimedio.

Un hacker noto come Jadacyrus ha appena predisposto la cassetta virtuale di emergenza per dare una mano a chi si trova in difficoltà dopo aver trovato il proprio disco crittografato da qualche criminale. Il misterioso personaggio, da almeno una decina d’anni attivo sul “bilaterale” fronte della ricerca, esordisce suggerendo di non cedere al ricatto e di evitare qualsiasi sorta di versamento di denaro sia stato richiesto perché una simile manifestazione di debolezza non fa altro che irrobustire questo genere di racket.

Il kit in questione mette a disposizione una serie di strumenti per il recupero dei dati compromessi dalle più diffuse varianti di “ramsonware” (CryptoLocker, TeslaCrypt e CoinVault sono senza dubbio i tre programmi maligni maggiormente noti per permeazione di Internet e per l’elevata aggressività) e consente la consultazione di guide e istruzioni per l’ottimale esecuzione dei passaggi da porre in essere. Tutti gli amministratori di sistema, specie quelli che si sono fatti cogliere in fallo senza un buon backup indenne da infezioni di sorta, devono evitare di farsi prendere dal panico ma provvedere all’immediato avvio della fase di “triage”.

La prima raccomandazione è quella di procedere alla disconnessione della rete aziendale prima di dedicarsi all’identificazione del tipo di ramsonware che affligge gli apparati. Il secondo step si traduce in una operazione di carattere forense – consistente nell’acquisizione dell’immagine dei dischi, delle directory o dei semplici file criptati – utile per le successive imprescindibili attività di analisi dell’accaduto. E’ fin troppo ovvio, e siamo al punto 3, che si individui con precisione il “male” prima di azionare il “rimedio”: un tool errato o non appropriato può determinare la sovrascrittura dei dati o compromettere la possibilità di decifrare le informazioni anche nel caso si decida poi di pagare il riscatto.

Il materiale di Jadacyrus può far comodo, ma è evidente che un po’ di sana prevenzione non guasta mai. L’esecuzione periodica (possibilmente ad intervalli abbastanza serrati) di copie di backup può ridurre il rischio di pericolose fregature. L’altra raccomandazione è fin troppo scontata: siate diffidenti al computer come lo siete nella vita quotidiana. Diffidate di file allegati alle mail che richiamano la vostra attenzione con nomi irresistibili come “fattura_non_pagata.zip” o “documento_urgente.exe” al cui clic si scatena l’inferno. State alla larga anche da link che – suggeriti dal consueto messaggio di posta elettronica – vi catapultano in pagine web intrise di venefiche istruzioni pronte a maciullare quel che avete sul disco.

Twitter @Umberto_Rapetto