Il sistema di trasporti della Municipalità di San Francisco, la San Francisco Municipal Railway, è stata attaccata dal ransomware HDD Cryptor. Sono stati infettati più di 2.110 computer appartenenti alla società.

L'infezione ha avuto luogo nel fine settimana ed ha costretto la direzione dell'azienda a concenere corse gratuite a causa del completo blocco del sistema di emissione dei biglietti, oppure, in alcuni casi, sono stati emessi biglietti compilati a mano.

I computer infetti rappresentano circa il 13% del sistema informatico dell'azienda: nel dettaglio sono stati sospesi i sistemi di pagamento e la calendarizzazione delle corse. Anche parte del sistema email è stato colpito.
I clienti stessi hanno avuto notizia dell'infezione dal fatto che la richiesta di riscatto era divenuta visualizzabile su moltissimi terminali per l'emissione dei biglietti. 

Nei computer e nei terminali si può leggere:

E' il messaggio di riscatto del ransomware HDDCryptor, diffuso all'inizio del 2016, ma che continua a tutt'oggi a mietere vittime.

L'autore del ransomware ha risposto ad alcune domande dei giornalisti locali, specificando che l'infezione al sistema di trasporti di San Francisco non era intenzionale. Ha comunque chiesto circa 100 bitcoin di riscatto, ovvero circa 73.000 dollari.

Ha inoltre specificato che il primo attacco è stato compiuto con successo contro un computer con Windows Server 2000 e da lì l'infezione ha poi continuato a diffondersi. Infine ha sollecitato il pagamento, minacciando la chisura dell'account di posta elettronica con cui comunica con l'azienda, al fine di impedire ulteriori controlli sulla propria identità.

Non ha ancora deciso se pagare o meno il riscatto. Non sarebbe comunque la prima azienda che paga grossi riscatti: L'Hollywood Presbyterian Medical Center pagò ben 17.000 dollari per poter di nuovo accedere alle cartelle cliniche dei pazienti e alle calendarizzazioni delle visite e delle operazioni chirurgiche.

Una scuola del South Carolina dovette pagare, a metà 2015, 8.500 dollari di riscatto  per accedere di nuovo a tutti il materiale amministrativo.

Cosa fare?
Questi eventi rendono ormai del tutto chiara la necessità di dotarsi di adatti strumenti di difesa, sopratutto intorno a dati sensibili e fondamentali per lo svolgimento dell'intera attività aziendale. 

Sicuramente è essenziale formare il personale, affinchè sappia riconoscere email o siti dannosi. Ma ciò può non essere sufficiente, sopratutto nei casi in cui il ransomware viene diffuso via exploit kit. In ogni caso solo un solido antivirus e un filtro a livello di gateway potrebbero essere risolutivi. Occorre anche affiancare alle difese della rete un buon sistema di backup, meglio se in cloud o ibrido.