Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Come si recuperano i file criptati da ransomware?


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Abbiamo avuto modo di parlare, e di frequente su questo blog, dei ransomware come Cryptolocker che si stanno diffondendo su internet e che, in molti casi, procurano danni irreversibili su PC e server sia domestici che aziendali. Questi virus sono particolarmente potenti, e difficili da debellare per via dell’idea per cui sono concepiti: si installano in modo subdolo (ad esempio mediante una macro di Word) e criptano, cioè rendono illegibili, tutti i file più importanti del nostro sistema operativo.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

àˆ possibile ripristinare file criptati da ransomware?


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Una volta infetti da un ransomware è di solito impossibile recuperare i file persi, ma esistono per fortuna alcune eccezioni: da qualche tempo sono state diffusi alcuni tool (che ho elencato in questo articolo) gratuiti per provare a decriptare i propri file, e quindi riportare il sistema allo stato originale, almeno in parte. Attenzione, comunque, che per come sono stati concepiti questi tool per recuperare i file il risultato non è affatto garantito, ed il suggerimento è di tenere sempre un antivirus attivo ed affidarvi sempre a qualcuno abbastanza esperto quando provate a recuperare i file.

Esempi di ransomware e tipiche azioni che commettono

Ci sono vari casi di ransomware noti:

  1. Spora, WannaCrypt / WannaCry, Petya / NotPetya sono tra i più difficili da rimuovere, e si diffondono tipicamente mediante exploit (debolezze informatiche) dei sistemi operativi o del server di posta; WannaCrypt ad esempio sfrutta la vulnerabilità  nota come CVE-2017-0145 oppure CVE-2017-0144. Alcuni come Petya possono, tra l’altro, propagarsi in rete sfruttando credenziali sottratte ad altri account;
  2. Cerber e Locky colpiscono i file di documento e multimediali come immagini e video, e mostrano una richiesta di riscatto in formato testuale;
  3. Bad Ransomware sfrutta un attacco brute force, cioè prova tutte le combinazioni di password possibili fino a trovare malauguratamente quella corretta;
  4. Reveton è il classico ransomware che blocca le schermate del computer o del telefono e crittografa i file, disabilitando il Finder o Gestione Attività  ed impedendo qualsiasi forma di accesso ai nostri dati. Spesso questo malware si presenta come un finto avviso della polizia, mascherando la richiesta di riscatto come se fosse una multa (chiaramente non lo è, non in questa forma digitale quantomeno).
Ti potrebbe interessare:  Come collegare cavo trifase 3P+N+T e 3P+T 400V

Tool per il ripristino dati

I principali strumenti gratuiti di recupero che potete provare (il tentativo conviene sempre farlo, in effetti, anche se le possibilità  non sono moltissime a mio avviso), sono i seguenti:

  • il tool di Kaspersky (utile se siete stati infetti da Shade, Rakhni, Rannoh, CoinVault, WildFire, Xorist)
  • TrendMicro offre vari strumenti anti-ransomware gratuiti, tra cui Machine Learning Assessment Tool e Anti-Threat Toolkit (ATTK) utile per WannaCry
  • I danni provocati dai ransomware della famiglia CrypBoss, noti coi nomi Hydracrypt e Umbrecrypt ad esempio, si possono provare a riparare mediante il tool per Windows della Emsisoft.
  • Ransomware Removal Kit (una suite open source per provare a decriptare i file corrotti, questo dovrebbe funzionare contro BitCryptor, CoinVault, CryptoDefense, CryptoLocker, FBIRansomWare, Identification, Locker, OperationGlobal, PCLock, Prevention, TeslaCrypt e TorrentLocker)
  • un buon anvirus che potete usare anche per questi casi è ad esempio Avira, ma anche Avast.

I casi di ransomware sono ancora più, in realtà :

  • PBlock è un’estensione farlocca di Google Chrome che dovrebbe essere sufficente scansionare con antivirus e disinstallare (un’idea potrebbe essere quella di farlo rimanendo sconnessi da internet, per facilitarci il compito);
  • Toksearches.xyz effettua un redirect malevolo quando effettuiamo alcune ricerche su Google e altri motori, e anche questo dovrebbe essere sufficente disinstallarlo;
  • Smashapps.net / Smashappsearch.com  è analogo al precedente; ulteriori varianti sono Wisip, searchpowerapp, Srchus.xyz eVitosc.xyz.
  • BipApp è un hijacking che cambia il motore di ricerca di default, deve essere rimosso dai componenti aggiuntivi di Chrome anche lui;
  • il messaggio “Allow to watch the video” o “Press to watch the video” è a volte tipico di ransomware che attivate cliccando sul bottone: non fatelo, e non sarete infetti; stesso discorso per i banner che vi invitano a scaricare una gift card di Amazon, ovviamente farlocca.
  • Windows Defender Browser Protection è un nome ingannevole per un malware che si maschera da servizio Microsoft.

Un buon forum di riferimento che tratta molti altri casi si trova nel forum di MalwareBytes.

Di norma, comunque, non potremo più nè aprire nè modificare quei file una volta infetti da un qualsiasi ransomware, se non mediante una chiave (ovvero una password) generata casualmente e molto difficile da trovare: tanto difficile da indovinare per via della dimensione molto grande della chiave, per cui l’unico modo per proteggersi è legato ad una manovra preventiva: fare frequenti backup dei file del proprio computer oppure verificare se esistano delle copie shadow dei file di Windows (fonte della notizia).

Ti potrebbe interessare:  Teamviewer: la guida pratica all'accesso remoto

Da non perdere 👇👇👇



Questo portale esiste da 4434 giorni (12 anni), e contiene ad oggi 4016 articoli (circa 3.212.800 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
5/5 (2)

Ti sembra utile o interessante? Vota e fammelo sapere.

Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.