Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Cronaca di un attacco di ransomware: in chat con i criminali

Primo giorno di paralisi dell'azienda. Giovanni, il sistemista, si è procurato un po' di bitcoin e inizia a negoziare con i criminali. A loro risulta che i computer infettati siano cinque, ciascuno con una chiave separata, ma Giovanni ha poco meno di 2 bitcoin e quindi i criminali sono disposti a dargli solo due chiavi di decrittazione. Si offrono di fare uno sconto: se l'azienda paga 4 bitcoin, daranno tutte le chiavi e anche l'immunità da futuri attacchi. Il sistemista comincia a pagare per due chiavi. Invia i bitcoin e aspetta, sperando che arrivino le chiavi.

Passano vari minuti di angoscia senza risposta. E se i criminali si tengono i soldi senza fornire le chiavi? Sarebbe un danno aggiuntivo a un'azienda che sta già perdendo soldi perché è ferma, oltre a essere una beffa amara. Ma alla fine arriva, sempre via chat, un link a una pagina di Pastebin.com che contiene le chiavi per decrittare.

Giovanni prova le chiavi su un file: funzionano. Il file viene decrittato e recuperato.

Sembra che tutto si sia risolto, ma dopo quattro ore di decrittazione Giovanni deve ricontattare (sempre in chat) i criminali: alcuni file non sono recuperabili. I criminali spiegano il motivo: sono stati cifrati più volte perché erano accessibili tramite più di una condivisione di rete. I file in questione sono dati vitali, per cui l'azienda deve pagare ancora. Giovanni tenta una trattativa sul prezzo (gli asterischi indicano dei dati che ho omesso per riservatezza):

@Support: Hello, This means that the file has been encrypted several times. To decrypt the file completely, you need to decrypt it with each IDs.
@Support: Starting at the end
@Support: First 289*******, then 337*******, 326*******, 208*******
@User: but we have the decrypt only for 208******* and 105********
@Support: If you pay for all IDs, therefore, this is not a problem. I wrote you the decoding order. Eventually the file will be fully decrypted.
@Support: Yes. What keys you indicated, such and received. Pay for the rest and you will be able to decrypt the files in reverse order.
@User: for 289*******, 337*******, 326******* need I to pay 2 BTC or there is a little discount?
@User: 2 BTC or a little bit discount?
@Support: To decrypt current the file with the ID 337********, you need to decrypt first with the ID 289*******, etc
@User: I understand....
@User: I just want to know the final price
@Support: I'm ready to make a discount. Total for 3 servers(289*******, 337*******, 326*******): 1.85 BTC
@User: OK, thanks! but will be Tomorrow, is 11:18 pm here now

La giornata del sistemista termina poi oltre mezzanotte, risolvendo insieme ai criminali alcuni problemi tecnici nel funzionamento della decrittazione, ma restano ancora molti dati indispensabili che non sono stati decrittati. Addirittura i criminali si offrono di risolvere il problema proponendo di mandare a loro i file problematici:

@Support: Send me encrypted files. Upload to ge.tt, sendspace.com or mega.nz
[...]
@Support: I passed your problemed file to our programmer. Wait for the result
@User: OK Thanks

Ti invitiamo a leggere la pagina successiva di questo articolo:
Cronaca di un attacco di ransomware: giorno 2