Abbiamo pubblicato in passato diversi articoli su CryptoLocker e sui virus che cifrano i dati del disco.
Questo articolo vuole fare chiarezza su quello che si può o non si può fare per recuperare i dati una volta che sono stati criptati.
Esiste la soluzione per CryptoLocker, CBT-Locker e CryptoWall?

Se hai solo 60 secondi
 
Il problema
 
Hai preso un virus bestiale e ti ritrovi con i file illeggibili e una bella schermata che ti chiede di pagare un riscatto per riavere indietro i tuoi file.

La (NON) soluzione
 
In linea di massima NON c’è soluzione. Devi considerare persi per sempre i tuoi dati. Fai finta che il tuo PC sia andato sotto uno schiacciasassi.
Se paghi il riscatto riottieni i file ma cedi al ricatto dei malfattori (che usano sistemi anonimi, anche per il pagamento, e quindi non possono essere rintracciati).
Se hai un backup pulito, senza dati cifrati dentro, sei a posto: basta che recuperi i dati dal backup.
Se non paghi il riscatto NON c’è modo di riottenere i tuoi file, tutto quello che puoi fare è qualche tentativo come illustrato qui sotto.
 
I tentativi che puoi fare
 
Premesso che le speranze di recuperare i dati sono poche, ci sono tre strade per tentare un recupero:
 
  1. usare PhotoRec, leggi come.
  2. Usare Shadow Explorer, leggi come.
  3. Dropbox, leggi come.

Se hai più di 60 secondi
 
Se vuoi prenderti un attimo di tempo in più per capire cosa è successo effettivamente e come evitare in futuro questo problema eccoti qualche informazione più dettagliata.
 
Il problema
 
Un bel giorno ti compare una schermata che ti dice che i tuoi dati (file) sono stati criptati e non saranno più accessibili finché non paghi un riscatto.
La prima sensazione è di sgomento. La seconda è di incredulità, poi rabbia e infine impotenza.

Quello che è successo (e non sei l’unico perché è successo a migliaia di persone) in genere è questo:
 
  • ti è arrivata una email;
  • hai aperto l’allegato;
  • l’allegato (senza che tu lo sapessi) ha scaricato un virus;
  • il virus ha cifrato (ossia reso illeggibili) tutti i tuoi dati, o buona parte;
  • il virus ti chiede un riscatto (cioè un pagamento) per riavere indietro i tuoi file.
E adesso ti stai chiedendo come fare a recuperare i file che il virus ti ha criptato, ossia ha reso illeggibili.
 
La (NON) soluzione
 
Lo so che in te covano rabbia, frustrazione e sgomento, ma la verità è l’unica cosa che ti dirò.
Se non hai un backup valido, NON riavrai indietro i tuoi file a meno che non paghi.

Lo dico in altre parole:
 
  • se hai un backup valido, sei a posto, puoi ripartire;
  • se non hai un backup, hai due possibilità:
    • paghi, cedi al ricatto, fai contenti i disonesti e torni in possesso dei tuoi file;
    • non paghi, ma non riavrai indietro i tuoi file.
Una volta che i dati sono cifrati non c’è modo di riportarli alla luce se non si possiede la chiave giusta per decriptarli (renderli nuovamente leggibili).
La chiave per decifrare i dati si può ottenere solo pagando il riscatto.
Ma c’è una speranza.
 
Tentativi che puoi fare per recuperare i dati
 
Nonostante la situazione nera che ti ho descritto, c’è qualche tentativo che si può fare e che forse vale la pena di fare.
Diciamo subito che questi virus che criptano i dati sono stati messi in giro in tantissime varianti differenti.
Questo vuol dire che ogni virus di questo tipo si può comportare in maniera leggermente differente da un virus molto simile.
Quindi è possibile che una procedura di ripristino vada bene per un computer ma non funzioni altrettanto bene per altri, in base alla “forma” di virus che è stata presa.

Qui di seguito ti elenco tre tipi differenti di strade che è possibile percorrere

 
  1. Poiché alcune forme del virus cancellano i file leggibili e lasciano sul disco solo quelli illeggibili, potresti essere fortunato e con un programma per il recupero dei file cancellati tornare in possesso dei tuoi file, senza pagare il riscatto.
    Uno di questi programmi si chiama PhotoRec e puoi utilizzarlo secondo questa procedura.
  2. Alcune versioni del virus cancellano quelle che vengono chiamate copie Shadow, ossia copie di sicurezza fatte automaticamente da Windows.
    Altre versioni però non le cancellano, quindi potresti essere fortunato e riuscire a recuperare qualcosa utilizzando un software che ti faccia vedere queste copie di sicurezza (se il virus non le ha cancellate).
    Trovi la procedura in un mio articolo.
  3. Ultimo, ma non meno importante, parliamo di Dropbox, il sistema per condividere file.
    Se tu hai l’abitudine di mettere i tuoi file su Dropbox ti farà piacere sapere che conserva sia i file cancellati sia le modifiche apportate ai file per un periodo di trenta giorni.
    Per scoprire come recuperare da Dropbox file vecchi e cancellati, ti suggerisco questo articolo.

Come evitare in futuro il problema
 
Se ti sei scottato con questo tipo di virus, è necessario imparare dai propri errori.
Perché in effetti se mi entrano i ladri in casa è vero che sono loro i disonesti, ma se io non chiudo la porta a chiave un pizzico di responsabilità è anche mia.

Per evitare in futuro questo problema mi sento di suggerire una serie di “buone azioni” da mettere in atto:
 
  • backup: devi fare dei salvataggi dei dati in maniera regolare.
  • Backup remoto: non solo devi fare i backup, ma ogni tanto (o spesso) devi mettere i dati in un posto remoto; perché i virus cifrano anche i backup di dischi USB collegati al computer.
    Una buona soluzione potrebbe essere quella di mettere in qualche servizio cloud i file più importanti o quelli a cui tieni di più.
  • Salvare le immagini: se hai tante immagini, un posto sicuro dove mettere i file è Flickr che ti permette di caricare file fino a 1 TB… praticamente le immagini di una vita!
  • Antivirus (sempre aggiornato).
  • La vita virtuale è uguale a quella reale.
    E’ necessario entrare nell’ottica che quello che può accadere nella vita “reale” può accadere anche nella vita “virtuale” dei computer.

    Se nella vita reale possono rubarti la macchina, nella vita informatica possono rubarti il PC o lo smartphone.

    Se nella vita reale possono rubarti degli oggetti che hai in auto, nella vita informatica possono rubarti il contenuto del computer, cioè i file.

    Se nella vita reale ti possono entrare i ladri in casa, nella vita informatica ti possono entrare i ladri sul computer.

    Quindi la miglior difesa è usare il buon senso:
    • perché aprire una email di un corriere se non hai mai fatto un ordine?
    • Perché aprire una email e cliccare su un link di una sedicente banca quando puoi andare direttamente sul sito della banca senza passare dall'email?
    • Perché fidarsi di qualcuno che via Skype ti manda un file con "le mie foto nude dell’estate"?
    • Perché non fare una scansione antivirus per ogni oggetto che inserisci nel computer, anche se è la chiavetta USB di tuo fratello o di un tuo amico fidatissimo?
Concludo invitandoti a diventare parte attiva e impegnata nella salvaguardia dei tuoi dati.
Cioè, se i dati sono tuoi, sei tu che ti devi attivare per proteggerli!

Se c’è in giro qualche disonesto, questo non ti autorizza a non proteggere i tuoi dati, perché è tuo interesse farlo.