skip to main | skip to sidebar
47 commenti

Ospedale USA paga 17.000 dollari di riscatto per riavere i propri dati

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/02/19 23:25.

Il ransomware si sta rivelando una forma di attacco informatico tristemente efficace nel portar via soldi alle vittime: dagli Stati Uniti arriva la notizia che un ospedale, il Hollywood Presbyterian Medical Center, è stato preso in ostaggio da un ransomware che ne ha paralizzato i sistemi informatici al punto che è stato necessario tornare a registrare i pazienti su carta e recuperare le cartelle cliniche cartacee e la rete informatica è rimasta ferma per oltre una settimana.

Alla fine, dopo dieci giorni di paralisi, i dirigenti dell’ospedale si sono arresi e hanno pagato il riscatto ai criminali che gestivano il ransomware: 40 bitcoin, che al cambio attuale sono circa 17.000 dollari. Il presidente e CEO dell’ospedale ha detto che “il modo più rapido ed efficiente per ripristinare i nostri sistemi e le nostre funzioni amministrative era pagare il riscatto e ottenere la chiave di decifrazione”. È andata tutto sommato bene, visto che la richiesta iniziale di riscatto era di circa 3,6 milioni di dollari [2016/02/19 23:25: questo importo è stato smentito in un comunicato dell’ospedale].

L’attacco con ransomware a un’azienda o a un’istituzione sembra essere la moda del momento fra i criminali, probabilmente perché è più remunerativo rispetto all’attacco a privati: un altro esempio arriva sempre dagli Stati Uniti, in questo caso da Conway, nel South Carolina, dove la rete informatica scolastica delle Horry County Schools è stata colpita con la stessa tecnica che ha messo in ginocchio l’ospedale californiano: buona parte dei dati cifrati dagli aggressori è stata recuperata dai backup, ma resta una ventina di server che ancora contengono file presi in ostaggio, per cui gli amministatori hanno stanziato 8500 dollari per pagare la richiesta di riscatto. I responsabili della rete scolastica hanno detto che sono disposti a pagare perché si tratta di una cifra modesta rispetto alle ore-uomo già sprecate nel tentativo (vano) di risolvere il problema.


Fonti: Ars Technica, Wbtw.com, Los Angeles Times, Ars Technica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (47)
C'è un punto che non mi è chiaro.
Se ho dei files in dropbox, il virus colpisce anche quelli? E, in caso di risposta affermativa, dal momento che dropbox ha la funzione per ripristinare le precedenti versioni dei files, non potrei usarla per recuperare i files precedenti all'attacco?
Da un punto di vista sociologico è interessante notare come il senso comune (e molte autorità di tutto il mondo) sono d'accordo sul fatto che in caso di rapimento o ostaggi con richieste di riscatto sia sbagliato pagare perché questo non fa altro che incrementare il fenomeno.
Quando si tratta di ramsonware invece, ho parlato con diversi addetti ai lavori e persone comuni e la maggior parte dice che tanto vale pagare subito e stare più attenti.
Eppure nel primo caso spesso ci sono in ballo vite umane, nel secondo una manciata di bit...
Roby10,

considerazione molto sensata. Credo che la differenza fra rapimento di persone e "rapimento" di dati stia nel fatto che le precauzioni per impedire il rapimento di persone sono onerosissime anche per persone molto facoltose (come dimostra tristemente la cronaca italiana dei decenni scorsi), mentre quelle per impedire il ransomware sono relativamente semplici e a buon mercato per chiunque. Per cui il rapimento di dati si può stroncare aumentando le difese, il rapimento di persone no.

Questo rende il pagamento del riscatto in caso di rapimento di dati più "accettabile" socialmente: se mi si persona la schiettezza, se un ransomware supera le tue difese (antivirus, aggiornamenti e buon senso nel non aprire allegati strani) e ti cripta i dati di lavoro e oltretutto ti fai cogliere senza un backup, sei fesso (e se sei un responsabile informatico aziendale, sei un incompetente da licenziare); se ti rapiscono un figlio puntandoti un mitra alla testa non ci puoi fare niente.
Arcturus,

sì, se hai un Dropbox che salva le versioni precedenti dei file puoi fare la regressione. Ti costerà un po' di tempo, ma è fattibile. Il guaio è che in un'azienda è facile che il numero di file da ripristinare sia elevatissimo, per cui il costo delle ore/persona di ripristino sia superiore al costo del riscatto.

Una struttura ospedaliera colpita da ransomware di recente dalle mie parti aveva i backup al giorno precedente e li ha usati per ripristinare: ma è andato perso tutto il lavoro di aggiornamento fatto dai dipendenti. Quel lavoro perso ha un costo, al quale devi aggiungere il costo della reimmissione, che oltretutto va fatta con il triplo di attenzione rispetto all'aggiornamento. Quindi è comprensibile che spesso sia più conveniente pagare per farsi dare la chiave di decriptazione.

In un paio delle aziende dove ho lavorato il backup era gestito in maniera quasi ossessiva: fatto integralmente due volte al giorno, nella pausa pranzo e la sera. Al massimo si sarebbe persa mezza giornata di lavoro, di cui esisteva comunque un log cartaceo. Ma all'epoca il problema non era il ransomware, visto che i mainframe erano fisicamente isolati dal mondo esterno (niente accesso a Internet): era il rischio di una rottura di un nastro di backup :-)
Una ulteriore considerazione: fino a che punto è possibile non considerare dolo la mancanza di precauzioni da parte di questi amministratori di sistema? Il 99.999% di questi attacchi è non mirato, e il successo dipende interamente da un fattore umano (qualcuno che avvia un allegato ricevuto via email o simili).

Come mai allegati contenenti eseguibili non sono stati bloccati? Come mai l'utente aveva la possibilità di eseguire programmi scaricati da fonti non fidate? Come mai l'utente aveva permessi di scrittura il posti dove non aveva bisogno di scrivere? ecc.ecc.

(Questo non è un discorso nuovo; se un virus metteva KO un ente del genere, ci si faceva spallucce contro "l'hacker cattivo" e ci si limitava in silenzio a reinstallare tutto. Ora la tipologia di virus è cambiata -- da invisible (per creare botnet) o paralizzante (reboot continui, etc.) a perdita secca dei dati e richiesta di riscatto. Questo ha reso il fenomeno più "visibile". Ma non è cambiata di molto la tipologia di infezione e la scarsa cultura informatica, per non parlare appunto della colpa/dolo degli amministratori di sistema.)

Sarebbe impensabile suggerire che siano gli amministratori a pagare il riscatto di tasca loro?
Peppe,
chi manda queste email è diventato bravissimo a bypassare qualsiasi sistema di difesa.
Sai come fanno? Semplicemente in allegato il virus eseguibile non c'è.
Ti mandano un .doc pulito con una macro che solo dopo scarica l'eseguibile.
Purtroppo l'unica arma di difesa è e resta sempre il buon senso.
Nel l'email di allerta virus che mando ogni mese a tutti gli utenti della mia rete scrivo testuali parole: Usate il buon senso. Se lavorate in progettazione difficilmente vi arriverà un email senza testo con allegata un "invoice".
Ma bisogna sempre ricordare la regola di Murphy "per quanto si cerchi di evitarlo, uno stupido troverà sempre il modo di aggirare le difese".
Quindi mi aspetto a breve qualcuno che pensi "hei il mio amico delle elementari che non vedo da 50 anni mi ha inviato un biglietto di auguri per Pasqua. Apriamolo!"
E cosi vai di backup ogni due ore poi uno alle 17 offline.
Il sistemista sembra sempre che non abbia un cavolo da fare e stia bello rilassato.
Se solo si capisse che sta rilassato perché ha lavorato bene a priori questo sarebbe un mondo migliore :).
Esistono polizze assicurative per questi casi di attacchi informatici, non credo per il riscatto ma per i costi di ripristino e i danni da interruzione dell'attivita' e altre cose ancora, note agli addetti ai lavori come cyber insurance
peppe:
fino a che punto è possibile non considerare dolo la mancanza di precauzioni da parte di questi amministratori di sistema
(...)
Sarebbe impensabile suggerire che siano gli amministratori a pagare il riscatto di tasca loro?

La risposta sul dolo è semplice "no": per definizione, perché ci sia dolo da parte dell'amministratore di sistema, occorre la sua predisposizione psicologica a compiere volutamente il fatto dannoso. Ma qua non mi pare che sia così. Non siamo neanche nell'ipotesi meno grave, il "dolo eventuale" (l'amministratore rende volutamente e deliberatamente vulnerabile il sistema, sperando nell'eventualità che prima o poi un virus letale lo attacchi). Se poi però si dimostrasse in giudizio che questa era l'intenzione dell'amministratore di sistema, allora sarebbe condannato per dolo e pagherebbe tutto lui e solo lui (in caso di dolo non risponde per nulla l'ente di appartenenza). Ma ripeto, non mi pare questo il caso.

Rientriamo in un'altra ipotesi giuridicamente ben configurata (e così rispondo alla tua ultima domanda), che è la "colpa grave", cioè mancanza di volontà di compiere il danno, ma "profonda imprudenza, estrema superficialità o inescusabili negligenza e disattenzione" (per usare le parole dei giudici).
In casi come questo descritto nell'articolo, la situazione è giuridicamente molto ben configurata, direi che c'è poco da fare ipotesi su ciò che potrebbe accadere.
Esiste un giudice apposito, che è la Corte dei Conti, a cui gli enti pubblici possono fare causa per chiedere il risarcimento dei danni che i loro stessi dipendenti gli hanno causato.
Quindi il discorso non è "paga il riscatto il sistemista" (troppo semplicistico: non scendo qui nei dettagli ma il funzionamento del sistema pubblico ha bisogno di un sistema più complesso di pesi e contrappesi).
Il discorso giuridicamente ben configurato, senza ambiguità normative di nessun tipo è: "paga il riscatto l'ente" (anche data l'urgenza: non puoi chiedere a nessuno di sborsare una somma senza una legge che espressamente lo preveda o senza passare per un giudice, altrimenti saremmo nel far west), poi l'ente chiama in causa l'amministratore di sistema presso la Corte dei Conti e attraverso questo giudice gli dice (semplifico): "restituiscimi quello che ho dovuto pagare a causa tua". Se in tale processo si dimostra che davvero c'era la colpa grave dell'amministratore di sistema, questo deve pagare e basta (pagare all'ente, per rifondergli ciò che ha pagato come riscatto).
Ho semplificato un po': per esempio, è possibile che il giudice della Corte dei Conti preveda che il "quantum" che l'amministratore di sistema deve pagare all''Ente sia un po' inferiore a quanto l'Ente abbia dovuto sborsare, se nel giudizio dovessero emergere elementi che in qualche modo ne attenuano la colpa, ma questi sono dettagli che trovate in qualunque testo che spiega questa materia.
Tutto il mio discorso è ovviamente basato sulle leggi italiane, nel caso in cui l'evento si verifichi in Italia, e presupponendo che l'amministratore di sistema sia un dipendente dell'ente pubblico, come di regola avviene; se fosse un privato, con un contratto da "esterno", le cose cambierebbero, ma non moltissimo (p.es. anziché alla corte dei conti ci si rivolgerebbe al giudice ordinario, con alcune piccole differenze che non sto ora qui ad elencare).
Infine: se l'ente non paga il riscatto ma decide di ripristinare il sistema in altri modi, ovviamente anche in questo caso le spese possono essere addebitate all'amministratore di sistema con un analogo giudizio presso la Corte dei Conti.
Eppure basterebbe fare una martellante campagna mediatica per convincere tutto il mondo del fatto che questi criminali non stiano ai patti, e cioè che dopo il pagamento del riscatto essi non forniscano la password per sbloccare i dati. Se non pagasse più nessuno, i criminali non avrebbero più tutto questo interesse a diffondere ransomware.

Al contrario, se si scoprisse che in genere la gente paga, il mondo sarebbe ben presto infestato da ransomware provenienti da un numero sempre maggiore di cyber criminali.
Unknown,

basterebbe fare una martellante campagna mediatica per convincere tutto il mondo del fatto che questi criminali non stiano ai patti

Nella mia esperienza con varie vittime, i criminali sono stati ai patti.

E comunque ci sarebbe sempre qualcuno che non si farebbe convincere e tenterebbe la trattativa, preso dalla disperazione per la perdita di dati indispensabili. Se l'alternativa è chiudere l'azienda, pagare viene spontaneo.
Aggiungo al mio commento precedente dopo aver letto VDVman (Commento #6 )
Ovviamente, nell'ipotesi descritta da VDVman si ribalta la situazione: diventa molto semplice dimostrare in giudizio, davanti alla Corte dei Conti, che la colpa grave non sussiste.
E molto probabilmente in questo caso, se i dirigenti dell'Ente sono sufficientemente avveduti, neanche intentano la causa contro il loro dipendente.
Paolo e Arcturus,

dovresti avere un dropbox con backup perchè file originale non viene cifrato, ma ne viene creato uno nuovo che è la copia cifrata dell'originale. Quindi dal punto di vista del versioning non esiste un file precedente a quello cifrato.
[Sono lo stesso Unknown di prima, lo so, dovrei iscrivermi]

Non fa nulla che i criminali stiano effettivamente ai patti o scendano alle trattative, sto dicendo un'altra cosa. Se si diffondesse la falsa voce secondo cui i criminali non stiano ai patti la gente non pagherebbe più a priori, rendendo presto inutile la tanto temuta pratica ransomware.
Secondo me bisogna fare leva su questo, creare bufale e false testimonianze di utenti che hanno pagato migliaia di euro e non hanno ricevuto nulla in cambio. Bisognerà pure fare qualcosa per debellare questa continua minaccia. Subiamo bufale ogni giorno, sappiamole sfruttare noi qualcuna a fin di bene.
Unknown,

e si diffondesse la falsa voce secondo cui i criminali non stiano ai patti la gente non pagherebbe più a priori, rendendo presto inutile la tanto temuta pratica ransomware.

Una campagna basata sulla bugia non mi sembra una buona idea. Soprattutto perché la bugia sarebbe facilissima da smascherare. Non solo è immorale; è impraticabile.

Debellare il ransomware non è difficile: basta non fare i cretini ed essere diligenti con backup, con gli aggiornamenti software, usare un visualizzatore di allegati sicuro e non aprire allegati a casaccio.

A questo punto datosi che si è tirato in ballo anche un'eventualità responsabilità civile vorrei aggiungere, in particolar modo ai miei cari colleghi sistemisti informatici, cercate sempre di "pararvi la palla" come si dice qui dalle mie parti. Ovvero fare sempre in modo che l'ultima parola sia la vostra. I Log in modalità debug la fanno da padrona su questo. Si deve sempre poter dimostrare che si è prevenuto il possibile. In uni scenario dove il disastro è totale e irrecuperabile la legge è dalla nostra, ma il capo sarà ben felice di accogliere le immediate dimissioni. Io ho dovuto firmare all'epoca una nomina di custode dei backup e responsabilità sulla privacy.
Giubbe:
"dovresti avere un dropbox con backup perchè file originale non viene cifrato, ma ne viene creato uno nuovo che è la copia cifrata dell'originale. "
Tu parli di "un dropbox" generico, ma in "dropbox.com" (cioé il servizio commerciale con questo specifico nome) è possibile sia ripristinare le precedenti versioni dei files modificati, sia recuperare files cancellati. Quindi anche se il virus genera un nuovo files e cancella il precedente, posso comunque recuperare il file "buono", o no?
Il trusted computing e la tecnologia insider dovrebbero
risolvere il problema, ma evidentemente qualcosa non funziona.
comunque i 17k$ li dovrebbe pagare l' amministratore del sistema.
Le ultime versioni di Cryptolocker non hanno un payload malefico, quindi l'antivirus sulla mail non fa nulla, c'e` un link ad un sito malevolo che ti infetta. Anche usare una Goroup Policy che blocca l'esecuzione di file .exe da posti "strani" e` pericolosa, perche` potrebbe non farti installare/usare software perfettamente legittimo.
Euro Fascysm
comunque i 17k$ li dovrebbe pagare l' amministratore del sistema.

Per tutti quelli che la pensano così. Rileggete le mie precedenti spiegazioni. La giustizia non si risolve in modo così semplice: siamo in un paese civile, dove esistono norme, garanzie, giudici e tutele. La somma la rifonde l'amministratore del sistema all'ente se si dimostra in giudizio che c'era davvero una sua colpa grave.
Il diritto ha le sue regole, chi non le conosce e trae sentenze ha la stessa visione semplicistica chi dice che il sole gira intorno alla terra senza essere uno scienziato, perché vede che è così.
Lasciamo il diritto ai giuristi, per piacere.
Altrimenti, senza regole, processi e tutele, non saremmo in un ordinamento giuridico del 2016 ma in una tribù del neolitico.
(questo vale per tutti quelli che sono portati a trarre conclusioni sommarie senza conoscere le norme in materia).
VDVMan:
vorrei aggiungere, in particolar modo ai miei cari colleghi sistemisti informatici, cercate sempre di "pararvi la palla" come si dice qui dalle mie parti. .
Questo è giusto. In termini più giuridici si direbbe semplicemente "cautelarsi", ma il concetto è assolutamente lo stesso. Vale per chiunque lavori in (o per) una pubblica amministrazione in settori a forte rischio-danno come lo è la gestione di un sistema informatico... il tuo lavoro se ho ben capito.
Euro Fascysm
Sembri uno di quelli che all'epoca leggevano "Pc professionale" e si riempivano la bocca di paroloni che neanche conoscevano nella pratica.
Se fossi nel settore sapresti che le grandi aziende sfoggiano tutt'oggi dei bellissimi 486 (spesso vicino le macchine a controllo numerico) nel loro parco macchine e che a tutt'oggi è una battaglia a far entrare nel cervello dell'utente medio che gli devo aggiornare quel benedetto Windows XP.
Mi sembra che qui siamo un po' tutti amministratori di sistema come siamo tutti allenatori della squadra di calcio. Posso assicurare che prendere un ransomware è molto più facile di quanto crediate. Conosco una persona che l'ha preso pur essendo estremamente scrupolosa nella gestione delle mail e del pc: una catena di sfighe e si è ritrovata i file criptati. Grazie al backup e a una mia giornata di lavoro per reinstallare tutto ne è venuta fuori senza danni.

La gente lavora con le email, non si scambia solo foto porno. Certi tipi di lavori richiedono allegati doc, pdf, exe, bat e chi ne ha più ne metta. Limitare troppo gli accessi e le possibilità di scambio di dati ha un costo in termini di tempo ed efficienza, e ne so qualcosa perché lavoro in una banca dove è più facile spedire piccioni viaggiatori che mail (nonostante questo non credo che siano immuni dal ransonmware, visto che le mail in entrata arrivano). Gli accessi degli utenti ai dati sono un compromesso fra facilità d'uso dei dati e rischio di perderli o alterarli per errore o frode. Se l'admin non è un deficiente totale nessun giudice lo condannerà per la presenza di un virus nei suoi sistemi.

Per quanto riguarda il ripristino dei dati: il backup non basta. Se sono saltati tutti i file di un ospedale, ripristinarli potrebbe essere questione di giorni, anche con tutti i backup in regola.

Comunque, personalmente, non pagherei. È vero che è più facile e meno costoso pagare, ma pagare significa alimentare questa pratica. Penso sia più etico "sacrificarsi" che incentivare i cattivi.

Concludo dicendo che questo tipo di attacco sicuramente genererà nuove politiche di cura dei dati e nuove tipologie di backup. Staremo a vedere. (Ottima l'idea di una assicurazione.)
ilcomizietto
@VDVMan:


Sai come fanno? Semplicemente in allegato il virus eseguibile non c'è.
Ti mandano un .doc pulito con una macro che solo dopo scarica l'eseguibile.
Purtroppo l'unica arma di difesa è e resta sempre il buon senso.


I virus che si diffondono per macro non sono nati ieri. L'attivazione di questi virus è manuale, e siccome non puoi pretendere che ogni dipendente che usi un computer sia tecnologicamente avanzato, l'amministratore deve impedire queste situazioni!

Come mai il mail server non ha filtrato via un allegato contenente un documento (con una macro, per giunta)?

Come mai l'utente non ha Word (o chi per esso) configurato per non eseguire macro?

Come mai l'utente poteva eseguire programmi arbitrari (seppur scaricati via macro) e non solo ed esclusivamente quelli predisposti dall'amministratore?

Come mai non c'era un backup aggiornato?

Come si è diffuso il virus esattamente attraverso la rete locale? Come mai non c'era nessuna protezione?

Il problema è che viviamo in un mondo sempre più dipendente dall'informatica general purpose, ma la cultura informatica di base è ancora totalmente assente. Questi episodi vengono etichettati come il frutto di una cospirazione diabolica da parte di ladri più astuti di Arsenio Lupin. Ma non è così! Ci si può difendere dal 99.999% di questi attacchi semplicemente con la prevenzione, visto che non sono mirati.

E personalmente ritengo che nel 2016 non ci possono essere scuse che tengano per questi episodi. Non posso accettare che per cose del genere siano tutti innocenti. Qualcuno è stato pigro e lasco nella configurazione. Qualcuno non ha aggiornato sistemi che andavano aggiornati (*). Qualcuno ha tagliato il budget al reparto informatico, lasciandolo senza abbastanza risorse per gestire una rete grande e complicata (**).

Cosa si fa, si paga e basta, fino al prossimo disastro naturalmente?



(*) Sarà divertente nei prossimi anni vedere cosa succede con l'IoT e con sistemi per definizione non-aggiornabili se non quando il produttore si sveglia. Un assaggio lo stiamo vivendo già con Android.

"Come sarebbe che le smart-lampadine in ospedale non si accendono più perché sono state colpite da un virus?"

"Beh, usano una libreria con una falla nota dal 2015, ma il produttore non le ha mai aggiornate. Avremmo dovuto buttarle via e comprare il modello successivo, ma funzionavano ancora perfettamente per cui non volevamo buttarle, e il modello successivo ci costava $CIFRONE!"

(**) Non è assolutamente detto che gli amministratori di sistema siano colpevoli di alcunché, anzi -- magari il management ha deciso che un amministratore per un ente di 300 dipendenti basta e avanza. Tanto stanno tutto il giorno su internet a vedere video di gattini.


@Daniele: grazie per la spiegazione tecnica legale. A tuo avviso quindi non si configurerebbe colpa grave da parte degli amministratori di sistema o dei dirigenti?

Cambiare il mindset su chi è davvero colpevole è a mio avviso fondamentale. Se un utente accidentalmente attiva un ransomware, magari non lo va nemmeno a dire all'amministrazione perché teme che potrà essere licenziato e/o subire pesanti ripercussioni. E magari diamo pure tutto il tempo al virus di diffondersi per tutta la rete locale.

(Per analogia: se un dipendente sfascia l'auto di lavoro perché finisce in un buco su una strada pubblica, tutti sanno che è colpa del comune, perché è sua responsabilità mantenere le strade. Certo, l'autista poteva magari evitare il buco, con un po' più di attenzione e buonsenso... Ma il buco non ci dovrebbe mai dovuto essere!)
E per favore, smettetela di suggerire di "usare Dropbox".

Non voglio le mie cartelle cliniche su Dropbox! Voglio che l'amministratore dell'ospedale implementi una politica di backup decente!
Arcturus,
"Quindi anche se il virus genera un nuovo files e cancella il precedente, posso comunque recuperare il file "buono", o no? "
Se hai attivato il backup di dropbox allora credo che tu possa recuperare il file, non ho la certezza perchè non ho mai avuto occasione di provarlo.
@Lanf
Errato! Invece è MOLTO utile usare un software che configura le policy di Windows al fine di non eseguire programmi che vengono per esempio estratti dai zip (quindi in temp\winzp...) o che comunque sono in posti SBAGLIATI, ovvero dove i programmi NON devono stare.
Se uno avesse bisogno di farli eseguire, può sempre TEMPORANEAMENTE disabilitare la cosa (un po' come gli antivirus) ma a quel punto, credo che anche un utonto si renderebbe conto che per vedere una fattura NON dovrebbe dover disabilitare una protezione di sistema :-)
Per finire: se un software legittimo ha bisogno di farsi eseguire in posti strani, forse non è scritto bene, e quindi è comunque meglio non utilizzarlo.
Ho provato cryptoprevent e sembra fare un lavavoro egregio con le policy di Windows, senza interferire con alcun software da me posseduto (e sono tanti!!!!)
Allora, aiutatemi a capire:

il mio lavoro prevede (anzi, si basa proprio su quello) che io riceva allegati un po' da tutto il mondo, allegati che debbo ovviamente aprire. In un buon numero di casi, l'indirizzo di partenza non mi dice nulla in anticipo, e a volte anche il titolo dell'allegato non sembra avere alcun riferimento diretto con ciò di cui mi sto occupando. E capita anche che i messaggi arrivino senza alcun testo di accompagnamento, o con cose tipo "as requested", "best regards", "you may find this useful", ecc.

Mi è ben chiaro che questo mi rende molto vulnerabile non solo a ransomware ma più in generale ad attacchi di ogni tipo. Ho naturalmente un buon antivirus e un programma antiransomware, ma non me ne fido più che tanto - anche perché mi è capitato di dover correre deliberatamente il rischio di andare a recuperare dei files che i miei filtri aveva messo in quarantena o nella casella spam, perchè sospettavo che fossero invece "legit" - come infatti erano. E altrettanto naturalmente, non mi sognerei mai di aprire degli allegati .exe, ma questa discussione ha confermato che questa precauzione è facilmente aggirabile.

Di conseguenza, seguo una politica di backup che si potrebbe tranquillamente definire maniacale. Tutti i dati di archivio sono duplicati su una memoria esterna scollegata in permanenze, e per quanto riguarda i files in elaborazione, faccio copie di backup più e più volte al giorno (anzi, in pratica ogni volta che eseguo un qualche aggiornamento che non mi va di perdere), su due supporti esterni diversi che rimangono collegati al PC solo per il tempo strettamente necessario ad affettuare il trasferimento.

Questo mi fa sentire ragionevolmente sicuro, ma chiaramente mi fa perdere un sacco di tempo e "spezzetta" continuamente il ritmo di lavoro.

C'é invece qualche altra procedura alternativa che potrei seguire? O devo solo continuare così per elementare prudenza?
Dimeticavo una cosa (mi scuso per il post doppio): se dovessi prendermi un ransomware, e posto che non pagherei se le mie copie sono a posto, qual'è la procedura da seguire? Basta cancellare tutti i dati cifrati i memoria e sostuirli, o è meglio riconfigurare tutto il PC?
@raf tipo Cryptoprevent: https://www.foolishit.com/cryptoprevent-malware-prevention/
ebonsi, ti suggerirei di aprire le email in un sistema operativo alternativo come Linux. Magari in macchina virtuale, così non devi riavviare ogni volta.
ebonsi
A parte che sarei curioso di sapere che lavoro fai che ti arrivano email strane anche legittime.
Tralasciando la mia curiosità hai due strade:
1 apri di tutto e di più basta che non esegua codice. Niente macro, niente exe, bar,src, jsp.
2 crea una macchina virtuale dove ricevi solo la posta. Ne fai una copia dopo che hai configurato tutto e la metti da parte. Quando la prima di spappa ripeschi la copia, ne fai una altra copia e riparti da capo. Assicurati di avere una casella di posta imap così da avere subito la situazione da cui avevo interrotto.
Bei tempi in cui il lavoro più difficile era fare i tocchi di legna tutti della misura del camino.

Ebonsi, ma che lavoro fai?
Se non si può dire non me la prendo, eh :-)
ma il backup seriamente, non usa piu'???
A domanda risponde (visto che non è certo un segreto):

faccio il giornalista, e raccolgo/elaboro dati sull forze armate di tutti i paesi del mondo (struttura, organizzazione, acquisti, programmi, livelli di forza ecc. ecc.). Parte di queste informazioni mi vengono da fonti ufficiali (che però non sempre sono identificabili come tali dal solo indirizzo email se non conosciuto in precedenza), parte da corrispondenti regolari che conosco, ma parte da, diciamo così, vie traverse.
@ebonsi
Di conseguenza, seguo una politica di backup che si potrebbe tranquillamente definire maniacale. Tutti i dati di archivio sono duplicati su una memoria esterna scollegata in permanenze, e per quanto riguarda i files in elaborazione, faccio copie di backup più e più volte al giorno (anzi, in pratica ogni volta che eseguo un qualche aggiornamento che non mi va di perdere), su due supporti esterni diversi che rimangono collegati al PC solo per il tempo strettamente necessario ad affettuare il trasferimento.

Secondo me sei ragionevolmente al sicuro.

Se fai due backup diversi su due dispositivi diversi e mai collegati simultaneamente al pc, al piu ti perdi i dati del pc e un solo backup.

Sai, Murphy è sempre in agguato o forse questi software sono programmati per agire quando il pc (o meglio, il suo utilizzatore) è in pausa.

A un nostro vicino di capannone è successo proprio questo: l'impiegato ha inserito l'hard disk esterno per il backup e se n'è andato a pranzo.
Al suo ritorno il pc aveva sullo schermo il "simpatico" messaggino e tutti i dati, backup incluso, sono andati persi.

Non so che faranno, ma, come ho già detto (fonte il nostro avvocato) non si dovrebbe pagare anche perché si viola l'art. 648bis del codice penale e non ci sono nemmeno le condizioni di necessità (ad esempio pericolo di vita) che non lo farebbero scattare. Può anche darsi che l'avvocato si sbagli (o che i magistrati evitino di aggiungere "beffa al danno") ma, nel dubbio, prima di pagare, sarebbe meglio consultarsi con un professionista.
Per esperienza personale, questi ransomware si annidano dappertutto. Una persona, a cui ho ripristinato il sistema dopo Teslacrypt, usa Windows 10 con accesso ad account outlook (!). Appena formattato e installato il SO ex-novo, con installazione pulita, la prima cosa che ho fatto è stata mettere l'antivirus e già il PC risultava infetto. Mi aspetto cose simili anche su dropbox e similari. Solo evitando di collegarsi tramite outlook sono riuscito a rendere il PC pulito. E qui ci sarebbe da parlare di questa insulsa mania, a cui talcolta è difficile sottrarsi, di dover sincronizzare sul cloud qulasiasi cosa per dare a Microsoft e Google tutti i dati; personalmente non la sopporto, ma talvolta per poter usufruire di alcuni servizi, pare non ci sia altro modo.
Mi permetto di dire una cosa a chi giudica il comportamento delle aziende che pagano i riscatti: è facile parlare con i soldi degli altri. Fare i paladini del diritto dicendo: "Io non pago perchè altrimenti poi alimento il fenomeno ransomware" è opinabile, perché le aziende sono enti che si basano su parametri economici e devono produrre utili. Se per recuperare i dati di cui ho estremo bisogno devo pagare 10000$ (ipotesi) mentre recuperarli faticosamente a mano, senza aver la possibilità di riuscirci completamente magari, costa 60000$, economicamente cosa si fa? L'ospedale cosa dovrebbe fare per recuperare le cartelle? Aspettare settimane?
Ultima cosa: siete tutti informatici provetti qui dentro e mi fa piacere, però in giro c'è molta gente che ha bisogno di usare un PC, ma non è esperta e non ha un esperto che la segue. Non gliene faccio una colpa. Io uso un sacco di cose senza sapere come funzionano, e neanche mi interessa saperlo. Non tutti sono degli ottusi nemici del sistemista. Molti non hanno formazione informatica o non ci sono portati ma devono usare email. Dire che se non sai usare un PC è meglio se non lo usi è un po' come dire che se non sai guidare devi stare a casa. E tutti potrebbero dire che chi deve stare a casa siete proprio voi...:-)
@Guastulfo
c'e' un motivo per cui UN backup da solo non basta... bisogna averne piu' copie... cosi' se per qualche ragione una va a donnine di facili costumi c'e' la precedente... Oltretutto che il backup non basta farlo, bisogna anche provarlo ogni tanto (cit.)
Se fai due backup diversi su due dispositivi diversi e mai collegati simultaneamente al pc, al piu ti perdi i dati del pc e un solo backup.


Io ne faccio tre.
E, aggiungo, vanno tenute in luoghi differenti e possibilmente distanti.
Ero al secondo anno quando bruciò un laboratorio all'università. Mi ricordo alcuni professori seduti sulle scale con la testa tra le mani perché avevano là dentro venti anni di lavoro; i dati potevano essere anche in quadruplice copia, ma se le copie erano tutte nello stesso edificio...
@martinobri
Io ne faccio tre.
E, aggiungo, vanno tenute in luoghi differenti e possibilmente distanti.


Ho dato per scontato che ebonsi, da bravo maniaco (si scherza eh? :-) ), avesse i backup custoditi in posti diversi.

Ovvio che più sono i backup meglio è.

@Guido Pisano
c'e' un motivo per cui UN backup da solo non basta... bisogna averne piu' copie... cosi' se per qualche ragione una va a donnine di facili costumi c'e' la precedente... Oltretutto che il backup non basta farlo, bisogna anche provarlo ogni tanto (cit.)

Infatti. E io che ho detto? :-)

Io ho due dischi esterni per i backup. Entrambi sono incrementali e sono la copia immagine del disco fisso. In questo modo prendo due piccioni con una fava: ho un backup e un "disaster recovery" (si chiama così la possibilità di ripristinare un pc in pochi minuti in seguito a un guasto dell'hard disk?) assieme.

Il problema è che i dati non sono miei, sono solo un dipendente; per questo motivo non posso portare via nessuno dei due dischi. L'unica cosa che posso fare è quella di metterli in due posti diversi nella speranza che, se arrivano i ladri o c'è un incendio, almeno uno dei dischi si salvi.

C'è da dire che se arrivassero i ladri, il mio pc sarebbe abbondantemente l'ultima cosa da rubare e, in caso di incendio, non credo che avere i dati salvi sarebbe di qualche consolazione :-D
Purtroppo vedo che spesso si affronta il problema del backup dei dati
allo stesso modo di come si affronta il cancro utilizzando la Medicina Biologica Emozionale.
Già me la vedo, con "l'internet delle cose"... frigoriferi che si rifiuteranno di aprirsi... microonde che impazziranno... orologi che andranno all'indietro... televisori che si fermeranno su Rai1... l'unico limite sarà la fantasia!
Alla fine del discorso... chi non ce l'ha si faccia un sistemista in azienda e state rilassati. Uno bravo non vi farà accorgere mai di nulla lavorando nelle retrovie per la vostra sicurezza :).
Gustalfo
Se hai più sedi puoi sfruttare il backup invertito. In una sede il backup di uno ed in un altra il backup dell'altra.
E poi a volte i sistemisti sono distratti e capita di portarsi un backup antincendio/antifurto appresso.
@Guastulfo
Infatti. E io che ho detto? :-)
era per ribadire il concetto :)
poi ha ragione martinobri quando dice che possibilmente devono essere geograficamente distanti, e se nessuno l'ha detto ci aggiungo anche "su supporti differenti"
se nessuno l'ha detto ci aggiungo anche "su supporti differenti"

Questo mi incuriosisce. Perchè lo suggerisci?
L'unica che mi viene in mente è che in futuro nessuno supporterà più il formato, poniamo, dei CD, e se i dati sono su quelli sei fregato. Ma per cose come queste c'è abbondante preavviso per trasferire i dati.
O intendevi qualcosa d'altro?
@VDVman
E poi a volte i sistemisti sono distratti e capita di portarsi un backup antincendio/antifurto appresso.

Sia cos'è grave? Io NON sono un sistemista. Nonostante non sarebbe un grosso aggravio (basterebbe dividere la spesa tra le aziende consorziate), i miei capi preferiscono chiamare un tecnico esterno quando ci sono problemi più seri.
Per le altre cose, siccome so persino spegnere un pc dopo averlo acceso, usano me, ripagandomi con un "mille grazie" ogni tanto.

Fossero almeno cambiabili in bitcoin 'sti "mille grazie"! Mannaggia! :-D
Probabilmente, salvare su supporti diversi, consente di evitare il rischio di default dell'hardware per il ripristino.

Saluti