Cybersecurity

Le soluzioni per il ransomware

02 Marzo 2016
Ovvero: come decrittare i file crittografati da svariati tipi di ransomware
Recuperare i file crittografati, in molti casi, non è (ancora) possibile.

Ma in giro ci sono procedure che permettono la decrittazione di diverse varianti di CryptoVirus.

In questo post cerchiamo di raccoglierne il più possibile, tra quelle disponibili oggi.

Il primo consiglio è comunque di conservare i file crittografati che consideriamo importanti e non ricreabili: è possibile che in futuro una soluzione arrivi. E’ come se avessimo messo i nostri valori in una cassaforte di cui qualcuno ha cambiato la combinazione. Non butteremmo via la cassaforte, in questo caso, no?

 

Non dimentichiamoci poi di copiare anche eventuali file (ad esempio di istruzioni) creati dal virus: possono essere determinanti per isolare la tipologia e la versione del ransomware.

Di seguito troverai un elenco di virus, con le caratteristiche salienti (in modo da capire quale infezione ti ha colpito), eventuali comportamenti peculiari del virus e, se disponibile, il link a un articolo che tratta del tool di decrittazione.
Raccomando di leggere attentamente l’articolo linkato, per assicurarti che la decrittazione non introduca altre problematiche (ad esempio rischi di corrompere i file, come nel caso di HydraCrypt).

L’elenco non può ovviamente essere esaustivo, in quanto le tipologie e le versioni di ransomware che circolano sono moltissime.

L’idea è di tenere traccia delle metodologie di decrittazione disponibili ed aggiornarle, in modo da avere un prontuario di possibili soluzioni.

Il nostro impegno è provare a tenere aggiornata questa lista (aggiungendo voci a questo articolo o creandone altri) quando nuove procedure vedono la luce, ma ci piacerebbe che eventuali lacune ci fossero segnalate nei commenti.



Abbiamo linkato articoli prevalentemente in inglese per fornire le fonti più esaurienti. Per alcuni decrittatori sono disponibili online anche istruzioni in italiano, facilmente reperibili su Google usando chiavi di ricerca prese dagli articoli stessi.



Attenzione però all’autorevolezza e alla credibilità dei siti da cui prendi informazioni.

Petya
Descrizione payload: Crypta il Master Boot Record
Note: non crittografa il disco ma lo rende inaccessibile
Link al decrypter: http://goo.gl/bRtuk8     
Anno: 2016

PadCrypt
Descrizione payload: crea file IMPORTANT READ ME.txt sul desktop
Note Supporto via chat e uninstaller     
Link al decrypter: Non disponibile, ma secondo le istruzioni, i file saranno decrittati dopo 6 mesi dall’infezione              
Anno: 2016
 

HydraCrypt
Descrizione payload: aggiunge al nome file: hydracrypt_ID_ [8 caratteri casuali]                            
Link al decrypter: http://goo.gl/G2y8rv               
Anno: 2016
 

UmbreCrypt
Descrizione payload: aggiunge al nome file: umbrecrypt_ID_[8 caratteri casuali]                           
Link al decrypter: http://goo.gl/G2y8rv               
Anno: 2016
 

NanoLocker
Descrizione payload: file nascosto %LOCALAPPDATA%lansrv.ini          
Note: Reversibile se bloccato in tempo
Link al decrypter: http://goo.gl/b3beNB             
Anno: 2015
 

LeChiffre
Descrizione payload: aggiunge estensione .lechiffre                    
Link al decrypter: http://goo.gl/iQDA07              
Anno: 2015
 

TeslaCrypt
Descrizione payload: aggiunge estensioni .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV                
Link al decrypter: http://goo.gl/hxEuSy              
Anno: 2015
(ATTENZIONE: il decrypter è inefficace contro l’ultima versione, TeslaCrypt 3.0, diffuso nel 2016 e che aggiunge estensioni .XXX, .TTT, .MICRO, .MP3: i creatori del virus hanno infatti risolto un bug presente nel motore crittografico).

  • Aggiornamento 19/05/2016

La chiave Master di TeslaCrypt è stata rilasciata dagli sviluppatori: storia e un decrypter disponibili qui (in inglese), altro decrypter disponibile qui (download diretto dell’eseguibile).
Se siete stati colpiti da TeslaCrypt in passato e avete conservato una copia dei dati cifrati, ora potete recuperarli.

CoinVault
Descrizione payload: crea file:

  • %AppData%MicrosoftWindowsedone
  • %AppData%MicrosoftWindowsfilelist.txt
  • %Temp%CoinVaultFileList.txt
  • %Temp%wallpaper.jpg                          

Link al decrypter: https://goo.gl/wMHMaV      
Risorsa in italiano: https://goo.gl/dUP0Xa
Anno: 2014
 

BitCryptor
Descrizione payload: crea file:

  • %Temp%BitCryptorFileList.txt
  • %Temp%wallpaper.jpg
  • %UserProfile%filelist.locklst
  • %UserProfile%sfile                     

Link al decrypter:  https://goo.gl/wMHMaV     
 

Rakhni, Rotor, Agent.iih, Aura, Pletor, Autoit, Lamer
Descrizione payload:  aggiunge molteplici estensioni:

  • locked
  • kraken
  • codeksu.
  • crypt@india.com.
  • _crypt
  • crypto
  • encrypted
  • nochance
  • eccetera                            

Link al decrypter: http://goo.gl/r1LPJ5 
Anno: 2015

Locker
Note: Lo sviluppatore ha reso pubbliche le chiavi di crittografia
Link al decrypter:  http://goo.gl/ItDu8L
Anno: 2015

CryptInfinite, DecryptorMax
Descrizione payload:  aggiunge estensione .CRINF, crea file ReadDecryptFilesHere.txt
Link al decrypter: http://goo.gl/vgXneJ
Anno: 2015

Rannoh, Crybola, Fury
Descrizione payload:  rinomina a locked.                          
Link al decrypter:  http://goo.gl/ABD1YA            
Anno: 2014
 

AutoIT
Descrizione payload:  rinomina inserendo il nome del mailserver                          
Link al decrypter:  http://goo.gl/ABD1YA
Anno: 2014
 

Cryakl
Descrizione payload: aggiunge {CRYPTENDBLACKDC} in fondo al nome                              
Link al decrypter:  http://goo.gl/ABD1YA            
Anno: 2014

Scatter
Descrizione payload:  aggiunge estensioni                        

  • .pzdc                                   
  • .crypt                                  
  • .good   

Link al decrypter:  http://goo.gl/1WMK3Y
Anno: 2014
               

Xorist, Vandev
Descrizione payload:  crea file C:WindowsCryptLogFile.txt                    
Link al decrypter:  http://goo.gl/62Nl3t
Anno: 2013

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (9)
Iscriviti
Notificami
guest
9 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Marco Vivaldi
Marco Vivaldi
52 anni fa

Buona sera Furio, leggendo tutti i vari commenti ed opinioni da parte dei fortunati baciati da Ransom ware, e mi aggiungo alla lunga lista, chiedo un consiglio per recuperare i dati criptati sul mio PC. Premetto ho contratto sicuramente tramite mail il virus in questione nel gennaio 2016 il computer è stato "riabilitato all’uso" ma molti files e archivi fotografici sono tuttora compromessi. C’è qualche speranza all’orizzonte di poterli riprendere…??? Attendo una tua risposta. Grazie di tutto !

Furio Borsi
Furio Borsi
52 anni fa

Ciao Vivaldi, il primo passo è sicuramente identificare il virus. Per farlo puoi basarti ad esempio sulle estensioni dei file crittografati o sui file di richiesta riscatto che sono stati creati sulla macchina. Una volta identificato il virus, puoi verificare se esiste già una procedura di decrittazione. In caso non sia ancora disponibile, il consiglio è certamente di conservare i file, perché spesso le soluzioni vengono fuori nel tempo.

andreea croitoru
andreea croitoru
5 anni fa

buona sera… da poco il mio computer ha contratto tramite l’email il virus cryptolocker e tutti i file sono ‘encrypted’ , si potrebbe fare qualcosa per recuperare i documenti e foto .grazie( esempio di una foto criptata .50×60 raffaele.jpg.encrypted)

Furio Borsi
Furio Borsi
5 anni fa

Buongiorno Croitoru,
L’estensione .encrypted è usata da molte varianti di ransomware. Per identificare precisamente quale ti ha colpito, forse puoi usare i file di richiesta di riscatto (di norma nel titolo c’è il nome del virus). Potresti chiedere aiuto ad un consulente per verificare la variante e l’eventuale disponibilità di una metodologia di decrittazione. Ad ogni modo, come detto, il consiglio è conservare i file crittografati, visto che una soluzione è possibile che prima o poi arrivi.

Angelo Frecchiami
Angelo Frecchiami
52 anni fa

Ciao ho provato in diversi modi per recuperare i miei file e le preziose foto di mi figlia, ma ahi me nulla da fare……..
Il mio problema,come per molti e relativo a questo Ransom:
Cos’è successo ai vostri file?
Tutti i vostri file sono stati crittografati con la chiave pubblica RSA a 2048 bit con l’aiuto del programma CryptoWall 3.0.
Per sapere di più sulla crittografia con la chiave pubblica RSA a 2048 bit clicca qui:

Ho ancora tutti i miei file e le foto criptate nella speranza che qualcosa possa essere fatto.
Ti ringrazio per le informazioni e per la tua disponibilità.

Angelo

Furio Borsi
Furio Borsi
52 anni fa

Ciao Angelo,

purtroppo non sono noti decrittatori per Cryptowall 3.0. Però non demordere e continua a conservare i file. Una soluzione può saltar fuori in ogni momento.

Ciao,

Furio

Enrico  Gennaro
Enrico Gennaro
52 anni fa

Salve,
innanzitutto complimenti per l’articolo esaustivo ed interessante.
Recentemente ad un mio amico sono stati cryptati i files (tutti quelli sul desktop, indipendentemente dall’estensione, anche .lnk! e quelli all’interno della cartella documenti). Ad ogni file è stata aggiunta in estensione una stringa che inizia con id8364xxxxx ripetuta due volte (ovviamente xxxxx sono altre cifre che non ricordo). Dentro ogni cartella il solito file di testo in inglese con le istruzioni.
La mia domanda è: che variante di virus è visto che nella vostra lista non lo trovo?
Grazie

Furio Borsi
Furio Borsi
52 anni fa

Ciao Enrico Gennaro,
il file con le istruzioni è spesso uno dei modi per identificare il ransomware, insieme all’estensione dei file. Ho scritto un breve articolo a riguardo, dove è segnalato anche un sito che tenta l’identificazione dei virus: ecco il link

Antonio Miraglia
Antonio Miraglia
4 anni fa

I miei file sono stati ctiptati da criptolocher e hanno nuova estensione ozahyv,uqinir e altre strighe dello stesso tipo. Come possorecuperarli? Grazie