skip to main | skip to sidebar
74 commenti

Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli: cosa posso fare?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/05/19 8:20.

Questa settimana mi è arrivata una pioggia di segnalazioni di persone e aziende messe in ginocchio da un particolare ricatto informatico: sul loro computer compare un avviso, solitamente in inglese, che comunica che tutti i loro dati (foto, musica, contabilità, fatture, progetti, lavori per la scuola) sono stati cifrati da ignoti con una password e che per avere questa password bisogna pagare un riscatto.

Questo è quello che in gergo si chiama ransomware. Ne ho già parlato in passato, segnalando per esempio il bollettino di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione Svizzera, ma visto che l’epidemia prosegue e ci sono delle novità tecniche è il caso di scrivere una spiegazione dettagliata.


Cosa posso fare?


Per prima cosa, spegnete subito il computer sul quale è comparso l’avviso e spegnete tutti gli altri computer presenti sulla stessa rete informatica. Non perdete tempo. Il computer sul quale c’è l’avviso va spento brutalmente, staccando la spina o azionando il suo interruttore principale, senza spendere tempo a chiudere ordinatamente: quel computer sta probabilmente tentando di infettare gli altri computer della rete. Se non volete moltiplicare il problema, isolatelo più in fretta che potete.

Se avete una copia di sicurezza dei dati su un disco rigido collegato in rete, scollegatela immediatamente dalla rete staccando il cavo o spegnendo il Wi-Fi. Molti ransomware esplorano la rete locale e tentano di infettare e cifrare tutti i dispositivi che trovano, specialmente quelli di backup, in modo che non possiate ripristinare i vostri dati e sventare il ricatto.

Non riaccendete nulla fino a quando avete staccato il cavo di collegamento alla rete locale o spento il Wi-Fi per mantenere l'isolamento, e comunque riaccendete soltanto quando è sul posto uno specialista informatico che vi dirà se, come e quando riaccendere. Non cancellate nulla dai computer colpiti.

Chiedete allo specialista di creare una copia integrale dei dischi rigidi dei computer infetti, ma senza avviarli. Di solito questo si fa estraendo fisicamente i dischi dai computer oppure usando appositi dischi/chiavette di avvio. È importante non copiare i singoli file ma creare un’immagine completa (di solito si crea una immagine ISO). Questa copia serve nel caso che in seguito venga scoperta una tecnica di decifrazione o venga rilasciata la chiave di decifrazione universale (a volte succede); se l’avete, potrete recuperare i dati, magari tra qualche mese.


Posso rimediare io? Mi serve davvero un tecnico?


Se non siete più che esperti e più che previdenti, non potete rimediare da soli (e se siete stati infettati da un ransomware, probabilmente è perché non siete sufficientemente esperti e non siete stati abbastanza previdenti). Tenete presente che questi ransomware sono scritti da professionisti del crimine: di solito sanno quello che fanno ed è difficile batterli.

Non perdete tempo e non cercate di risparmiare soldi con il fai da te: rischiate di perdere per sempre tutti i vostri dati. Non usate un antivirus dopo che è avvenuto l’attacco: non serve a nulla e rischia di peggiorare la situazione cancellando la parte del virus che serve per ripristinare i dati se pagate il riscatto. Chiamate uno specialista. Alcuni di questi ransomware hanno dei difetti che consentono il recupero dei dati: un bravo specialista sa come intervenire.

Se avete una copia di sicurezza di tutti i vostri dati essenziali, potete formattare i computer colpiti, reinstallare il sistema operativo e ripristinare i dati da questa copia. Se non l’avete, ora sapete perché gli esperti raccomandano sempre di averne almeno una.

Se siete dipendenti e vi accorgete del ransomware sul posto di lavoro, chiamate subito l'assistenza informatica e non vi preoccupate che qualcuno vi possa dare la colpa dell'infezione: se cercate di nascondere il problema non farete altro che peggiorarlo e probabilmente alla fine scopriranno il vostro tentativo d’insabbiamento, aggravando la vostra posizione.

Se siete datori di lavoro o dirigenti, vi conviene annunciare subito che non ci saranno sanzioni, in modo da avere la massima collaborazione dei dipendenti.


Mi conviene pagare?


Mi spiace dirlo, ma probabilmente sì; se non avete una copia dei vostri dati, vi conviene pagare il riscatto e imparare la lezione. Valutate quanto valgono i dati che sono stati cifrati e quanto vi costerebbe ricrearli (ammesso che sia possibile) o non averli più. Consolatevi: l’amministrazione pubblica del Lincolnshire, nel Regno Unito, è stata paralizzata da un ransomware che chiedeva un milione di sterline (1,4 milioni di franchi, 1,3 milioni di euro) di riscatto.

Se pagate, non è detto che otterrete la password di sblocco dei vostri dati: dopotutto state trattando con dei criminali. Ma di solito ai criminali che vivono di ransomware conviene che si sappia che le vittime che pagano il riscatto ricevono la password di sblocco: se si diffondesse la voce che pagare è inutile nessuno pagherebbe più.

Conviene inoltre decidere rapidamente se pagare o no, perché molti ransomware aumentano l'importo del riscatto se si lascia passare troppo tempo. Di solito non c’è modo di trattare con i criminali che gestiscono il ransomware perché non c’è un indirizzo da contattare e comunque si tratta di bande che lavorano all’ingrosso, per cui voi siete probabilmente solo una delle loro tante vittime e loro non hanno tempo da perdere in trattative: prendere o lasciare.


Che prevenzione posso fare?


La miglior forma di prevenzione è fare il più spesso possibile una copia di scorta di tutti i dati essenziali e tenerla fisicamente isolata da Internet e dalla rete locale quando non è in uso. Evitate le soluzioni di backup permanentemente connesse alla rete locale: verrebbero infettate e rese inservibili.

Tenere aggiornato il computer è fondamentale. La maggior parte dei ransomware si insedia sfruttando difetti delle versioni non aggiornate di Flash (come descritto qui), di Java, del browser o di Windows. Se possibile, comunque, Flash va rimosso o disabilitato, perché si è rivelato un colabrodo nonostante i continui aggiornamenti correttivi.

Usare un antivirus aggiornato è meglio di niente ma non garantisce l’invulnerabilità: l’antivirus bloccherà i ransomware meno recenti ma non riconoscerà quelli appena usciti.

Adottare un firewall efficace è molto utile, specialmente se consente di filtrare i tipi di file in arrivo, bloccando per esempio i file ZIP o PDF o JAR.

Usare Mac OS o Linux invece di Windows riduce il rischio, perché la maggior parte dei ransomware è scritta per Windows, ma non vuol dire che un utente Apple o Linux possa considerarsi immune: sono in circolazione ransomware scritti in Java, che funzionano su tutti i sistemi operativi che supportano Java.

È importante diffidare degli allegati ai messaggi. Anche se il mittente è qualcuno che conosciamo, se l'allegato è inatteso o se il testo del messaggio non è nello stile solito del mittente è meglio non aprire gli allegati, neanche se si tratta di documenti PDF o di file ZIP. Spesso i ransomware scavalcano le difese rubando le rubriche di indirizzi di mail, per cui le vittime ricevono mail infette provenienti da indirizzi di utenti che conoscono e di cui si fidano. Prima di aprire qualunque allegato, di qualunque provenienza, è meglio fermarsi a pensare: c'è qualcosa di sospetto? Mi aspettavo questo allegato? Posso chiamare il mittente al telefono e chiedergli se mi ha davvero mandato un allegato?

Visitare solo siti sicuri e attinenti al lavoro è una buona cautela, ma non significa che ci si possa fidare ciecamente. Evitare i siti discutibili, per esempio quelli pornografici o che ospitano app piratate o film e telefilm, riduce molto il rischio ed è saggio anche a prescindere dal ransomware, ma molti siti rispettabilissimi possono ospitare e disseminare questo tipo di attacco. In questi giorni, per esempio, è stato segnalato un numero molto elevato di siti normali, basati su Wordpress, che ospitano inconsapevolmente delle varianti di ransomware.

A parte questi rimedi tecnici, è indispensabile che ci sia un comportamento sensato e prudente da parte di tutti gli utenti. Aprire allegati ricevuti inaspettatamente, visitare siti di gioco o di film o pornografici dal computer di lavoro, non stare aggiornati sono tutte abitudini diffuse che vanno abbandonate, in modo da creare terra bruciata intorno ai criminali. Soprattutto non bisogna cadere nell’errore di pensare che tanto a noi non capita: infatti il ransomware viene disseminato a caso e quindi può colpire chiunque, dal privato all’azienda all’ente pubblico. E come tutti i guai, anche il ransomware è sempre il problema di qualcun altro fino al momento in cui colpisce noi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (74)
Domanda. Se navigo utilizzando un sistema operativo caricato in VirtualBox rischio che mi infettino solo il sistema operativo virtuale (poco male) oppure rischio comunque che mi infettino il sistema operativo vero e proprio?
Un'aggiunta a "cosa posso fare": investite sulle persone (no, non con un'automobile...).

E' una persona quella che aziona il malware, non e' un automatismo, una tecnologia, un sistema operativo, un programma, un demone...

Rendete consapevoli le persone, fatele parlare con un tecnico o con un esperto, spiegate i rischi e insegnate loro come difendersi, NON COLPEVOLIZZATE chi si prende un virus perche' questo genera omerta' e negazionismo.

La chiave di tutto sta tra la tastiera e la sedia.
Purtroppo ci ho avuto a che fare, causa parenti incauti.
Alcune società permettono di risolvere, dietro pagamento di 150€ (drw*b).
Se i dati criptati sono importanti, ma non vitali, probabilmente la cosa migliore da fare è prendere un bel disco esterno da 2tb e salvarci l'immagine dell'hd compromesso così com'è, virus incluso (è parte del processo di generazione della chiave di decrittazione). Un domani, quando la tecnologia lo permetterà (o quando i server dei malviventi verranno sequestrati e le chiavi di decrittazione rese pubbliche, come già successo), si potranno recuperare i dati gratis.

Girano diverse varianti, ed alcune son proprio fatte bene, c'è da dirlo. Lingua italiana, spiegazione a prova di utonto sul come comprare bitcoin ed effettuare un versamento, cancellazione dei file di backup ed immagini di sistema.

Maledetti, ma "bravi".

ps: "diffidare degli"?
Contattate uno specialista? In Italia? :-)
@Unknown: in generale no, ma molto spesso (e per facilità di cose) è possibile configurare una VM in modo da vedere una parte del disco dell'host che la ospita. Ovviamente quella parte del disco è a rischio (esattamente come le altre condivisioni di rete disponibili in scrittura, etc.).
@Paolo: c'è anche da considerare un altro fattore -- come tutti i virus, questi criminali vanno "a strascico" e non puntano nessun utente preciso. Nel caso di singoli individui magari ha senso provare a contattare i criminali e spiegare loro la situazione. Pagare decine di migliaia di euro per sbloccare dati personali è qualcosa che difficulmente un utente farà, mentre un'azienda ne viene praticamente costretta.
Un filo off-topic, ma neanche tanto:

Stamattina sono andato a dare un'occhiata alle versioni di flash e - come succede quasi ogni volta che ci guardo - c'era una versione più aggiornata della mia. Solo che dopo avere installato l'update da get.adobe, la pagina di verifica di flash mi dice di avere comunque una versione più vecchia (per capirci, usando Firefox su Windows dovrei avere la 20.0.306, ma quella che ho installato stamattina risulta comunque essere la 20.0.0.286).

Qualcuno ha qualche suggerimento?
@AmiC: "Un domani, quando la tecnologia lo permetterà (o quando i server dei malviventi verranno sequestrati e le chiavi di decrittazione rese pubbliche, come già successo), si potranno recuperare i dati gratis."

Non è ovvio che questo accada, visto che i malviventi hanno imparato le loro lezioni. Lo stato dell'arte è generare un wallet di bitcoin univoco per ogni vittima, e chiamare casa usando tor (o varie botnet) per comunicare questo wallet / la chiave locale con cui sono stati crittati i dati / etc. Dopo N giorni, "come promesso", i criminali distruggono dai loro server l'associazione wallet/chiave/etc., quindi i dati diventano irrecuperabili, e i criminali stessi si parano dalla polizia (la quale non saprà più misurare la portata dell'attività criminosa. Hanno infettato 10, 1000, 100000 host? La pena è commisurata di conseguenza).
@unknown quello che descrivi tu e' la cosiddetta "fuga dalla prigione della macchina virtuale".

Nei sistemi di virtualizzazione attuali (ultime versioni) non sono note tecniche simili, ovvero dalla macchina virtuale non puoi eseguire programmi arbitrari nel sistema operativo che ospita la VM.

Pero' ci sono altri due modi in cui un virus dentro una VM potrebbe (potrebbe!) creare danno all'esterno di essa:

1) Il sistema operativo che gira nella VM riesce ad accedere via rete a risorse condivise senza password o con una password nota al sistema operativo (funzione "Salva password di windows)

2) E' stata attivata la funzione che in VMware Workstation si chiama "Shared folders" in scrittura, in pratica si fanno vedere alla VM con permessi di lettura scrittura delle directory della macchina ospitante come se fossero dischi di rete.

In questi due casi il malware della VM potrebbe fare danno all'esterno della VM
Leggo che "Usare Mac OS o Linux invece di Windows riduce il rischio", ma "sono in circolazione ransomware scritti in Java, che funzionano su tutti i sistemi operativi che supportano Java."
Con i miei due Mac ho sempre attivo Time Machine che fa un backup ogni ora. Ho notato che i file di Time Machine non sono modificabili, possono solo essere copiati per recuperarli. Posso ritenere sicuri questi dati o comunque quei ransomware via Java possono riuscire a criptare anche i dati di Time Machine?
@Unknown: se il sistema in virtual box non risorse condivise con il pc che lo ospita una volta cancellato il file della Virtual Machine infetta non avria più nulla sul disco.
Personalmente ho sempre avuto sui luoghi di lavoro un notebook, scollegato dal resto del sistema/rete e messo sottochiave in un armadio, in cui tenere copia aggiornata ogni tot giorni dei dati "importanti" oltre naturalmente ai dischi esterni di backup giornalieri.
Vitale per avere tutto sottomano in caso di disastri di qualsiasi genere.
A noi è capitato ieri su un notebook. Per fortuna il file server ha i dati protetti da password che non erano memorizzate sul pc (motivo di più per non memorizzare le credenziali d'accesso ai file in rete, specie se importanti).

Il danno è stato nullo perché su quel notebook sono caricate solo copie di documenti che possono essere utili durante uno spostamento.

Se fosse stato attaccato il file server avremmo perso una giornata di lavoro che, economicamente, può essere un danno anche notevole. Infatti, se la giornata la perdono in molti può diventare più economico pagare il riscatto :-) .

Va precisato che accettare di pagare e non denunciare è anch'esso un reato.
La fonte è il nostro avvocato di fiducia :-)
[quote-"Unknown"-"/2016/02/aiuto-hanno-preso-in-ostaggio-i-miei.html#c9164323778839868967"]
Domanda. Se navigo utilizzando un sistema operativo caricato in VirtualBox rischio che mi infettino solo il sistema operativo virtuale (poco male) oppure rischio comunque che mi infettino il sistema operativo vero e proprio?
[/quote]
O se utilizzo un browser all'interno di una sandbox? Rischio lo stesso?
Grazie
Personalmente eseguo un backup dei dati del mio pc su tre server cloud diversi a rotazione.

Credo di essere ragionevolmente al sicuro, ma ciò che mi manca è un programma che esegua l'operazione in automatico, e finora non ho trovato nulla di adatto.

Tutti i software provati copiano i singoli files in chiaro (!) oppure convertono tutto in tantissimi spezzoni di un unico mega file in formato proprietario non interpretabile in caso di problemi: perdi uno spezzone e perdi tutto.

Io invece preferisco un backup file per file, con criptazione sul singolo file e compressione zip. In questo modo posso recuperare anche solo il singolo file e decomprimerlo semplicemente conoscendo la password.

L'unico programma che ho trovato sinora che fa questo è un certo "Syncovery", ma come appunto dice il nome, "sincronizza" i files, non fa un backup. Pertanto mi ricopia ogni volta tutta la cartella Documenti, anche i files non modificati. Magari sono io che lo uso male oppure c'è qualcosa di meglio.

Qualche consiglio ?
Purtroppo con un backup su disco esterno rischio comunque di salvare anche i documenti già criptati... O sono troppo paranoico?

Marco
C'è una brutta abitudine in ambito aziendale: tutti allegano qualcosa invece di scriverlo o incollarlo direttamente sulla mail.
Perchè mi alleghi un pdf che, quando lo apro, mi dice: "la manovra è prevista alle ore 16"?
Non potevi scriverlo in chiaro? Non potevi salvare il file di testo o anche un immagine e incollarli sulle mail agli interessati?
Questo produrre allegati per qualsiasi cosa incoraggia l'aprirli in automatico, senza pensarci, fino a quando non si apre quello infetto.
Comunque Malwarebytes ha tirato fuori un anti-ransomware di prevenzione, è in beta ma si aggiorna spesso, leggero e facilissimo da attivare, per windows:
https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/
Ecco la cosa che fa venire veramente i brividi, è che per colpa di Java e della sua VM, vengano infettati sistemi operativi che invece ne sarebbero immuni.
D'accordo che ci sono alcuni software che purtroppo girano in Java, ma posso odiare questo stramaledetto linguaggio che non ha fatto altro che rallentare le prestazioni di qualsiasi software che lo utilizza? E ora dopo l'iconcina noiosa e petulante della caffettiera, ci dobbiamo anche sorbire dei virus che altrimenti dovrebbero essere scritti apposta per l'OS da colpire, ma che per colpa di Java dobbiamo sorbirci.
Java è come Flash, un fallimento, sebbene venga utilizzato un po' dappertutto perché sono riusciti a pomparlo bene a livelli mercato IT.
a casa mia il ramsomware è arrivato tramite un iphone di un conoscente. alla fine ho risolto col fai da te, compresa l'eliminazione completa di windows da casa mia.
QUI la mia esperienza scritta in breve se può essere utile a qualcuno.

PS: non avevo comunque dati importanti sui miei pc
Ho un suggerimento preventivo. è più scaramanzia/superstizione che scienza, ma forse può tornare utile:

Non salvate documenti importanti nelle cartelle proposte dai programmi, (tipo: "c:\documenti" "c:\user\documenti" c:\programfiles(x86))
Fatevi una cartella con un nome significativo e mettete tutto lì. In questo modo, se succede qualcosa e decidete di buttare via i 300€ di hardware e ripristinare programmi e documenti in un nuovo computer, tutto funzionerà senza che il computer si lamenti ché si aspettava di trovare le robe in altre cartelle. In certi casi, operando in questo modo non è neanche necessario reinstallare il programma (l'unico esempio che mi viene adesso di un programma non portabile che continua a funzionare trasferendo tutti i suoi componenti da un computer ad un altro è CorelDraw 5)

Se usate programmi che avete scaricato, (blender, sclub,) conservate il file compresso insieme ad eventuali passwords
Purtroppo mi è toccato anche a me. Grazie al cielo sul pc di casa e non su quello del lavoro... I file vengono criptati anche su dropbox, google drive e simili per cui dopo aver formattato il pc è anche pericoloso riscaricare questi software ed eseguire la sincronizzazione. Io personalmente ho messo tutti i file a cui tenevo su delle pennette e aspetterò che si trovi un sistema per riaverli gratuitamente poi ho formattato. Nel mio caso però sembra che gli altri pc nella rete non siano stati toccati.
Sì, è un'epidemia di TeslaCrypt, nuova versione, che non ha più il 'bug' che era presente nella versione precedente e che permetteva di decriptare i dati, purtroppo un mio amico 'poco previdente' ha perso tutti i suoi file.

"Non usate un antivirus dopo che è avvenuto l’attacco: non serve a nulla e rischia di peggiorare la situazione cancellando la parte del virus che serve per ripristinare i dati se pagate il riscatto"

Giusto, a meno che l'amico decida perentoriamente che non pagherà mai, nemmeno sotto tortura :D A quel punto ho usato un antivirus per neutralizzare il TeslaCrypt, perché oltre ad aver criptato tutti documenti, aveva depositato tre copie della richiesta di riscatto in OGNI sottocartella del pc (=centinaia di migliaia di copie) e lanciava queste copie ad intervalli regolari (=decine di finestre sul desktop con la richiesta di riscatto).

Se non altro adesso può usare la posta elettronica, navigare in internet e creare nuovi documenti. :D
Non sono troppo d'accordo sul fatto di pagare (anche se poi ovviamente dipende dai casi, e posso capire che in certi scenari sia indispensabile valutarlo, del resto quando capita viene meno anche la lucidità, e c'è poco tempo per ragionare... come scrivi giustamente): questo perchè trattare con dei criminali mi pare sempre sconsigliabile, dato che si rischia di trovarsi con un pugno di mosche alla fine - moltiplicando la perdita - anche perchè in molti casi da me visti il pagamento è in BitCoin e/o su darknet (il che non è una procedura esattamente alla portata di un newbie). Tra l'altro se nel frattempo il responsabile venisse arrestato, mi pare improbabile che possa fornirci la chiave per ripristinare i dati una volta ricevuto il riscatto :-)

Tanto varrebbe a quel punto entrare nell'ottica di aver danneggiato irreversibilmente quei dati a causa di un guasto tecnico, di uno sbalzo di tensione o di un virus particolarmente "cattivo". Si formatta e si ricomincia, se si può. Ma questo, chiaramente, è solo un mio punto di vista e mi rendo conto che non si possa applicare al 100% dei casi.
Guastulfo,

Va precisato che accettare di pagare e non denunciare è anch'esso un reato.

Che tipo di reato? Hai i dettagli di legge?

E' reato se paghi _e_ non denunci, oppure è sufficiente che paghi, a prescindere dalla denuncia o meno?
Non ha nessun senso. Non esiste l'obbligo di denuncia per il privato, solo per il pubblico ufficiale o per l'incaricato di pubblico servizio (artt. 361, 362 del codice penale). Altresì, pagare è semplicemente configurarsi vittima del reato di estorsione (art. 629), che *ovviamente* non colpisce le vittime.
questi dicono di poter decodificare
https://support.drweb.com/new/free_unlocker/for_decode/
@Paolo
E' reato se paghi _e_ non denunci, oppure è sufficiente che paghi, a prescindere dalla denuncia o meno?

Purtroppo non ho una fonte ma solo le parole del nostro avvocato. Per questo ho tenuto a precisarlo nel commento precedente.

Lui ha detto che il problema si presenta se paghi e non denunci. Non è sceso in dettaglio ma diceva che, "secondo la giurisprudenza" (parole sue), si profilano due reati; uno di questi non lo ricordo, l'altro è il favoreggiamento: siccome ci si adopera a comprare bitcoin, a usare tor e a pagare con questi strumenti (e non ci si limita a pagare semplicemente in contanti), di fatto si aiuta il criminale a commettere il reato e a nascondersi dalle autorità.

Un'altra notizia che può interessare: il virus che ha colpito il nostro notebook si autoelimina dal file system subito dopo aver finito il lavoro, forse proprio per evitare il reverse engineering.
Il nostro tecnico mi ha fatto vedere le parti del registro di Windows che eseguivano il virus (viene, infatti, richiamato da più parti del sistema, presumo per avere maggiori probabilità che non venga bloccata la sua esecuzione). Del file virale, però, non c'era traccia

I file cifrati hanno preso l'estensione "micro".
@Trystero:
Non ho esperienza Mac OSX, magari può rispondere qualcuno più qualificato, ma direi che in linea di massima non c'è da fidarsi. Può essere che il tuo utente non abbia i permessi per scrivere su time machine, ma potrebbero esserci vulnerabilità che consentono di farlo, o magari è comunque possibile cambiare delle impostazioni che andrebbero a comprometterlo.

@Salvatore Capolupo:
Se sei un'azienda e hai perso i dati del tuo programma di fatturazione, o di gestione magazzino, o tutti i tuoi progetti, paghi molto volentieri 500 dollari, in tutta lucidità...
Come scrive Paolo, i criminali hanno tutto l'interesse a garantirti il recupero in caso di pagamento, ed è improbabile che vengano arrestati da un giorno all'altro. Di sicuro quando lo saranno verranno chiusi presto anche tutti i loro domini, onion compreso, quindi direi che finché quelli sono attivi è molto probabile che qualcuno dall'altra parte ci sia.

Non capisco come considerarlo come un guasto tecnico possa essere consolatorio, ma in ogni caso da quello è più facile proteggersi: un raid o un backup su un disco esterno o su condivisione di rete (nas) sono sufficienti, e nella stragrande maggioranza dei casi è l'unica forma di backup di una piccola azienda (quando ne ha).
Le uniche strategie di prevenzione possibili dai ransomware sono backup su cloud (con relativi problemi di privacy, soprattutto di dati di soggetti terzi, e finché non si diffonderanno i virus che si interfacciano anche con quelli), o backup su dispositivi rimovibili (rdx) che vengano ciclati.
Concordo con Salvatore, nel caso non si abbia un backup, piuttosto che pagare nella maggior parte dei casi è meglio rassegnarsi e cercare di recuperare il possibile con altri sistemi, ad esempio se avete condiviso dei file importanti con qualcuno via mail, recuperateli dalla casella di posta o chiedeteli al destinatario.
Pagando andrete solamente ad alimentare il loro business, e oltretutto non avete la garanzia di ritrovarvi i dati decriptati.
Piuttosto che copiare i file criptati su un disco esterno, il mio consiglio è di reinstallare il sistema su un disco nuovo e tentare il recupero dati dal disco saborato tramite tools che ripristinano i file cancellati.
Di solito i cryptolocker agiscono creando prima il file criptato e successivamente eliminano l'originale. Con un po' di fortuna si riesce a recuperare buona parte del perduto.
Le tre cose importanti sono il backup, il backup e il backup. Il resto può aiutare, ma fino a un certo punto.
Beccato ma non sul mio PC. Devastato tutto compreso copie.. :(

Mi è venuta in mente una cosa, sugli utenti Linux: la maggior parte non usa Oracle Java ma Open JDK, libreria controllata continuamente dalla comunità.
Inoltre, come sempre, Linux chiede la password prima di eseguire qualsiasi cosa tocchi i file di sistema. ;-)
@marcomentasti:

piuttosto che pagare nella maggior parte dei casi è meglio rassegnarsi e cercare di recuperare il possibile con altri sistemi, ad esempio se avete condiviso dei file importanti con qualcuno via mail, recuperateli dalla casella di posta o chiedeteli al destinatario.

Anche tu stai parlando di privati, è ovvio che un privato è molto poco probabile che paghi.
Quelle che pagano con più alta probabilità (e purtroppo fanno bene) sono le aziende, e lo sanno benissimo anche i produttori dei virus. I privati sono infezioni collaterali, le email di spear phishing sono mirate alle aziende: quasi sempre vengono inviate finte fatture non pagate, finte denunce, finti curriculum ecc...

Pagando andrete solamente ad alimentare il loro business, e oltretutto non avete la garanzia di ritrovarvi i dati decriptati.

Non ho mai visto un caso in cui i dati non siano stati recuperati con successo dopo il pagamento.
Pagare sarà immorale e al limite della legalità, ma visto che nel solo caso di CryptoWall il giro d'affari è stimato intorno al miliardo di dollari, non credo che 500 in più o in meno facciano molto la differenza.

Piuttosto che copiare i file criptati su un disco esterno

E chi ha parlato di copiare i file?

Di solito i cryptolocker agiscono creando prima il file criptato e successivamente eliminano l'originale. Con un po' di fortuna si riesce a recuperare buona parte del perduto.

Affatto, conosco bene CryptoWall e poco gli altri, ma non credo che quelli recenti siano da meno. Sin dalla prima versione il file viene sovrascritto. E vengono eliminate le shadow copy. Recuperare i file dal disco infetto non è un'opzione in quasi nessun caso.
Credo che il miglior sistema per tenere i dati al sicuro da un ransomware sia Dropbox.
Su Dropbox se elimini un file finisce nella cartella "File eliminati" e li ci resta per 30 giorni.
In più mantiene la cronologia delle modifiche di ogni file per 60 giorni, se il file viene criptato puoi facilmente tornare alla versione precedente non criptata.
Da quel poco che ne so, se la condivisione dei files è fatta su cartelle condivise via UNC e non con mappatura, il crypto non riesce ad agire...
C'e da dire che io di base attivo la visualizzazione delle estensione dei files conosciuti, ma la maggior parte dei sistemi invece vengolo lasciati con l'estensione coperta...
Già questa mossa dovrebbe permettere di allertare l'utente
Domandina...

Dove lavoro, il computer di un collega è stato infettato da uno di questi malware (per la cronaca, è avvenuto tramite una finta mail di un noto provider contenente una fattura .pdf.exe). Fortunatamente qualche anima pia ha avuto la prontezza di sradicare il cavo di alimentazione e quello di rete, quindi il danno è stato limitato.

Sono riuscito ad azzoppare il malware a mano (modalità provvisoria, tolti tutti i programmi e servizi in avvio automatico sospetti, cancellato tutti gli .exe in AppData e Temp, controllo con Spybot S&D); controllando i files, ho scoperto che solo una piccola parte di essi erano criptati, mentre tutti gli altri sembravano ok.

Dato che si parla unicamente di immagine, documenti di testo, fogli di calcolo e simili (niente eseguibili, niente script, solo roba "da utente medio" diciamo)... secondo voi è sicuro migrare i dati superstiti su un altro computer? O c'è il rischio che in qualche modo siano stati infettati (non so, macro di office)?

NB: sono dati vitali, non esiste un backup e il capo della baracca è il classico tipo che non investe un centesimo a livello di IT (il computer colpito è un P4 con 256 MB di RAM, ed è uno dei più usati...), pretendendo però che tutto funzioni bene e se qualcosa va storto la colpa è del dipendente, quindi anche se è l'opzione più ragionevole preferirei tenere il "nel dubbio spiano tutto" come ultima carta!
@Paolo, con "spegnete tutti gli altri computer collegati alla stessa rete informatica" intendi anche smartphone, tablet, smart tv, e qualunque cosa sia collegata alla rete? Conviene spegnere il modem?
@Tommy:

Che io sappia nessun ransomware al momento infetta i documenti. Al massimo potrebbe farlo Chimera, ma è molto improbabile che sia lui.
Potresti comunque cercare di capire esattamente qual è nello specifico (dalle voci che hai rimosso e da eventuali richieste di riscatto che ha generato) e cercare maggiori informazioni.
In ogni caso, un buon antivirus aggiornato sarebbe in grado di rilevare questi file infetti con una scansione forzata.
Per ulteriore sicurezza (ma questo vale solo per i documenti office, per i pdf ad esempio è meno pratico), potresti comunque disattivargli le macro, o fargli usare libreoffice, o anche solo "ripulire" tutti i documenti aprendoli e risalvandoli con libreoffice.
@Tommy the Biker: dovresti dare ai tuoi colleghi nozioni di base.
Da quando ho comprato il primo PC so che:
Un .pdf è un documento, un .pdf.exe è un programma che non ho richiesto.
Un .jpg è un immagine, un .jpg.exe è la stessa cosa di prima.
Perchè i nostri colleghi non leggono, prima di scaricare?
Chi accetterebbe di scaricare in casa o in auto una cassetta di legno, ma col il simbolo delle radiazioni stampato sopra? E' la stessa cosa.

rico,

Un .pdf è un documento, un .pdf.exe è un programma che non ho richiesto.
Un .jpg è un immagine, un .jpg.exe è la stessa cosa di prima.
Perchè i nostri colleghi non leggono, prima di scaricare?


Hai considerato che alcuni sistemi operativi idioti nascondono le estensioni? Non è detto che sia colpa dell'utente.
Paolo: no non lo avevo considerato. Ma prima di scaricare un allegato di solit c'è una finestrella che ti dice: cosa devo fare, apro col browser o scarico "Inutilemail.pdf.exe (o .js)?
A quel punto dovrebbe scattare il campanello d'allarme: se ho chiesto un documento o un immagine, perchè finisce con questi suffissi strani?
Dico solo che un mini-corso sui formati e le estensioni sarebbe utile a tutti quelli che vanno su un PC.
@Rico
Lavoro all'IT di una media azienda (150 impiegati), il livello di alfabetizzazione informatica è desolante. Le persone non capiscono, non si ricordano, non sanno, non fanno attenzione. E anche chi sa, si sbaglia: per la fretta e la disattenzione.
La prima cosa che faccio quando metto mano ad un PC (sono ancora tutti a Windows 7, benchè aggiornati via server automaticamente), è quella di mostrare le estensioni per i file. Il default di Windows è di nasconderle, questo ha favorito da sempre il trucchetto che anche se banale è efficace...
Io ho istruito mio padre (con tanto di PostIt formato A4) di non aprire allegati. Benché abbia trasferito le caselle di posta su Gmail (ottimo il suo antispam tra l'altro) onde evitare spiacevoli contrattempi (leggasi giornate andate in recupero dati/parolacce&bestemmie) ho chiesto ed ottenuto il magico "prima di cliccare chiedi".

Ora mi rendo conto che su una manciata di PC la cosa è fattibile. Non saprei come implementare questa accortezza in una rete di 100 o più computer... centralizzare la posta su un server unico e creare un Bot che scansioni ed elimini automaticamente i messaggi con estensioni multiple?

Ho detto una caz... cosa fantascientifica?
Una nota sul pericolo legato a Java, per altri computer Mac o Linux.
A quanto ne so i javini contenuti nelle pagine web non contengono istruzioni di file I/O e quindi non possono leggere e scrivere files sul vostro disco. Per questa via non è quindi possibile cripare files e/o cancellarli. Per quanto riguarda Java in quanto tale esso va compilato sul computer ospite e soprattutto essere messo nella giusta posizione dei file system. In pratica "installato". Non so nulla di MAC ma per Linux tutte queste operazioni richiedono modifiche del sistema e quindi la password.
Come premettevo però ... " a quanto ne so". Non posso sapere tutto e se qualcuno sa cose diverse le ascolto volentieri.
Beh basta cancellare tutti gli allegati che contengano roba eseguibile.

Poi mi piacciono quelli che sentenziano "java è un fallimento" rido sempre un sacco..
@Tukler:
no, è CTB-Locker; disattiverò le macro, grazie :)

@rico:
non faccio neanche parte di quel settore, sono stato spostato lì temporaneamente; non ho neanche avuto il tempo di avere il polso della situazione che subito s'è verificato il fattaccio. Per ora ho disabilitato su tutti i computer "nascondi estensioni per tipi di files conosciuti" e spiegato che qualsiasi allegato .exe, .vbs oppure .loconosco.nonloconosco è da cestinare immediatamente. Per ora sembrano aver recepito... per ora.

Ad ogni modo, avevano il programma di posta (Outlook, ovvio) configurato per l'apertura degli allegati senza conferma e Windows settato per nascondere le estensioni dei tipi di files conosciuti, entrambe impostazioni attive per default. Dunque, non c'era nessun "vuoi aprire fattura.pdf.exe?" ma un semplice "se fai click su fattura.pdf(.exe nascosto) si apre".

@Guido: io sarei ben felice di avere "solo" 7 su tutti i computer di quel posto... quasi tutti hanno XP SP1! Nel 2016!
Domanda (da persona incompetente): la finestra con la richiesta di riscatto appare subito appena avvenuta l'infezione oppure più tardi, quando il virus è già attivo da un po'?
In pratica: io tengo i miei back-up su hard disk esterni che vengono collegati al computer solo quando il computer è scollegato dalla rete.
Ovvero, quando voglio aggiornare i back-up compio le seguenti operazioni:
1) scollego il computer dalla rete;
2) collego gli hard disk di back-up al computer;
3) aggiorno i back-up;
4) scollego gli hard disk di back-up dal computer;
5) se voglio navigare ancora, mi ricollego alla rete.
La domanda è: tra le fasi 1 e 2, è possibile infettare gli hard disk di back-up con un virus ancora latente?
Se sì, quali precauzioni si possono prendere per abbattere il rischio? Aspettare un dato lasso di tempo? Fare qualche controllo mirato sulle estensioni dei file da backuppare? Altri espedienti a portata di u-tonto?
Buh, java per me è tipo un pezzo di un fuoristrada...

"Se fai capriole e piroette col fuoristrada, il "java" si può rompere e distruggere la macchina, ma se la macchina non ha il "java" non può affatto andare fuoristrada."

La valutazione di 'sta cosa chiamata java dovrebbe IMHO partire da questo concetto.
@ Tommy the Biker
Ho una brutta notizia. Tutti i file nel disco saranno infetti da virus sconosciuti e tutti i dischi verranno smagnetizzati dal passaggio di una singolarità quantica. Poi i corpi speciali, a causa di una interferenza radio, confonderanno il vostro stabile con quello di terroristi e faranno irruzione distruggendo tutto a colpi di mitragliatore. Sai perchè? Perchè è stata pronunciata la frase magica "non c'è un backup"

http://www.soft-land.org/storie/05/story25

Purtroppo certe persone capiscono l'importanza del backup solo dopo aver perso tutto. Alcuni neanche dopo. Ne ho visti tanti.
"non contengono istruzioni di file I/O" certo, ma possono tranquillamente far partire dei download...
@Bellaccoglienza

Uno dei miei motti più antichi e più famosi è: "La sfiga vien dal mare." Che in questo caso significa: "se ancora non esiste, prima o poi a qualcuno verrà in mente."

Oltre ad un bel backuppone tanto grande quanto il disco, può essere opportuno salvare i files su chiavette, con una cadenza ragionevole, (oppure una chiavetta per commessa o per gruppo di commesse) in modo che se succede un pasticcio e l'ultimo backup è infetto, comunque non si è perso tutto.

Poi, se un malware "ad orologeria" è configurato per star nascosto molto a lungo, di solito gli antivirus di grido "scoprono" come rimuoverlo prima che scada il tempo.
...e ora ripetete con me
il backup e' buono, il backup e' bello, il backup mi fa dormire tranquillo
""non contengono istruzioni di file I/O" certo, ma possono tranquillamente far partire dei download... "

Non lo metto in dubbio ma in ambiente Linux poi per passare dal programma scaricato al programma installato ed eseguibile si sono di mezzo tutta una serie di operazioni, con richiesta di password. Inoltre la galassia Linux è tale che non è detto che la distribuzione ricevuta sia installabile sul PC in questione. Ci sono infatti .deb .tar.xy .rpm a seconda del sistema linux, poi la scelta a volte tra 32 e 64 bit. Spesso devi a mano rendere eseguibile il file di installazione (anche qui serve la password). Devi proprio volerlo fare.
Insomma se ricevi un vero pdf, un vero doc, una vera foto nessun problema. E se il doc contiene macro per microsoft, non funzioneranno per openoffice. Chiaro che non esiste sicurezza assoluta, al 100%, ma per ora (e sottolineo per ora) Linux mi appare un bel po' più protetto.
@Francesco

La sicurezza è fatta di compromessi.

linux è sicuro come un carro di buoi.
E un carro di buoi è molto più competitivo con i camion di quanto linux lo sia con ms.

Molte aziende semplicemente non possono permettersi di seguire le paturnie di linux, perchè hanno anche altre cose da fare, tipo vendere vasche da bagno oppure imbustare patatine fritte.
Per quanto mi riguarda uso queste regole.
Posta: Macchina virtuale con hmailserver con incluso antivirus e blocco dei file con le estensioni eseguibili
File: tutti i file su un file server sempre in macchina virtuale
PC Utenti: Visualizzazione estensione file, connessione diretta con file server (sempre attiva)
BackUp: La notte tramite ftp su NAS interno poi connessione tramite NAS to NAS con altra azienda per la replica, naturalmente l'altra azienda sfrutta il mio NAS

Risultato, spero nel caso di Crypto di perdere solo i dati del giorno :(

Ciao, Beppe
Una curiosità: quanto ci mette il virus a criptare il contenuto del PC? Cioè, se mi becco il virus, si manifesta all'improvviso subito oppure ci sta giorni a cirptare il tutto senza farsene accorgere e solo dopo si manifesta?
negli ultimi giorni la cosa si sta facendo preoccupante. Nel mio minuscolo ricevo sempre più mail con allegati "strani".
Siano maledetti.
Capitato a molti miei clienti, le versioni TeslaCrypt fino alla 2 hanno delle vulnerabilità ma per ora la 3 è inviolabile.. diversi miei clienti hanno pagato ma gli è stato restituito solo il 50% dei file, per il resto volevano altri 400 dollari.
@puffolottiaccident: grazie degli utilissimi consigli, li metto in pratica!
Occhio che esistono anche i falsi ransomware: dicesi "falsi" ransomware pagine del browser che non si fanno chiudere normalmente e chiedono un riscatto per scomparire, ma in effetti non criptano una beata mazza e ci vuole ben poca competenza informatica per farle sparire.
Molte aziende semplicemente non possono permettersi di seguire le paturnie di linux, perchè hanno anche altre cose da fare, tipo vendere vasche da bagno oppure imbustare patatine fritte.

Naturalmente hai ragione. Ma se io fossi proprietario di un'azienda, preferirei spendere i miei soldi dedicati all'informatica in gente coi controcoglioni che sa far funzionare bene Linux invece che in licenze pagate a quei perdaballe di Microsoft.
Son gusti...
@Axlman

I gusti non si discutono, così come le leggi di Isaac Newton.
Molti piccoli imprenditori si sono interessati ad utilizzare linux sbraitando quello che hai detto pocanzi, per trovarsi impantanati, e scoprire che alla fine la domanda è: " se non fai i soldi con produzione & distribuzione, da dove prendi i soldi per far ricerca? "

Do ragione a chi dice "Preferisco spendere i soldi in un prodotto aperto che farmi tenere per lo scroto da dei perdaballe" ma è davvero realizzabile?

All'atto pratico, proprio perchè chi sa far funzionare linux ha i coglioni come B-52 caricati ad agente arancio (per funzionalità oltre che per dimensioni) l'imprenditore che instaura un sistema linux è ancora più appeso, perchè se il granmaestro si offende o peggio ancora trova la ragazza, trovare un'altro con altrettanti coglioni che può mettere le mani nel lavoro altrui è un'impresa disperata.
Lire "Linux" è decisamente impreciso, vista la vasta gamma di variazioni e biforcazioni: https://upload.wikimedia.org/wikipedia/commons/1/1b/Linux_Distribution_Timeline.svg

Tuttavia non tutti i Linux sono uguali. Anche io fino a pochi anni fa me ne tenevo distante, anche perché seguendo su vari forum i problemi di vari software multipiattaforma notavo che quelli piu' "problematici" avevano vari tipi di Linux.
Da un paio di anni pero' le cose sono cambiate e la distribuzione che va per la maggiore (Linux Mint, che è una personalizzazione di Ubuntu) è facile da usare anche per un bambino.
In effetti ho due nipotini, entrambi sotto i 5 anni, che lo usano senza nemmeno saperlo. Per le esigenze normali (usare prodotti di tipo office, vedere foto e film, navigare, leggere la posta, Linux Mint va benissimo ed ho anche un paio di anziani che lo usano senza problemi.
@axlman, puffolotti
c'e' da dire che se affidi tutta la tua conoscenza, che sia informatica che sia di come e' strutturata la tua produzione ad una sola persona beh poi sono c...i tuoi se questa se ne va. La conoscenza dev'essere distribuita, devi avere e mantenere una KB aziendale (in modo da non dover riscoprire la ruota ogni volta che si verifica lo stesso problema, e in modo che un nibbio abbia un punto di partenza da cui rifarsi nel caso in cui un gruppo di terroristi armati decida di abbattere a colpi di pinguino tutti i sistemisti M$ dell'azienda)
Naturalmente hai ragione. Ma se io fossi proprietario di un'azienda, preferirei spendere i miei soldi dedicati all'informatica in gente coi controcoglioni che sa far funzionare bene Linux invece che in licenze pagate a quei perdaballe di Microsoft.

La scelta del o dei sistemi operativi da adottare non dipende solo da scelte personali o da "gusti".
Molto invece dipende dal tipo di attività che si svolge.

Se l'attività prevede scambio di dati continuo con altre aziende e i dati sono, per esempio, grossi fogli excel con macro complesse che, a loro volta, provengono da altre realtà (università o anche ministeri), non si può perdere tempo in conversioni o a risolvere incompatibilità varie. Queste cose costano tempo e possono costare ben più dell'acquisto di un software standard.

Nel caso nostro, acquistiamo i software che ci servono e ci soddisfano meglio. Punto.

Il sistema operativo passa in secondo piano. Per la progettazione, per esempio, usiamo gli Apple perché i software che usiamo, pur avendo anche la versione per Windows, ci girano meglio.
In particolare Archicad che oltretutto, se non ricordo male, è nato sugli Apple e tutt'ora, su questa piattaforma, ha una marcia in più.

La nota divertente è che l'unico ente a non dare grossi problemi nella scelta del sistema operativo è l'Agenzia delle Entrate.
I suoi software (Entratel, F24, ecc...) infatti sono scritti in Java per essere multipiattaforma. Non so se Java sia la scelta migliore ma, almeno per pagare le tasse, l'agenzia ti stende un tappeto rosso... fatto di aggiornamenti che arrivano ad essere settimanali in certi periodi.
Peggio di Flash e Java messi insieme :-D
Linux ormai è un sistema desktop. Un sacco di cose le puoi impostare automatiche (tipo aprire allegati) e le operazioni sulla tua home le fai senza password. Aggiungere linee a .bashrc non richiede password, per esempio.
@axlman, puffolotti:

Qual è il significato preciso del termine "perdaballe"? Contafrottole, incompetente, o altro?
Lo chiedo perchè dalle mie parti si usa il termine "perdiballe", contrazione di "che perde palle (da tutte le parti)", con significato di incapace.
Proprio ieri il mio capo ha preso un trojan: l'antivirus lo ha bloccato, ma gli ha bloccato anche MS Outlook. Non è uno sprovveduto, sospetto che questo bel programma, come osservato da Paolo Attivissimo, gli abbia nascosto la VERA estensione del file allegato che stava scaricando.
Gli ho dato il link per aprire le mail aziendali anche dal browser, e gli ho suggerito di usare (come me e Francesco) Linux Mint avviato da chiavetta.
Non essendo Admin, di più non potrei fare ;)
@Guido Pisano

iup, alla fine con sistemi troppo esotici e misteriosi, si viene a creare una situazione in cui il vescovo/stregone (tecnico IT)comanda sui duchi (impiegati), perché qualunque situazione si venga a creare, alla domanda "ma qualcuno ha idea di cosa stia combinando quel buffo tipo con la camicia piena di stelle, lune e saturni che inciampa sempre nella propria barba? O meglio ancora, qualcuno ha idea di chi sia?" non c'è altra risposta che: "ci tiene per le palle, è lui che fa il bello e il cattivo tempo. Egli è un mago della pioggia."

@Martinobri

Francamente lo ignoro molto boldamente.
@martinobri, il migior sinonimo di "perdaballe", che è un lemma novese, è "incapace". Così imbranato da perdere persino i propri testicoli, per capirci.
@Rob Io sono della zona - nato ad Arquata, vivo a Tortona - ma nel termine perdaballe ci ho anche sempre visto una sfumatura dell'incapace che sa di esserlo ma si vende come un esperto a gente che non è in grado di capirne le effettive capacità, vivendo così di espedienti e passando di lavoro in lavoro. :D
COME POSSO RECUPERARE I FILE CRIPTATI ?
Cesarina,

COME POSSO RECUPERARE I FILE CRIPTATI ?

Quello che si può fare è descritto nell'articolo, ti invito a rileggerlo. Già che ci sei, per favore, non scrivere tutto in maiuscolo: sembra che stai URLANDO.
@Paolo Attivissimo
Va precisato che accettare di pagare e non denunciare è anch'esso un reato.

Che tipo di reato? Hai i dettagli di legge?


L'avvocato è venuto oggi per delle pratiche e gli ho riposto la domanda.
Il reato che si commette è riciclaggio e l'articolo di legge che si viola è il 648 bis del codice penale:

"Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l'identificazione della loro provenienza delittuosa, è punito con la reclusione da quattro a dodici anni e con la multa da euro 5.000 a euro 25.000.

La pena è aumentata quando il fatto è commesso nell'esercizio di un'attività professionale."



Presumo che, almeno in Italia, possa essere reato anche consigliare di pagare (istigazione a delinquere?) ma questo non l'ho chiesto: è solo un mio ragionamento da incompetente.

Spero di essere stato utile.
A mio parere, eticamente, come per i riscatti riguardanti persone, pagare è sempre una sconfitta, qualcosa che indurrà il colpevole a reiterare il gesto.
Parlo di un mondo perfetto e ipotetico dove nessuno paga i riscatti e dove nessuno a questo punto li chiede più visto che non portano guadagno.
In questa logica mi sembra utile che la legge, la quale nasce per creare ordine nella società ritenga dannoso pagare il riscatto: si agevolano dei delinquenti, si fa del male alla società stessa perché si da, a questi ultimi, un motivo per proseguire.
Poi va beh questo bel castello teorico cade quando ci si scontra con l'egoismo di chi dice : " me ne frego! Voglio i miei dati"