Recuperare dati criptati da un ransomware, o almeno tentare di farlo, è assolutamente un must dei giorni nostri.
Perché? Semplice: i ransomware sono la piaga informatica di questi anni! Da Cryptolocker a CTB-Locker, passando per i nuovi malware dedicati ai server Linux, la pratica di rendere inaccessibili i dati a meno di ricevere soldi in cambio ha messo in seria difficoltà decine di migliaia di utenti ed organizzazioni, purtroppo spesso colti impreparati.
Sebbene la prima pratica per proteggersi sia quella di evitare di incappare in un ransomware, esistono – fortunatamente – alcuni ransomware che, grazie al lavoro di una serie di esperti di sicurezza, sono stati smantellati, studiati e resi quasi inattivi – in altre parole, per alcuni ransomware è possibile recuperare i dati.
Vediamo insieme quali sono, sottolineando che questo articolo verrà aggiornato se e quando altre soluzioni verranno rese pubbliche.
Ultimo aggiornamento: 19 maggio 2016
LeChiffre
C’era una volta Casino Royale…
Ehm… no. Non stiamo parlando di quel simpaticissimo sociopatico calcolatore che cerca di ammazzare James Bond in tutti i modi possibili ma di un particolare ransomware che ha fatto un bel po’ di vittime a Mumbay, per poi espandersi nel resto del mondo.
Ecco a voi LeChiffre:
La cosa particolare di questo ransomware è che, contrariamente agli altri, se deciderete di non pagare il riscatto richiesto ma avete la pazienza di inviare file e chiave di cifratura ai criminali e di attendere sei mesi… questi vi sbloccheranno gratis i file criptati. O almeno così dicono.
In realtà non ce ne è bisogno, poiché Emsisoft l’ha smantellato ed ha creato un programmino da eseguire per decifrare i file. Senza pagare neppure un euro.
Recuperare dati criptati dal ransomware LeChiffre
Dovrete semplicemente avere la pazienza che il programma di cui abbiamo parlato sopra compia la sua opera (a seconda della portata dei file potrebbero volerci ore, addirittura giorni). Scaricatelo ed eseguitelo: il resto verrà da sé.
DOWNLOAD | LeChiffre (KeyBTC) Decrypter
Hydracrypt & Umbrecrypt
L’anno scorso fu la volta del ransomware CrypBoss, che spaventò tantissimi utenti, tuttavia il suo algoritmo fu violato in maniera relativamente veloce permettendo così agli utenti di recuperare i propri file senza pagar nessun riscatto.
Se pensavate che quella sarebbe stata la sua fine, vi sbagliavate: probabilmente dalla stessa penna sono nati i ransomware Hydracrypt e Umbrecrypt, spuntati qualche mese fa nell’Europa dell’est e ad oggi in fase di diffusione attiva; il vettore dell’infezione? Ancora una volta un allegato di posta elettronica.
Ecco Hydracrypt…
…e suo cugino Umbrecrypt
Sarete felici di sapere che entrambi sono una versione modificata di CrypBoss e che, grazie in parte al lavoro già svolto lo scorso anno, il team di Emsisoft è riuscito a smantellare anche questi altri due ransomware e a creare un programma che permette di decifrare i file senza pagare nessun riscatto.
Recuperare dati criptati dai ransomware Hydracrypt e Humbrecrypt
Prima di lasciarvi il link e le istruzioni, però, va detta una cosa: sia Hydracrypt che Umbrecrypt, in fase di cifratura, modificano irrimediabilmente gli ultimi 15 byte del file originale: per la maggior parte dei documenti ciò non rappresenta un problema, tuttavia in caso i file dovessero risultare danneggiati potrete recuperarli tramite un qualsiasi software di “file repair”.
NOTA: sebbene il tasso di successi sia altissimo, esiste una piccola probabilità che il recupero non riesca. Inoltre, assicuratevi di avere abbastanza spazio su disco in quanto il programma non eliminerà i file criptati al termine del processo.
Innanzitutto scaricate il decrypter per Hydracrypt ed Umbercrypt dal link in basso:
DOWNLOAD | Decrypter per Hydracrypt ed Umbercrypt (Emsisoft)
Copiatelo sul desktop, dopodiché trascinate al suo interno (come da immagine in basso) un file cifrato con la relativa copia originale recuperata eventualmente da un backup; in mancanza di quest’ultima, potrete procedere usando un file cifrato ed un’immagine qualunque scaricata da Internet (l’ultimo metodo allungherà un po’ il processo di recupero chiave).


Ora dovrete pazientare: il software cercherà di recuperare la chiave (potrebbe impiegare ore o addirittura qualche giorno) e, una volta terminata l’operazione, ve la mostrerà in una finestra di dialogo.
Annotate la chiave per sicurezza, dopodiché fate click su “Ok” per aprire il decrypter vero e proprio: qui potrete inserire le cartelle contenenti i file da decriptare, oltre che i singoli file. Vi consigliamo, onde evitare perdite di tempo, di verificare l’effettivo funzionamento del decrypter su una piccola quantità di file.
Anche il processo di decifratura completa può durare ore o giorni, a seconda della portata dei dati.
Teslacrypt
Teslacrypt è un ransomware mirato che ha fatto tremare una precisa categoria di utenti: i gamer. Esso infatti, prima ancora di cercare documenti ed altri file importanti, è stato programmato per criptare file relativi ad oltre 40 giochi estremamente diffusi – tra cui Call Of Duty, Minecraft e World of Warcraft.
Neppure a dirlo, per ottenere la chiave utile a decriptare i file c’è bisogno di un bel pagamento in BitCoin:
Fortunatamente, con un po’ di lavoro, alcuni ricercatori sono stati in grado di violare l’algoritmo di creazione della chiave e creare quindi un decrypter, almeno per alcune categorie di file. Il ransomware TeslaCrypt è stato definitivamente sconfitto poiché i criminali alle sue spalle hanno reso pubblica la Master Key, dunque tutti i file criptati da tutte le versioni possono essere recuperati.
Recuperare dati criptati dal ransomware Teslacrypt
Con il software che stiamo per suggerirvi è possibile decifrare file alterati con versioni di Teslacrypt dalla 0.3.4a to 2.2.0 e con estensione ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv. Va detto però che si tratta di una procedura abbastanza complessa e macchinosa, pertanto se non siete abbastanza “navigati” potreste aver bisogno dell’assistenza di un esperto.
Il software per recuperare i dati criptati da Teslacrypt può essere scaricato dal link in basso: è fondamentale seguire alla lettera le istruzioni presenti nel file instructions.html, reperibile all’interno dell’archivio.
DOWNLOAD | Tesla Decoder
Ma c’è una notizia ancora migliore: ESET ha reso disponibile lo strumento per decriptare tutte tutti i file criptati da tutte le versioni di TeslaCrypt. Troverete maggiori informazioni, oltre che il link per il download, nel nostro articolo dedicato:
Petya Ransomware
Petya, diversamente dai ransomware analizzati fino ad ora, prende il possesso dell’intero MBR del sistema operativo e cripta la tabella MFT, rendendo di fatto illeggibili i file ed i propri attributi e rendendo inavviabile il sistema operativo a meno che non si paghi il riscatto per decifrare il tutto.
La modalità d’azione è semplice: una volta contratto, il ransomware provoca un BSOD in Windows costringendo l’utente a riavviare il sistema; fatto ciò il sistema “simula” una sorta di analisi del disco, analisi che in realtà altro non è il processo di cifratura di MBR ed MFT. Completata la “scansione” fasulla, il danno è fatto. Chiaramente i sistemi EFI che non utilizzano la modalità legacy (ed il cui disco è quindi partizionato con tabella GPT) non sono vulnerabili.
Già prima che fosse sviluppato uno strumento per la decifratura dei file, grazie ad alcuni accorgimenti era possibile limitare i danni: per natura, Petya non è in grado di cifrare il file prima che il riavvio di fatto avvenga, dunque è sufficiente disattivare il riavvio automatico dopo schermata di errore e collegare il disco colpito su un altro dispositivo per copiare i file importanti.
Inoltre, nonostante la cifratura i file potrebbero essere recuperati anche in buona parte – a meno degli attributi – con software come Photorec.
Recuperare dati criptati da Petya Ransomware
Premesso ciò, grazie a Bleepingcomputer – il cui staff è stato in grado di pescare una vulnerabilità nel ransomware – è ora possibile decifrare i file criptati da Petya. Sebbene il processo non sia molto semplice, lo staff mette a disposizione numerosi strumenti ed un esauriente tutorial per procedere alla decifratura. Potrete trovare il tutto direttamente nel link in basso!
LINK | Decrypt Petya-crypted files
CryptXXX
Recentemente, alcuni ricercatori hanno scoperto un ransomware nuovo che usa Angler per infettare i dispositivi Windows: poiché i criminali che l’hanno creato non gli han dato nome, è stato chiamato CryptXXX.
Il funzionamento è piuttosto “curioso”, poiché i file non vengono criptati subito dopo l’infezione ma solo dopo qualche tempo, così da confondere le vittime e rendere difficile comprendere da dove si è contratto il malware. Tra l’altro, ruba anche i bitcoin conservati negli hard disk delle vittime e copia altri dati che possono tornare utili ai cybercriminali.
Dopo aver cifrato tutto, vengono creati tre file: uno di testo, un’immagine e una pagina web HTML. L’immagine viene impostata come sfondo del desktop, la pagina HTML aperta nel browser ed il file di testo resta lì per “ulteriori riferimenti”. Tutti e tre avvisano l’utente che i file sono stati cifrati con RSA4096 e danno le istruzioni per pagare il riscatto.
Recuperare dati criptati dal ransomware CryptXXX
Fortunatamente, i ricercatori di Kaspersky sono riusciti a trovare una vulnerabilità – la medesima di Rannohe, un altro ransomware – e perfezionare il tool per la rimozione di quest’ultimo, rendendolo compatibile anche con CryptXXX e in grado di decifrare i suoi file. Potrete scaricarlo dal link in basso, avendo la cura di eliminare i file criptati soltanto quando sarete certi che la decifratura è avvenuta correttamente.
DOWNLOAD | RannohDecryptor per CryptXXX (Kaspersky)
Alpha Ransomware
Si tratta di un ransomware piuttosto recente che ha mietuto un numero di vittime relativamente moderato, la cui metodica d’azione è però piuttosto strana: la cifratura dei file avviene in modo selettivo, su esattamente 249 estensioni sparse tra il disco di sistema, il Desktop, la cartella Immagini e la cartella Cookie. Su tutti gli altri dischi Alpha cifra invece tutti i file fatta eccezione per quelli con estensione .INI, mentre cifra tutti i file contenuti nelle cartelle condivise.
L’estensione dei file cifrati viene modificata in .encrypted, l’algoritmo è a cifratura AES-256 ed in ogni cartella d’azione viene lasciato un file di testo contenenti le istruzioni per pagare il riscatto. I criminali alle spalle di Alpha richiedono (ingenuamente, poiché tracciabile) pagamento in gift card per iTunes e non in Bitcoin come di consueto.
Una volta completata la cifratura, lo sfondo del desktop viene modificato ed il ransomware si elimina da solo, lasciando cifrati i file.
Recuperare i dati criptati da Alpha Ransomware
Dopo aver trovato una vulnerabilità nel sistema di cifratura, alcuni ricercatori ed hacker white hat sono riusciti a creare un software che possa decifrare i file criptati da Alpha Ransomware. Il tool, che è scaricabile dal sito Bleeping Computer, può decifrare in un tempo variabile i file cifrati dal ransomware Alpha con un buon margine di successo.
Tuttavia il tool proposto sembra essere una variante del trojan Razy se passato in scansione su Virus Total; tuttavia i suoi creatori, che hanno già realizzato con successo numerosi (e non infetti) decryptor, spiegano che si tratta di un falso positivo causato dall’offuscamento del codice sorgente. Dunque, se siete stati infettati da Alpha, potrete scaricare ed usare il tool in tutta sicurezza poiché è sicuro al di là delle apparenze.
DOWNLOAD | Alpha Decrypter (Bleeping Computer)
Altri ransomware
Se siamo caduti vittima di un ransomware che non è nella lista, possiamo consultare il sito NoMoreRansom che, con cadenza regolare, rende disponibili alcuni strumenti per recuperare i dati criptati dai ransomware più noti (e ovviamente già smantellati).
E Cryptolocker?
Purtroppo per noi, Cryptolocker è ancora il ransomware più diffuso – e ovviamente il più duro a morire; per la “versione originale” del 2013 è possibile richiedere gratuitamente un software di decifratura poiché la botnet è stata smantellata diversi mesi fa, tuttavia quest’ultima è praticamente sparita ed ha lasciato il posto a ransomware della medesima famiglia ma con algoritmi diversi, ad oggi rimasti purtroppo inviolati.
Stessa cosa vale per il famigerato CTB-Locker.
Duole sempre dirlo, ma beccare un ransomware come questo lascia poco spazio a soluzioni “pulite”: recuperare dati criptati da Cryptolocker e CTB-Locker è ad oggi impossibile, bisogna sempre sperare di avere un backup recente dei dati a portata di mano (e di non avere il dispositivo che lo contiene collegato in alcun modo alla macchina infetta), altrimenti il danno è – almeno per il momento – irreversibile.
Ovviamente a meno di non pagare il riscatto, tuttavia ciò – che noi assolutamente sconsigliamo – non fa altro che alimentare questo tipo di criminalità, restando intrappolati in un enorme circolo vizioso; tra l’altro, nessuno garantisce che i malintenzionati terranno fede alla parola data.