Recentemente mi è stato chiesto di guardare un computer Windows che si comportava in modo strano e ho trovato una nota di riscatto "I tuoi file sono stati crittografati" che era stata lasciata in diverse directory. Non ero in grado di identificare alcun file crittografato, ad eccezione di una copia della nota di riscatto che era stata crittografata da un ransomware diverso che lasciava un'altra nota.
La richiesta di riscatto era presente in 3 formati: un file di testo semplice, un file HTML e una scorciatoia (file .url ) che puntava alla pagina web di pagamento.
Sono stato in grado di leggere alcuni dei file, ma alcuni di essi (la seconda nota del ransomware e il primo file HTML del ransomware) sono scomparsi immediatamente dopo ogni tentativo di aprirli. Mi è stato quindi comunicato da System Center Endpoint Protection che li aveva identificati e messi in quarantena. Ho dovuto ripristinarli dalla quarantena e disabilitare la scansione in tempo reale per poterli leggere.
Questa mi sembra un'azione drastica. Funzionava come se la lettura della nota causasse ulteriori danni, mentre in realtà è vero il contrario: leggere la nota è l'unico modo in cui avrai mai una probabilità non nulla di decifrare i tuoi file!
Non si trattava semplicemente di considerarli come "generalmente sospetti", in particolare dicevano che erano Ransom:HTML/Tescrypt.A e Ransom:HTML/Crowti.A quindi aveva abbastanza informazioni per prendere una decisione migliore.
D'altra parte, impedire alle vittime di leggere le note di riscatto può essere vista come una dura regola di "non negoziazione". Se le vittime non riescono a stabilire un contatto, l'industria dei criptati sarà meno redditizia, e forse questo fatto scoraggerà gli incidenti futuri, il che sarebbe un beneficio definitivo a lungo termine. Per quanto riguarda la vittima attuale , beh, non c'era alcuna garanzia che il cattivo avrebbe davvero rinunciato alla chiave di decrittazione dopo aver ottenuto i soldi ...
Spara all'ostaggio una politica ufficiale nel settore antivirus?