Recuperare i file crittografati, in molti casi, non è (ancora) possibile.
In questo post cerchiamo di raccoglierne il più possibile, tra quelle disponibili oggi.
Il primo consiglio è comunque di conservare i file crittografati che consideriamo importanti e non ricreabili: è possibile che in futuro una soluzione arrivi. E’ come se avessimo messo i nostri valori in una cassaforte di cui qualcuno ha cambiato la combinazione. Non butteremmo via la cassaforte, in questo caso, no?
Non dimentichiamoci poi di copiare anche eventuali file (ad esempio di istruzioni) creati dal virus: possono essere determinanti per isolare la tipologia e la versione del ransomware.
Di seguito troverai un elenco di virus, con le caratteristiche salienti (in modo da capire quale infezione ti ha colpito), eventuali comportamenti peculiari del virus e, se disponibile, il link a un articolo che tratta del tool di decrittazione.
Raccomando di leggere attentamente l’articolo linkato, per assicurarti che la decrittazione non introduca altre problematiche (ad esempio rischi di corrompere i file, come nel caso di HydraCrypt).
L’elenco non può ovviamente essere esaustivo, in quanto le tipologie e le versioni di ransomware che circolano sono moltissime.
L’idea è di tenere traccia delle metodologie di decrittazione disponibili ed aggiornarle, in modo da avere un prontuario di possibili soluzioni.
Il nostro impegno è provare a tenere aggiornata questa lista (aggiungendo voci a questo articolo o creandone altri) quando nuove procedure vedono la luce, ma ci piacerebbe che eventuali lacune ci fossero segnalate nei commenti.
Abbiamo linkato articoli prevalentemente in inglese per fornire le fonti più esaurienti. Per alcuni decrittatori sono disponibili online anche istruzioni in italiano, facilmente reperibili su Google usando chiavi di ricerca prese dagli articoli stessi.
Attenzione però all’autorevolezza e alla credibilità dei siti da cui prendi informazioni.
Petya
Descrizione payload: Crypta il Master Boot Record
Note: non crittografa il disco ma lo rende inaccessibile
Link al decrypter: http://goo.gl/bRtuk8
Anno: 2016
PadCrypt
Descrizione payload: crea file IMPORTANT READ ME.txt sul desktop
Note Supporto via chat e uninstaller
Link al decrypter: Non disponibile, ma secondo le istruzioni, i file saranno decrittati dopo 6 mesi dall’infezione
Anno: 2016
HydraCrypt
Descrizione payload: aggiunge al nome file: hydracrypt_ID_ [8 caratteri casuali]
Link al decrypter: http://goo.gl/G2y8rv
Anno: 2016
UmbreCrypt
Descrizione payload: aggiunge al nome file: umbrecrypt_ID_[8 caratteri casuali]
Link al decrypter: http://goo.gl/G2y8rv
Anno: 2016
NanoLocker
Descrizione payload: file nascosto %LOCALAPPDATA%lansrv.ini
Note: Reversibile se bloccato in tempo
Link al decrypter: http://goo.gl/b3beNB
Anno: 2015
LeChiffre
Descrizione payload: aggiunge estensione .lechiffre
Link al decrypter: http://goo.gl/iQDA07
Anno: 2015
TeslaCrypt
Descrizione payload: aggiunge estensioni .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV
Link al decrypter: http://goo.gl/hxEuSy
Anno: 2015
(ATTENZIONE: il decrypter è inefficace contro l’ultima versione, TeslaCrypt 3.0, diffuso nel 2016 e che aggiunge estensioni .XXX, .TTT, .MICRO, .MP3: i creatori del virus hanno infatti risolto un bug presente nel motore crittografico).
- Aggiornamento 19/05/2016
La chiave Master di TeslaCrypt è stata rilasciata dagli sviluppatori: storia e un decrypter disponibili qui (in inglese), altro decrypter disponibile qui (download diretto dell’eseguibile).
Se siete stati colpiti da TeslaCrypt in passato e avete conservato una copia dei dati cifrati, ora potete recuperarli.
CoinVault
Descrizione payload: crea file:
- %AppData%MicrosoftWindowsedone
- %AppData%MicrosoftWindowsfilelist.txt
- %Temp%CoinVaultFileList.txt
- %Temp%wallpaper.jpg
Link al decrypter: https://goo.gl/wMHMaV
Risorsa in italiano: https://goo.gl/dUP0Xa
Anno: 2014
BitCryptor
Descrizione payload: crea file:
- %Temp%BitCryptorFileList.txt
- %Temp%wallpaper.jpg
- %UserProfile%filelist.locklst
- %UserProfile%sfile
Link al decrypter: https://goo.gl/wMHMaV
Rakhni, Rotor, Agent.iih, Aura, Pletor, Autoit, Lamer
Descrizione payload: aggiunge molteplici estensioni:
- locked
- kraken
- codeksu.
- crypt@india.com.
- _crypt
- crypto
- encrypted
- nochance
- eccetera
Link al decrypter: http://goo.gl/r1LPJ5
Anno: 2015
Locker
Note: Lo sviluppatore ha reso pubbliche le chiavi di crittografia
Link al decrypter: http://goo.gl/ItDu8L
Anno: 2015
CryptInfinite, DecryptorMax
Descrizione payload: aggiunge estensione .CRINF, crea file ReadDecryptFilesHere.txt
Link al decrypter: http://goo.gl/vgXneJ
Anno: 2015
Rannoh, Crybola, Fury
Descrizione payload: rinomina a locked
Link al decrypter: http://goo.gl/ABD1YA
Anno: 2014
AutoIT
Descrizione payload: rinomina inserendo il nome del mailserver
Link al decrypter: http://goo.gl/ABD1YA
Anno: 2014
Cryakl
Descrizione payload: aggiunge {CRYPTENDBLACKDC} in fondo al nome
Link al decrypter: http://goo.gl/ABD1YA
Anno: 2014
Scatter
Descrizione payload: aggiunge estensioni
- .pzdc
- .crypt
- .good
Link al decrypter: http://goo.gl/1WMK3Y
Anno: 2014
Xorist, Vandev
Descrizione payload: crea file C:WindowsCryptLogFile.txt
Link al decrypter: http://goo.gl/62Nl3t
Anno: 2013
Buona sera Furio, leggendo tutti i vari commenti ed opinioni da parte dei fortunati baciati da Ransom ware, e mi aggiungo alla lunga lista, chiedo un consiglio per recuperare i dati criptati sul mio PC. Premetto ho contratto sicuramente tramite mail il virus in questione nel gennaio 2016 il computer è stato "riabilitato all’uso" ma molti files e archivi fotografici sono tuttora compromessi. C’è qualche speranza all’orizzonte di poterli riprendere…??? Attendo una tua risposta. Grazie di tutto !
Ciao Vivaldi, il primo passo è sicuramente identificare il virus. Per farlo puoi basarti ad esempio sulle estensioni dei file crittografati o sui file di richiesta riscatto che sono stati creati sulla macchina. Una volta identificato il virus, puoi verificare se esiste già una procedura di decrittazione. In caso non sia ancora disponibile, il consiglio è certamente di conservare i file, perché spesso le soluzioni vengono fuori nel tempo.
buona sera… da poco il mio computer ha contratto tramite l’email il virus cryptolocker e tutti i file sono ‘encrypted’ , si potrebbe fare qualcosa per recuperare i documenti e foto .grazie( esempio di una foto criptata .50×60 raffaele.jpg.encrypted)
Buongiorno Croitoru,
L’estensione .encrypted è usata da molte varianti di ransomware. Per identificare precisamente quale ti ha colpito, forse puoi usare i file di richiesta di riscatto (di norma nel titolo c’è il nome del virus). Potresti chiedere aiuto ad un consulente per verificare la variante e l’eventuale disponibilità di una metodologia di decrittazione. Ad ogni modo, come detto, il consiglio è conservare i file crittografati, visto che una soluzione è possibile che prima o poi arrivi.
Ciao ho provato in diversi modi per recuperare i miei file e le preziose foto di mi figlia, ma ahi me nulla da fare……..
Il mio problema,come per molti e relativo a questo Ransom:
Cos’è successo ai vostri file?
Tutti i vostri file sono stati crittografati con la chiave pubblica RSA a 2048 bit con l’aiuto del programma CryptoWall 3.0.
Per sapere di più sulla crittografia con la chiave pubblica RSA a 2048 bit clicca qui:
Ho ancora tutti i miei file e le foto criptate nella speranza che qualcosa possa essere fatto.
Ti ringrazio per le informazioni e per la tua disponibilità.
Angelo
Ciao Angelo,
purtroppo non sono noti decrittatori per Cryptowall 3.0. Però non demordere e continua a conservare i file. Una soluzione può saltar fuori in ogni momento.
Ciao,
Furio
Salve,
innanzitutto complimenti per l’articolo esaustivo ed interessante.
Recentemente ad un mio amico sono stati cryptati i files (tutti quelli sul desktop, indipendentemente dall’estensione, anche .lnk! e quelli all’interno della cartella documenti). Ad ogni file è stata aggiunta in estensione una stringa che inizia con id8364xxxxx ripetuta due volte (ovviamente xxxxx sono altre cifre che non ricordo). Dentro ogni cartella il solito file di testo in inglese con le istruzioni.
La mia domanda è: che variante di virus è visto che nella vostra lista non lo trovo?
Grazie
Ciao Enrico Gennaro,
il file con le istruzioni è spesso uno dei modi per identificare il ransomware, insieme all’estensione dei file. Ho scritto un breve articolo a riguardo, dove è segnalato anche un sito che tenta l’identificazione dei virus: ecco il link
I miei file sono stati ctiptati da criptolocher e hanno nuova estensione ozahyv,uqinir e altre strighe dello stesso tipo. Come possorecuperarli? Grazie