Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)

computer 1446109 1280 e1507051837924 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
I Ransomware: una piaga in crescente aumento in questi ultimi mesi ed in costante evoluzione. Per avere una stima della portata del fenomeno, si stima che l’ultima variante di CryptoLocker ha provocato danni per 325 milioni di dollari a livello globale, colpendo privati ed aziende. Questo tipo di malware colpisce in prevalenza sistema Windows, ma in minor numero anche OS X (come indicato qui Nuovo ransomware per OS X). Quindi ora cerchiamo di capire cosa sono questi ransomware

 

Cosa sono i ransomware

 
Il ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta e chiede il riscatto per rimuoverne la limitazione. Si è cominciato qualche anno fa con dei ransomware che si avviavano con il sistema operativo rendendo di fatto impossibile utilizzarlo, come ad esempio il famoso ransomware della polizia di stato o simili. Ad oggi siamo arrivati a due tipi di ransomware, ovvero:
 
  1. ransomware che crittano l’intero contenuto del disco, richiedendo un riscatto in BitCoin tramite rete TOR per la decrittazione
  2. ransomware che crittano l’MBR del disco, rendendo di fatto impossibile l’accesso al disco ed ai suoi dati. Anche in questo caso, viene richiesto un riscatto in BitCoin tramite rete TOR (Considerazioni: Petya Ransomware: temibile e diverso dai soliti ransom)
L’ultimo tipo è il più temibile ed il più recente. A questo punto sorge spontanea la domanda: è possibile difendersi? Vediamo cosa è possibile fare PRIMA in materia di prevenzione
 

Come prevenirli

In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:
 
  • mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update 
  • mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza 
  • accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati 
  • utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
  • eseguire delle scansioni antivirus regolari del sistema
  • non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
  • eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete. 
E nel caso malaugurato che siamo stati infetti? Come possiamo procedere? C’è un modo per recuperare i nostri dati? 
 
 

Come identificare da che ransomware siamo stati infettati

 
In questo ambito ci viene in aiuto uno strumento online dedicato a riconoscere il tipo di ransomware che ci ha infettato: basterà eseguire l’upload di un file criptato (non un file personale) o della schermata di blocco che visualizziamo dopo l’infezione. Lo strumento rileva fino a 178 ransomware differenti tra cui troviamo i famosi TeslaCrypt, Crytowall ecc. Il sito è il seguente: 
 
 

Come recuperare i dati (se possibile)

 
In alcuni casi NON è possibile recuperare i dati, come nel caso del Petya Ransomware (o meglio ad infezione avvenuta, vedere paragrafo successivo), ma in altri casi vi sono degli strumenti che ci aiutano a tornare in possesso dei nostri dati. 
Nome RansomwareStrumento di decriptazione DescrizioneUlteriori info
UmbreCrypt e HydraCyptStrumento di de-crittografia rilasciato da Emsisoft
Download
Come da immagine, basterà trascinare i file (un file immagine crittato ed un file immagino non crittato) per estrarre la chiave di decrittazione.
decrypter howto dragdrop 1 150x150 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Decrypter For HydraCrypt And UmbreCrypt Available | Emsisoft Blog
TeslaCrypt Decription ToolStrumento rilasciato da Cisco

Download

Ulteriore Strumento rilasciato da Eset per decrittazione universale

Download

Strumento consigliato dagli stessi sviluppatori del ransom, rilasciato da BleepingComputer

Download
Per utilizzare questo strumento, è opportuno cercare il file key.dat, che si trova solitamente sotto la cartella AppData, infatti lo strumento è interamente da linea di comando (prompt dei comandi). Threat Spotlight: : TeslaCrypt – Decrypt It Yourself

Le istruzioni per l’uso dello strumento universale rilasciato da Eset le trovate qui:
How do I clean a TeslaCrypt infection using the ESET TeslaCrypt decrypter?—ESET Knowledgebase
CryptoDefense Decription ToolStrumento rilasciato da Emsisoft
Download
Questo strumento è valido solo per infezioni antecedenti Aprile 2014, ma lo riporto perchè inerente l’argomento. Il suo utilizzo è semplice, aprendo il programma potremmo aggiungere manualmente i file da decrittare.How to decrypt or get back encrypted files infected by known encrypting ransomware viruses. – wintips.org – Windows Tips & How-tos
PcLock CryptolockerStrumento rilasciato da Emsisoft
Download
Strumento automatizzato, dopo l’installazione importerà in automatico la lista dei file da decrittare
Cryptorbit e Howdecrypt Strumento rilasciato da BleepingComputer
Download
Strumento intuitivo, basterà selezionare il tipo di file e seguire le istruzioni a video, come da immagine
anti cryptorbit ver2 150x150 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
TorrentlockerStrumento rilasciato da BleepingComputer
Download
Attenzione: strumento valido per vecchie versioni del ransomware, visto che nell’ultima release l’algoritmo di criptazione è stato modificato.
Nemucod Trojan’sStrumento rilasciato da Emsisoft
Download
Come da immagine, basterà trascinare i file (un file immagine crittato ed un file immagino non crittato) per estrarre la chiave di decrittazione.
drag files 150x150 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Decryptor Released for the Nemucod Trojan’s .CRYPTED Ransomware
CryptoHost Strumento rilasciato da Michael Gillespie (@demonslay335) | Twitter
Download
E’ necessario stoppare il processo, tramite Task Manager o Gestione Attività, chiamato cryptohost.exe, quindi rechiamoci nel percorso AppDataRoaming e cerchiamo il file compresso.
Prima, scarichiamo ed installiamo (se non lo abbiamo già) 7zip, il quale ci servirà per la de-compressione; scegliamo di estrarre, tramite il menù contestuale, il contenuto del file tramite 7zip e, quando richiesto, inseriamo la password che abbiamo ottenuto tramite il key generator.
Jigsaw RansomwareStrumento rilasciato da BleepingComputer
Download
Stoppare i seguenti processi da Gestione processi:
drpbx.exe e firefox.exe

Eliminarli anche dall’avvio, se necessario applicare e mantenere un avvio pulito.
Quindi, scaricare lo strumento, selezionare la directory ove si trova i file criptati e procedere alla loro de-crittazione.
Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom
Autolocky Ransomware Strumento rilasciato da Emsisoft
Download
Prima di lanciare lo strumento, è opportuno chiudere tramite task manager il processo relativo al ransom, si può fare questo eseguendo le consuete guide di rimozione malware o, ancor meglio, la guguida redattaida redatta da Vincenzo Di Russo (Collega MVP) . Quindi avviare lo strumento, il quale prima recupererà la chiave di decrittazione, in seguito decritterà i file che si trovano nel disco locale C. Per altre posizioni basterà aggiungere manualmente le cartelle
CryptXXX Ransomware e variabile 2.0Strumento rilasciato da Kaspersky
Download

Strumento per variabile 2.0 rilasciato da Kaspersky
Download
Vi è una particolare procedura di decrittazione con questo strumento, infatti servirà, oltre ad un file crittato, anche un NON crittato dal quale sarà possibile estrapolare l’algoritmo necessario. Ad esempio, possiamo indicare un immagine SAMPLE crittata che si trovano in tutte le versioni di windows (le immagini di sfondo) e scaricare, se non ne abbiamo già, una versione della stessa NON crittata (Bleepingcomputer fornisce unindirizzo apposito). Dopo di che verrà eseguita automaticamente la decrittazione dei file restanti. Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware
Xorist Ransomware (articolo dedicato)Strumento rilasciato da Emsisoft
Download
Anche per questo strumento, è necessario avere un file NON criptato, in maniera da permettere di ricavare la chiave di criptazione usata (richiederà 2-3 ore il processo)
777 Ransomware (articolo dedicato)Strumento rilasciato da Emsisoft
Download
Basta eseguire una scansione e lo strumento decritterà tutti i file che avranno come estensione .777
Apocalypse Ransomware Strumento rilasciato da Emsisoft
Download
Funzionamento simile a molti altri strumenti di decrittazione: bisogna prima permettergli di recuperare la chiave di codifica indicandogli un file criptato ed uno NON criptato. Dopo di questo, potremo decriptare tutto il disco locale c:.Emsisoft releases a Decryptor for the ApocalypseVM Ransomware
BadBlock RansomwareStrumento rilasciato da Emsisoft
Download
Stesso principio di cui sopra, in assenza di questi è possibile usare un file PNG criptato ed un altro PNG non criptato (anche recuperato da internet) per la ricerca della chiave di codifica. Quando vi è la richiesta da parte dell’UAC dare conferma: al termine, indicare le cartelle ove sono i dati criptati. BadBlock eBadBlock encrypts System Files. Decryptor Released by Emsisoftncrypts System Files. Decryptor Released by Emsisoft
ODCODC Ransowmare Strumento rilasciato da BloodDolly tramite il forum di BleepingComputer
Download
All’avvio lo strumento scaricherà delle chiavi con le quali proverà a decrittare i vostri file, altrimenti avrà bisogno di alcuni file campione scaricabili, come le immagini standard di sfondo di windows. Questo ransomware critta i dati con l’algoritmo RSA-2048
Bart RansomwareStrumento rilasciato da AVG
Download
Lo strumento richiede di avere un file campione non criptato, come di solito accade. (Bleepingcomputer fornisce un indirizzo apposito) Una volta acquisita la chiave verrà eseguita la decrittazione dei file. Questo ransomware crea dei file compressi protetti da password con i vostri file e non ha collegamenti tramite internet e server esterni.
Stampado RansomwareStrumento rilasciato da Emsisoft
Download
In questo caso basterà inserire i dati richiesti dal software, ovvero l’indirizzo email e l’ID che troviamo nella lock screen.
WildFire Locker Ransomware (articolo dedicato)Strumenti rilasciati da Kaspersky e Mcafee

Kaspersky’s WildFire Decryptor

McAfee’s WildFire Decryptor
Strumenti molto semplice, dopo la scansione a video ci saranno le istruzioni per decriptare i propri file.
NanoLocker RansomwareStrumento rilasciato da BleepingComputer
Download
Strumento da utilizzare tramite riga di comando:
WIN + X > prompt dei comandi come amministratore > ora recarsi nella directory ove risiede lo strumento, quindi digitare:
NanoLocker_Decryptor.exe

Per avviare la decriptazione invece digitare quanto segue:

NanoLocker_Decryptor.exe “C:UsersPublicPicturesSample PicturesDesert.jpg” “C:UsersPublicPicturesSample PicturesDesert-good.jpg” %userprofile%appdatalocallansrv.ini

Questo strumento decripta un file alla volta, quindi se abbiamo bisogno di decriptare una cartella intera sarà opportuno creare un file batch.

Per chi non conosce molto bene il funzionamento del prompt dei comandi, qui (qui) può trovare alcuni elementi utili
International Police Association RansomwareStrumento rilasciato da BleepingComputer
Download
Strumento molto facile da usare, al primo avvio basterà inserire il codice ID associato ai nostri file criptati, quindi selezionare la radice del disco ove risiedono i file (per esempio l’intero disco C: o D:) e lanciare la scansione del software
Princess Locker Ransomware (articolo dedicato)Strumento sviluppato da Hasherezades
Download
Prima avviare il keygen che troviamo nel pacchetto, il quale scoprirà la chiave di decriptazione, quindi avviare il decryptor che avvierà la decrittazione vera e propria. Di seguito potete trovare un video che spiega l’operazione:


PrincessLocker – how to recover files – YouTube
MRCR o Merry Christmas RansomwareStrumento sviluppato da Emsisoft
Download
Anche in questo caso sarà necessario avere una copia dei file non criptati, sotto la voce Bart Ransomware trovate un campione di file non criptati scaricabili, una volta trovata la chiave potranno esser decriptati i file restanti.
Marlboro Ransomware (articolo dedicato)Strumento sviluppato da Emsisoft
Download
Stessa procedure come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da ququii)
Globe3 RansomwareStrumento sviluppato da Emsisoft
Download
Stessa procedure come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qquiui)
GlobeImposter RansomwareStrumento sviluppato da Emsisoft
Download
Stessa procedura come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qquiui)
Ozoza Locker RansomwareStrumento sviluppato da Emsisoft
Download
Stessa procedura come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qquiui)
Amnesia RansomwareStrumento sviluppato da Emsisoft
Download
Procedura come di consueto, dove serve un file non criptato ed uno criptato per estrarne la corretta chiave di cifratura
Striked RansomwareStrumento sviluppato da Michael Gillespie
Download
Procedura veloce, verrà eseguita la scansione del sistema e la decriptazione avverrà in automatico
BTCWare Ransomware (articolo dedicato) Strumento sviluppato da Michael Gillespie
Download
In questo caso sarà necessario avere una copia dei file non criptati (scaricabili da qui), una volta trovata la chiave potranno esser decriptati i file restanti.
Mole02 Ransomware (articolo dedicato) Strumento sviluppato da M AV
Download
Procedura veloce, verrà eseguita la scansione del sistema e la decriptazione avverrà in automatico
BitKangaroo RansomwareStrumento sviluppato da Michael Gillespie
Download
Procedura veloce, verrà eseguita la scansione del sistema e la decriptazione avverrà in automatico
Leggi  Il trojan DanaBot ora minaccia le banche italiane
 
Di seguito alcuni strumenti di de-crittazione forniti da Kaspersky Labs per i seguenti malware:

Verranno aggiunti collegamenti a nuovi strumenti di recupero quando saranno disponibili.

PETYA RANSOMWARE

 
Riguardo il secondo tipo di ransomware, ovvero PETYA, vanno elaborati i passaggi di infezione, che sono:
 
  • avvio dell’infezione tramite una mail di SPAM (solitamente tentativi di phising)
  • il malware viene caricato in memoria
  • viene provocata una schermata di errore forzata che obbliga il sistema al riavvio
  • dopo il riavvio viene mostrata una schermata di finta esecuzione di chkdsk del sistema
  • durante questo processo, viene eseguita la vera e propria criptazione dell’MFT e sostituzione del boot loader
  • infezione avvenuta, richiesta di “riscatto” tramite BITCOIN
L’infezione VERA E PROPRIA avviene nel secondo passaggio, ovvero quando viene eseguito il finto chkdsk che completerà l’infezione. Come prevenirlo?
 
  1. Disabilitare il riavvio automatico del sistema: WIN + R > digita “sysdm.cpl” e dare invio > Avanzate > impostazioni Avvio e ripristino > togliere la spunta da Riavvia automaticamente
  2.  Ora c’è una procedura da seguire, abbastanza articolata, CONSIGLIATA SOLO PER UTENTI ESPERTI: Petya key decoder | hasherezade’s 1001 nights – Decodificatore per PRIMO PASSAGGIO (Prima del CHKDSK) here
 

RECUPERO FILE

E’ disponibile una procedura e degli strumenti per il recupero dei file: verificare i passaggi indicati in questo articolo
 
Cit: “In questo caso vi è qualche passaggio da fare, in quanto è necessario collegare il proprio disco rigido ad un altro computer, utilizzando una dock station USB. Dopo aver collegato il disco, scarichiamo questo strumento Petya Sector Extractor il quale individuerà il disco infetto e ci fornirà due dati necessari in seguito, disponibili dalla voce Copy Sector e Copy Nonce(come da immagine).


petya - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
 
In seguito rechiamoci nel sito https://petya-pay-no-ransom.herokuapp.com ove dovremo inserire prima il codice Base64 Encoded 512 bytes e nel box sottostante il codice relativo a Base64 encoded 8 bytes nonce, quindi inviando i dati comincerà il processo di creazione della password (ci vorrà qualche minuto), la quale poi potremo inserire nella richiesta di riscatto che visualizziamo in avvio dopo l’infezione. 
 
petya02 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Grazie a leostone e a Fabian Wosar per gli strumenti”
 
 
Per approfondimenti in merito i ransomware e i BitCoin invito a leggere questo post Ransomware e i BitCoin: considerazioni, dati e prevenzione
 
 
 
Avete altri strumenti che avete usato per recuperare i vostri file? ditelo nei commenti.
 
 
profilo01 80x80 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
profilo01 80x80 - Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Seguimi
(Visited 125 times, 1 visits today)
Ad