Cybersecurity

Esiste la soluzione per CryptoLocker, CBT-Locker e CryptoWall?

06 Febbraio 2015

Abbiamo pubblicato in passato diversi articoli su CryptoLocker e sui virus che cifrano i dati del disco.

Questo articolo vuole fare chiarezza su quello che si può o non si può fare per recuperare i dati una volta che sono stati criptati.
Esiste la soluzione per CryptoLocker, CBT-Locker e CryptoWall?

Se hai solo 60 secondi

 
Il problema
 
Hai preso un virus bestiale e ti ritrovi con i file illeggibili e una bella schermata che ti chiede di pagare un riscatto per riavere indietro i tuoi file.
La (NON) soluzione
 
In linea di massima NON c’è soluzione. Devi considerare persi per sempre i tuoi dati. Fai finta che il tuo PC sia andato sotto uno schiacciasassi.
Se paghi il riscatto riottieni i file ma cedi al ricatto dei malfattori (che usano sistemi anonimi, anche per il pagamento, e quindi non possono essere rintracciati).
Se hai un backup pulito, senza dati cifrati dentro, sei a posto: basta che recuperi i dati dal backup.
Se non paghi il riscatto NON c’è modo di riottenere i tuoi file, tutto quello che puoi fare è qualche tentativo come illustrato qui sotto.
 
I tentativi che puoi fare
 
Premesso che le speranze di recuperare i dati sono poche, ci sono tre strade per tentare un recupero:
 
  1. usare PhotoRec, leggi come.
  2. Usare Shadow Explorer, leggi come.
  3. Dropbox, leggi come.

Se hai più di 60 secondi

 
Se vuoi prenderti un attimo di tempo in più per capire cosa è successo effettivamente e come evitare in futuro questo problema eccoti qualche informazione più dettagliata.
 
Il problema
 
Un bel giorno ti compare una schermata che ti dice che i tuoi dati (file) sono stati criptati e non saranno più accessibili finché non paghi un riscatto.
La prima sensazione è di sgomento. La seconda è di incredulità, poi rabbia e infine impotenza.
Quello che è successo (e non sei l’unico perché è successo a migliaia di persone) in genere è questo:
 
  • ti è arrivata una email;
  • hai aperto l’allegato;
  • l’allegato (senza che tu lo sapessi) ha scaricato un virus;
  • il virus ha cifrato (ossia reso illeggibili) tutti i tuoi dati, o buona parte;
  • il virus ti chiede un riscatto (cioè un pagamento) per riavere indietro i tuoi file.
E adesso ti stai chiedendo come fare a recuperare i file che il virus ti ha criptato, ossia ha reso illeggibili.
 
La (NON) soluzione
 
Lo so che in te covano rabbia, frustrazione e sgomento, ma la verità è l’unica cosa che ti dirò.
Se non hai un backup valido, NON riavrai indietro i tuoi file a meno che non paghi.
Lo dico in altre parole:
 
  • se hai un backup valido, sei a posto, puoi ripartire;
  • se non hai un backup, hai due possibilità:
    • paghi, cedi al ricatto, fai contenti i disonesti e torni in possesso dei tuoi file;
    • non paghi, ma non riavrai indietro i tuoi file.
Una volta che i dati sono cifrati non c’è modo di riportarli alla luce se non si possiede la chiave giusta per decriptarli (renderli nuovamente leggibili).
La chiave per decifrare i dati si può ottenere solo pagando il riscatto.
Ma c’è una speranza.
 
Tentativi che puoi fare per recuperare i dati
 
Nonostante la situazione nera che ti ho descritto, c’è qualche tentativo che si può fare e che forse vale la pena di fare.
Diciamo subito che questi virus che criptano i dati sono stati messi in giro in tantissime varianti differenti.
Questo vuol dire che ogni virus di questo tipo si può comportare in maniera leggermente differente da un virus molto simile.
Quindi è possibile che una procedura di ripristino vada bene per un computer ma non funzioni altrettanto bene per altri, in base alla “forma” di virus che è stata presa.


Qui di seguito ti elenco tre tipi differenti di strade che è possibile percorrere

 
  1. Poiché alcune forme del virus cancellano i file leggibili e lasciano sul disco solo quelli illeggibili, potresti essere fortunato e con un programma per il recupero dei file cancellati tornare in possesso dei tuoi file, senza pagare il riscatto.
    Uno di questi programmi si chiama PhotoRec e puoi utilizzarlo secondo questa procedura.
  2. Alcune versioni del virus cancellano quelle che vengono chiamate copie Shadow, ossia copie di sicurezza fatte automaticamente da Windows.
    Altre versioni però non le cancellano, quindi potresti essere fortunato e riuscire a recuperare qualcosa utilizzando un software che ti faccia vedere queste copie di sicurezza (se il virus non le ha cancellate).
    Trovi la procedura in un mio articolo.
  3. Ultimo, ma non meno importante, parliamo di Dropbox, il sistema per condividere file.
    Se tu hai l’abitudine di mettere i tuoi file su Dropbox ti farà piacere sapere che conserva sia i file cancellati sia le modifiche apportate ai file per un periodo di trenta giorni.
    Per scoprire come recuperare da Dropbox file vecchi e cancellati, ti suggerisco questo articolo.

Come evitare in futuro il problema
 

Se ti sei scottato con questo tipo di virus, è necessario imparare dai propri errori.
Perché in effetti se mi entrano i ladri in casa è vero che sono loro i disonesti, ma se io non chiudo la porta a chiave un pizzico di responsabilità è anche mia.
Per evitare in futuro questo problema mi sento di suggerire una serie di “buone azioni” da mettere in atto:
 
  • backup: devi fare dei salvataggi dei dati in maniera regolare.
  • Backup remoto: non solo devi fare i backup, ma ogni tanto (o spesso) devi mettere i dati in un posto remoto; perché i virus cifrano anche i backup di dischi USB collegati al computer.
    Una buona soluzione potrebbe essere quella di mettere in qualche servizio cloud i file più importanti o quelli a cui tieni di più.
  • Salvare le immagini: se hai tante immagini, un posto sicuro dove mettere i file è Flickr che ti permette di caricare file fino a 1 TB… praticamente le immagini di una vita!
  • Antivirus (sempre aggiornato).
  • La vita virtuale è uguale a quella reale.
    E’ necessario entrare nell’ottica che quello che può accadere nella vita “reale” può accadere anche nella vita “virtuale” dei computer.

    Se nella vita reale possono rubarti la macchina, nella vita informatica possono rubarti il PC o lo smartphone.

    Se nella vita reale possono rubarti degli oggetti che hai in auto, nella vita informatica possono rubarti il contenuto del computer, cioè i file.

    Se nella vita reale ti possono entrare i ladri in casa, nella vita informatica ti possono entrare i ladri sul computer.

    Quindi la miglior difesa è usare il buon senso:

    • perché aprire una email di un corriere se non hai mai fatto un ordine?
    • Perché aprire una email e cliccare su un link di una sedicente banca quando puoi andare direttamente sul sito della banca senza passare dall’email?
    • Perché fidarsi di qualcuno che via Skype ti manda un file con “le mie foto nude dell’estate”?
    • Perché non fare una scansione antivirus per ogni oggetto che inserisci nel computer, anche se è la chiavetta USB di tuo fratello o di un tuo amico fidatissimo?
Concludo invitandoti a diventare parte attiva e impegnata nella salvaguardia dei tuoi dati.
Cioè, se i dati sono tuoi, sei tu che ti devi attivare per proteggerli!
Se c’è in giro qualche disonesto, questo non ti autorizza a non proteggere i tuoi dati, perché è tuo interesse farlo.
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (62)

@Diego: in tutto il blog proponiamo vari metodi per tentare una decriptazione.
Ti consiglio in primo luogo di cercare di capire quale variante ti è capitata. Puoi partire leggendo qui:
– Elenco dei malware
– Identificare il ransomware

Claudio Panerai,

Buongiorno
io sono tra quelli che hannobeccato il virus (da me non me lo sarei mai aspettato! sono molto prudente)
Ho recuperato il 99,9 per cento grazie ai files shadow. Ma ora che mi chiedo se avendo un file nelle due versioni (originale e criptato) e possibile risalire alla chiave di codifica
grazie

Pippo Laquaglia,

@Pippo: teoricamente avendo molto tempo a disposizione o macchine molto potenti è un processo che si può tentare di fare ma è sicuramente un processo lungo.

Claudio Panerai,

Buonasera a tutti, ormai sarà la decima volta che veniamo colpiti (una PA Locale) da un ransomware del tipo cryptolocker e finora siamo sempre riusciti a limitare i danni, le prime volte con una buona dose di fortuna, poi abbiamo cercato di fare prevenzione. L’anello debole sono gli account degli utenti e le condivisioni ai quali questi possono accedere, mi sento di suggerire le seguenti procedure: Shadow copy attivate sui server, NAS con directory di backup protetta con utente dedicato al Backup. Limitare il più possibile l’accesso degli utenti ai server, evitare comunque di utilizzare permessi generici del tipo "domain users" ma consentire ai singoli utenti l’accesso alle risorse strettamente necessarie. Per il backup utilizzo un batch che connette il NAS come unità di rete, lancia il programmino robocopy.exe con gli opportuni parametri e una volta finito il backup disconnette il NAS da unità di rete. In questo modo il NAS è inaccessibile salvo durante il backup ma sempre protetto da un utente specifico. Il batch vene schedulato giornalmente e settimanalmente con backup differenti. Sono stato un pochino prolisso ma spero possa essere utile. Un Saluto a tutti. Valerio

Valerio Quarta,

@Quarta: buongiorno e grazie per aver condiviso le sue "precauzioni".
Tutte condivisibili. Aggiungo la possibilità di eseguire Cryptoprevent sui client.
Ne abbiamo parlato diffusamente durante un webinar

Claudio Panerai,

Io per proteggere il Backup su Nas faccio in questo modo: sul Nas ristringo l’accesso ad un solo utente protetto da password, e uso le stesse credenziali per il backup di Acronis. In questo modo se digito \nas da Windows non entro, e il backup è protetto.

Valerio Gabrielli,

@L. : lei hai provate tutte e 3 quelle descritte nell’articolo?

Claudio Panerai,

Non ho mai pagato un riscatto per cui non ti posso rispondere io perché non ho esperienza diretta.
Hai provato su questo sito https://noransom.kaspersky.com/?

Claudio Panerai,

Anche io volevo fare come "Gabrielli", penso sia la soluzione migliore, solo che vorrei usare un programma di copie free che permetta di autenticarsi e inviare notifiche in smtp….. Voi ne conoscete???
Ho provato con cobian ma non funziona l’autenticazione… Easeus free non fa smtp, il software synology una volta avviato abilità l’autenticazione anche a Windows (penso sia per questo che i synology sono stati presi di mira)
Grazie

Alessandro One,

X Gabrielli
Quale NAS usi?

Luigi Pezzullo,

Salve, mi pare di aver letto che i cryptovirus vadano a criptare solo i file con le l’estensioni tipiche dei dati (pdf,jpg,doc,ecc). Un backup con estensione iso oppure criptato, può essere a sua volta criptato da un attacco? Esiste un modo x emulare la strategia di backup assist, dove solo il software di backup ha accesso alle cartelle di backup, che risultano inaccessibili all’utente e quindi a un ipotetico virus?

Salvatore Tripodi,

@tripodi: tendenzialmente i virus criptano quello che trovano.
Se trovano una ISO, criptano la ISO- Se trovano un file criptato, lo criptano di nuovo.

Quanto a emulare backupassist, si dovrebbe fare un programma che impersonifica utenti differenti, si puo’ fare certo, ma se qualcuno lo ha già fatto ed è bello pronto da usare…

Claudio Panerai,

Oppure si potrebbe creare un utente backup (da cui lanciare il backup) o magari usare l’utente administrator già esistente, e impostare le policies in modo che sia l’unico utente a poter accedere in scrittura a quella cartella o partizione. Non so però se il programma di backup può partire secondo pianificato se è in esecuzione un account che non ha accesso alla cartella di backup….in quel caso bisognerebbe rinunciare alla pianificazione ed eseguirlo manualmente loggandosi con l’altro utente….mi sto scervellando x trovare la soluz migliore

Salvatore Tripodi,

Stavo pensando ad Acronis true image scegliendo come Acronis secure zone come destinazione dei backup e attivando la protezione con password. Oppure, volendo usare solo il cd di avvio, backup su partizione non mappata in windows.

Salvatore Tripodi,

Valerio Quarta 23 marzo 2016 ore 22:58
…. Per il backup utilizzo un batch che connette il NAS come unità di rete, lancia il programmino robocopy.exe con gli opportuni parametri e una volta finito il backup disconnette il NAS da unità di rete. In questo modo il NAS è inaccessibile salvo durante il backup ma sempre protetto da un utente specifico. Il batch vene schedulato giornalmente e settimanalmente con backup differenti. … Bella soluzione.
Avrei due domandine semplici ssemplici: a) cosa inserisci nel file batch
b) cosa contiene il file robocopy.exe.. scheduli nel senso che lo aggiungi alle operazioni pianificate?
grazie
Liam

Liam Brady,

Buongiorno Claudio, dopo giorni di tribolazioni ho avuto la chiave di decodifica dal pirata.
Ora ho due cose da chiederti.
1.Terminato il decriptaggio del 98% dei file, mi sono rimasti tre grossi file ancora cifrati. Li inserisco nel programma di decodifica ma non mi generano la encoded key (non so se hai presente la procedura). di conseguenza l’apertura del file non avviene.
Non so se può esserti utile ma durante la procedura di decodifica, il programma si è arrestato sul file write.exe per ben due volte. Fino a che ho disinstallato definitivamente write.exe. Mi sembra strano ma può aver influito?
Ho a disposizione la chiave di decodifica ma non funziona. Mi puoi suggerire un’altra prova da fare?
2. Avendo una rete di 9 pc, voglio tutelarmi più possibile anche ricorendo a servizi da parte di un’azienda competente e specializzata (l’importante è che i dati non fuoriescano dalla mia azienda)
grazie
Fabio

Fabio Giarratana,

Ciao, mi confermate che ad oggi non c’è possibilità di recuperare i file senza dover pagare??? Grazie

Enrico Apixen,

Ciao a tutti,

purtroppo anche un mio cliente è stato infettato da questo virus, ha deciso di pagare ed ho avviato tutta la procedura.
Ho effettuato il pagamento di 1.4 BTC alle 8.00 ma dopo 6 ore ancora non è arrivato nulla.
Come arriva questo il file per decriptare via email? se si a quale email, quella collegata al conto bitcoin?
Dopo quanto tempo arriva?

Saluti e grazie
Raffaele

Raffaele .,

@Crudele: non avendole dato noi l’eseguibile non sappiamo come aiutarla, mi spiace.
Quello che lei vorrebbe fare (e in parte ha già fatto) dovrebbe consentire di estrarre la chiave di decifratura ma poi dovrebbe affidarsi a un professionista per capire come riavere davvero i suoi file.

Claudio Panerai,

Purtroppo nel mio caso anche il ripristino di sistema era disattivato, questo non mi permette di recuperare i file con Shadow Explorer, altre soluzioni?

Mirko L.,

Anche io ho avuto l’eseguibile per la decodifica dei files, il problema è che mi ha decodificato solo una piccola parte dei files criptati. Volevo sapere se era possibile, avendo copia del eseguibile, di riuscire ad estrapolare la chiave di decodifica in qualche modo (magari con un programma di disassembler per leggere all’interno dell’exe). Vi auguro un buon Natale e spero di risolvere questa angosciante situazione.

Antonio Crudele,

E’ possibile risalire alla chiave di decodifica avendo il tool di decriptaggio a disposizione (purtroppo il tool ha decriptato solo una piccola parte dei files bloccati) magari sando un software di disassembler per leggere all’interno dell’exe? Saluti e buon Natale a tutti.

Antonio Crudele,

Va detto e ridetto una volta dentro il virus la frittata e fatta. o si butta tutto o si paga. PUNTO.
penso di rivolgermi ad una struttura seria che mi aiuti in questo per il futuro perché la cosa si è ripetuta per ben tre volte. dico tre. come entra è pressoché ignoto. la mail… un click di troppo …. il fatto è che entra e nulla puo fare un backup perché anche questo viene danneggiato. per chi ha pochi files il problema nn si pone ma per chi ne ha tanti e deve necessariamente attivare un sistema automatico e quindi "automaticamente" entra nel backup. e anche qui punto. magari qualche variante del virus non scova proprio tutto ignorando qualche servizio could, ma permettetemi…. sarà inserito nella prossima versione del virus. I sistemi antivirus praticamente non servono. se qualcuno riesce a smentirmi, mi dia il nome del software che lo acquisto subito, ringraziando di cuore. Il quadro è serio e questa volta, non ce la si cava con un staro più attento ad aprire le mail o farò il backup tutti i giorni.
Giorgio I.

giorgio iso,

Buongiorno Sig. Claudio, volevo porre un quesito:
Io ho a disposizione l’eseguibile rilasciato dal criminale (purtroppo dopo svariate prove e contatti o dovuto cedere per recuperare i file), il problema è che il programma in questione ha ripristinato una parte dei file criptati,alcune cartelle sono rimaste con i file all’interno ancora bloccati. Essendo che il software funziona perchè tantissimi file li ha decriptati, è possibile aprire l’eseguibile per carpire la key da utilizzare successivamente con un altro software? (io ho aperto l’eseguibile con un programma di disassembler e ho trovato diversi riferimenti alla crytpo key all’interno, solo che non saprei dove mettere mano) Grazie e buona giornata

Antonio Crudele,

@Antonacci: mi spiace che tu ti sia trovato in questa situazione.

Nell’articolo spiego come usare Photorec e come recuperare qualcosa con DropBox.
I backup che hai fatto vengono comunque attaccati da criptoloker così come le chiavette.
Prova a recuperare quello che riesci..

Non so che lavoro tu faccia, ma io ti consiglio, per il futuro:
– concentrati sul tuo lavoro (che non è il backup)
– contatta un fornitore di servizi IT serio e affida a lui i servizi
– affidati ad antivirus all’avanguardia, come Webroot (www.achab.it/webroot)

P.S.
Se mi dici dove stai provo a consigliarti qualcuno nella tua zona.
Certoche dovrai pargarlo, ma ti eviterai i mal di pancia come quello che stai vivendo ora.

Claudio Panerai,

Ciao Claudio, oggi è toccata a me la triste vicenda di incappare in questo virus, naturalmente sono stato incauto ad aprire quella maledetta mail che, a differenza di tutte le altre false, aveva tutte le sembianze di una mail con una fattura reale ( premetto che ricevo ogni giorno fatture via mail ), italiano perfetto, un nome che anche la mia impiegata pensava di aver già sentito, invece no……è stata una bella fregatura!!! Appena ho aperto il file ho cominciato a vedere che qualcosa andava storto e mentre vedevo in pochi secondi che diversi file cambiavano icona, é intervenuto Microsoft Security Essentials grazie al quale "AVREI" rimosso l’Applicazione, comunque non sicuro di aver bloccato il virus ho spento il pc. Io sono solito fare diversi Backup ( chiavetta USB, Hard Disk esterno, Dropbox, Google Drive ). L’ultimo backup sull’Hard disk esterno risale purtroppo a 3 settimane fa, Google Drive invece a 2 giorni fa mentre la chiavetta era aggiornata al momento dell’attacco; per quanto riguarda Dropbox non lo aggiorno da molto in quanto è pieno, visto che i dati di lavoro raggiungono quasi 7Gb. Il problema è che il virus ha attaccato prima il Pc, poi la chiavetta ( la più aggiornata ) e, non so come, ha attaccato anche Dropbox e Google Drive. Quest’ultimo è stato meno danneggiato rispetto agli altri ed ora sto cercando di scaricare tutto ciò che si è salvato, anche se è molto lento e sembra che alcuni file non me li stia scaricando, in quanto durante il Download ho letto il messaggio di errore per alcune migliaia di file ( non capisco perchè). Diciamo che l’Hard Disk esterno è l’unico che si è salvato, visto che non era collegato al momento dell’attacco, però mi toccherà rielaborare tutto il lavoro delle ultime 3 settimane, o quasi, visto che qualcosa credo di recuperare tra la chiavetta e Google Drive. Ora vorrei provare con PhotoRec a recuperare i dati della chiavetta ( in quel caso sarei completamente salvo ). Premetto che lavoriamo con 2 Pc collegati in rete domestica ed utilizziamo la chiavetta come prima fonte in cui inserire tutti i dati, e da quest’ultima facciamo poi i vari Backup ( abbiamo preso questa decisione dopo un paio di volte che al Pc principale si è bruciato l’hard disk interno con relativa perdita di dati). Il dilemma più grande per me è che non sono sicuro che il virus sia stato completamente rimosso tramite Microsoft Security Essentials e quindi non so se accendere quel Pc oppure no.
Cosa mi consigli?
Grazie anticipatamente.

Pasquale Antonacci,

@Convertito 11 febbraio 2015 ore 17:49
ho attivato lo screening dei files sul dominio ed ho bloccato la creazione/copia di tutti i files con estensione *.*crypt*.

Come e dove si fa?

Inoltre ho anche attivato, tramite group policies, il blocco dei files *.exe presenti nella cartella %APPDATA% e sottocartelle.
Infatti, i normali programmi installano i propri eseguibili in %PROGRAMFILES% e spesso i malware hanno solo la %APPDATA% come cartella con i premessi di installazione.

Come e dove si fa?

Saluti.

valerio giannelli,

@fetta: mi fa piacere che l’articolo ti sia stato utile!

Claudio Panerai,

grazie per la risposta. gentilissimi

Roby T,

Ho preso il virus in questione. Da qualche tempo lavoro con i cloud: ho almeno l’85% dei file importanti su Dropbox, grazie al quale, usando il metodo descritto, sono riuscito ad avere praticamente tutto il maltolto! Che dire? Grazie per l’articolo, chiaro ed esaustivo! Un saluto a tutti.

luigi fetta,

salve. mi collego agli altri che hanno fatto la stessa domanda. a me non interessa recuperare i file perché, fortunatamente, ho formattato il pc da poco ed ho solo due documenti word. voglio però eliminare il virus. sapreste indicarmi come fare? grazie

Roby T,

Fare backup sui NAS in rete locale non solo si può ma si deve, se si utilizzano programmi che eseguono il backup in modo automatico che creano archivi ZIP propietari a loro volta criptati (Cobian). questi file dopo l’azione del virus hanno la classica estensione dei file criptati da Cryptolocker ma è sufficente eliminarla e sono perfettamente utilizzabili.

dr. buzz,

Buongiorno a tutti,
purtroppo ho avuto anche il problema di questo virus. Sono riuscito fortunatamente a recuperare quasi tutto con le Versioni precedente di Windows.
La mia domanda è questa: come faccio per rimuovere completamente il virus? cioè ho fatto una scansione con Microsoft Security Essential e mi ha trovato dei file infetti che sono stati rimossi ma per esperienza purtroppo so che se non elimini completamente il virus ci potrebbero essere degli eseguibili che rigenerano il virus.
voi che antivirus mi consigliate?
grazie

Andrea G.,

@buzz
Mi puoi spiegare come fare il backup con coniano. Io lo uso normalmente … Copio i files su un nas… Non ho capito la Tua procedura è scherzo funziona in caso di attacco di virus crypt.
Grazie

Carlo Antola,

@buzz: il tuo consiglio di fare backup è sacrosanto.
Pero’ alcune varianti del virus vanno a colpire anche i dati (o i backup) che risiedono su archivi in rete, per cui io consiglio di portare i backup (anche) in un luogo diverso da dove sta il pc.
Si possono usare per esempio uno dei tanti sistemi di backup nel cloud.

Claudio Panerai,

Salve,
volevo collegarmi alla domanda di "G", perchè anche io ho una memoria esterna con un backup al momento che mi sono accorto che il virus li stava bloccando con un’estensione .frtrss.
Adesso il punto è come rimuovere il virus e file bloccati lasciando gli altri file ancora buoni?
Grazie per la riposta

enzo gibbin,

provate a lanciare il programma senza office installato
il risultato e’ che non funziona il cryptolocker
Basta disattivare le macro automatiche

Massimo Boccara,

@Boccara: non è chiarissimo quello che proponi (o per lo meno, io non lo capisco); puoi spiegare a cosa serve la tua operazione?

Claudio Panerai,

Buongiorno abbiamo purtroppo avuto vari clienti infettati dal virus e fortunatamente pagando i file sono stati recuperati. Secondo voi un backup immagine su NAS di rete è efficace come soluzione? Avete casi di infezioni anche dei supporti backup? Io ho notato che il disco USB da un mio cliente era stato formattato.

Alex Polito,

@Polito.
Premesso che ormai le varianti sono tanti e tante che è impossibile dare con certezza informazioni di validità assoluta…con il NAS non sei a posto perché questi virus che cifrano si attaccano a tutto quello che riescono ad agganciare.
Tu stesso hai visto come un disco USB sia stato infettato. Bene, nulla vieta che venga attaccato anche un NAS di rete.
Quello che si deve fare per davvero è un backup off-site.
Qui ha due possibilità, o usi NAS tipo i QNAP che permettono di replicare i dati automaticamente verso un altro NAS simile, ppure usi dei software che ti permettano di replicare i dati in altra sede.
Noi di Achab distribuiamo il programma di backup BackupAssist e per la replica proponiamo un plugin di questo programma.

Claudio Panerai,

Caro Giarratana potresti firmi come hai se criptato i file? Dietro pagamento o altro? Grazie

Maria Barletta,

non mi era mai stato chiesto, non mi era necessario, ma l’ altro gg un utente se lè preso. Gli ho dato la caccia, l’ ho studiato
questo non è assolutamente un virus ma un normalissimo programmino che vi inviano via mail, non si propaga, non vi ruba informazioni, non autovaria (se non il formato della mail), pialla i dati e sta li con il conto a rovescio che poi è il tempo prima che il server di chiavi si sposti in un’ altra nazione e non essere beccato.
Questi individui l’ hanno studiata benissimo, stanno in spiaggia e intanto gli si riempie il conto, non si possono beccare, bisognerebbe mettere insieme troppe forze ed in troppe nazioni, possono nascondersi in ogni luogo.
PS: a breve troveranno il modo che il distributore delle chiavi sia uno dei nostri client. Si divertiranno immensamente, l’ unica è stare svegli o non usare il pc, o non far passare allegati .exe, bat, cdm ecc ecc 🙂
Se un utente è accorto questo problema non capitera mai.

Luca mio,

Usate linux e risolvete il 99% dei vostri problemi. Se insistete ad usare sistemi operativi fragili come Windows, che è pure a pagamento, non so proprio che dire, continuerete a lottare contro bugs, falle e security holes che a questo punto hacker e cracker fanno bene a sfruttare.

Rick Deckard,

Grazie della segnalazione Mannarelli.

Claudio Panerai,

ho copiato i files di un mio cliente da un pc infetto con questo dannato virus, ho usato un piccolo programma che si chiama "shadow explorer" , lo trovate su http://www.shadowexplorer.com/ , ha funzionato perfettamente, fa la copia dei file shadow e i files copiati non sono cryptati , ovviamente togliete il virus prima usando malwarebyte o simili , poi fate partire il pc i safe mode , buon recupero . 🙂

Francesco Greco,

@Deckard: tecnologicamente sono d’accordo con te. "Socialmente" un po’ meno. Ossia è vero quello che dici, ma per mille motivi lo standard di mercato è Windows, la gente usa Windows e vuole risolvere i problemi che ha con Windows.
Ai tempi dei videoregistratori c’erano due sistemi, VHS e Betamax. Betamax era tecnologicamante superiore, ma ha preso piede l’altro sistema…Occorre anche fare i conti con i dati di fatto del mercato.

Claudio Panerai,

@greco: sono contento che tu abbia recuperato i file con l’ottimo Shadow Explorer. Alcune varianti dei virus, purtroppo, cancellano i file che Shadow Explorer va a recuperare per cui la strada indicata da te va tentata ma non è sicuro che sia sempre percorribile.

Claudio Panerai,

Potrebbe essere utile usare anche una macchina virtuale,,il virus non riesce ad installarsi su macchina virtuale

luca rossi,

Io presso i miei clienti che hanno un’architettura client/server basata su dominio ho adottato questa soluzione: ho attivato lo screening dei files sul dominio ed ho bloccato la creazione/copia di tutti i files con estensione *.*crypt*.
Il malware quindi non riesce ad effettuare alcuna modifica ai files (e peraltro arriva immediatamente notifica dell’anomalia).
Inoltre ho anche attivato, tramite group policies, il blocco dei files *.exe presenti nella cartella %APPDATA% e sottocartelle.
Infatti, i normali programmi installano i propri eseguibili in %PROGRAMFILES% e spesso i malware hanno solo la %APPDATA% come cartella con i premessi di installazione.

Vincenzo Convertito,

Ottima tecnica di prevenzione, Vincenzo.
Diciamo che se tutti lavorassero bene in fase preventiva, questi virus farebbero ben pochi danni.

Claudio Panerai,

Più che un commento era una chiarezza su quanto mi è successo.
Un anno fa circa un mio amico mi chiamava e mi chiedeva come mai non riusciva più a vedere foto e documenti, premetto che allora io non conoscevo ancora questo virus,mi faccio mandare un file e scopro che il computer era stato infettato.
Dopo una ricerca su internet per una soluzione chiamo il mio amico e gli dico che purtroppo c’è poco da fare perché il pc è infetto.
Questo pc rimane spento per un anno e la settimana scorsa me lo porta e mi dice di salvagli tutti i file che gli interessavano anche se erano criptati e di formattare.
Accendo il pc e cosa strana tutti i file sono tornati ancora leggibili e le foto si visualizzano ancora tutte.
La mia domanda è cosa possa essere successo una cosa simile e cosa mi consigliate di fare con il pc, salvare tutto e formattare o fare pulizia con qualche tipo di antivirus.
Grazie.

LUIGI BOCCOTTI,

@boccotti: non abbiamo mai sentito che i file siano ricomparsi da soli, per la verità.
Ad ogni modo se i file sono leggibili io consiglieri di fare un backup e quindi reinstallare il pc da zero, per rimuovere qualsiasi eventuale "impurità".

Claudio Panerai,

OK grazie Claudio

LUIGI BOCCOTTI,

Grazie per la conferma, altrimenti cominciavo a non crederci nemmeno io.

LUIGI BOCCOTTI,

@boccotti: Grazie al mio collega Furio, abbiamo fatto qualche ricerca e in effetti c’è qualche versione di cryptovirus che dopo un po’ di tempo "rilascia" liberi i dati; un articolo lo trovi qui.

Claudio Panerai,

Buongiorno Claudio,
ma voi fate il servizio di recupero dei dati?

dino paolicchi,

@Paolicchi: no, noi non facciamo questo tipo di servizio.
In che zona ti trovi? Forse possiamo segnalarti qualche azienda che ti puo’ aiutare…

Claudio Panerai,

@Deckard
Sono pienamente d’accordo! Da 10 anni mi sono convertito a Linux e di questi problemi ho solo amari ricordi e spesso mi trovo a dover risolvere i problemi di tante persone che incappano in questi problemi.

@Claudio Panerai
Sono d’accordo che lo standard di mercato è Windows, ma ormai è chiarissimo a tutti da tempo che i sistemi di casa Microsoft sono più deboli in questo senso e dunque sarebbe anche ora che i signori di Microsoft stravolgessero il loro modo di pensare il loro S.O. Dovrebbero ripartire da zero orientandosi su quelli che (almeno fino ad ora) sono più sicuri, ovvero sistemi Linux, Mac, BSD, ecc…
Le basi da sfruttare le avrebbero e mi chiedo per quale masochistica ragione rimangano bloccati in quella gabbia d’oro chiamata Windows mettendo a rischio miliardi di sistemi su tutto il globo.

xnotar xnotar,

Buonasera ragazzi, oggi purtroppo sono incappato anche io in uno di questi virus.. Sono stati criptati tutti i file di sistema del server di lavoro ! Il primo ripristino utile di Windows risale al 06/09 e questo è un grandissimo problema .. La mole di dati criptati da recuperare non è tanta, saranno si è no 10 gb, ma sono dati di fondamentale importanza! Qualcuno che è già riuscito ad operare in merito mi può gentilmente aiutare ? Vi ringrazio anticipatamente.

Diego Demelas,

Salve,
volevo conferma del fatto che i ransomware di attuale sviluppo teconolgico NON riescono a operare sulle unità nascoste ( Windows, Linux, etc…) . Quindi nascondere NAS, HDD o altro sia un ottima scelta preventiva.
Grazie

Massimo Sorrentino,

@Massimo: personalmente non sono a conoscenza di questa caratteristica che tu citi, e non mi affiderei, in ogni caso, a questo fatto, come strategia difensiva; userei un approccio a strati (firewall, patching, backup, formazione, antivirus, ecc)

Claudio Panerai,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.