Come si recuperano i file criptati da ransomware?

Argomenti:
Pubblicato il: 21-03-2021 12:07 , Ultimo aggiornamento: 21-03-2021 19:14

Abbiamo avuto modo di parlare, e di frequente su questo blog, dei ransomware come Cryptolocker che si stanno diffondendo su internet e che, in molti casi, procurano danni irreversibili su PC e server sia domestici che aziendali. Questi virus sono particolarmente potenti, e difficili da debellare per via dell’idea per cui sono concepiti: si installano in modo subdolo (ad esempio mediante una macro di Word) e criptano, cioè rendono illegibili, tutti i file più importanti del nostro sistema operativo.

È possibile ripristinare file criptati da ransomware?

Una volta infetti da un ransomware è di solito impossibile recuperare i file persi, ma esistono per fortuna alcune eccezioni: da qualche tempo sono state diffusi alcuni tool (che ho elencato in questo articolo) gratuiti per provare a decriptare i propri file, e quindi riportare il sistema allo stato originale, almeno in parte. Attenzione, comunque, che per come sono stati concepiti questi tool per recuperare i file il risultato non è affatto garantito, ed il suggerimento è di tenere sempre un antivirus attivo ed affidarvi sempre a qualcuno abbastanza esperto quando provate a recuperare i file.

Esempi di ransomware e tipiche azioni che commettono

Ci sono vari casi di ransomware noti:

  1. Spora, WannaCrypt / WannaCry, Petya / NotPetya sono tra i più difficili da rimuovere, e si diffondono tipicamente mediante exploit (debolezze informatiche) dei sistemi operativi o del server di posta; WannaCrypt ad esempio sfrutta la vulnerabilità nota come CVE-2017-0145 oppure CVE-2017-0144. Alcuni come Petya possono, tra l’altro, propagarsi in rete sfruttando credenziali sottratte ad altri account;
  2. Cerber e Locky colpiscono i file di documento e multimediali come immagini e video, e mostrano una richiesta di riscatto in formato testuale;
  3. Bad Ransomware sfrutta un attacco brute force, cioè prova tutte le combinazioni di password possibili fino a trovare malauguratamente quella corretta;
  4. Reveton è il classico ransomware che blocca le schermate del computer o del telefono e crittografa i file, disabilitando il Finder o Gestione Attività ed impedendo qualsiasi forma di accesso ai nostri dati. Spesso questo malware si presenta come un finto avviso della polizia, mascherando la richiesta di riscatto come se fosse una multa (chiaramente non lo è, non in questa forma digitale quantomeno).

Tool per il ripristino dati

I principali strumenti gratuiti di recupero che potete provare (il tentativo conviene sempre farlo, in effetti, anche se le possibilità non sono moltissime a mio avviso), sono i seguenti:

  • il tool di Kaspersky (utile se siete stati infetti da Shade, Rakhni, Rannoh, CoinVault, WildFire, Xorist)
  • TrendMicro offre vari strumenti anti-ransomware gratuiti, tra cui Machine Learning Assessment Tool e Anti-Threat Toolkit (ATTK) utile per WannaCry
  • I danni provocati dai ransomware della famiglia CrypBoss, noti coi nomi Hydracrypt e Umbrecrypt ad esempio, si possono provare a riparare mediante il tool per Windows della Emsisoft.
  • Ransomware Removal Kit (una suite open source per provare a decriptare i file corrotti, questo dovrebbe funzionare contro BitCryptor, CoinVault, CryptoDefense, CryptoLocker, FBIRansomWare, Identification, Locker, OperationGlobal, PCLock, Prevention, TeslaCrypt e TorrentLocker)
  • un buon anvirus che potete usare anche per questi casi è ad esempio Avira, ma anche Avast.

I casi di ransomware sono ancora più, in realtà:

  • PBlock è un’estensione farlocca di Google Chrome che dovrebbe essere sufficente scansionare con antivirus e disinstallare (un’idea potrebbe essere quella di farlo rimanendo sconnessi da internet, per facilitarci il compito);
  • Toksearches.xyz effettua un redirect malevolo quando effettuiamo alcune ricerche su Google e altri motori, e anche questo dovrebbe essere sufficente disinstallarlo;
  • Smashapps.net / Smashappsearch.com  è analogo al precedente; ulteriori varianti sono Wisip, searchpowerapp, Srchus.xyz eVitosc.xyz.
  • BipApp è un hijacking che cambia il motore di ricerca di default, deve essere rimosso dai componenti aggiuntivi di Chrome anche lui;
  • il messaggio “Allow to watch the video” o “Press to watch the video” è a volte tipico di ransomware che attivate cliccando sul bottone: non fatelo, e non sarete infetti; stesso discorso per i banner che vi invitano a scaricare una gift card di Amazon, ovviamente farlocca.
  • Windows Defender Browser Protection è un nome ingannevole per un malware che si maschera da servizio Microsoft.

Un buon forum di riferimento che tratta molti altri casi si trova nel forum di MalwareBytes.

Di norma, comunque, non potremo più nè aprire nè modificare quei file una volta infetti da un qualsiasi ransomware, se non mediante una chiave (ovvero una password) generata casualmente e molto difficile da trovare: tanto difficile da indovinare per via della dimensione molto grande della chiave, per cui l’unico modo per proteggersi è legato ad una manovra preventiva: fare frequenti backup dei file del proprio computer oppure verificare se esistano delle copie shadow dei file di Windows (fonte della notizia).

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Come si recuperano i file criptati da ransomware? di Salvatore Capolupo su Trovalost.it
Come si recuperano i file criptati da ransomware? (Guide, Assistenza Tecnica)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost