ChimeraRevo – Il punto di riferimento della tecnologia
menubar
Home > Guide > Windows > Recuperare dati criptati da…

Recuperare dati criptati da un ransomware: le soluzioni

Gaetano Abatemarco Feb 15, 2016

Recuperare dati criptati da un ransomware, o almeno tentare di farlo, è assolutamente un must dei giorni nostri.

Perché? Semplice: i ransomware sono la piaga informatica di questi anni! Da Cryptolocker a CTB-Locker, passando per i nuovi malware dedicati ai server Linux, la pratica di rendere inaccessibili i dati a meno di ricevere soldi in cambio ha messo in seria difficoltà decine di migliaia di utenti ed organizzazioni, purtroppo spesso colti impreparati.

ransomware evid
I Ransomware: tutto ciò che c’è da sapere in una infograficaUn'immagine ci spiega nel dettaglio le caratteristiche di una delle minacce malware più temute (e purtroppo più efficienti) degli ultimi tempi
Internet

Sebbene la prima pratica per proteggersi sia quella di evitare di incappare in un ransomware, esistono – fortunatamente – alcuni ransomware che, grazie al lavoro di una serie di esperti di sicurezza, sono stati smantellati, studiati e resi quasi inattivi – in altre parole, per alcuni ransomware è possibile recuperare i dati.

Vediamo insieme quali sono, sottolineando che questo articolo verrà aggiornato se e quando altre soluzioni verranno rese pubbliche.

Ultimo aggiornamento: 19 maggio 2016

LeChiffre

C’era una volta Casino Royale…

Ehm… no. Non stiamo parlando di quel simpaticissimo sociopatico calcolatore che cerca di ammazzare James Bond in tutti i modi possibili ma di un particolare ransomware che ha fatto un bel po’ di vittime a Mumbay, per poi espandersi nel resto del mondo.

Ecco a voi LeChiffre:

Recuperare dati criptati - LeChiffre

La cosa particolare di questo ransomware è che, contrariamente agli altri, se deciderete di non pagare il riscatto richiesto ma avete la pazienza di inviare file e chiave di cifratura ai criminali e di attendere sei mesi… questi vi sbloccheranno  gratis i file criptati. O almeno così dicono.

In realtà non ce ne è bisogno, poiché Emsisoft l’ha smantellato ed ha creato un programmino da eseguire per decifrare i file. Senza pagare neppure un euro.

Recuperare dati criptati dal ransomware LeChiffre

Dovrete semplicemente avere la pazienza che il programma di cui abbiamo parlato sopra compia la sua opera (a seconda della portata dei file potrebbero volerci ore, addirittura giorni). Scaricatelo ed eseguitelo: il resto verrà da sé.

DOWNLOAD | LeChiffre (KeyBTC) Decrypter

Hydracrypt & Umbrecrypt

L’anno scorso fu la volta del ransomware CrypBoss, che spaventò tantissimi utenti, tuttavia il suo algoritmo fu violato in maniera relativamente veloce permettendo così agli utenti di recuperare i propri file senza pagar nessun riscatto.

Se pensavate che quella sarebbe stata la sua fine, vi sbagliavate: probabilmente dalla stessa penna sono nati i ransomware Hydracrypt e Umbrecrypt, spuntati qualche mese fa nell’Europa dell’est e ad oggi in fase di diffusione attiva; il vettore dell’infezione? Ancora una volta un allegato di posta elettronica.

Ecco Hydracrypt…

Recuperare dati criptati - Hydracrypt

…e suo cugino Umbrecrypt

umbrecrypt_risultato

Sarete felici di sapere che entrambi sono una versione modificata di CrypBoss e che, grazie in parte al lavoro già svolto lo scorso anno, il team di Emsisoft è riuscito a smantellare anche questi altri due ransomware e a creare un programma che permette di decifrare i file senza pagare nessun riscatto.

Recuperare dati criptati dai ransomware Hydracrypt e Humbrecrypt

Prima di lasciarvi il link e le istruzioni, però, va detta una cosa: sia Hydracrypt che Umbrecrypt, in fase di cifratura, modificano irrimediabilmente gli ultimi 15 byte del file originale: per la maggior parte dei documenti ciò non rappresenta un problema, tuttavia in caso i file dovessero risultare danneggiati potrete recuperarli tramite un qualsiasi software di “file repair”.

NOTA: sebbene il tasso di successi sia altissimo, esiste una piccola probabilità che il recupero non riesca. Inoltre, assicuratevi di avere abbastanza spazio su disco in quanto il programma non eliminerà i file criptati al termine del processo.

Innanzitutto scaricate il decrypter per Hydracrypt ed Umbercrypt dal link in basso:

DOWNLOAD | Decrypter per Hydracrypt ed Umbercrypt (Emsisoft)

Copiatelo sul desktop, dopodiché trascinate al suo interno (come da immagine in basso) un file cifrato con la relativa copia originale recuperata eventualmente da un backup; in mancanza di quest’ultima, potrete procedere usando un file cifrato ed un’immagine qualunque scaricata da Internet (l’ultimo metodo allungherà un po’ il processo di recupero chiave).

decrypter

Ora dovrete pazientare: il software cercherà di recuperare la chiave (potrebbe impiegare ore o addirittura qualche giorno) e, una volta terminata l’operazione, ve la mostrerà in una finestra di dialogo. 

Recuperare dati criptati

Annotate la chiave per sicurezza, dopodiché fate click su “Ok” per aprire il decrypter vero e proprio:  qui potrete inserire le cartelle contenenti i file da decriptare, oltre che i singoli file. Vi consigliamo, onde evitare perdite di tempo, di verificare l’effettivo funzionamento del decrypter su una piccola quantità di file.

Anche il processo di decifratura completa può durare ore o giorni, a seconda della portata dei dati.

Teslacrypt

Teslacrypt è un ransomware mirato che ha fatto tremare una precisa categoria di utenti: i gamer. Esso infatti, prima ancora di cercare documenti ed altri file importanti, è stato programmato per criptare file relativi ad oltre 40 giochi estremamente diffusi – tra cui Call Of Duty, Minecraft e World of Warcraft.

Neppure a dirlo, per ottenere la chiave utile a decriptare i file c’è bisogno di un bel pagamento in BitCoin:

Recuperare dati criptati - TeslaCrypt

Fortunatamente, con un po’ di lavoro, alcuni ricercatori sono stati in grado di violare l’algoritmo di creazione della chiave e creare quindi un decrypter, almeno per alcune categorie di file. Il ransomware TeslaCrypt è stato definitivamente sconfitto poiché i criminali alle sue spalle hanno reso pubblica la Master Key, dunque tutti i file criptati da tutte le versioni possono essere recuperati.

Recuperare dati criptati dal ransomware Teslacrypt

Con il software che stiamo per suggerirvi è possibile decifrare file alterati con versioni di Teslacrypt dalla  0.3.4a to 2.2.0 e con estensione ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv. Va detto però che si tratta di una procedura abbastanza complessa e macchinosa, pertanto se non siete abbastanza “navigati” potreste aver bisogno dell’assistenza di un esperto.

Il software per recuperare i dati criptati da Teslacrypt può essere scaricato dal link in basso: è fondamentale seguire alla lettera le istruzioni presenti nel file instructions.html, reperibile all’interno dell’archivio.

DOWNLOAD | Tesla Decoder

Ma c’è una notizia ancora migliore: ESET ha reso disponibile lo strumento per decriptare tutte tutti i file criptati da tutte le versioni di TeslaCrypt. Troverete maggiori informazioni, oltre che il link per il download, nel nostro articolo dedicato:

teslacrypt
Il ransomware Teslacrypt è stato sconfittoI criminali alla base del dannoso malware hanno reso pubblica la master key: tutti i file cifrati possono essere decriptati!
Internet

Petya Ransomware

Petya, diversamente dai ransomware analizzati fino ad ora, prende il possesso dell’intero MBR del sistema operativo e cripta la tabella MFT, rendendo di fatto illeggibili i file ed i propri attributi e rendendo inavviabile il sistema operativo a meno che non si paghi il riscatto per decifrare il tutto.

Recuperare dati criptati - Petya

La modalità d’azione è semplice: una volta contratto, il ransomware provoca un BSOD in Windows costringendo l’utente a riavviare il sistema; fatto ciò il sistema “simula” una sorta di analisi del disco, analisi che in realtà altro non è il processo di cifratura di MBR ed MFT. Completata la “scansione” fasulla, il danno è fatto. Chiaramente i sistemi EFI che non utilizzano la modalità legacy (ed il cui disco è quindi partizionato con tabella GPT) non sono vulnerabili.

parted
Verificare se il disco usa MBR o GPTDue semplici metodi per Windows e Linux che permettono di scoprire il tipo di tabella delle partizioni del disco
Guide
    programmi windows

Già prima che fosse sviluppato uno strumento per la decifratura dei file, grazie ad alcuni accorgimenti era possibile limitare i danni: per natura, Petya non è in grado di cifrare il file prima che il riavvio di fatto avvenga, dunque è sufficiente disattivare il riavvio automatico dopo schermata di errore e collegare il disco colpito su un altro dispositivo per copiare i file importanti.

WP 20140120 15 51 31 Pro
Disabilitare il riavvio automatico di Windows 8.1 dopo un BSODIl sistema operativo non vi dà il tempo di leggere le sue adorate schermate blu della morte? Ecco come risolvere!
Windows
    windows 10

Inoltre, nonostante la cifratura i file potrebbero essere recuperati anche in buona parte – a meno degli attributi – con software come Photorec.

hard disk rotto
Hard Disk rotto o danneggiato: recuperare i datiIl vostro computer non funziona e avete dati importanti da salvare? Ecco come recuperare file da un PC o hard disk rotto o danneggiato!
Hardware

Recuperare dati criptati da Petya Ransomware

Premesso ciò, grazie a Bleepingcomputer – il cui staff è stato in grado di pescare una vulnerabilità nel ransomware – è ora possibile decifrare i file criptati da Petya. Sebbene il processo non sia molto semplice, lo staff mette a disposizione numerosi strumenti ed un esauriente tutorial per procedere alla decifratura. Potrete trovare il tutto direttamente nel link in basso!

LINK | Decrypt Petya-crypted files

CryptXXX

Recuperare dati criptati - CryptXXX

Recentemente, alcuni ricercatori hanno scoperto un ransomware nuovo che usa Angler per infettare i dispositivi Windows: poiché i criminali che l’hanno creato non gli han dato nome, è stato chiamato CryptXXX.

Il funzionamento è piuttosto “curioso”, poiché i file non vengono criptati subito dopo l’infezione ma solo dopo qualche tempo, così da confondere le vittime e rendere difficile comprendere da dove si è contratto il malware. Tra l’altro, ruba anche i bitcoin conservati negli hard disk delle vittime e copia altri dati che possono tornare utili ai cybercriminali.

Dopo aver cifrato tutto, vengono creati tre file: uno di testo, un’immagine e una pagina web HTML. L’immagine viene impostata come sfondo del desktop, la pagina HTML aperta nel browser ed il file di testo resta lì per “ulteriori riferimenti”. Tutti e tre avvisano l’utente che i file sono stati cifrati con RSA4096 e danno le istruzioni per pagare il riscatto. 

Recuperare dati criptati dal ransomware CryptXXX

Fortunatamente, i ricercatori di Kaspersky sono riusciti a trovare una vulnerabilità – la medesima di Rannohe, un altro ransomware – e perfezionare il tool per la rimozione di quest’ultimo, rendendolo compatibile anche con CryptXXX e in grado di decifrare i suoi file. Potrete scaricarlo dal link in basso, avendo la cura di eliminare i file criptati soltanto quando sarete certi che la decifratura è avvenuta correttamente.

DOWNLOAD | RannohDecryptor per CryptXXX (Kaspersky)

Alpha Ransomware

alpha-ransomware

Si tratta di un ransomware piuttosto recente che ha mietuto un numero di vittime relativamente moderato, la cui metodica d’azione è però piuttosto strana: la cifratura dei file avviene in modo selettivo, su esattamente 249 estensioni sparse tra il disco di sistema, il Desktop, la cartella Immagini e la cartella Cookie. Su tutti gli altri dischi Alpha cifra invece tutti i file fatta eccezione per quelli con estensione .INI, mentre cifra tutti i file contenuti nelle cartelle condivise.

L’estensione dei file cifrati viene modificata in .encrypted, l’algoritmo è a cifratura AES-256 ed in ogni cartella d’azione viene lasciato un file di testo contenenti le istruzioni per pagare il riscatto. I criminali alle spalle di Alpha richiedono (ingenuamente, poiché tracciabile) pagamento in gift card per iTunes e non in Bitcoin come di consueto.

Una volta completata la cifratura, lo sfondo del desktop viene modificato ed il ransomware si elimina da solo, lasciando cifrati i file.

Recuperare i dati criptati da Alpha Ransomware

Dopo aver trovato una vulnerabilità nel sistema di cifratura, alcuni ricercatori ed hacker white hat sono riusciti a creare un software che possa decifrare i file criptati da Alpha Ransomware. Il tool, che è scaricabile dal sito Bleeping Computer, può decifrare in un tempo variabile i file cifrati dal ransomware Alpha con un buon margine di successo.

Tuttavia il tool proposto sembra essere una variante del trojan Razy se passato in scansione su Virus Total; tuttavia i suoi creatori, che hanno già realizzato con successo numerosi (e non infetti) decryptor, spiegano che si tratta di un falso positivo causato dall’offuscamento del codice sorgente. Dunque, se siete stati infettati da Alpha, potrete scaricare ed usare il tool in tutta sicurezza poiché è sicuro al di là delle apparenze.

DOWNLOAD | Alpha Decrypter (Bleeping Computer)

Altri ransomware

Se siamo caduti vittima di un ransomware che non è nella lista, possiamo consultare il sito NoMoreRansom che, con cadenza regolare, rende disponibili alcuni strumenti per recuperare i dati criptati dai ransomware più noti (e ovviamente già smantellati).

E Cryptolocker?

Purtroppo per noi, Cryptolocker è ancora il ransomware più diffuso – e ovviamente il più duro a morire; per la “versione originale” del 2013 è possibile richiedere gratuitamente un software di decifratura poiché la botnet è stata smantellata diversi mesi fa, tuttavia quest’ultima è praticamente sparita ed ha lasciato il posto a ransomware della medesima famiglia ma con algoritmi diversi, ad oggi rimasti purtroppo inviolati.

Stessa cosa vale per il famigerato CTB-Locker.

Duole sempre dirlo, ma beccare un ransomware come questo lascia poco spazio a soluzioni “pulite”: recuperare dati criptati da Cryptolocker e CTB-Locker è ad oggi impossibile, bisogna sempre sperare di avere un backup recente dei dati a portata di mano (e di non avere il dispositivo che lo contiene collegato in alcun modo alla macchina infetta), altrimenti il danno è – almeno per il momento – irreversibile.

mbar risultato
Malwarebytes presenta il suo anti-ransomwareSi tratta di un software gratuito seppur ancora in stadio beta
Windows
    programmi windows

Ovviamente a meno di non pagare il riscatto, tuttavia ciò – che noi assolutamente sconsigliamo – non fa altro che alimentare questo tipo di criminalità, restando intrappolati in un enorme circolo vizioso; tra l’altro, nessuno garantisce che i malintenzionati terranno fede alla parola data.

Caricabatterie Nintendo Switch: i migliori da comprare

37 minuti fa

In questa guida vi proponiamo i migliori caricabatterie Nintendo Switch disponibili attualmente sul mercato. La console della famosa azienda nipponica può essere utilizzata sia come console portatile che come console da soggiorno. In entrambi i leggi di più…

caricabatterie nintendo switch 2

Accordare strumenti a corda: le migliori app da usare

3 ore fa

Le applicazioni per smartphone e tablet hanno indubbiamente sostituito tantissimi strumenti e dispositivi esterni di cui ovviamente prima non si poteva fare a meno. Uno fra questi è ad esempio l’accordatore di strumenti a corda, leggi di più…

Accordare strumenti a corda: le migliori app da usare

Monitor per Mac Mini: i migliori da comprare

13 ore fa

In questa guida vi aiuteremo a scegliere il miglior monitor per Mac Mini perfetto per voi. Inoltre, vi proporremo i migliori modelli disponibili attualmente in commercio. Prima di procedere all’acquisto di un prodotto di questa leggi di più…

monitor per mac mini 2

Nintendo Switch vs Switch Lite: quale è giusta per me?

13 ore fa

Nintendo Switch e Switch lite non hanno attualmente rivali; le console di casa Nintendo sono uniche nel loro genere e permettono di giocare sia in mobilità che tranquillamente a casa. Nonostante queste due console della leggi di più…

Nintendo Switch vs Switch Lite quale comprare

Autoradio con Android Auto: le migliori da comprare

14 ore fa

Visto che avete un dispositivo Android, vorreste utilizzarlo con la massima sicurezza mentre siete alla guida. Per questo state cercando un’autoradio con Android Auto. All’interno di questa nuova guida d’acquisto abbiamo deciso di elencarvi quelle leggi di più…

Autoradio con Android Auto: le migliori da comprare

Iscriviti alla Newsletter

Articoli recenti

  • Caricabatterie Nintendo Switch: i migliori da comprare
  • Accordare strumenti a corda: le migliori app da usare
  • Monitor per Mac Mini: i migliori da comprare
  • Nintendo Switch vs Switch Lite: quale è giusta per me?
  • Autoradio con Android Auto: le migliori da comprare
  • Chi siamo
  • Lavora con noi
  • Contattaci
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy