Contattaci
Via Roncala, 212 - 45024 Fiesso Umbertiano RO
info@it4you.it
Fax: 0425.1750165

Pensiamo a una situazione in cui non possiamo accedere ai nostri backup, vuoi perché questi siano assenti o, forse ancora peggio, corrotti, non aggiornati o criptati anch’essi. Esatto. Stiamo analizzando una situazione di ransomware senza backup cui attingere per poter ripristinare la struttura. Cosa fare in questi casi?

Potrei dire niente panico, ma mentirei.

La situazione è critica, ma con alcuni accorgimenti per mia esperienza potete limitare pesantemente i danni e, in rari casi, addirittura risolvere la situazione.

Prima di tutto occorre guardare cosa si può salvare. Le shadow copies sono fondamentali. Può capitare che per un colpo di fortuna non siano state toccate tutte o comunque una buona parte sia ancora accessibile. Ecco, la prima cosa da fare è salvare il salvabile esportandolo in un disco differente rispetto a quello di partenza, perché se andate a esportare nel disco originale rischiate di perdere le shadow presenti. Per recuperare potete, anzi dovete, in primo luogo usare direttamente i tools di explorer di Microsoft, ma se per un malaugurato motivo questi non dovessero funzionare, esiste un tool chiamato “ShadowExplorer 0.9” che viene in soccorso e offre una serie di funzionalità per recuperare i file dalle shadows.

(https://www.shadowexplorer.com)

Un’altra cosa da valutare è la possibilità che il ransomware che vi ha colpito sia già stato risolto e dunque il decryptor sia stato calcolato e rilasciato pubblicamente. Come? Esistono vari progetti online che vengono in soccorso in questi casi, ne pubblico due tra i più diffusi. Con questi potete provare a ripristinare i vostri file, ma attenzione: non potete assolutamente pensare di risolverla così. La vostra struttura è da considerare compromessa ed è necessario adottare un pensiero Zero Trust. La struttura va rifatta e patchata per non ritrovarsi con la stessa vulnerabilità che vi ha portato alla situazione attuale.

(https://noransom.kaspersky.com/)

(https://www.nomoreransom.org/)

Altra soluzione attuabile può essere quella di andare a cercare tra i file cancellati dei vostri backup, ricercando un file .vbk i cui blocchi sono stati si cancellati ma ancora accessibili tramite programmi di recovery disco. Come sapete bene infatti quando un file viene cancellato, i settori di quel file vengono segnati come si cancellati, ma non veramente eliminati dal disco. Se avete uno storage molto ampio a disposizione dei backup ci può essere la possibilità che questa sia la vostra carta da sfilare dal cilindro e salvare la situazione.

(https://www.ccleaner.com/recuva)

Queste sono solamente tre strade possibili per affrontare una situazione di disaster recovery senza backup e quello che sto per dire è ovvio: i backup sono fondamentali e devono essere sempre accessibili e funzionanti.

Marco Fabbri
Marco Fabbri
IT4YOU CYBERSECURITY & SYSADMIN