Abbiamo pubblicato in passato diversi articoli su CryptoLocker e sui virus che cifrano i dati del disco.
Se hai solo 60 secondi
- usare PhotoRec, leggi come.
- Usare Shadow Explorer, leggi come.
- Dropbox, leggi come.
Se hai più di 60 secondi
- ti è arrivata una email;
- hai aperto l’allegato;
- l’allegato (senza che tu lo sapessi) ha scaricato un virus;
- il virus ha cifrato (ossia reso illeggibili) tutti i tuoi dati, o buona parte;
- il virus ti chiede un riscatto (cioè un pagamento) per riavere indietro i tuoi file.
- se hai un backup valido, sei a posto, puoi ripartire;
- se non hai un backup, hai due possibilità:
- paghi, cedi al ricatto, fai contenti i disonesti e torni in possesso dei tuoi file;
- non paghi, ma non riavrai indietro i tuoi file.
Qui di seguito ti elenco tre tipi differenti di strade che è possibile percorrere
- Poiché alcune forme del virus cancellano i file leggibili e lasciano sul disco solo quelli illeggibili, potresti essere fortunato e con un programma per il recupero dei file cancellati tornare in possesso dei tuoi file, senza pagare il riscatto.
Uno di questi programmi si chiama PhotoRec e puoi utilizzarlo secondo questa procedura. - Alcune versioni del virus cancellano quelle che vengono chiamate copie Shadow, ossia copie di sicurezza fatte automaticamente da Windows.
Altre versioni però non le cancellano, quindi potresti essere fortunato e riuscire a recuperare qualcosa utilizzando un software che ti faccia vedere queste copie di sicurezza (se il virus non le ha cancellate).
Trovi la procedura in un mio articolo. - Ultimo, ma non meno importante, parliamo di Dropbox, il sistema per condividere file.
Se tu hai l’abitudine di mettere i tuoi file su Dropbox ti farà piacere sapere che conserva sia i file cancellati sia le modifiche apportate ai file per un periodo di trenta giorni.
Per scoprire come recuperare da Dropbox file vecchi e cancellati, ti suggerisco questo articolo.
Come evitare in futuro il problema
- backup: devi fare dei salvataggi dei dati in maniera regolare.
- Backup remoto: non solo devi fare i backup, ma ogni tanto (o spesso) devi mettere i dati in un posto remoto; perché i virus cifrano anche i backup di dischi USB collegati al computer.
Una buona soluzione potrebbe essere quella di mettere in qualche servizio cloud i file più importanti o quelli a cui tieni di più. - Salvare le immagini: se hai tante immagini, un posto sicuro dove mettere i file è Flickr che ti permette di caricare file fino a 1 TB… praticamente le immagini di una vita!
- Antivirus (sempre aggiornato).
- La vita virtuale è uguale a quella reale.
E’ necessario entrare nell’ottica che quello che può accadere nella vita “reale” può accadere anche nella vita “virtuale” dei computer.Se nella vita reale possono rubarti la macchina, nella vita informatica possono rubarti il PC o lo smartphone.
Se nella vita reale possono rubarti degli oggetti che hai in auto, nella vita informatica possono rubarti il contenuto del computer, cioè i file.
Se nella vita reale ti possono entrare i ladri in casa, nella vita informatica ti possono entrare i ladri sul computer.
Quindi la miglior difesa è usare il buon senso:
- perché aprire una email di un corriere se non hai mai fatto un ordine?
- Perché aprire una email e cliccare su un link di una sedicente banca quando puoi andare direttamente sul sito della banca senza passare dall’email?
- Perché fidarsi di qualcuno che via Skype ti manda un file con “le mie foto nude dell’estate”?
- Perché non fare una scansione antivirus per ogni oggetto che inserisci nel computer, anche se è la chiavetta USB di tuo fratello o di un tuo amico fidatissimo?
Buonasera ragazzi, oggi purtroppo sono incappato anche io in uno di questi virus.. Sono stati criptati tutti i file di sistema del server di lavoro ! Il primo ripristino utile di Windows risale al 06/09 e questo è un grandissimo problema .. La mole di dati criptati da recuperare non è tanta, saranno si è no 10 gb, ma sono dati di fondamentale importanza! Qualcuno che è già riuscito ad operare in merito mi può gentilmente aiutare ? Vi ringrazio anticipatamente.
@Diego: in tutto il blog proponiamo vari metodi per tentare una decriptazione.
Ti consiglio in primo luogo di cercare di capire quale variante ti è capitata. Puoi partire leggendo qui:
– Elenco dei malware
– Identificare il ransomware
Buongiorno
io sono tra quelli che hannobeccato il virus (da me non me lo sarei mai aspettato! sono molto prudente)
Ho recuperato il 99,9 per cento grazie ai files shadow. Ma ora che mi chiedo se avendo un file nelle due versioni (originale e criptato) e possibile risalire alla chiave di codifica
grazie
@Pippo: teoricamente avendo molto tempo a disposizione o macchine molto potenti è un processo che si può tentare di fare ma è sicuramente un processo lungo.
Buonasera a tutti, ormai sarà la decima volta che veniamo colpiti (una PA Locale) da un ransomware del tipo cryptolocker e finora siamo sempre riusciti a limitare i danni, le prime volte con una buona dose di fortuna, poi abbiamo cercato di fare prevenzione. L’anello debole sono gli account degli utenti e le condivisioni ai quali questi possono accedere, mi sento di suggerire le seguenti procedure: Shadow copy attivate sui server, NAS con directory di backup protetta con utente dedicato al Backup. Limitare il più possibile l’accesso degli utenti ai server, evitare comunque di utilizzare permessi generici del tipo "domain users" ma consentire ai singoli utenti l’accesso alle risorse strettamente necessarie. Per il backup utilizzo un batch che connette il NAS come unità di rete, lancia il programmino robocopy.exe con gli opportuni parametri e una volta finito il backup disconnette il NAS da unità di rete. In questo modo il NAS è inaccessibile salvo durante il backup ma sempre protetto da un utente specifico. Il batch vene schedulato giornalmente e settimanalmente con backup differenti. Sono stato un pochino prolisso ma spero possa essere utile. Un Saluto a tutti. Valerio
@Quarta: buongiorno e grazie per aver condiviso le sue "precauzioni".
Tutte condivisibili. Aggiungo la possibilità di eseguire Cryptoprevent sui client.
Ne abbiamo parlato diffusamente durante un webinar
@Deckard
Sono pienamente d’accordo! Da 10 anni mi sono convertito a Linux e di questi problemi ho solo amari ricordi e spesso mi trovo a dover risolvere i problemi di tante persone che incappano in questi problemi.
@Claudio Panerai
Sono d’accordo che lo standard di mercato è Windows, ma ormai è chiarissimo a tutti da tempo che i sistemi di casa Microsoft sono più deboli in questo senso e dunque sarebbe anche ora che i signori di Microsoft stravolgessero il loro modo di pensare il loro S.O. Dovrebbero ripartire da zero orientandosi su quelli che (almeno fino ad ora) sono più sicuri, ovvero sistemi Linux, Mac, BSD, ecc…
Le basi da sfruttare le avrebbero e mi chiedo per quale masochistica ragione rimangano bloccati in quella gabbia d’oro chiamata Windows mettendo a rischio miliardi di sistemi su tutto il globo.
Io per proteggere il Backup su Nas faccio in questo modo: sul Nas ristringo l’accesso ad un solo utente protetto da password, e uso le stesse credenziali per il backup di Acronis. In questo modo se digito \nas da Windows non entro, e il backup è protetto.
@L. : lei hai provate tutte e 3 quelle descritte nell’articolo?
Non ho mai pagato un riscatto per cui non ti posso rispondere io perché non ho esperienza diretta.
Hai provato su questo sito https://noransom.kaspersky.com/?
Buongiorno Claudio,
ma voi fate il servizio di recupero dei dati?
@Paolicchi: no, noi non facciamo questo tipo di servizio.
In che zona ti trovi? Forse possiamo segnalarti qualche azienda che ti puo’ aiutare…
Anche io volevo fare come "Gabrielli", penso sia la soluzione migliore, solo che vorrei usare un programma di copie free che permetta di autenticarsi e inviare notifiche in smtp….. Voi ne conoscete???
Ho provato con cobian ma non funziona l’autenticazione… Easeus free non fa smtp, il software synology una volta avviato abilità l’autenticazione anche a Windows (penso sia per questo che i synology sono stati presi di mira)
Grazie
X Gabrielli
Quale NAS usi?
Salve, mi pare di aver letto che i cryptovirus vadano a criptare solo i file con le l’estensioni tipiche dei dati (pdf,jpg,doc,ecc). Un backup con estensione iso oppure criptato, può essere a sua volta criptato da un attacco? Esiste un modo x emulare la strategia di backup assist, dove solo il software di backup ha accesso alle cartelle di backup, che risultano inaccessibili all’utente e quindi a un ipotetico virus?
@tripodi: tendenzialmente i virus criptano quello che trovano.
Se trovano una ISO, criptano la ISO- Se trovano un file criptato, lo criptano di nuovo.
Quanto a emulare backupassist, si dovrebbe fare un programma che impersonifica utenti differenti, si puo’ fare certo, ma se qualcuno lo ha già fatto ed è bello pronto da usare…
Oppure si potrebbe creare un utente backup (da cui lanciare il backup) o magari usare l’utente administrator già esistente, e impostare le policies in modo che sia l’unico utente a poter accedere in scrittura a quella cartella o partizione. Non so però se il programma di backup può partire secondo pianificato se è in esecuzione un account che non ha accesso alla cartella di backup….in quel caso bisognerebbe rinunciare alla pianificazione ed eseguirlo manualmente loggandosi con l’altro utente….mi sto scervellando x trovare la soluz migliore
Stavo pensando ad Acronis true image scegliendo come Acronis secure zone come destinazione dei backup e attivando la protezione con password. Oppure, volendo usare solo il cd di avvio, backup su partizione non mappata in windows.
Valerio Quarta 23 marzo 2016 ore 22:58
…. Per il backup utilizzo un batch che connette il NAS come unità di rete, lancia il programmino robocopy.exe con gli opportuni parametri e una volta finito il backup disconnette il NAS da unità di rete. In questo modo il NAS è inaccessibile salvo durante il backup ma sempre protetto da un utente specifico. Il batch vene schedulato giornalmente e settimanalmente con backup differenti. … Bella soluzione.
Avrei due domandine semplici ssemplici: a) cosa inserisci nel file batch
b) cosa contiene il file robocopy.exe.. scheduli nel senso che lo aggiungi alle operazioni pianificate?
grazie
Liam
non mi era mai stato chiesto, non mi era necessario, ma l’ altro gg un utente se lè preso. Gli ho dato la caccia, l’ ho studiato
questo non è assolutamente un virus ma un normalissimo programmino che vi inviano via mail, non si propaga, non vi ruba informazioni, non autovaria (se non il formato della mail), pialla i dati e sta li con il conto a rovescio che poi è il tempo prima che il server di chiavi si sposti in un’ altra nazione e non essere beccato.
Questi individui l’ hanno studiata benissimo, stanno in spiaggia e intanto gli si riempie il conto, non si possono beccare, bisognerebbe mettere insieme troppe forze ed in troppe nazioni, possono nascondersi in ogni luogo.
PS: a breve troveranno il modo che il distributore delle chiavi sia uno dei nostri client. Si divertiranno immensamente, l’ unica è stare svegli o non usare il pc, o non far passare allegati .exe, bat, cdm ecc ecc 🙂
Se un utente è accorto questo problema non capitera mai.
Usate linux e risolvete il 99% dei vostri problemi. Se insistete ad usare sistemi operativi fragili come Windows, che è pure a pagamento, non so proprio che dire, continuerete a lottare contro bugs, falle e security holes che a questo punto hacker e cracker fanno bene a sfruttare.
Buongiorno Claudio, dopo giorni di tribolazioni ho avuto la chiave di decodifica dal pirata.
Ora ho due cose da chiederti.
1.Terminato il decriptaggio del 98% dei file, mi sono rimasti tre grossi file ancora cifrati. Li inserisco nel programma di decodifica ma non mi generano la encoded key (non so se hai presente la procedura). di conseguenza l’apertura del file non avviene.
Non so se può esserti utile ma durante la procedura di decodifica, il programma si è arrestato sul file write.exe per ben due volte. Fino a che ho disinstallato definitivamente write.exe. Mi sembra strano ma può aver influito?
Ho a disposizione la chiave di decodifica ma non funziona. Mi puoi suggerire un’altra prova da fare?
2. Avendo una rete di 9 pc, voglio tutelarmi più possibile anche ricorendo a servizi da parte di un’azienda competente e specializzata (l’importante è che i dati non fuoriescano dalla mia azienda)
grazie
Fabio
Ciao, mi confermate che ad oggi non c’è possibilità di recuperare i file senza dover pagare??? Grazie
Ciao a tutti,
purtroppo anche un mio cliente è stato infettato da questo virus, ha deciso di pagare ed ho avviato tutta la procedura.
Ho effettuato il pagamento di 1.4 BTC alle 8.00 ma dopo 6 ore ancora non è arrivato nulla.
Come arriva questo il file per decriptare via email? se si a quale email, quella collegata al conto bitcoin?
Dopo quanto tempo arriva?
Saluti e grazie
Raffaele
@Crudele: non avendole dato noi l’eseguibile non sappiamo come aiutarla, mi spiace.
Quello che lei vorrebbe fare (e in parte ha già fatto) dovrebbe consentire di estrarre la chiave di decifratura ma poi dovrebbe affidarsi a un professionista per capire come riavere davvero i suoi file.
Più che un commento era una chiarezza su quanto mi è successo.
Un anno fa circa un mio amico mi chiamava e mi chiedeva come mai non riusciva più a vedere foto e documenti, premetto che allora io non conoscevo ancora questo virus,mi faccio mandare un file e scopro che il computer era stato infettato.
Dopo una ricerca su internet per una soluzione chiamo il mio amico e gli dico che purtroppo c’è poco da fare perché il pc è infetto.
Questo pc rimane spento per un anno e la settimana scorsa me lo porta e mi dice di salvagli tutti i file che gli interessavano anche se erano criptati e di formattare.
Accendo il pc e cosa strana tutti i file sono tornati ancora leggibili e le foto si visualizzano ancora tutte.
La mia domanda è cosa possa essere successo una cosa simile e cosa mi consigliate di fare con il pc, salvare tutto e formattare o fare pulizia con qualche tipo di antivirus.
Grazie.
Purtroppo nel mio caso anche il ripristino di sistema era disattivato, questo non mi permette di recuperare i file con Shadow Explorer, altre soluzioni?
@boccotti: non abbiamo mai sentito che i file siano ricomparsi da soli, per la verità.
Ad ogni modo se i file sono leggibili io consiglieri di fare un backup e quindi reinstallare il pc da zero, per rimuovere qualsiasi eventuale "impurità".
OK grazie Claudio
@boccotti: Grazie al mio collega Furio, abbiamo fatto qualche ricerca e in effetti c’è qualche versione di cryptovirus che dopo un po’ di tempo "rilascia" liberi i dati; un articolo lo trovi qui.
Grazie per la conferma, altrimenti cominciavo a non crederci nemmeno io.
Anche io ho avuto l’eseguibile per la decodifica dei files, il problema è che mi ha decodificato solo una piccola parte dei files criptati. Volevo sapere se era possibile, avendo copia del eseguibile, di riuscire ad estrapolare la chiave di decodifica in qualche modo (magari con un programma di disassembler per leggere all’interno dell’exe). Vi auguro un buon Natale e spero di risolvere questa angosciante situazione.
E’ possibile risalire alla chiave di decodifica avendo il tool di decriptaggio a disposizione (purtroppo il tool ha decriptato solo una piccola parte dei files bloccati) magari sando un software di disassembler per leggere all’interno dell’exe? Saluti e buon Natale a tutti.
Va detto e ridetto una volta dentro il virus la frittata e fatta. o si butta tutto o si paga. PUNTO.
penso di rivolgermi ad una struttura seria che mi aiuti in questo per il futuro perché la cosa si è ripetuta per ben tre volte. dico tre. come entra è pressoché ignoto. la mail… un click di troppo …. il fatto è che entra e nulla puo fare un backup perché anche questo viene danneggiato. per chi ha pochi files il problema nn si pone ma per chi ne ha tanti e deve necessariamente attivare un sistema automatico e quindi "automaticamente" entra nel backup. e anche qui punto. magari qualche variante del virus non scova proprio tutto ignorando qualche servizio could, ma permettetemi…. sarà inserito nella prossima versione del virus. I sistemi antivirus praticamente non servono. se qualcuno riesce a smentirmi, mi dia il nome del software che lo acquisto subito, ringraziando di cuore. Il quadro è serio e questa volta, non ce la si cava con un staro più attento ad aprire le mail o farò il backup tutti i giorni.
Giorgio I.
Buongiorno Sig. Claudio, volevo porre un quesito:
Io ho a disposizione l’eseguibile rilasciato dal criminale (purtroppo dopo svariate prove e contatti o dovuto cedere per recuperare i file), il problema è che il programma in questione ha ripristinato una parte dei file criptati,alcune cartelle sono rimaste con i file all’interno ancora bloccati. Essendo che il software funziona perchè tantissimi file li ha decriptati, è possibile aprire l’eseguibile per carpire la key da utilizzare successivamente con un altro software? (io ho aperto l’eseguibile con un programma di disassembler e ho trovato diversi riferimenti alla crytpo key all’interno, solo che non saprei dove mettere mano) Grazie e buona giornata
Caro Giarratana potresti firmi come hai se criptato i file? Dietro pagamento o altro? Grazie
ho copiato i files di un mio cliente da un pc infetto con questo dannato virus, ho usato un piccolo programma che si chiama "shadow explorer" , lo trovate su http://www.shadowexplorer.com/ , ha funzionato perfettamente, fa la copia dei file shadow e i files copiati non sono cryptati , ovviamente togliete il virus prima usando malwarebyte o simili , poi fate partire il pc i safe mode , buon recupero . 🙂
@Deckard: tecnologicamente sono d’accordo con te. "Socialmente" un po’ meno. Ossia è vero quello che dici, ma per mille motivi lo standard di mercato è Windows, la gente usa Windows e vuole risolvere i problemi che ha con Windows.
Ai tempi dei videoregistratori c’erano due sistemi, VHS e Betamax. Betamax era tecnologicamante superiore, ma ha preso piede l’altro sistema…Occorre anche fare i conti con i dati di fatto del mercato.
@greco: sono contento che tu abbia recuperato i file con l’ottimo Shadow Explorer. Alcune varianti dei virus, purtroppo, cancellano i file che Shadow Explorer va a recuperare per cui la strada indicata da te va tentata ma non è sicuro che sia sempre percorribile.
Potrebbe essere utile usare anche una macchina virtuale,,il virus non riesce ad installarsi su macchina virtuale
@Antonacci: mi spiace che tu ti sia trovato in questa situazione.
Nell’articolo spiego come usare Photorec e come recuperare qualcosa con DropBox.
I backup che hai fatto vengono comunque attaccati da criptoloker così come le chiavette.
Prova a recuperare quello che riesci..
Non so che lavoro tu faccia, ma io ti consiglio, per il futuro:
– concentrati sul tuo lavoro (che non è il backup)
– contatta un fornitore di servizi IT serio e affida a lui i servizi
– affidati ad antivirus all’avanguardia, come Webroot (www.achab.it/webroot)
P.S.
Se mi dici dove stai provo a consigliarti qualcuno nella tua zona.
Certoche dovrai pargarlo, ma ti eviterai i mal di pancia come quello che stai vivendo ora.
Ciao Claudio, oggi è toccata a me la triste vicenda di incappare in questo virus, naturalmente sono stato incauto ad aprire quella maledetta mail che, a differenza di tutte le altre false, aveva tutte le sembianze di una mail con una fattura reale ( premetto che ricevo ogni giorno fatture via mail ), italiano perfetto, un nome che anche la mia impiegata pensava di aver già sentito, invece no……è stata una bella fregatura!!! Appena ho aperto il file ho cominciato a vedere che qualcosa andava storto e mentre vedevo in pochi secondi che diversi file cambiavano icona, é intervenuto Microsoft Security Essentials grazie al quale "AVREI" rimosso l’Applicazione, comunque non sicuro di aver bloccato il virus ho spento il pc. Io sono solito fare diversi Backup ( chiavetta USB, Hard Disk esterno, Dropbox, Google Drive ). L’ultimo backup sull’Hard disk esterno risale purtroppo a 3 settimane fa, Google Drive invece a 2 giorni fa mentre la chiavetta era aggiornata al momento dell’attacco; per quanto riguarda Dropbox non lo aggiorno da molto in quanto è pieno, visto che i dati di lavoro raggiungono quasi 7Gb. Il problema è che il virus ha attaccato prima il Pc, poi la chiavetta ( la più aggiornata ) e, non so come, ha attaccato anche Dropbox e Google Drive. Quest’ultimo è stato meno danneggiato rispetto agli altri ed ora sto cercando di scaricare tutto ciò che si è salvato, anche se è molto lento e sembra che alcuni file non me li stia scaricando, in quanto durante il Download ho letto il messaggio di errore per alcune migliaia di file ( non capisco perchè). Diciamo che l’Hard Disk esterno è l’unico che si è salvato, visto che non era collegato al momento dell’attacco, però mi toccherà rielaborare tutto il lavoro delle ultime 3 settimane, o quasi, visto che qualcosa credo di recuperare tra la chiavetta e Google Drive. Ora vorrei provare con PhotoRec a recuperare i dati della chiavetta ( in quel caso sarei completamente salvo ). Premetto che lavoriamo con 2 Pc collegati in rete domestica ed utilizziamo la chiavetta come prima fonte in cui inserire tutti i dati, e da quest’ultima facciamo poi i vari Backup ( abbiamo preso questa decisione dopo un paio di volte che al Pc principale si è bruciato l’hard disk interno con relativa perdita di dati). Il dilemma più grande per me è che non sono sicuro che il virus sia stato completamente rimosso tramite Microsoft Security Essentials e quindi non so se accendere quel Pc oppure no.
Cosa mi consigli?
Grazie anticipatamente.
@Convertito 11 febbraio 2015 ore 17:49
ho attivato lo screening dei files sul dominio ed ho bloccato la creazione/copia di tutti i files con estensione *.*crypt*.
Come e dove si fa?
Inoltre ho anche attivato, tramite group policies, il blocco dei files *.exe presenti nella cartella %APPDATA% e sottocartelle.
Infatti, i normali programmi installano i propri eseguibili in %PROGRAMFILES% e spesso i malware hanno solo la %APPDATA% come cartella con i premessi di installazione.
Come e dove si fa?
Saluti.
@fetta: mi fa piacere che l’articolo ti sia stato utile!
grazie per la risposta. gentilissimi
Ho preso il virus in questione. Da qualche tempo lavoro con i cloud: ho almeno l’85% dei file importanti su Dropbox, grazie al quale, usando il metodo descritto, sono riuscito ad avere praticamente tutto il maltolto! Che dire? Grazie per l’articolo, chiaro ed esaustivo! Un saluto a tutti.
salve. mi collego agli altri che hanno fatto la stessa domanda. a me non interessa recuperare i file perché, fortunatamente, ho formattato il pc da poco ed ho solo due documenti word. voglio però eliminare il virus. sapreste indicarmi come fare? grazie
Fare backup sui NAS in rete locale non solo si può ma si deve, se si utilizzano programmi che eseguono il backup in modo automatico che creano archivi ZIP propietari a loro volta criptati (Cobian). questi file dopo l’azione del virus hanno la classica estensione dei file criptati da Cryptolocker ma è sufficente eliminarla e sono perfettamente utilizzabili.
Buongiorno a tutti,
purtroppo ho avuto anche il problema di questo virus. Sono riuscito fortunatamente a recuperare quasi tutto con le Versioni precedente di Windows.
La mia domanda è questa: come faccio per rimuovere completamente il virus? cioè ho fatto una scansione con Microsoft Security Essential e mi ha trovato dei file infetti che sono stati rimossi ma per esperienza purtroppo so che se non elimini completamente il virus ci potrebbero essere degli eseguibili che rigenerano il virus.
voi che antivirus mi consigliate?
grazie
@buzz
Mi puoi spiegare come fare il backup con coniano. Io lo uso normalmente … Copio i files su un nas… Non ho capito la Tua procedura è scherzo funziona in caso di attacco di virus crypt.
Grazie