«Non pensavo fosse un virus…»

Clelia Rovelli, del Foro di Bologna, ha due bellissimi occhi, grandi e azzurri.

Me li sento addosso come lame quando apre la porta blindata e mi fa accomodare, alle sette della sera, nel suo studio legale. Sono gonfi di lacrime, e la frase che sta ripetendo – “non pensavo fosse un virus” – è rotta dal pianto e dai singhiozzi. Il trucco sta inesorabilmente colando: due righe nere le attraversano ormai gli zigomi in verticale.

Stuxnet, il bulldog francese bianco e nero che vive con me e che mi accompagna sempre nei miei interventi tecnici, ha iniziato a leccarle un polpaccio e ha drizzato le orecchie da pipistrello: percepisce tensione, nell’aria.

Da quando non faccio più l’avvocato e ho avviato, insieme a Stuxnet, la mia piccola ditta di “pronto intervento informatico”, ho notato che gli ex colleghi mi considerano in modo diverso. Prima li incrociavo nei corridoi dei tribunali e, regolarmente, m’ignoravano, tranne quando erano a caccia di voti sotto elezioni del Consiglio dell’Ordine. Le voci, però, girano in fretta, nei palazzi di giustizia, e ora sono uno dei tecnici più apprezzati.

«Non credevo fosse un virus. Te lo giuro, Ivan. La e-mail infetta proveniva da mio cognato, pensa te. Mio cognato… E adesso… adesso non posso più accedere a tutti i miei dati! A tutto il mio studio!»

«Lo so, Clelia. E non sei l’unica. Solo oggi ho avuto dieci chiamate. È una vera e propria epidemia. Ma non piangere, adesso. Vediamo cosa si può fare. E non ti crucciare, non è colpa tua. Ormai il danno è fatto. Pensiamo a come limitarne le conseguenze.»

Sto mentendo. È colpa sua eccome, anche se evito di rimarcarlo. Come diavolo le è venuto in mente di aprire l’allegato di un’e-mail apparentemente proveniente da suo cognato che le diceva di avere spedito delle fotografie via Federal Express… La Federal Express! Mai usata in vita sua. Un bel click sull’allegato, e mi ha avviato un virus di ultima generazione che le ha cifrato tutti i documenti del suo portatile per poi domandare, per riaprirli, un riscatto. “Clicca allegato / computer cifrato!”, chioserebbe in un’occasione simile il mio amico hacker cinese aggiustatutto – e poeta amatoriale – che ha il negozio di elettronica in via Paolo Sarpi a Milano.

Prima vediamo di rimediare al guaio, poi magari le parlerò con calma e cercherò di rendere i suoi comportamenti più sicuri.

Il portatile è ordinato. La struttura dei file è ancora visibile, il computer sembra funzionare perfettamente, i documenti sono al posto giusto, suddivisi per cognome di clienti. Peccato che siano cifrati. E noi non abbiamo la chiave per riportarli come erano prima. Stacco immediatamente la connessione a Internet, e disattivo il Wi-Fi

Clelia mi confida che quello è l’unico computer che usa, dal momento che ha un piccolo studio senza segretaria e collaboratori. Male: anche se si lavora da soli, un computer di backup ci vorrebbe sempre. Mai affidare tutto lo studio a una sola macchina. Soprattutto oggi che, con meno di duecento euro, si può comprare un portatile “di scorta” perfetto per il semplice lavoro d’ufficio.

Il virus ha cifrato ogni cosa. Gli atti in formato “.doc” e le fotografie, i file di Cliens e del processo telematico e i PDF delle scansioni dei documenti. Tutto inaccessibile, ora. Il desktop è diventato nero. Sullo sfondo, troneggia un teschio e una scritta minacciosa che ribadisce, se uno non l’avesse capito, che tutti i dati sono stati sequestrati e che bisogna pagare un riscatto per rientrane in possesso. Stuxnet, quando vede il teschio, inizia ad abbaiare allo schermo. Più che abbaiare, grufola. Lo fa sempre.

«Clelia, hai un backup recente dei dati che sia esterno a questo computer?»

Vedo che l’avvocatessa estrae dalla borsa una chiavetta USB rosa a forma di porcellino. Sta per collegarla al computer portatile infetto, ma la blocco in tempo. Alcuni virus cifrano anche i dispositivi collegati, e persino i documenti sul cloud. Un computer infetto va sempre trattato come un malato messo in quarantena: nessun contatto diretto. Avvio una macchina virtuale sul mio computer, che mi permette di operare in un ambiente sicuro e asettico senza fare danni al sistema operativo principale, collego la chiavetta solo dopo che VirtualBox è avviata e verifico le date dei file. L’ultimo backup di Clelia risale a un mese prima.

«Ho scritto tantissimo, in queste ultime settimane. Quattro comparse conclusionali in cause di divorzio, un articolo per una rivista, tre fatture e sei nuove schede clienti. Due comparse vanno depositate entro domattina. Tutto il mio studio è su questo computer. Tutto. E adesso non riesco più ad aprire i miei file. Ho perso tutto. E sono stata io a dare l’OK. Quando mi ha chiesto se poteva modificare le impostazioni di sistema. E io ho detto “sì”. Come una stupida.»

Mentre riprende a piangere, analizzo uno dei file che è stato cifrato: un documento di discrete dimensioni. Mi accorgo che la versione del virus è abbastanza recente: si tratta di un CryptoLocker in circolazione dal mese scorso. Mi collego ai principali siti web di antivirus, soprattutto quelli di Kaspersky, Avaste Intel, leggo un po’ di news e apprendo che ancora non è stato trovato un sistema per decifrare i file colpiti da questa versione. Al momento, in pratica, non c’è nulla da fare. I dati vanno considerati perduti. Il computer è da formattare e rispristinare. Clelia riprende a parlare, ansiosa.

«Cos’è quel conto alla rovescia? Cosa sono quelle scritte sul desktop? Perché tutte le icone ora hanno la forma di un lucchetto col teschio?»

Le spiego che il virus ha fatto partire un conto alla rovescia. Se non sarà pagato un riscatto in bitcoin entro 36 ore, tutti i dati saranno cancellati. Per rasserenarla, cerco di illustrarle quello che faremo di lì a breve.

«La situazione è molto grave. Tutti i documenti sono stati cifrati, e non c’è modo, ora, di decifrarli. Ma il quadro potrebbe mutare presto.»

I virus moderni sono delle brutte bestie da trattare, ma è anche vero che dopo pochi giorni, a volte, si trova in rete un “antidoto”, un decrypter che permette di riaprire e recuperare tutti i documenti senza pagare il riscatto.

«Per prima cosa, facciamo una copia di tutti i file infetti, e li mettiamo da parte. Ci serviranno se e quando l’antidoto sarà disponibile.»

La ragazza mi osserva in silenzio mentre copio tutti i file dal suo computer verso un mio disco esterno. Li copio nella stessa disposizione in cui erano in chiaro. Copio anche intere cartelle di programmi e di posta e le due cartelle con tutti i dati di Cliens.

I virus che domandano un riscatto non sono nuovi, ma hanno avuto un boom in questi ultimi mesi e hanno bloccato le attività di migliaia di studi. Viaggiano allegati a e-mail finte di Equitalia, banche e corrieri, ma ci si può infettare anche collegandosi a siti web particolari. E non è vero che ad avviarli, e a causare disastri, siano solo le segretarie, come vuole una leggenda metropolitana. Anche avvocati e collaboratori sono molto attivi in tal senso.

«Bene, Clelia, i dati cifrati sono stati copiati. In due posti sicuri, diversi. Ora faccio anche una copia del tuo vecchio disco su un hard disk esterno, con questa scatoletta e questi cavi che vedi, e poi dobbiamo cancellare tutti i dati e ripristinare il computer allo stato di fabbrica. Lo dobbiamo ripulire: non si usa mai un computer infetto anche se il virus ha smesso di agire. Ci vorrà un po’ di tempo. Se vuoi, possiamo andare a bere qualcosa e risalire tra un’oretta».

Mi osserva più rilassata mentre avvio la procedura per fare la copia di tutti i dati. Imposto anche una funzione che, al termine dell’operazione, ripristini lo stato di fabbrica del portatile. Mi sono, al contempo, annotato con cura i driver e i programmi da installare di nuovo sul computer. Si alza, e la seguo al bar di sotto. Lasciamo Stuxnet a guardia delle attrezzature. L’ho addestrato a premere con la zampetta sulla barra spaziatrice quando vede la finestra blu che domanda il riavvio e non appena sente il bip. Ormai lo fa senza errori.

Al terzo Cuba Libre, Clelia si è un po’ tranquillizzata. È diventata più simpatica. Non pensa più al virus e alle comparse cifrate ma fa domande su di me, sul mio lavoro, sul cane e sulla sicurezza di WhatsApp. Quando risaliamo in studio, dopo circa un paio d’ore, il suo computer è come nuovo. Stuxnet ci guarda soddisfatto, e abbaia. Ha riavviato tre volte, da solo, a colpi di zampetta. Le installo gli ultimi programmi, le copio i documenti di tre settimane prima e le spiego che almeno le due memorie in scadenza domani le dovrà riscrivere e dovrà cercare di recuperare più dati possibili da altre fonti, ad esempio la posta inviata, o domandare di nuovo ai colleghi di rispedire dei documenti.

«Eh già, Ivan. Mi sa che dovrò passare la notte in studio a scrivere… Sei un ex avvocato, mi dicevano. Perché non mi dai una mano?»

Non capisco se lo sguardo che mi sta lanciando, reso sensuale dall’alcool, e il riferimento alla notte in studio, siano un invito; mentre valuto con cura la risposta da dare, probabilmente con un’espressione ebete, Clelia ha già afferrato i fascicoli delle due cause, ordinato due pizze e aperto il programma di videoscrittura. Ci mettiamo al lavoro.

Quando abbiamo finito le due comparse, e Clelia si è addormentata ormai senza forze sul divanetto, è quasi l’alba. Siamo rimasti svegli cinque ore di fila a lavorare. Grazie, CryptoLocker

Mentre mi appresto a raccogliere le mie cose, una notifica fa vibrare il mio telefono.

Il sito web di Kaspersky, che stavo tenendo sotto controllo, ha appena reso pubblico un antidoto per un virus che è circolato nei giorni scorsi e che sembra molto simile al nostro. Prelevo immediatamente un file cifrato dal backup di Clelia, e lo stesso identico file, ma in chiaro, dalla chiavetta a forma di porcellino, e faccio immediatamente una prova. Funziona. Il file viene decifrato davanti ai miei occhi.

Quando esco dallo studio di Clelia, a Bologna sono le otto passate. In Via Indipendenza di sabato mattina non c’è nessuno in giro, solo qualche netturbino e un paio di studenti fuorisede reduci della sera prima. Già vedo la stazione in lontananza, e il parcheggio dove ho lasciato la macchina. Si torna a Milano. Missione compiuta.

Clelia è stata fortunata. Non va sempre così bene. Le prossime generazioni di virus, poi, saranno ancora peggiori. Non minacceranno di cancellare i dati ma di “spararli” in rete su siti web, svelando ogni informazione dei clienti, anche le più riservate. E lì saranno guai.

Le ho lasciato un post-it appiccicato al bordo del display, senza svegliarla.

Sorpresa! I tuoi documenti sono ricomparsi. Poi ti spiego.
Ti ho installato l’antivirus. Aggiornalo sempre.
Non aprire più allegati inattesi.
Fai un backup dei documenti ogni sera, meglio se in due luoghi diversi: uno su una chiavetta, e uno sul cloud. E stacca la chiavetta dal computer, alla fine!
Massima paranoia. Sempre. Non fidarti, per principio, di nessuna e-mail.
Se noti qualcosa di strano, stacca il cavo di rete, o disattiva il wireless. E chiamami. A qualsiasi ora.

Il presente racconto, nella sua versione embrionale e affiancato da un fumetto di Tommaso Milella, è stato pubblicato, per la prima volta, nel 2017 in "Non credevo fosse un virus" di Giuffrè Editore, un opuscolo gratuito distribuito ai professionisti del diritto al fine di responsabilizzarli con riferimento all'uso degli strumenti informatici.