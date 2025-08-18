La grande proliferazione delle varietà di ransomware nel corso di questi ultimi anni ha fatto sì che i maggiori vendor di sicurezza mondiali abbiamo cercato di trovare gli "antidoti" efficaci contro questi malware.

E in alcuni casi ci sono anche riusciti. Per alcune versioni di ransomware meno recenti - o peggio realizzati - sono stati resi disponibili in rete programmi e tools (decryptor) in grado di recuperare i file crittografati.

Si tratta comunque di procedure non elementari e spesso complesse che raramente hanno successo con i ransomware più moderni e meglio costruiti. Dopo tutto, anche gli hacker leggono gli stessi blog e forum di sicurezza e aggiornano i loro prodotti per renderli inattaccabili ai decryptor che sono stati creati.

Citiamo alcuni casi noti. Le prime versioni di Petya avevano punti deboli nella cifratura e questo permetteva di ricavare la chiave crittografica. Nelle versioni successive gli hacker hanno chiuso questa falla. Anche il ransomware TeslaCrypt (uno dei più diffusi fino al 2016) aveva vulnerabilità che permettevano di recuperare la chiave privata con alcuni tools appositi (TeslaDecoder, TeslaCrack, ecc.). Dalla versione 3.0 di TeslaCrypt questo difetto è stato eliminato e la crittografia AES 256 bit ha reso impossibile qualsiasi recupero della chiave di decriptazione.

È utile cercare un "decryptor" in rete per decriptare i file?

Stando a quanto detto fino ad ora, questa opzione ha basse probabilità di successo (praticamente nessuna se la cifratura è stata fatta con algoritmi di crittografia forte come AES 256, Salsa20 o altri), ma può valere comunque la pena di tentare una ricerca in rete.

Segnalo a questo scopo l'utilissimo sito web "No More Ransom!". È stato creato nel 2016 dalla National High Tech Crime Unit della polizia olandese (la famosa Politie), dall'European Cybercrime Centre dell'Europol e da due aziende di sicurezza informatica, Kaspersky Lab e McAfee, con l'obiettivo di aiutare le vittime di ransomware a recuperare i loro dati criptati senza dover pagare i criminali.

Oggi conta molti altri partner qualificati (vedi l'immagine proposta di seguito). Possiamo caricare due file criptati, nell'apposita pagina Crypto Sherif. È anche possibile – e consigliato - indicare l'URL della pagina web o dell'indirizzo di bitcoin o onion che appare nella richiesta di riscatto.

Se il decryptor esiste, il sito ce lo fornirà gratuitamente per decifrare i file.

Sconsiglio assolutamente di cercare decryptor sul web, attraverso altri canali. Potremmo incappare in brutte sorprese! Si trovano in rete siti internet che propongono strumenti per recuperare i documenti crittografati dai ransomware, ma in realtà li codificano una seconda volta.

E poi chiedono un riscatto per fornire il "decrypt tool". Sfruttano lo stato di necessità delle persone per colpire, a conferma che non esiste etica negli attacchi cybercriminali.

Un caso noto è ZORAB che promette di fornire la soluzione per il ransomware STOP Djvu ma invece ricripta i file e gli cambia l'estensione in .ZRB .

Non fare nulla e perdere i propri dati?

Non è certo una scelta entusiasmante e quasi mai la si può fare, soprattutto in un'azienda, a meno che i dati criptati non siano veramente di scarsa importanza. Può essere praticata solo da un utente privato.

Anche se dovessimo optare per questa soluzione, consiglio comunque di:

togliere dalla macchina il disco con i file compromessi e metterlo da parte. Potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file, che potrebbero essere recuperati. Potrebbero passare mesi, ma potrebbe accadere..

Oppure (per lo stesso motivo) fare una copia dei file crittografati, conservarli a parte e poi bonificare comunque la macchina.

Detto questo: è etico, lecito e legale pagare il riscatto che viene richiesto a seguito di un attacco ransomware? Ne parleremo nella prossima lezione di questa guida.