Post
Guida su come recuperare i file criptati da ransomware
L’Italia da un recente studio risulta essere uno dei Paesi più colpiti dai ransomware, una tipologia di malware che, come dice la parola stessa “ransom” chiede un riscatto in denaro per ripristinare i file criptati o per sbloccare un dispositivo. Questa tipologia di malware si propaga maggiormente attraverso email con allegati indi per cui è altamente consigliato aprire esclusivamente gli allegati provenienti da fonti sicure e con la giusta estensione. Purtroppo esistono migliaia di varianti e quindi per il momento solo per alcune risulta possibile decriptare i files.
La prima cosa da provare a fare per recuperare i files criptati è di controllare se nel computer vi sono delle shadow copy dei files, la copia di shadow è una caratteristica introdotta a partire da Windows Xp SP1 che permette di creare copie di backup dei files ed è gestita in maniera automatica dal sistema purtroppo alcune varianti di ransonware bloccano questa funzione. Per visionare e salvare le copie shadow è sufficiente lanciare l’utility Shadow Copy Viewer, selezionare la data di shadow a sinistra, cercare i files che ci interessano, selezionarli e salvarli nella directory che preferiamo.
Se nel computer non vi sono copie di shadow possiamo provare a utilizzare dei specifici tool creati per le differenti varianti. Iniziamo con l’identificazione del ransonware che ha criptato la macchina, qui di seguito le immagini dei vari ransonware.
- BitCryptor
- CoinVault
- CryptoDefense
- CryptoLocker
- Cryptorbit
- Locker
- LosPollos
- PClock
- TeslaCrypt
- TorrentLocker
- CTB-Locker
BitCryptor
BitCryptor è una nuova versione di ransomware prodotta dagli stessi creatori di CoinVault, cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy ma la cosa curiosa è che il processo di cifratura consiste nel creare una copia criptata e eliminare l’originale del file, quindi utilizzando un tool per il recupero dei dati come photorec o recuva è possibile recuperare i files.
CoinVault
CoinVault cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. A differenza di BitCryptor non cancella le shadow copy e anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Inoltre Kaspersky a questo indirizzo ha creato un database con i codici di decriptazione, vi basterà visitare il sito, inserire l’indirizzo Bitcoin associato visibile in basso a destra e controllare se nel database è presente il codice di decriptazione. Se il codice è presente, lanciare kaspersky coinvault decryptor, selezionare i files o la lista di files, inserire i codici forniti dal sito e avviare il processo di decriptazione.
CryptoDefense
CryptoDefense cripta i files con una chiave a 2048 bit e richiede un riscatto iniziale di 500 Euro e dopo 4 giorni di 1000 Euro. Apparte le nuovissime versioni non cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft DECRYPTER prodotto da Emsisoft disponibile non risulta molto efficace ma tentar non nuoce. Una volta lanciato verificherà se nel registro è presente la key per la decriptazione e se la trova sarà possibile recuperare i files.
CryptoLocker
CryptoLocker cripta i files con una chiave a 2048 bit e richiede un riscatto di 300 Euro. Estensione file criptato .encrypted . Apparte le nuovissime versioni non cancella le shadow copy. Dr.Web possiede un database con i codici di decriptazione, per verificare se è possibile decriptare i vostri files dovrete essere in possesso di una licenza valida di Dr.Web con un costo intorno ai 150 euro e inviare un file criptato e la vostra mail a questa pagina e se sarete fortunati vi verranno inviate le istruzione su come decriptare i vostri files via email.
Cryptorbit
Cryptorbit cripta solo una piccola porzione di codice dei vostri files rendendoli illegibili e possiede una componente attiva che utilizza la vostra cpu per produrre monete coin digitali. Non cancella le shadow copy. Nathan Scott, aka DecrypterFixer, ha prodotto il tool Anti-CryptorBit che è in grado di decriptare i files JPEG/JPG, .PDF, .WAV, .PST, .DOC, .XLS, .XLSX, .PPTX, .DOCX, e .MP3. Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.
CryptoWall
CryptoWall crea i file HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, eHELP_DECRYPT.URL in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec orecuva per recuperare i files. Per il momento non esiste nessuna utility per decriptare.
CTB-Locker
CTB-Locker crea i file !Decrypt-All-Files.bmp e !Decrypt-All-Files.txt in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Per il momento non esiste nessuna utility per decriptare.
Locker
Locker cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Il produttore del malware a inizio giugno ha deciso di rilasciare tutti i codici di decriptaggio e Nathan Scott, aka DecrypterFixer, ha prodotto il tool Locker Unlocker . Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.
PClock
PClock cripta i files con una chiave a 2048 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft Decryptor for PClock prodotto da Emsisoft, se la variante di Pclock è compatibile una volta lanciato, il tool importerà automaticamente i files criptati e sarà sufficiente cliccare su Decrypt per avviare il processo di recupero dei files.Il tool rinominerà i file criptati con l’estensione .decbak e creerà i files decriptati.
TeslaCrypt / Alpha Crypt
TeslaCrypt cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Esiste un tool per la decriptazione TeslaDecoder prodotto da BloodDolly che è capace di decriptare i files con estensione .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz . Una volta avviato si metterà alla ricerca dei files storage.bin o key.dat necessari per ricavare il codice e se ci riuscirà sarà sufficiente cliccare su Decrypt folder o Decrypt All per decriptare i files.Se non trova alcuna key è possibile decriptare i files fattorizzando un numero presente nell’header dei file criptati e utilizzando i fattori per generare la chiave, per fare cio potete seguire questa guida o in alternativa scrivere un post sul forum e qualcuno cercherà di darvi una mano. Esiste una nuova variante 3.0che cripta i files con estensione .micro .ttt .xxx .micro e per il momento non esiste nessuna utility per decriptare quest’ultima.
Locky
Locky è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di .5 Bitcoins circa 165 euro che successivamente aumenta a 1 Bitcoin. Estensione file criptati .Locky . Una volta avviato cancella le shadow copy e per il momento non esiste alcun tool per la decriptazione.
TorrentLocker
TorrentLocker una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Estensione file criptato .encrypted . Esiste un tool per la decriptazione TorrentUnlocker che è capace di decriptare i files delle prime varianti ma necessita di una copia non criptata e una copia criptata di un file di almeno 2 MB per vedere la struttura e estrapolare i codici necessari per decriptare. Una volta recuperati i files necessari sarà sufficiente lanciare il tool e seguire le istruzioni a schermo.
Rakhni
Rakhni una volta avviato cancella le shadow copy. Esiste un tool per la decriptazioneRakhniDecryptor, (link per il download) prodotto da Kaspersky che è in grado di decriptare i files. L’utility si basa su un sistema brute force con migliaia di chiavi ed è quindi molto lento e potrebbe impiegare diversi giorni. Questa variante rinomina i files in uno dei seguenti modi: .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, .helpdecrypt@ukr.net, .pizda@qq_com, .dyatel@qq_com, _crypt, .nalog@qq_com, .chifrator@qq_com , .gruzin@qq_com, .troyancoder@qq_com, .encrypted, .cry, .AES256, .enc, .coderksu@gmail_com_ID, .crypt@india.com.CARATTERIRANDOM, .hb15, ID_helpme@freespeechmail.org .
Filecoder
Filecoder è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 2.5 Bitcoins circa 1000 euro. Estensione file criptati .bleep , .him0m , .1999 , .33t , .0x0 . Cripta i primi 64 KB dei documenti e una volta avviato cancella le shadow copy. Per il momento non esiste alcun tool per la decriptazione.
Randamant
Randamant è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 0.5 Bitcoins circa 250 euro. Estensione file criptati .RDM . Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione creato da Emsisoft scaricabile da qui. Una volta lanciato è sufficiente cliccare sul pulsante ‘Decrypt’ per iniziare la decriptazione dell’intero disco.
Sarà comunque necessario effettuare un controllo completo sul pc per eliminare l’infestazione seguendo questa guida alla rimozione.
'via Blog this'
Nessun commento:
Posta un commento