Cybersecurity

Recuperare i file criptati da CryptoLocker, CryptoWall, TeslaCrypt e i ransomware: tutta la verità

13 Aprile 2016

Il problema
Hai preso un virus bestiale e ti ritrovi con i file illeggibili e una schermata che ti chiede di pagare un riscatto per riavere indietro i tuoi file.
 
Perché è un problema così grave e difficile da risolvere?
Il virus che hai preso, probabilmente un è CryptoLocker, un CryptoWall un TeslaCrypt o un derivato che appartiene ai virus che criptano i dati (i cosiddetti ransomware).
Dopo che questi virus passano sui tuoi file, i file non sono più leggibili.
 

Immagina come se tutto il tuo disco del computer fosse un puzzle composto da due pezzi: un pezzo lo hai tu, sul tuo disco fisso, ma l’altro pezzo è segreto, nascosto, e lo ha solo il creatore del virus.

 
Quindi per rivedere il puzzle completo ti servono entrambi i pezzi.
Non solo: le varianti di questi virus hanno fatto in modo che ogni puzzle fosse diverso dagli altri quindi il problema non è un virus diffuso su migliaia di macchine ma si tratta a tutti gli effetti di migliaia di virus diversi, anche se sono tutti accomunati da caratteristiche simili.
 

Se vuoi rivedere il puzzle intero (ossia tutto il disco con i tuoi dati) è NECESSARIO recuperare il pezzo segreto che possiede solo il “pirata” che ti ha infettato con il suo specifico virus.
Per questo è così difficile riavere i propri dati.

 
 
 

Esiste una soluzione legale per riavere indietro i propri dati?
Ma quindi, chiederai tu, se non contatto il pirata, cioè se non pago il riscatto, devo per sempre dire addio ai miei dati?
Purtroppo spesso si, ma c’è qualche strada perfettamente legale che puoi percorrere.
 
Programmi per recuperare vecchie copie dei tuoi dati
Queste soluzioni in genere sono dei software che tentano di recuperare delle vecchie copie dei tuoi dati, prima di essere cifrati dal virus.
La maggior parte di questi software sono gratuiti e nemmeno troppo difficili da usare.
Tuttavia se non hai dimestichezza con il computer, è meglio lasciar fare a un esperto.
 
Se vuoi provare questa strada, ecco qualche suggerimento:

  • Recuperare i tuoi dati dopo un CryptoVirus: una possibilità è dentro Windows stesso, con l’aiuto di ShadowExplorer. Maggiori informazioni
  • Come recuperare i tuoi file da Dropbox anche se CryptoLocker ti ha cifrato tutto. Maggiori informazioni
  • Ultima spiaggia per recuperare i dati dopo che è passato CryptoLocker o un CryptoVirus, usando PhotoRec. Maggiori informazioni

  
Servizi online e siti per decrittare i tuoi dati
La rete è ricca di siti che promettono di decrittare i tuoi dati, con servizi più o meno a pagamento.
Alcuni di questi sistemi sono stai creati in collaborazione con le forze dell’ordine internazionali: durante qualche intervento sulle tracce degli hacker, qualche pirata informatico è stato scoperto e quindi si è potuto venire in possesso delle chiavi per decriptare alcuni file.
Per tornare all’esempio del puzzle iniziale diciamo che in alcuni casi è stato trovato il secondo pezzo del puzzle.
Naturalmente, come ho detto prima, poiché le varianti di questi virus sono in numero elevato, non è detto che il servizio che risolve il problema a te lo risolva anche a un tuo collega o conoscente.
La maggior parte di questi siti e servizi sono gratuiti.
 
Se vuoi provare questa strada, ecco qualche suggerimento.
 
  
Ma perché ci sono tanti servizi a pagamento?
Te lo spiego subito: in primo luogo tutte le tecniche illustrate sopra e i servizi devono in ogni caso essere utilizzati, verificati, valutati… e tutto questo richiede tempo.
Se un consulente informatico studia questi siti e questi programmi, investe del tempo che poi vuole farsi ripagare per il servizio di decrittazione dei file.
In secondo luogo purtroppo c’è qualche truffatore che, anche se non può fare nulla per ridarti i tuoi file, si fa pagare e poi sparisce.
Occorre quindi stare sempre attenti e non abbassare mai la guardia.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (1)
guest
1 Commento
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Andrea Martini
Andrea Martini
6 anni fa

Salve. Segnalo solamente una cosa. Dopo infezione con cryptolocker ho tentato decrittazione con RakhniDecryptor. Dopo qualche tentativo sembrava aver trovato la password… e dopo ore ed ore di speranzosa attesa mi sono trovato con tutti i file decrittati ma illeggibili.
Quindi attenzione!!
Se volete provarlo comunque ricordate di smarcare la voce che dice di cancellare i file criptati dopo il trattamento!!
Per curiosità è mai successo a qualcun altro?