CryptoLocker

La soluzione per Cryptolocker

09 Settembre 2014

Ultimo aggiornamento febbraio 2015:
le informazioni aggiornate e le soluzioni per CryptoLocker,
CBT-Locker, CryptoWall e sui virus che cifrano i dati sono QUI.


Abbiamo già parlato di Cryptolocker in un altro post perciò non mi dilungo.

Mi limito a ricordare che si tratta di un virus che cripta tutti i dati del disco fisso, e per poter avere la chiave per decifrarli è necessario pagare un riscatto.
Finalmente è disponibile una soluzione, raggiungibile all'URL www.decryptcryptolocker.com, che permette di decifrare i file cifrati dal virus gratuitamente. Le informazioni aggiornate e le soluzioni per CryptoLocker le trovi su www.cryptolocker.it.
 
Soluzione per Cryptolocker
Come è possibile?
Incuriosito da Tullio, che ringrazio, qualche giorno fa mi sono documentato. Facciamo quindi un po' di chiarezza.
Poiché Cryptolocker ha fatto danni enormi, diverse agenzie e aziende di sicurezza si sono alleate per fare fronte comune.
L’operazione, lanciata su scala internazionale, di cui fa parte anche l'FBI, si chiama Tovar.
Durante l’operazione sono state recuperate milioni di chiavi di cifratura.
Le società FireEye e Fox-IT hanno avuto accesso ai server dell’FBI, quindi a moltissime chiavi RSA usate per cifrare milioni di file con Cryptolocker. Da qui l’idea di mettere in piedi un sito per decriptare gratuitamente i file cifrati da Cryptolocker.
 
Ecco come funziona il servizio per chi desidera recuperare i propri file senza pagare il riscatto
  1. Collegarsi al sito www.decryptcryptolocker.com;
  2. inserire un indirizzo email valido e caricare un file cifrato da Cryptolocker;
  3. il servizio restituisce una email che contiene: una chiave di decodificaun link per scaricare il programma decryptolocker.exe.
  4. Una volta scaricato il programma, occorre digitare sul prompt dei comandi:
Decryptolocker.exe – key “< key >” < nome_file_cifrato >
 
Un paio di osservazioni
 
Innanzi tutto la chiave è unica (e diversa) per ogni sistema, quindi se si ha più di un sistema cifrato con Cryptolocker occorre ripetere l’operazione per ogni sistema.
Inoltre il virus ha avuto molte varianti, per cui non c’è garanzia al 100% di poter recuperai i file, in caso di attacco di una particolare variante di Cryptolocker. In ogni caso, tentar non nuoce!
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (193)

Si peccato che ho provato più volte al link indicato e il risultato per me è stato "zero", addirittura mi diceva che il file non sono criptati!!!

Roberto Deliddi,

Salve, ieri (17 ottobre 2014) ho provato ad inviare un file criptato, ma la risposta è che il file non è affetto da virus!!. AVG non è stato in grado di bloccare il ransomware, quindi deve essere una versione aggiornata. Ho poca conoscenza del processo di crittografia e vi chiedo: la chiave pubblica di criptatura deve essere inclusa nel file criptato, ma se è così perchè il sito mi da una risposta simile oppure come quella data De Liddi Roberto?

Vincenzo Carta,

Anche a te Vincenzo56 rispondo un po’ come a Roberto.
Non siamo noi i gestori di questo servizio e quindi non possiamo aiutare a risolvere i problemi che ne derivano, non possiamo aiutarti né con problemi piccoli né con problemi grandi.
Quanto alle chiavi di cifratura… tutto quello che serve è contenuto nel file cifrato che invii al servizio.

Claudio Panerai,

@Angelo: capisco la situazione del tuo cliente che ha preso la variante (o evoluzione) del virus.
Provo a farti contattare dalla mia collega Elisa cosi’ vedete insieme se trovate una soluzione per evitare queste cose in futuro.

Claudio Panerai,

Ma in quanto arriva la mail con la chiave di decodifica? Sono davanti al computer da un’ora con un file cifrato piccolissimo……

Anto B,

Io mi sono beccato CTB-LOCKER e secondo me dietro a tutto c’è la regia dei produttori dei programmi ‘antivirus’. Comunque io un modo per stanarli ce l’avrei: 1° metterei sotto controllo TOR BROSER; 2° metterei una taglia di un milione di dollari a chiunque saprebbe fornire dati utili; 3° chiuderei la borsa informatica in modo da bloccare gli introiti dei BITCOIN. Ma dato che dietro a tutto questo ci sono le multinazionali, la soluzione non verrà mai trovata.

Marco,

Salve anche un nostro cliente con Avira Security Professional ha preso questa variante che rinomina i files in encrypted. Sembra per l’appunto una variante diversa.

Angelo Ponzi,

Grazie per averci raccontato la tua storia (disavventura).
E la lezione che dobbiamo imparare è che dobbiamo fare i backup (e possibilmente tenerli in un luogo diverso da dove si trova il pc.

Claudio Panerai,

18.516 file criptati… La mia intenzione (sempre se l’esperto che ci sta lavorando non riesce in altro modo) é di pagare [decisamente controvoglia poiché significa cedere ad un ricatto]… Quali sono i passaggi giusti secondo voi da fare? Pago, decripto e poi cancello?

Elisa Caporicci,

2 o 3 volte mi si è bloccato il computer con una schermata (finta ovviamente) di una altrettanto finta polizia informatica europea. C’erano i loghi della Polizia di Stato, dei Carabinieri, della Guardia di FInanza, dell’Interpol e c’era persino la faccia di Giorgio Napolitano!!!!!!! (che c’entra io mi domando). Mi hanno chiesto un riscatto di € 100 da pagare tramite Eurobet o quant’altro, addirittura tramite Penny Market. Ho fatto formattare il disco fisso, un amico mi ha fatto anche un backup ed ho risolto la cosa. Questi b… non ti criptano i files ma ti bloccano direttamente la root e dopop il caricamento ti appare la videata dei dementi. Non è servito neppure far ripartire il pc dalla chiavetta USB vaccino dell’antivirus Panda

Giuseppe Cavallo,

SEGNALAZIONE. A me è andata così. Anch’io mi sono trovato con il computer devastato da questo virus. Il bug mi è stato trasmesso mediante una finta mail di un noto operatore nel settore dei corrieri espresso (anche il link rimandava a una pagina web che era uguale in tutto e per tutto a quelle del sito vero, e liccando su uno dei banner si veniva effettivamente reindirizzati sul sito vero, la sola differenza fra il sito vero e quello ripordotto erano due cifre nell’indirizzo web, ma ce ne siamo evidentemente accorti dopo ….quindi occhio, consiglierei esser cauti nel fidarsi).
Ho provato anch’io a risolvere con il sistema di sblocco online messo a punto dalle due società menzionate. Ma, come leggo essere accaduto ad altri, mi diceva (chiaramente in inglese) che il file che avevo caricato non sembrava esser stato interessato dal virus in questione. Non era così, ovviamente: avevo TUTTI i 120 mila documenti presenti sul mio computer (salvo forse i formati audio e alcune cartelle compresse win-rar) rinominati con estensione .encrypted e "bianchi" nell’icona.
Ho interpellato un tecnico di mia conoscenza e poi la Polizia Postale. La risposta è stata che non era nota alcun rimedio possibile. Ho appreso che molti, pagando, avevano risolto in buona parte il problema. Allora, siccome era tanto che non effettuavo un backup (cretino io!!) ho accettato di soggiacere al gioco di questi criminali e, con un metodo astruso basato sull’uso di "bit coin", un sistema che neppure conoscevo ma che mi è toccato giocoforza di conoscere, ho pagato 369 €. Poco dopo effettuato il pagamento ho ricevuto un file eseguibile di decriptazione: l’ho fatto girare e, in circa 3 ore, ha completato l’operazione. Al termine, riavviato il pc, la situazione NON era in realtà così ben risolta!! Ho alcuni file cad danneggiati, vari pdf nella stessa situazione, word ed excell risalvandoli nella medesima directory si recuperano, jpg mi son parsi fin ora ok…. Insomma: avevo recuperato una buona parte del mio lavoro, che è ovviamente un buon esito. Ma dopo aver pagato quella cifra, mi aspettavo che tutto tornasse come prima. Quindi, ovviamente senza impegno, do un consiglio a chi ha avuto la sfortuna di imbattersi in questa situazione. Se avete qualche file di assoluta importanza, che non avete salvato da nessun altra parte (specie se word o excell o ppoint, per attenersi ai formati di più ampio consumo), e la cui salvezza può comunque valere il tentativo di pagare una cifra, anche se poi il tentativo risultasse vano (se siete pieni di pdf di modesta dimensione, come detto, la mia personale esperienza mi porterebbe a sperar non troppo bene ….ma è pur vero che probabilmente non per tutti funziona nello stesso modo) ….fatelo. E se lo fate, occhio che, a quanto diceva il messaggio che ho ricevuto io, se passano più di 70 -?- ore il riscatto aumenta e se passa oltre -?- un mese si perde irrimediabilmente tutto. MA se questa situazione di estrema necessità non sussista, forse ci penserei su…. a rischiare di perdere tanti soldi e di essere presi per il c… anche a posteriori: programmino di decriptazione, decriptazione, poi provo ad aprire i file e li trovo DANNEGGIATI (leggi: non si aprono, si apre il programma e ti dice che il file è andato). In questa ipotesi, piuttosto che pagare, accetterei la perdita e formatterei tutto. E in ogni caso, l’augurio che faccio di cuore a tutti è (oltre che ovviamente di non trovarsi in questa situazione, ma se state leggendo qui probabilmente è segno che vi è accaduto) di essere nelle condizioni di potervi opporre al gioco di questi criminali ignorando le loro richieste e mandandoli a morire tra atroci e prolungati dolori (non immagino altro augurio che questi signori possano meritare) ….invece sapete certo meglio di me come funziona: si gonfiano di miliardi in questo modo finchè dura, poi, qualora la polizia internazionale li becchi (cosa cmq non facilissima) invece che scontare la pena ai lavori forzati in miniera vengono assoldati (da un lato lo capisco anche, perchè tecnicamente ha senso….) a lavore come hacker "dalla parte dei buoni" cioè per grandi organizzazioni investigative internazionali, e continuano a guadagnare…. Mentre noi siamo gli str… che lavorano tutta la vita per due lire e poi versano a questi signori 370€ per tornare in possesso di UNA PARTE del proprio lavoro!…. Bella la realtà virtuale, vero? ….mica come una volta che si usavano quegli stupidi telefoni senza internet dentro….

Topo Gigio,

Grazie per aver condiviso la tua esperienza Anna.
E ora immagino che presterai più attenzione ai backup 🙂

Claudio Panerai,

Vittima anche io di questa estorsione internazionale. Virus beccato per una finta mail GLS, che ho solo sbirciato e non aperto. Computer bloccato, con tutto il lavoro di una vita, più foto, ecc criptati. Alla fine, dopo varie consultazioni, ho deciso di pagare (ho capito che non avevo altra scelta). 330 € e passa per riavere il pieno controllo della mia vita lavorativa. E’ andata tutto bene, sono riuscito a decriptare i file, tramite il programmino .exe che mi hanno girato. Alla fine di due giorni di mal di testa e preoccupazioni mi sento di dire a sti grandissimi ladri che hanno inventato quest’estorsione "ma vaffa….".

Roberto,

Io ho, innanzitutto, comprato i bitcoin (e già questa è una avventura: nuova per me), pagato il ricatto come da procedura, ottenuto l’eseguibile di decriptazione e salvato a parte (fuori dal computer), quindi rimosso il virus dalla macchina ed avviato l’eseguibile. Tutto è tornato come prima: mi sono rimasti dei file "istruzione decriptazione" dentro le cartelle colpite e alcuni file pdf sono rimasti per sempre compromessi. Invece i file .doc e .exl sono stati recuperati. In bocca al lupo! … i backup, mannaggia!!!

Anna,

Ciao a tutti mi trovo anch’io in questa situazione, il mio computer è stato infettato dal virus CTB LOCKER. Non so se pagare il riscatto ho solo paura che non funzioni. Qualcuno di voi ha pagato per decriptare i file infetti da questo virus? Ho poco tempo domani alle 24 scade il tempo. Grazie spero che qualcuno mi possa aiutare.
Domenico

Domenico Ranieri,

Volevo sapere se qualcuno può darmi una mano! Grazie Domenico

Domenico Ranieri,

@Domenico: al momento non ci è noto alcun metodo certo per recuperare i file criptati dal tuo virus, se non provare a pagare il riscatto.
Se hai dei backup o delle copie shadow hai probabilità di riuscire a ripartire senza riscatto.
Delle informazioni più approfondite su questo virus le trovi qui: http://rimozione-malware.com/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files/
Per esperienze di riscatto, prova a leggere i commenti un po’ piu’ vecchi, come quello di Anna.

Claudio Panerai,

Buongiorno. Nel mio pc il CBT Locker ha criptato un bel pò di cose. Avendo letto che nel farlo vengono genrato dei file temporanei (poi cancellati) ho installato pandora recovery (che avevo usato in precedenca). ieri sera ho fatto partire una "surface scan" su uno dei dischi (dove c’erano migliaia di foto). Alcune immagini sono state trovate (con nome cambiato) ed ho eseguito con successo il ripristino. Stasera verificherò l’effettiva percentuale dei file trovati e cercherò eventuali opzioni della scansione per migliorare i risultati….meglio di niente…

Claudio Mannarelli,

@Claudio: mi fa piacere che tu sia riuscito a recuperare qualcosa.
Per tutti colo che hanno le foto sul pc, come sistema di backup posso suggerire di mettere le foto su http://www.flickr.com

Claudio Panerai,

A tutti quelli che hanno pagato per il piacere degli estorsori che godranno a spese vostre, a tutti quelli che forse hanno perso anche ridìcordi importanti di una parte della loro vita, posso soltanto dire, continuate pure imperterriti, duri e puri ad utilizzare un pc collegato in rete così, un tanto al chilo, continuate testardi ad utilizzare come sistema operativo Microsoft Windows e poi maledite, imprecate e lamentatevi di quello che vi è capitato. Fatevi una sola domanda, di chi è la colpa? Di chi vi ha fregato, oppure vostra che non volte guardare altrove e cambiare direzione, contribuendo alle volte, anche a diffondere queste cose? Chi non ha mai avuto un solo problema di questo tipo, chi non utilizza antivirus, chi naviga in sata pace, chi vi parla non appartiene alla categoria degli utilizzatori di sistemi Microsoft.

David Krampus,

Ma a tutti voi…. se vi si rombe un disco, cosa fate? 😮 Si dovrebbe insegnare alle elementari a fare il backup 🙂 o ad usare il cloud

Martino Salvetti,

A tutti quelli che hanno pagato per il piacere degli estorsori che godranno a spese vostre, a tutti quelli che forse hanno perso anche ridìcordi importanti di una parte della loro vita, posso soltanto dire, continuate pure imperterriti, duri e puri ad utilizzare un pc collegato in rete così, un tanto al chilo, continuate testardi ad utilizzare come sistema operativo Microsoft Windows e poi maledite, imprecate e lamentatevi di quello che vi è capitato. Fatevi una sola domanda, di chi è la colpa? Di chi vi ha fregato, oppure vostra che non volte guardare altrove e cambiare direzione, contribuendo alle volte, anche a diffondere queste cose? Chi non ha mai avuto un solo problema di questo tipo, chi non utilizza antivirus, chi naviga in sata pace, chi vi parla non appartiene alla categoria degli utilizzatori di sistemi Microsoft.

David Krampus,

come dicevo prima il sito è offline. quindi non è possibile pagare neanche volendo. Su diverse macchine il malware ha intaccato anche le shadow copy.
Anche se il software di criptaggio viene tolto le chiavi sono memorizzate in file txt sparsi ovunque nel sistema di nome Decrypt-All-Files-xxxxxx.txt, il testo riportato è lo stesso del software con il conto alla rovescia.

Kyle Piwik,

Ciao Piwik,
è corretto, la richiesta di riscatto risiede in quei file txt. Come dici tu, però, il sito è offline, quindi la strada del pagamento, oltre che eticamente sbagliata, è anche impraticabile.

Furio Borsi,

@Casa: i consigli di filosofia di vita spicciola di cui a te e a chi è ora nel panico non frega un cappero (per usare una parola meno volgare), dovrebbero servire per il futuro, dato che dal punto di vista tecnico, EVIDENTEMENTE, non si può fare proprio nulla perché la crittografia utilizzata attraverso i più robusti algoritmi, come in questo caso, te la mette a quel posto (sempre per mantenersi sull’elegante). Detto ciò, mi auguro che, dal punto di vista tecnico, si riescano a trovare le chiavi dai nuovi server di questi hacker (ovviamente per mezzo di altri hacker "buoni" assoldati da governi o di loro iniziativa), come è successo nel recente passato per le prime versioni del virus; nel frattempo, consiglio a te e a chi è stato infettato di seguire i "consigli di filosofia di vita spicciola" per evitare che in futuro questo si ripeta.

@Capolongo: Chi non paga il riscatto teoricamente perde tutti i dati che sono stati crittati; solitamente danno circa 90 ore ma il tempo viene esteso per dare (non a te, ma a loro) la possibilità di guadagnare anche da te in caso tu non ti sia ancora deciso. Ovvio che ciò che fanno è illegale, che domande, il problema di questi casi è che, come spesso accade, chi è bravo a nascondersi e rimanere anonimo su internet spesso la fa franca. Se avessero criptato un hard disk del Pentagono probabilmente qualcuno di loro sarebbe stato già preso, dico probabilmente…
Nel caso del tuo parente pare che sia stato infettato dall’ultima versione del virus, pertanto ATTUALMENTE – e lo dico a te ma vale per tutti quelli che stanno scrivendo e leggendo – è del tutto INEFFICACE il recovery tramite copie shadow o tramite il sito a cui mandare il file criptato per cercare la chiave esatta (come dicevo prima, appunto, lavoro realizzato da hacker che hanno sottratto le chiavi delle prime versioni del virus). Quanto al tentativo di ripristinare file originali cancellati dal virus prima di criptarli, ricordate che il virus potrebbe averli cancellati col metodo sicuro, ossia con cicli di sovrascrittura, e averli pertanto resi irrecuperabili anche con programmi come photorec e simili.

Nick .,

aiuto………………… ho lo stesso problema avete trovato qualcosa per risolvere il problema ??????

Vincenzo Pinsino,

Per mia sfortuna anche il mio pc è stato infettato. Dopo l apertura di una sedicente email dove mi veniva rimborsato denaro utilizzato per l acquisto di fotocamere digitali è comparso sul desktop sfondo nero e una bella icona dove mi veniva dato il tempo di 96 ore per acquistare bit coin e riavere i miei documenti criptati al costo di 360 euro .Be che dire non mi è passato neanche per un momento cedere a questo ricatto che è una truffa questi soggetti stanno compiendo un reato quindi a mio avviso non bisogna assolutamente piegarsi al pagamento ma data l importanza dei documenti contenuti nei pc sarebbe opportuno fare dei backup quanto meno per evitare preoccupazioni

Carola Rossi,

che dire sono rimasto spiazzato, per fortuna non avevo dati importanti e le foto a cui tenevo le ho messe su google drive.domanda i punti di ripristino servono a qcs? devo formattare il pc?

Ivan Contew,

In ufficio abbiamo beccato il virus il quale ha infettato il server ( ma non i singoli pc, e giá questo è un mistero) ho quindi deciso di pagare ma vorrei capire una cosa. Una volta effettuato il pagamento in che modo mi viene inviato il programmino per decriptare? In sostanza dove lo trovo? Grazie a chi può rispondermi

Fabio,

Credo che nei commenti a questi topic sarebbe meglio inserire pareri o esperienze che si limitino più all’aspetto tecnico…
Di filosofia di vita spicciola e criteri di Gomblotto globale di multinazionali, ad una persona che viene qui a leggere in cerca di aiuto utile, non glienefregauncazzo!

Luca Casa,

Niente insulti, niente niente parolacce e niente offese agli altri.
Ognuno esprima la sua opinione senza insultare o danneggiare gli altri

Claudio Panerai,

Un mio parente ha aperto un allegato .cab e si è beccato il virus. L’estensione dei file crittografati è .weffgng e, inviandone uno a http://www.decryptcryptolocker.com, non è stato riconosciuto come file crittografato. Qualcuno ha trovato una soluzione? Cosa succede a chi non paga il riscatto? Possibile che tutto ciò sia legale, nel senso che si fanno arricchire impunemente cybercriminali senza poter opporre resistenza?
Grazie a tutti

Frankap,

ciao a tutti io ho risolto con questo,
http://www.shadowexplorer.com che trova ed elenca, appunto le versioni precedenti del file compromesso (tutti) anche se dal menù Proprietà – Versioni precedenti risulta “nessuna versione precedente”. Ho recuperato quasi tutto, mi mancano solo gli ultimi 15 gg….

EVA DC,

anche io ho preso il ctb locker e ho perso tutto ma domani vado alla polizia postale e non mollo finchè non li mando in galera questo ve lo assicuro signori miei piuttosto ci rimetto il pc ma non cedo a ricatti

Cristina Petricca,

Io li ho recuperati con shadowexplorer che è un programmino che legge le copie di sicurezza dei file che windows 7 e superiori fanno automaticamente. Lo sto scrivendo ovunque, mi spiace non avervelo scritto prima. Purtroppo alcune varianti del virus cancella queste "versioni precedenti" dei file, io sono stata fortunata.

Barbara Bressan,

Salve a tutti – il sito e’ ritornato raggiungibile ed ho potuto fare la prova di decriptaggio di un singolo file – infatti sul sito c’e la possibilita’ di provare se il decriptaggio funziona.
ADESSO ho 2 files – uno criptato e l’altro decriptato , secondo voi potrei utilizzare qualche programma che confrontando i files trova il codice di criptazione?
attendo fiducioso..

Antonio Cestone,

Una info. Ma se non ricevo alcun messaggio di "riscatto", a chi devo pagare per riavere il pieno possesso dei miei file?????

Chiara .,

Fermo restando che ho aperto il file con estensione .cab e mi sono ritrovata con tutti i file criptati con estensione .cdcwahj che attualmente risultano, naturalmente, impossibili da aprire, se non mi è arrivata nessuna mail con la richiesta pagamento e nemmeno nessun messaggio, eventualmente, come posso fare per sbloccare la cosa? Sarei disposta a pagare, ma non so come fare e dove rivolgermi……

Chiara .,

Salve, se ancora non è apparso il messaggio dove chiede il riscatto significa che il ransomware ancora non ha finito oppure è già scaduto il tempo.
Andando all’indirizzo w7yue5dc5amppggs.onion tramite tor è possibile avere le istruzioni per pagare, ma purtroppo il sito da ieri non è più raggiungibile.
Qualcuno ha qualche informazione in più per decriptare i file? il sito citato nell’articolo ha funzionato a qualcuno con il nuovo CTB-locker?

Kyle Piwik,

Qualcuno ci ha già provato???

Chiara .,

Inutile che proviate a decriptare i file come descritto sopra. Il virus ha assunto una variante nuova rispetto al 2013 ed il criptaggio risulta essere differente da prima.
Inoltre se il vostro antivirus ha eliminato il virus e non avete ricevuto il messaggio classico del riscatto dei file, SIETE FREGATI! L’anti virus ha distrutto con se l’unica chiave di decriptaggio in grado di ripristinare i file criptati.
La nostra unica speranza è che si riesca in qualche modo a capire come vengano generate le chiavi di cript, a mio avviso quasi impossibile da decifrare, siccome sono randomizzate da software in maniera casuale.
PS: faccio il tecnico e ad ora ho clienti con lo stesso problema, purtroppo bloccati.

D4n1ls0n D4n1ls0n,

Ciao a tutti,
consiglio di NON seguire guide che promettono soluzioni miracolose, perché purtroppo non ci sono. Il link postato poco fa fa scaricare un antispyware di dubbia fama, che al limite potrebbe trovare e cancellare il motore di crittatura,, ma di certo non decritta i file: più probabilmente sfrutta invece l’ondata emotiva per convincere le persone ad installare altro malware o ad acquistare software.
Al momento le strade per recuperare i file (escludendo il pagamento del riscatto) sono: 1) averne un backup, 2) avere le Shadow Copies di Windows attive e tornare indietro a prima della crittatura, 3) avere un software con una sandbox che permetta di rimuovere le modifiche fatte ai file.

Furio Borsi,

Piwik. Provato ad installare Tor ed ad aprire il link indicato, ma non me lo apre

Chiara .,

D’accordo con te Krampus, ma la colpa in realtà non è tanto di Microsoft – che indubbiamente è uno dei sistemi più vulnerabili e colpiti – quanto appunto della maggior parte delle persone e della loro negligenza. Se il sistema più diffuso al mondo fosse linux o altri, stai tranquillo che un modo per fregare l’utente più comune e meno smaliziato si sarebbe ugualmente trovato.
La sicurezza informatica, ma in generale la sicurezza delle proprie cose, che sia un portafogli, una banconota, un conto bancario, un oggetto, o semplicemente i dati elettronici salvati su un computer o un cellulare vanno custoditi con cura e riservatezza, e la prima "falla" è il proprio atteggiamento mentale, e la scelta (o non scelta) di determinate azioni. Se si è sbadati e superficiali questo è quanto può accadere, ed è sempre accaduto nella storia dell’uomo perché le truffe e i furti esistono da sempre. Non si può vincere sempre il male, ma si possono quanto meno prendere misure preventive.
Un consiglio per chi ha perso le proprie foto o documenti: se non sono assolutamente fondamentali o di vitale importanza: NON PAGATE, non piegatevi al gioco di questi farabutti che si stanno comprando case e barche alla faccia vostra con tutti i miliardi che state loro regalando (anche perché la cifra per singola vittima non sono certo noccioline); fate finta che avete dimenticato il vostro computer nel vostro forno acceso o che sia caduto nell’oceano atlantico. Che fareste in questo caso? Ve lo dico io, ve ne fareste una ragione e amen.

Nick .,

In parte sono d’accordo con ciò che dicono (anzi, scrivono) Salvetti e Krampus.
Tuttavia chi non ha una copia dei dati da un’altra parte e d’improvviso non si ritrova più nulla in mano sta soffrendo.
E sicuramente imparerà a fare un backup in cloud o imparerà ad avere dei dati memorizzati in un secondo luogo.
E sicuramente chi ha perso i dati si rende conto che se è vero che i cattivi sono cattivi è anche vero che ognuno deve attrezzarsi per prevenire il peggio.
Ma qui non si vuole fare il processo ai buoni o ai cattivi, agli sbadati o ai previdenti: qui raccontiamo problemi, esperienze e talvolta soluzioni.

Claudio Panerai,

Il signor Krampus consiglia quindi di usare cosa per il proprio computer?? Linux?? Ubuntu?? e cosa ci facciamo con un pc con questi sistemi…. stampanti che non funzionano, scanner idem, telefoni e navigatori non ne parliamo, computer con Linux sono buoni solo per navigare STOP!!
Inutile che fai il bastian contrario che non usi Microsoft, vuol dire che ti limiti a navigare in internet e poco anche di quello, e poi la gente sa usare Windows non puoi obbligare le persone a diventare ingegneri informatici per installare una stampante, aggiornare un navigatore, o collegare uno smartphone al computer, già è complicato attaccare per molti la stampante e inserire il disco con i driver … fagli anche andare a riga di comando per far andare uno scanner o una webcam!!!

La colpa è di chi apre le email con la scritta HAI VINTO 6.000EURO!!! oppure clikka ci sono 50 ragazze 18enni della tua città che vogliono conoscerti!! oppure ti hanno bloccato il conto o la carta di credito, clikka qui per sbloccarla!!
Questi sono i boccaloni che non finiranno mai!!
Senza contare gli impavidi visitatori di siti xxx hard che imperterriti si sono beccati anche per 4/5 volte il virus della cosidetta " finanza/polizia/siae/carabinieri" poi quando glielo dici la risposta è … ma ci vanno tutti sui siti porno e ci voglio andare anche io .. vorrei vedere se lo fanno tutti lo fo anche io bah che sono il più fesso…
Beh dopo 5 volte che torni in negozio con il pc bloccato evidentemente alla domanda se sei il più fesso la risposta è SI!!!

Massimo Zini,

@Zini: d’accordo con te su tutto.
@Panerai: Chi perde qualcosa soffre, certo, come soffersi io quando mi rubarono oggetti personali A SCUOLA da ragazzino mettendo mani nella cartella, oggetti mai più ritrovati fra cui anche denaro. Di chi era la colpa? Mia. La lezione l’ho imparata e da allora non ho mai perso più nulla di personale e prezioso, poi può sempre capitare ma le probabilità si riducono molto se si fa attenzione e prevenzione.
A volte se si è fortunati si recupera ciò che si è smarrito, altre volte no. L’ingenuità e la negligenza esisteranno sempre e i furbetti faranno sempre leva su questo per realizzare i loro profitti.
Ribadisco il mio consiglio di NON PAGARE e non cedere ai ricatti di questi criminali se non si hanno dati di fondamentale importanza.

Nick .,

"quoto", come si dice in gergo.

Claudio Panerai,

Ma scusate. Ho anche io preso il virus sopra citato. Non riesco a comprendere una cosa.
Ma se non ho ricevuto alcun avviso o richiesta di riscatto, per "liberare" i miei file, a chi dovrei pagare eventualmente il riscatto?

Chiara .,

A un mio parente, che mi ha interpellato, i file sono stati rinominati aggiungendo una estensione .weffgng che non risulta in nessuna dei vostri messaggi. Ho provato a mandare un file a https://www.decryptcryptolocker.com/ ma la risposta è stata negativa. Ma qualcuno ha provato a non pagare? Cosa è successo realmente dopo la scadenza dell’Ultimatum?
Grazie

Frankap,

anche io ieri ho aperto un messaggio di resa di merce in quanto essendo una commerciante è facile cadere nel sacco e purtroppo sì è vero ho perso tutti i dati le foto le immagini i documenti e le fatture ma non paghero’ mai per una cosa che mi è stata rubata come non paghero’ neanche l’iva delle fatture che ho emesso visto che ora non mi risultano e sfido l’agenzie delle entrate a cercarle ed una volta che le troveranno pagherò e se loro sono piu’ forti di me a trovarle e cercare tutti i miei clienti allora buon per loro…..non tutti i mali vengono per nuocere e anche se in genere i beni e le persone vengono sequestrati e rilasciati dietro un riscatto …questo non fa per me…..oramai il gioco è questo e chi casca peggio per loro. Ho aperto la porta di casa e ho fatto entrare il ladro ma se riesco ad annientarlo prima che scappi allora sono cavoli……

tiziana marcias,

ho eseguito alcuni dei consigli qui enunciati per il recupero dei file ma senza risultati effettivi,il virus è debellato ma il recupero è assai + difficile,cmq rinominando i file jpg mi fà vedere l’anteprima ma quando lo vado ad aprire non mi riconosce il file,in proprietà il file è bloccato,ma mi pongo questa semplice domanda,come mai me lo fà visionare in anteprima?ho provato anche con i file txt -word-exel ma non essendoci anteprime visibili non funziona,mi ripristina solo l’icona. Misteri cibernautici,se in jpg vedo l’anteprima vuol dire che qualche programma lo riesce ad aprire,sapete dirmi qualche cosa di più, Grazie

arty roxy,

infant viev è il mio programma di visualizzazione bpm-jpg

arty roxy,

@Roxy: credo di doverti correggere, io penso che tu volessi dire IrfanView

Claudio Panerai,

Le anteprime le si vede perché Windows salva le anteprime nel file thumb.db, quindi lui legge quello che c’è scritto lì dentro e te lo fa vedere.

Claudio Panerai,

esiste una soluzione per recuperare i file criptati da cryptowall 3.0

Mario Rossi,

Ma è mai possibile che le società di antuvirus ancora non hanno trovato un modo di fermare questa infezione

Angelo Ponzi,

@ponzi.
Il problema con gli antivirus tradizionali è che la velocità con cui cambiano questi virus è superiore al ciclo con cui gli antivirus rilasciano gli aggiornamenti.
In secondo luogo siccome le varianti del virus colpiscono pochi pc (qualche centinaio i milgliaio, non mimlioni) è difficile per i produttori scoprire gli antidoti in tempi rapidi.

Esistono soluzioni alternative come antivirus senza firme che si basano sul "comportamento" dei virus per intercettarli.
Per esempio: http://www.achab.it/webroot

Claudio Panerai,

io non credo proprio che Frengo abbia trovato alcuna soluzione. Appare come uno di quei poveretti in testa che si esaltano già solo nel vedere riportato quanto hanno scritto, figurarsi poi se qualcuno gli dà retta… lo dimostra una semplice sua frase: scusatemi non vorrei sembrare filosofo. Se a qualcuno interessa posso spiegare come mi hanno aiutato.
Ma come!! è una discussione lunga chilometri TUTTA sullo stesso argomento e dice… SE A QUALCUNO INTERESSA???

[LA FRASE CHE SEGUE è STATA ELIMINATA DAL MODERATORE PECHE’ CONTIENE OFFESE E/O INSULTI]

rudy benedetti,

@Benedetti: ho cancellato la tua ultima frase.
In questo sito/forum/discussione si puo’ fare e dire tutto.
Si può dissentire, ma non si puo’ insultare o denigrare gli altri.

Claudio Panerai,

RISOLTO CON IL MALE MINORE. Leggendo sopra ho provato ShadowExplorer portable. Ho scoperto che Windows 7, nonostante non abbia attivato il "Ripristina versioni precedenti" salva cmq alcune versioni precedenti dei file. Il virus ha infettato il pc l’11 giugno e la versione che ho recuperato su HARD DISK ESTERNO è del 4 giugno. PERFETTO! Computer poi formattato. File recuperati 100GB. Considerato che il PC è del Direttore Generale della mia azienda posso solo che essere felice per la mia fortuna. VE LA AUGURO ANCHE A VOI.

Gianluca Cozza,

@Fabio: come vedi dalle indicazioni che trovi sul sito stesso, http://www.decryptcryptolocker.com non ha piu’ il servizio perché ormai il virus è diventato talmente complesso che è pressoché impossibile beccare l’antidoto per ogni variante.

Claudio Panerai,

ma tutto ciò non vi sembra strano? per quanto un hacker possa nascondersi mascherando il proprio ip, non vi sembra strano che nessuno possa fare qualcosa?
non dico risolvere la crittografia a 2048bit (è quasi impossibile, ci vorrebbe la macchina enigma!), ma impedire che cio avvenga?
come mai aziende antivirus, microsoft, sbirri postali o virtuali, stiano tutti sottovalutando la cosa?lo stesso tribunale di milano è stato infettato recentemente.
a me non sembra che tutti queste entità siano particolarmente allarmate.l’atteggiamento più diffuso, distribuito online su ogni forum, è il fatalismo.pagate.o perdete tutto.ma nessuno mi sembra poi così particolarmente preoccupato.
come mai la polizia non interviene?virtuale o no è pur sempre un ricatto.
evidentemente qualcosa non mi torna. se l’fbi ha recuperato alcune chiavi, come mai ha dato incarico a società di terze parti, semisconosciute(per lo meno a me) di dare assistenza agli utenti ignari?.
symantec dice niente?microsoft?
forse sono tutti d’accordo?compresi i governi e le polizie? è una ricerca di massa di informazioni?frughiamo nelle wifi degli alberghi a quattro stelle?
i grandi dns che dicono?ci sarà qualche traccia nelle loro tabelle d routing.
è una prova di forza da parte di qualche ente?
a me suona tutto paradossale.
è come se ti cambiassero la serratura a tua insaputa e ti dicessero: se vuoi sbloccare chiama questo fabbro.in un mondo normale cinque secondi dopo il fabbro dovrebbe essere trovato, arrestato e fustigato. questo non sta succedendo.la cosa sta passando delicatamente fra le nostre chiappe, con il permesso dall’alto di qualcuno.
l’fbi ha trovato le chiavi?e i colpevoli chi sono?saranno russi? saranno israeliani? saranno polacchi o estoni? indiani forse che non vogliono restituirci i marò?
sicuramente qualcosa non torna.faccio il tecnico da 20 anni, virus ne ho visti passare tanti,dal sircam, i vari backorifice, nimda, fraudtool e chi più ne ha piu ne metta.ma come questo, mai.ma non tanto il virus, che si toglie facilmente,anche a mano.bensì l’atteggiamento degli enti coinvolti, delle software house, della polizia,di chi ci deve proteggere o almeno spiegare che succede.non pagano i riscatti delle persone sequestrate e qui ci chiedono di pagare e tacere,con un senso di fatalismo e caducità della vita?ma per pioacere!!veniote a prendere i miei dati se riuscite: la mia rete non è connessa a inyternet, non uso chiavette usb e ho la porta blindata in casa.e dietro alla porta blindata ci sono io con la mazza di ferro….

a a,

buongiorno Claudio,
devo dire la verità, io pagato, ho scaricato il programma ma quando lo eseguo mi dice che il software non è un’applicazione di win32 valida, potete darmi una mano??
grazie!

dani mesi,

@mesi: mi spiace che tu ottenga quell’errore, ma non possiamo fare supporto su software che esulano dai nostri prodotti.

Claudio Panerai,

Salve,
io è da una vita che salvo lavori e documenti sensibili su un hard disk esterno che collego ai pc sporadicamente.
Risultato: possono criptare quello che vogliono, ripristino il pc con i software in poco tempo e non ho problemi di sorta.

Nunzio Abate,

Non mi stancherò mai di suggerire la creazione periodica (ma ad intervalli piuttosto ravvicinati, ad es., ogni 15 – 30 giorni) di una immagine completa del disco contenente il S.O. e tutti i programmi. Ovviamente, per evitare la perdita di dati dovuta a questo e ad altri virus e malfunzionamenti, la creazione di una immagine anche degli altri eventuali HD installati nel computer e contenenti i dati (foto, filmati, documenti, etc.), magari a scadenze più distanziate.
Per quanto mi riguarda, utilizzo da molti anni Acronis True Image e conservo le immagini via via create su HD esterni (collegati via USB a mezzo di una Docking Station).
Va da sè che periodicamente cancello le immagini più vecchie per far posto alle nuove.
Il costo, attualmente piuttosto contenuto, degli HD (da almeno 2 TB ciascuno) rende accettabile la metodologia, con risultati "impagabili" come sicurezza rispetto a varie problematiche, non soltanto legate ai virus, ma anche alle endemiche "defaiance" e bug a cui ci ha abituati Windows.
Naturalmente, esistono altri programmi, commerciali e non, che possono essere utilizzati per la bisogna al posto di True Image: la mia è una scelta "abitudinaria", non altro.
Ringrazio comunque Claudio per i preziosi suggerimenti, anche se, nonostante i ripetuti inviti del mio antivirus, che da alcuni giorni mi sollecita di scaricare e utilizzare (a pagamento) una versione aggiornata del programma che "dovrebbe" evitarmi il problema.
Spero che qualcuno segua il mio suggerimento e, "quasi" certamente (il "quasi" è sempre d’ obbligo in informatica), potrà, con poca spesa e fatica, superare futuri problemi.
Galeno.

Angelo Esposito,

Buongiorno, io sono un sistemista informatico e proprio 4 giorni fa mi sono imbattuto in questo virus che ha creato non pochi problemi ad un’ azienda. Questo virus è veramente potente, nel senso che crypta ogni singolo file che trova sulla sua strada. Quest’ azienda l’ ha beccato aprendo una mail ricevuta da un account di posta spacciato come ENEL con un link allegato per scaricare "la bolletta"… cmq, tornando al virus…
Premetto che pagando (in bitcoin) ti inviano veramente il link per decriptare ogni singolo file, ma il problema è "prevenire" l’infezione.
Questo è un virus che cripta in ordine alfabetico, quindi, prima cosa da fare è creare una cartella sotto disco C, chiamarla Aaa (in modo che sia la prima in ordine alfabetico e riempirla con foto inutili di cui abbiamo già delle copie, di scansioni vecchie o comunque di file che, anche se criptati, non ci servono). In teoria mettere 30 GB di file vi da quasi mezz’ora di tempo per poter accorgervi di aver preso il virus e spegnere il pc. Una volta spento il pc, il virus non si propaga più, nemmeno quando lo riaccenderete… criptata la cartella Aaa non dovrete far altro che buttarla nel cestino.
Altra cosa da fare è comprimere i vostri backup e mettere una password alla cartella radice del backup, in questo modo il virus non potrà decifrare la vostra password e di conseguenza lascerà i vostri backup immuni!
Purtroppo sono solo piccole precauzioni queste…gli antivirus servono a poco per ora

Francesco Renò,

Buongiorno, io ho provato ad apriee la pagina http://www.decryptcryptolocker.com , ma non riesco a trovare dove devo inserire la mia mail ed effettuare l’upload del file criptato. Qualcuno potrebbe indicarmelo? Grazie

Fabio,

@cavallo: te ne accordi praticamente subito, perché non riesci piu’ ad aprire i tuoi file.

Claudio Panerai,

@gelmetti: tenere un sistema con file inutilizzabili e con sopra un virus non serve a molto, per cui la formattazione direi che è d’obbligo se vogliamo avere per le mani un pc efficiente e funzionante.

Claudio Panerai,

Buongiorno, io sono stato "attaccato" ieri in azienda, pare sia partito tutto dal mio pc (anche se non ricordo di aver aperto alcun allegato o mail sospetta). Il virus ha criptato i file del mio pc in locale e successivamente quelli di una cartella del server condivisa in rete. E poi mi sono accorto anche i dati locali di un solo altro pc (sugli 8 in azienda).
Su quest ultimo pc ho risolto con shadowexplorer che però non ha funzionato per il mio pc (perchè su xp non funziona), sulla chiavetta usb che vi era inserita (tutta criptata) e sulla cartella del server (con windows server 2008 r2) in quanto non trova copie shadow.
Il fatto è che a me non è apparsa nemmeno nessuna richiesta di riscatto, e quindi, anche volendo, non saprei come contattare i "ricattatori". Ho un backup di inizio mese ma tante cose sono perse…
i file criptati hanno il seguente formato ..id-xxxxxxxxxx_fud@india.com tipo pippo.jpg.id-1234567890_fud@india.com.
Se qualcuno avesse news, anche su come fare per valutare il riscatto!

Davide Benigni,

Io ho avuto lo stesso problema. Ho pagato..ho scaricato il programmino..lo lancio…parte una finestra di msdos che sparisce e non succede nulla. Qualcuno ha qualche idea?

Simone Giudici,

Ciao, anche io sono vittima di Cryptolocker, ho provato ad inviare alcuni file ma la risposta immediata è sempre la stessa, i file non sono criptitati. Mi sapete dire se ci sono altre vie da tentare?

Cosimo Gagliardi,

Ciao, anche io sono vittima di Cryptolocker, ho provato ad inviare alcuni file ma la risposta immediata è sempre la stessa, i file non sono criptitati. Mi sapete dire se ci sono altre vie da tentare?

Cosimo Gagliardi,

Una sola domanda : scegliendo di non pagare, e quindi (forse) perdendo i documenti, è bene comunque formattare il sistema? Grazie.

Vanni Gelmetti,

Ho preso il virus cryptofortress, sono riuscito a rimuoverlo ma tutti i file sono rimasti criptati in formato frtrss, abbiamo provato con vari programmi per decriptare ma con questo virus non funzionano e non è possibile neppure ritornare a un punto di ripristino precedente alla data nella quale ho preso questo virus. Qualcuno sa se esiste un programma che funziona per decriptare i file infetti da cryptofortress ??? Come posso fare per riavere i miei file ?

Alessandro Rossi,

Soluzioni perr il futuro:
abilitare le copie shadow
Usare utentii non amministratori
Regolari backup
Poi potete togliere anche l’ antivirus

Sauro Casini,

Ho anche io delle macchine con il cryptolocker estensione dei file *.encripted provato il sito ma la risposta è che il file non è criptato. Mi accingo a provare con la copia shadow ma ho poche speranze perchè son Xp, provero con vari undelete e rescu da cd, ma non ho molte speranze. Mi chiedevo se faccio aprire i browser e i client di posta in una SandBox i rischi esistono ancora? altrimenti con virtual box senza accesso ai dischi locali?

Carlo Sebastiani,

@71: le copie Shadow dovrebbero essere abilitate di default, ti risulta il contrario?
Concordo che togliere gli utenti dal livello amministrativo riduce drasticamente il numero di problemi. Sempre. Non solo per i virus, ma per i danni che possono fare.

Claudio Panerai,

@Sebastiani: se usi una Sandbox dovresti essere in una botte di ferro.

Claudio Panerai,

Buongiorno a tutti, anch’io sono stata vittima di una variante di questo virus anche se ancora non sono riuscito a capire quale forma sia, so solo che dentro le cartelle mi sono ritrovato 3 file differenti con scritto help_decrypt. Ho salvato tutto quello che risultava leggibile e ho formattato il PC, adesso volevo chiedervi, mi sono ritrovato sui file di google drive quei file che ho menzionato prima e dal PC formattato e pulito non riesco a vedere quei file, possibile che il virus ha attaccato anche google drive??? Una cosa strana però che dal cellulare i file riesco a vederli com’è possibile questa situazione??? Adesso la mia paura è il virus che cripta i file risiede nel PC o c’è il pericolo che avendo passato qualche cartella nel mio hard disk di backup il virus possa risiedere li, vi prego datemi un aiuto a capire. Grazie.

Giovanni Santacolomba,

@S.: in genere questo tipo di virus cifra "tutto quello che può". Quindi se hai un hard disk di backup direttamente attaccato al pc è presumibile che il virus vada a finire li sopra.

Claudio Panerai,

Adesso sto usando una dietro linux per analizzare i dischi esterni, come faccio a capire se il virus è dentro?? Ed eventualmente ad eliminarlo?? Sto usando ubuntu. Grazie.

Giovanni Santacolomba,

Per le estensioni .encrypted come già detto c’è un’azienda italiana che riesce a risolvere. Il suo nome non vorrei pubblicarlo altrimenti finisco per essere bannato ma se leggete nei commenti facebook trovate il mio nome Emmeland e potete scrivermi in privato. Saluti a tutti. pS: CONTROLLATE L’ESTENSIONE PRIMA. SOLO ENCRYPTED AL MOMENTO POSSONO ESSERE RISOLTI

Luca Incognito,

Ribadisco che non ci sono metodi noti per decrittare i file (senza cedere al ricatto) che esulino da siti come decryptcryptolocker.com *sempre gratuiti perché non a scopo di lucro*.
@Emme Land: se ritieni che la tua soluzione sia valida, perché non ci contatti, così che la possiamo verificare insieme? Puoi scrivere al supporto di Achab (www.achab.it/supporto) oppure contattarci su Facebook.

Furio Borsi,

Sono venuto a conoscenza di questo "Ransomware Cryptolocker" che ormai ha preso mille varianti diverse grazie alla collaborazione con un rivenditore della mia zona, ma aimé, per la legge di murphy il 21 di questo mese, un mio cliente è rimasto "colpito".
La variante in questione cripta i soliti documenti (.doc, .txt, .PDF, .jpg ecc.) e li rinomina con estensione ".kuotsrl".
Leggendo innumerevoli Forum, Guide e via dicendo, l’unica cosa che ho potuto capire e che mi sono impegnato di fare è NON CEDERE AL RICATTO (visto che in ogni caso il risultato, anche dietro pagamento, NON è garantito).

Armato di pazienza, e grazie anche ad alcuni commenti che precedono il mio, ho agito con ottimi risultati in questo modo:

– avvio in modalità provvisoria e passato i seguenti TOOL
combofix, spyHunter, Malwarebyte

– riavvio in modalità normale e ripasso i seguenti TOOL con qualche aggiunta
Combofix, spyHunter, Malwarebyte, TFC, adwCleaner, Junkware Removal Tool, RKill.
Con revoUninstaller controllato e rimosso programmi "sospetti" ad avvio automatico.

Una volta ripulito il tutto, ho utilizzato ShadowExplorer (segnalato nei commenti di questo articolo) e, selezionato la data precedente al misfatto, sono riuscito a recuperare tutti i dati criptati.

Spero che questa mia segnalazione, possa essere d’aiuto a qualcuno come le Vostre lo sono state per me.

Grazie mille a Claudio Panerai per l’impegno nel seguire questo articolo.

Andrea ilCav,

@Bigra @Claudio Panerai
Dipende dal tipo di cloud. Avere piu’ backup (quello del giorno 9 e del giorno 8 e cosi’ via) implica avere molto ma molto piu’ spazio a disposizione che non per un solo backup.
E piu’ spazio, di solito, signifca anche maggior costo. Un buon cloud dovrebbe perlomeno controllare la hash dei file. Se su 1000 file, da un giorno all’altro cambia anche la hash, c’e’ di sicuro qualcosa che non va e il backup non dovrebbe avvenire, oltre a partire un avviso al titolare di dati.
Bisogna entrare nell’ordine di idee che i computer vanno usati con criterio. Bisogna fare i backup. Non bisogna lasciare risorse di rete montate se non si devono usare, solo per risparmiare un click o l’immissione di una password. Anche il NAS si puo’/si deve lasciare spento se non lo si usa. Questi maledetti parassiti saranno anche dei bravi programmatori, ma la realta’ e’ che sfruttano due dei bug piu’ grandi che esistano: la pigrizia della gente e, se mi passate il termine, l’ignoranza in campo informatico. Purtroppo la maggioranza della gente capisce l’importanza dei propri dati solo DOPO il fattaccio…

Mariano Pellagra,

Mi trovi abbastanza allineato, Pellagra

Claudio Panerai,

Buonasera, sono stata attaccata anche io sabato . Il problema è che non ho aperto allegati, e non sono in rete condivisa con altri. Anche a me hanno chiesto un riscatto di circa 500€, ma il metodo di pagamento è così assurdo che mi sono rifiutata. L’estensione dei miei file è .ecc ; ho fatto le varie prove con i supporti x il decriptazione ma il file , come x molti altri, non risulta infetto. Una società a cui ho spedito un file mi ha confermato che si tratta di ctb locker. Il software stellar phoenix non ha recuperato quasi niente, proverò a breve con le shadow copies. Inutile dire che sono disperata. Comunque io non formatto nulla, ho deciso di sostituire il disco con uno nuovo e conservare tutto …magari la chiave x riavere i file è nascosta nel sistema e ho paura di perderla formattando …in attesa di aggiornamenti, un saluto .

Paola Faber,

Buongiorno, avevo scritto per un quesito ma temo la domanda si sia smarrita: volevo sapere se, per evitare questo virus, sia sufficiente rinominare le estensioni dei file, ad esempio i "xls" in "excel", "jpg" in "foto" e così via dicendo e, per aprirli, assegnare il software corretto per tutti. E ancora: se un pc è colpito dal CTB, c’è pericolo per un HD USB scollegato al momento del virus ma quando si collega per il backup, può essere infettato? Grazie, sperando di essermi spiegato sifficientemente

Giovanni Marchese,

@Marchese
Per lanostra esperienza l’estenzione del file è irrilevante rispetto alla crittografia, quindi secondo noi i dati non sono protetti se cambi l’esetensione.
Se un HD esterno non era collegato al momento dell’infezione i dati sono al sicuro. Ma se attacchi l’HD esterno e il virus è ancora attivo nel pc allora anche il disco esterno potrà facilmente essere infettato.

Claudio Panerai,

Grazie per la risposta. Due PC di un amico sono stati infettati da due varianti e non c’è stato verso per ripristinare tutto. Non si accede al sito per la prova di decriptazione. Per fortuna avevo fatto un backup anche se di molti mesi fa. Il resto, tutto perso. Ho collegato un HD USB esterno, munito di interruttore per fornire la corrente e da usare solo per il tempo necessario di creare il backup sistema e dati. E’ un virus schifoso, come lo sono quelli che lo usano, in quanto colpiscono anche ospedali e entri medici, dove sono custodite le cartelle cliniche dei pazienti. Ma mi fa rabbia pensare che non c’è informazione. Quando apro Google, questi rompe le scatole per far leggere avvisi e invece potrebbe inviare segnali di avviso per tutti, informatici e, soprattutto, chi usa internet con poca esperienza.

Giovanni Marchese,

Un Pc dell’azienda è stato infettato da Cryptolocker lo scorso giugno; ho provato con shadowexplorer ma recupera solo fini a metà agosto; vorrei avere indicazioni da frengo relativamente a quel sito dove ha risolto il problema. grazie

Giorgio Roby,

Daccordissimo con "a".
Ormai sono più di 2 anni che gira questo virus. . Anche a me pare molto strano che nessuno abbia preso provvedimenti.
Da quando esiste l’informatica di virus se ne sono visti a migliaia. . Ma questo cancella in pratica tutti i file del pc che fa partire l’infezione e tutti i file delle cartelle condivise in rete. .. quindi spesso sul server .. cartelle vitali come Company. . Nessuno fa niente. Subiamo. Mah.

alberto v.,

@v.
Capisco il tuo stato d’animo ed è quindi comprensibile quello che dici.
Non si tratta di 1 virus che gira da due anni, ma di decine di migliaia di virus diversi che funzionano piu’ o mano allo stesso modo.
Non è 1 virus, ma tanti virus.
E i produttori di sicurezza sono al lavoro, ma sarebbe come dire che la polizia non fa nulla solo perché ci sono sempre ladri in giro….
La polizia ne arresta tanti, ma tutti è impossibile.

Claudio Panerai,

salve, sono un infettato, mi spiace per le fotografie che non recupererò più, perchè di pagare sta gente non se ne parla neanche, però se fosse possibile recuperarne anche solo una parte sarei soddisfatto.
ho trovato questo articolo, nessuno lo ha verificato? http://www.ilfattoquotidiano.it/2015/05/21/ramsonware-finisce-incubo-file-criptati-arriva-kit-di-soccorso-per-liberarli/1704915/
purtroppo sono una capra e non ci capisco nulla, caso mai qualcuno lo volesse analizzare e far sapere, grazie in anticipo

bruno redondi,

Salve, dopo quanto tempo capisco se sono stato infettato oppure no?
o appena preso si manifesta immediatamente? Oppure ancora solo al riavvio del PC, per esempio?

. cavallo,

Buongiorno a tutti;
Vi posso raccontare la mia esperenzia, ho risolto praticamente al 100 % il problema con delle severe regole di backup, utilizzando backup assist in modalità iscsi eseguo dei backup su nas, aprendo delle sessioni iscsi sul nas solo nella fase di backup notturno, ed una volta finito il backup la sessione viene chiusa.
Questo permette di non avere MAI l’unità esposta alla rete per cui anche in caso di infezione alle unità di rete condivise (già capitato molte volte) l’ unità iscsi non visibile contiene i file non crptati.
In abbinamento a questa procedura utilizzo il ruolo su server 2008 / 2012 "file server resource manager" impedendo nelle cartelle condivise la scrittura di file con estensioni non autorizzate e dichiarate.
Un caro saluto a tutti

Gian Luca Ruffilli,

@Ruffilli: le tue parole sono puro Vangelo!

Claudio Panerai,

purtroppo da oggi faccio parte anch’io della lunga serie di criptati ! il tecnico che segue la gestione informatica del mio ufficio è riuscito, sembra, a recuperare gran parte dei dati presenti sul mio computer personale , ma nulla è riuscito a fare per i dati in rete in quanto ci siamo accorti che il sistema di backup era danneggiato e non funzionava a dovere (!!!!!!!!!!). anch’io condivido l’idea che pagare vuol dire alimentare la truffa, ma se non pago – sperando che funzioni- ho perso tutto il lavoro dell’ultimo anno e ,quel che è peggio, sono fermo con i lavori in corso. pazzesco !!! ho contattato la polizia postale che per poco non mi rideva in faccia ….. no, l’italia (volutamente con la minuscola) ormai è una barca che sta affondando . non potendo fare altro pagherò , ma se prima era solo un’idea da oggi stesso mi attiverò per andarmene da questo paese che non mi tutela più oltre a spremermi come un moccio da pavimenti. che schifo. scusate lo sfogo

diego sedran,

@sedran
Mi spiace che tu abbia perso i dati e non abbia potuto lavorare per parecchio tempo.
Pero’ non possiamo dire che è colpa dell’Italia.
Abbiamo preso le precauzioni tecniche affinché tutto fosse protetto? Abbiamo formato i personale sulle possibili minacce? Abbiamo un processo che verifichi la bontà dei backup che vengono fatti?
Non è un processo a te, ci mancherebbe, ma così come ci prendiamo cura di cassa nostra e prendiamo precauzioni affinché nessuno entri indebitamente e faccia danni, così sul fronte informatico: i dati sono nostri e siamo noi a dover attuare tutte le possibili politiche di prevenzione per limitare i danni possibili.

Claudio Panerai,

@simonini: non posso rispondere con certezza assoluta, ma non c’è motivo per cui un virus non possa criptare un file anche se protetto da password.

Claudio Panerai,

Il virus cripta anche Files con password? Grazie

Luciano Simonini,

ciao a tutti. anche il mio pc è stato infettato.
file pdf, exel e jpeg sono passati ad essere ".micro".
se avete una soluzione per decriptare i file vi ringrazio anticipatamente.

Rocco Rizzo,

@simonini: al virus non interessa cosa ci sia all’interno del file, contenuti testuali, contenuti binari come un pdf o una immagine o un file protetto da password, lui prende il contenuto e lo trasforma.

Io sono uno sviluppatore che usa Linux dal 2000, da quando mi sono rotto le scatole di avere su Windows troian, virus, worms e chi più ne ha più ne metta, a casa mia ci sono 3 pc, tutti con Linux, oltre al firewall sul router ogni macchina ha abilitato il proprio firewall locale e sinceramente su Linux di problemi di virus in 16 anni non ne ho visto nemmeno uno, questo perchè l’eseguibilità di una applicazione avviene mediante un settaggio di un flag sul file system e non come è su windows che va per estensione.

Capisco che in ambito lavorativo si faccia una certa fatica a migrare da Windows a Linux a causa di applicazioni che sono native e magari non esiste una versione corrispondente su Linux ma a una utenza casalinga che faccia un utilizzo di internet, posta e office consiglio vivamente di passare a Linux, come dicevo, sono 16 anni che lo uso e tutti i componenti della mia famiglia lo usano quotidianamente senza problemi, poi chiaramente un backup dei dati importanti è sempre meglio farli, indipendentemente dal sistema operativo utilizzato !!!

Gianluca Tessarolo,

dimenticavo altro inconveniente, mentre carica Windows la finestra diventa tutta nera all’improvviso e poi riprende l’azzurro di Windows e si vedono le icone del desktop anche quelle .encrypted. forse è dovuto al fatto che deve caricare kasperski, adware, superantispyware e malwarebytes.?

tony liotta,

buongiorno, avevo bisogno di alcune informazioni e consulenza dai più esperti.
ho eliminato il cryptolocker con combofix e Norton power eraser. ho recuperato i file dei documenti con shadow Explorer esportandoli su un hard disk esterno e non li caricherò più sul portatile.
ora mi rimangono sul portatile tutti i file pdf, word, Excel, con aggiunta estensione del virus . encrypted e in ogni cartella infetta due files ( 1 in html e 1 in txt) nominati "come ripristinare i files" con i quali i ladroni dicono come procedere a pagare.
alcune domande da ignorante:
1) posso cancellarli tutti e quindi svuotare il cestino o ci sono altri rischi ?
2) che fine fanno, nel senso dove vanno a finire e come vengono distrutti quando li cancello ?
3) ho visto che shadow adesso, essendo passati alcuni giorni, mostra solo i file criptati e non più quelli sani. devo procedere anche lì a qualche pulizia ? oppure solo aspettare che non li faccia più vedere nell’immagine trascorsi alcuni giorni?
grazie a tutti.

tony liotta,

Aiuto ragazzi, la mia cliente aprendo una e-mail è stata infettata da qualcosa che ha criptato tutti i file del sistema operativo. Ha fatto una scansione con avira, ma nulla ha tutti i file criptati con tale estensione .fmogzoi Qualcuno di voi può indicarmi come risolvere questa situazione.

Sarah Bonanno,

buonasera a tutti, anche io ho beccato il virus cryptolocker proveniente da email di società telefonica oppure un aggiornamento di java, comunque nel giro di 6 minuti ha criptato migliaia di files pdf. word, excel, per 9 giga !!! e mea culpa non avevo back up.
per fortuna ho parzialmente risolto grazie ai consigli del sito, complimenti al signor panerai. ho lanciato combofix ed eliminato il virus, poi ho usato adaware e cccleaner, scaricato e utilizzato kaspersky, e shadowexplorer. fortunatamente con shadow sono riuscito a trovare e esportare i files di qualche giorno prima su un hd esterno. Appena in tempo perché la shadow di oggi mi fa vedere i files criptati ! Non contento ho scaricato e usato anche Norton Power Eraser che mi ha pulito qualche anomalia nel registro. Ora, volevo chiedere al signor Panerai o altri esperti, se posso cancellare manualmente tutti i files con aggiunta l’estensione .encrypted e i 2 files in txt e html che contenevano le istruzioni per pagare i ladroni o si potrebbero verificare altri problemi. L’unico problema che al momento riscontro è che non riesco ad aggiungere siti ai preferiti.
grazie.

tony liotta,

Condivido quanto Francesco espone e cortesemente gli chiedo consiglio. Il mio è stato criptato il 19-11 dalle 12,20-10 alle 2,30 e ora saranno già persi i dati ? A chi posso inviare il disco rigido per decriptare quanto danneggiato e a quale presumibile spesa? Grazie e cordiali saluti.

Amedeo Panteghini,

Il mio è stato contaminato il giorno 11/11/16 dalle alle 12 alle 13.Adesso sono perduti i file? Sostituendo il disco con altro nuovo quello criptato come può essere bonificato anche se Avast ha rimosso il virus? A chi posso rivolgermi?Con quale speranza e spesa approssimativa? Grazie per quanto potrai suggerirmi.

Amedeo Panteghini,

@Amedeo
La prima cosa che ti consiglio, è di affidarti a qualche consulente preparato.
Secondo: per ripulire il vecchio disco in modo efficace ti consiglio di formattarlo.
In terzo luogo andrebbe capito il tipo esatto di virus che hai preso secondo le indicazioni di questo articolo.
In secondo luogo una volta trovato i ltipo di infezione in questo sito puoi vedere se esiste una soluzione per decrittare i dati.

Claudio Panerai,

Il virus è cryptolocker.I file criptati sono di testo redatti con Word 2003.Nel sito che indichi non trovo la soluzione

Amedeo Panteghini,

@Amedeo: hai verificato con precisione che si tratti proprio di cryptolocker (l’originale?), perché ha quasi tre anni, sarebbe strano prenderlo ora. E’ piu’ probabile che tu abbia preso una variate.
In uno degli articoli indicati c’è segnalato un sito per capire con precisione quale è il tipo di virus/variante che ha infettato il sistema.
Fatto questo si puo’ vedere nel documento linkato a GoogleDocs se esiste un metodo per recupare i dati.
Non conosco la tua esperienza e conoscenza, se non sei pratico, rivolgiti a un buon consulente.

Claudio Panerai,

Mi aggiungo anche io alla lista…con la variante ovvero evoluzione .encrypted …andassero a quel paese io non pago nemmeno un centesimo

domenico,

Mi aggiungo anche io alla lista dei disperati che stanno perdendo informazioni importanti. Anche io mi ritrovo i file con l’ulteriore estensione .encrypted. Mi sono collegata al sito e quando mando il file mi risponde "The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file." Vi chiedo cosa posso fare. Pagare la "taglia" pur di riavere i files liberi può essere una soluzione percorribile?

Anna,

Oggi e’ capitato ad un nostro cliente ha pagato i 330 euro
dopo 5 min gli si e’ reso disponibile il file per la decriptazione
dopo lanciato nel giro di 10 minuti gli ha decriptato i 5000 file
Il cliente ha preferito questa strada in quanto il recupero dei file vecchi dal backup sicuramente gli costava di piu’

Gianni,

Ciao Gianni, vorrei essere messa in contatto con il tuo cliente: anche io vorrei cedere al riscatto, però ci vuole coraggio … per fidarsi di uno che ti ha appena criptato i dati del tuo hard-disk. Chissà cos’altro questo si permette di fare! E un Centro Rilascio dati (… professionisti sono!)? Non potrebbe essere una soluzione?

Anna,

@Anna, Gianni, Vincenzo56 e Roberto.
Capisco la vostra rabbia e la vostra situazione.
Il servizio di cui si parla in queste pagine è relativo alla versione originale del virus.
Purtroppo il virus in questione cambia molto rapidamente per cui è difficile (se non impossibile) trovare un antidoto.

Soluzioni per evitare il problema in futuro:
– fare un salvataggio dati con regolarità
– dotarsi si un antivirus che vi protegge anche contro virus sconosciuti, come Webroot (http://www.achab.it/webroot) disponibile sia per ambito aziendale sia per ambito personale

Claudio Panerai,

Per Anna come ti dicevo il mio cliente ha pagato trasferndo i soldi su un conto bitcoin e poi trasfendoli al conto del malfattore dopo poco nella schermata e’ comparso un download del programma che ti scanerizza i file del disco e li decripta.
Penso che l’unica soluzione sia fare il backup per prevenirsi sia il backup STACCATO in quanto questo virus aveva criptato anche i dati su unita’ esterne sul nas di rete e su cartelle condivise su altri PC

Gianni,

Confermo che un backup collegato (con un dico o via rete locale) a un pc infetto puo’ essere criptato a sua volta e quindi diventa inutilizzabile.
Un backup su disco removibile o un backup remoto (offsite) sono le soluzioni più sicure per ripartire in casi come questi.

Claudio Panerai,

Gianni grazie delle informazioni. Un’ultima cosa nel lanciare il file exe di decriptazione ricevuto dopo il pagamento, il tuo cliente si è prima assicurato di aver rimosso dal computer cryptolocker con qualche antivirus? Certo, la prossima volta sarò molto più preparata … non ho dubbi! Grazie Claudio dell’assistenza tecnica e … anche morale … !

Anna,

Mi hanno dato un hard disck con i file criptati da un criptolocker, ho provato il sito sopra ma non ha funzionato

Tony,

@Tony: è possibile che il virus che ha cifrato i dati del disco che ti hanno portato sia una variante, quindi diverso, anche se simile. E quindi la medicina non è in grado di curare il malato.

Claudio Panerai,

Per l’ultimo arrivato il CTB LOCKER di Gennaio 2015 ho messo a punto un file reg che scollega gli allegati SCR dall’incauta esecuzione da parte di utenti causa click su allegati molesti.

Ll’ho testato su XP 7 e 8 puo’ aiutare gli utenti a non perdere i dati personali
http://www.steelcomputer.it/index.php?page=security

Steel

Steel Steel,

Ma come capisco che i miei file sono stati criptati? Io o ricevuto il messaggio circa un ora fà. Quali file mi cripta?

Francesco Scheda,

Ma il virus si manifesta solo su pc?

Francesco Scheda,

Salve, mi aggiungo alla lista di coloro che sono incappati nel Cryptolocker, peraltro in maniera abbastanza sciocca in quanto ho scaricato da Google un programma che avrebbe dovuto rimuovere le psw dai file pdf; per chi pensa che ben mi sta dico che ha ragione , utilizzavo un PC in cui avevo pochissimi file ed ero disposto anche a correre il rischio di beccare qualche virus, al massimo avrei riformattato; quello che non avevo considerato era di incappare in qualcosa che mi avrebbe reso inutilizzabili l’unica cosa che davvero contava nel mio Pc e cioè le foto di dieci anni di vita.
Premesso che piuttosto che pagare rinuncio ai miei ricordi virtuali ho trovato questo sito con tutti i commenti ed ho sperato che il sito indicato tempo fa , decryptolocker.it, mi potesse aiutare; oggi (domenica) alle 14,00 ho inviato, come da istruzioni del sito, un file pdf ed un doc. criptati, alle 17,00 ricevo la risposta da A. Papini, "Si, questa criptazione è risolvibile Il servizio costa 220 euro + iva fatturate Se siete interessati prego rispondere
vi verrà inviato un altra email con le coordinate bancarie per il bonifico o l’email per il pagamento paypal Cordialità. Alessandro.ww.networksrl.net http://www.decryptolocker.it&quot;
Ma secondo voi chiedere la stessa cifra che mediamente chiedono i delinquenti informatici non equivale a mettersi sul loro piano? anche perché se volevo spendere i soldi li davo subito agli autori del danno no? Personalmente sono tentato di rispondere al Sig. Papini con un bel vafff… ma per ora mi mordo la lingua .. e anche la tastiera

Paolo Lopez,

Ho preso Cryptolocker sabato 28 scorso ed ho disperatamente cercato qualcuno che mi risolvesse il problema. Purtroppo nel mio PC ho tutta la mia vita privata e di lavoro e mai fatto un backup, ovvero solo qualche chiavetta ma per pochi file. Ora non mi resta che pagare,e da quanto qui ho letto è una strada percorribile perchè chi di voi l’ha fatto dice di aver avuto effettivamente la chiave. 300 euro per me son tanti ma non ho via d’uscita. Vi saprò dire se si sarà conclusa in maniera positiva anche se questa sarà un ulteriore pubblicità a favore degli autori di questa estorsione.

Giorgio Carissimi,

una domanda sciocca: ma se utilizzo un cloud che fa in automatico il Backup dei miei dati, se il cryptolocker cripta i miei file e questi si aggiornano automaticamente anche online, non rischio comunque di ritrovarmi con tutti i dati criptati?

Juri Bigra,

@Faber: capisco la "drammaticità" della situazione.
Purtroppo i file cifrati con CBT locker sono inespugnabili e quasi nessuna variante consente il recupero con ShadowExplorer ma ovviamente tentare non nuoce.

Claudio Panerai,

@Bigra: la risposta dipende dal tipo di backup in cloud che viene fatto.
Normalmente il backup tiene la storia dei file, per cui se hai preso l’infezione, per esempio, il giorno 10 e tutti i file sono cifrati, da quel giorno in avanti anche i backup in cloud saranno inutilizzabili, ma potrai chiedere di riavere il backup del giorno 9 o del giorno 8 e da li, ripartire.

Claudio Panerai,

@Pirazzini
Salve , se la cifra richiesta non è esorbitante io sono interessato

Paolo Lopez,

Il pc dell’uffico si è infettao senza che io scaricassi niente!!
Semplicemente sono tornato dalla pausa pranzo e per caso ho scoperto un file excel bloccato,,Da li il resto…anche la mia memoria personale è stata infettata, ma sono iuscito a scollegarla in tempo e la maggior parte dei file è salva.Avevo comunque una copia di un paio di mesi prima…
Anche a me il sito suggerito all’inizio risponde che non rileva nessun virus sui files inviati..

lobo l,

Non è necessario scaricare qualcosa per prendere un virus. Scaricare qualcosa è il modo piu’ semplice.
Diciamo che basta che un pc sia in rete e da un altro pc infetto si possono raggiungere gli altri e cifrare i dati.
Meno male che avevi un backup di due mesi prima.
Il sito suggerito nell’articolo era nato per risolvere i problemi dell’originale Cryptolocker, ma oramai quelle che sono in giro sono tutte varianti per cui quell’antidoto non è più valido.

Claudio Panerai,

@Steel: grazie per il tuo contributo!
@tutti gli altri: il link suggerito da Steel porta a un pagina dove si puo’ scaricare un piccolo programmino che impedirà al tuo pc di prendere questo virus perché impedisce alla base l’esecuzione di alcuni file.
Rinnovo però l’invito a prestare attenzione: i virus che ci sono in giro sono molto simili fra loro ma diversi tecnicamente per cui una soluzione o un antidoto che funziona su un pc non è detto che funzioni anche sugli altri.

Claudio Panerai,

@scheda: il virus cripta teoricamente ogni tipo di file, poi dipende da variante a variante, sicuramente va a toccare i documenti e le fotografie.
Ti accorgi dell’esistenza del virus perché se provi ad aprire i documenti…. non riesci piu’ ad aprirli!

Claudio Panerai,

@conte: venerdì pubblico un articolo "completo e aggiornato" circa la situazione di questi virus.
Lo scopo dell’articolo è fare un punto chiaro della situazione di quello che si puo’ fare (e come) e quello che non si può fare.

Claudio Panerai,

Salve, vorrrei riassumere brevemente la mia disavventura e magari capire come mai questi "delinquenti" ancora la possono far franca.
Avevo già letto in rete di un virus che insinuandosi nel SO decriptava i files del "malcapitato" richiedendo una specie di riscatto, ma fino ad oggi pensavo che nessuno avrebbe ceduto, ed invece…
eccomi davanti ad una variante indefinita del CryptoLocker beccata semplicemente aprendo un sito per scaricare una versione aggiornata di "Java" per il mio Xp ormai da tempo privo di aggiornamenti ufficiali Microsoft.
Schermata di blocco totale con il risultato di non poter far nulla se non…..(fortunatamente la uso quasi sempre) aprire la mia "Sandboxie" ed eliminare il suo contenuto con il risultato di mettergliela in "quel posto"….e poter così continuare a lavorare tranquillamente sul mio pc, e su tutti i miei amati files. Comunque sia, anche non usando la Sandboxie sarei stato pronto per un "formattone" avendo backup in HD esterno e non collegato al pc, aggiornato ogni settimana….è questo il punto essenziale signori …NON DIAMOGLIELA VINTA !!!

Daniele Rossini,

Buona sera, anche un mio cliente ci è cascato aprendo una finta mail che si spacciava della sua banca, lui ha provveduto anche a effettuare la denuncia presso le forze dell’ordine( così mi ha detto).
Purtroppo ha aspettato troppo prima di chiamarmi e tutto è andato perduto, però siccome lui utilizza il PC solo per pagamenti online e transazioni bancarie gli ho consigliato di utilizzare una qualunque distribuzione di Linux tipo Mint oppure Ubuntu.
In alternativa Amiga OS / MacOs ma in questo caso gli costerebbe di più in quanto deve prendere una macchina nuova.
Cordialmente

Daniele

Daniele Pomposelli,

GRAZIE, SPERIAMO CHE QUALCUNO TROVI UNA SOLUZIONE PER DECRIPTARE I FILE PERCHE’ NON VORREI PAGARE QUESTI DELINQUENTI MA SE NON SARA’ COSI SARO’ COSTRETTO DATO CHE ANCHE IL BACKUP DI E’ INFETTATO BUON LAVORO

David Colnaghi,

RISOLTOOOOOOOOOOO . ho recuperato tutti i files.

SPERO CHE CHI HA QUESTO problema abbia conservato i file criptati perche’ io ho risolto con poco piu’ di 8 €:

Narrero’ qui la mia esperienza.

(mi sa che alcune soluzioni quiesposte per i file shadow vanno su win7 o 8 ma non su XP, invece io uso XP e quello che spieghero’ ha funzionato !!)

Io sono stato vittima di questi criminali informatici a novembre 2014 e fino a pochi giorni fa ero abbastanza rassegnato.
Sono sorpreso della diffusa "rassegnazione" (se cosi’ si puo’ dire) che c’è riguardo a questo argomento. Al riguardo basterebbe citare quella dell’impiegato di polizia postale che mi ha risposto al telefono dicendomi che "nessuno è mai riuscito a decodificare" i famigerati "filecoder", "ransomware", "critroni", "cryptowall" e denominazioni simili paventando l’impossibilita’ del processo o quello che ho letto in un sito (veramente da ridere) dove ho letto che per decodificare i files criptati sarebbero necessari 15.000 (quindicimila) computer accesi per due anni (e la corrente chi la pagherebbe) per decriptare i files (forse un file soltanto ?? ahahhaha).
Mi sono cosi’ imbattuto su vari siti e video su Youtube che spiegavano qualche macchinoso e fortuito sistema con il quale con grande difficolta’ FORSE si sarebbe potuto riuscire a recuperare i files, manovra da fare entro un’ora dal problema, altrimenti non sarebbe servito a nulla. Molto rassegnate le descrizioni del da farsi perchè "nessuno ci puo’ aiutare", "è impossibile", ecc. ecc. ed espressioni simili. Devo dire la verita’ ho notato anche una certa "organizzazione" nell’illustrare questa "difficolta’ o rassegnazione" come ho notato leggendo una specie di traduzione automatica che (saro’ maligno) sembra provenire dagli stessi autori del virus, forse, si’ da diffondere una certa tendenza all’abbandono del recupero dei propri files OPPURE PAGARE il riscatto.
A forza di approfondire la ricerca ho letto in diveri forum di un servizio che a detta di qualcuno è riuscito ad essere utile a chi è stato vittima di questo guaio e quindi ho fatto anch’io la richiesta mandando a questo sito una dozzina di file criptati, ma…..credetemi, ho fatto questa richiesta veramente CON POCHISSIME SPERANZE.
Qualche settimana fa, dopo piu’ 4 mesi mi hanno risposto che questo tipo di assistenza lo danno a chi compra un loro prodotto e (molto scettico per ovvi motivi (come potrebbe essere chiunque legge e che magari ha avuto la stessa esperienza)) sono andato a vedere quanto costavano questi servizi e per un anno di questa assistenza occorrevano circa 30 €. Sempre molto scettico ho scelto l’opzione di soli 3 mesi per un costo di poco piu’ di 8 euro, come detto all’inizio che comunque sono sempre molto meno di quello che mi hanno chiesto i criminali informatici quando è accaduto il pastrocchio (500 dollars).
I maligni potranno benissimo pensare anche che i "risolvitori" siano gli stessi autori del virus (io in questo caso non l’ho mai pensato).

Qualche giorno fa (sempre mooooolto scettico e con poche speranze) ho deciso di "buttare" quegli 8 euro e rotti e loro il giorno seguente (con mia grande sorpresa) mi hanno scritto e mi hanno mandato due files con le istruzioni.
In pratica mettendo questi due files nella cartella dei files criptati (questi da me gelosamente conservati) ed avviando l’eseguibile ho risolto il problema e ho ricuperato tutti i miei files belli e apribili come erano rima di novembre.

Ho notato sulla rete molta rassegnazione su questo argomento (e devo dire anche "ignoranza", lo metto tra virgolette per dire che come me molti purtroppo "ignorano" la soluzione). Anche uno dei piu’ esperti riparatori di PC che conosco non lo sapeva e, all’epoca, all’esposizione del problema mi rispose: "la vedo dura".

Non è la prima volta (e non sara’ neanche l’ultima nella vita) che mi capitano problemi che all’inizio sembrano essere irrisolvibili e per i quali ci si rassegna COMPLETAMENTE ma per i quali a forza di fare ricerche sul web (e potrei fare molti esempi di problemi anche di salute da prendere in tempo ovviamente) si riesce a trovare la soluzione solo dopo parecchi mesi (e talvolta anche dopo anni) ma che è una soddisfazione vedere che è proprio vero che nella vita essere positivi spesso e volentieri non guasta e fa bene anche alla salute (p.s.: "anche alla morte c’è rimedio…").

N.b.: scusatemi non vorrei sembrare filosofo. Se a qualcuno interessa posso spiegare come mi hanno aiutato.

Scrivo questo post al solo fine di essere utile a chi ha avuto il mio stesso problema.

Ciao. Frengo.

Francesco frengo,

@frengo: esiste qualche soluzione, come dici tu. Ma si tratta di soluzioni super-specifiche e mirate a una versione particolare del virus. Ma la maggior parte dei file cifrati in circolazione non sono decodificabili.

Claudio Panerai,

Buongiorno Sig. Frengo se puo aiutarmi e dirmi dove reperire questo eseguibile per il recupero dei file glie ne sarei grato…

angelo paris,

Sono incappato in questo virus… La prima sensazione è stata quella della paura perché il messaggio sul monitor era chiaro: file criptatiti…e poi: copia il link che vedi nel riquadro e vai sul sito "tal dei tali" per le istruzioni etc etc.
Di corsa ho portato il pc in assistenza: mi veniva spiegato tutto il resto: sono pirati informatici bulgari, rumeni ,… bisogna pagare in bitcoin, il valore di questi bitcoin è variabile, non è sicuro di avere la chiave di decriptazione etc etc. MORALE non avendo fatto il backup di recente ho ceduto al RICATTO (molto costoso) e ho pagato in contanti !!! Il file di decriptazione è arrivato, ed il processo si è concluso dopo un intera notte. Il giorno dopo tutto funzionava tutto. Potete immaginarvi la sensazione di impotenza e di frustazione per l’ESTORSIONE che si era concretizzata. La domanda che mi pongo oggi è la seguente: il centro assistenza che ha fatto il lavoro "sporco" al posto mio è un anello del sistema? Mi domando e vi chiedo questo perché parlando con altri centri di assistenza tutti mi dicono che il virus e quindi la decriptazione poteva avvenire senza pagare!

Salomone Bevilacqua,

Un consiglio che mi sento di dare (valido per ogni forma di malware) è di usare sempre 2 utenti: uno di amministrazione della macchina ed uno (limitato) per lavorare.
Inoltre la soluzione proposta da Steel è, nella mia opinione, molto valida.
La affiancherei con dei tool reperibili in rete che disabilitano l’esecuzione di tutto ciò che si trova in AppData.
Ho fatto delle prove su una macchina "sacrificabile", con dei buoni risultati, fermo restando che questi malware sono molto mutevoli.

Ivan Arreghini,

scusatemi, ma qualcuno di voi che ha pagato, ha provato a dare il file anche a qualche altro infetto condividendolo per capire se funziona su altri pc ?

pask test,

Ciao Claudio,
ho pensato e realizzato una soluzione usando uno strumento standard di Windows Server per bloccare la criptazione dei file server.
Nel ns. caso di reti aziendali, parto del presupposto che i dati devono risiedere sui file server, inoltre quando ti fumi 1Tb di dati di un file server poi inizi a non dormire la notte.

La soluzione si basa sulla funzione di File Screening di Windows Server (dalla 2003 R2 in avanti).
Il sistema operativo appena individua un file con estensione .encrypted o .encrypt, ne impedisce la scrittura ed esegue due azioni. (o qualcosa che riconduca al crypto locker)
A questo punto il sistema operativo:
a. Ferma il servizio Server in modo da isolarlo e proteggerlo dalla rete, in questo modo l’attività di criptazione sarà interrotta; (si potrebbe anche spegnere)
b. Scrive nel registro eventi Application quale file è stato scritto con l’estensione .encrypted/.encrypt in modo da capire velocemente da dove arriva il problema;

E’ una soluzione un po’ drastica perché appena il file server viene infettato tutti gli utenti rimarranno scollegati, ma almeno si evita la criptazione del file server.

Non appena sarà individuato l’utente che genera la criptazione ed eliminato dalla rete (il pc e l’utente ), allora basterà avviare il servizio Server (più gli altri ad esso collegati) e tutto riprenderà a funzionare perfettamente.

Poi a dire la verità abbiamo trovato che l’acqua calda era già stata scoperta e un paio di siti riportano la procedura. (nel ns. caso il command ferma il servizio server)
http://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early
http://www.citwa.com.au/cryptolocker-file-screens/

Poi come dici te il backup rimane sempre l’attività più importante da eseguire.

Luca
P.S. Ci vediamo all’Achab OpenForum…

luca passioni,

Ho preso Cryptofortress. I miei file (pdf, e jpg) hanno una estensione. .frtrss.
Che fare?

Roberto Santopadre,

Leggo di una infezione non piu’ generata da mail, ma da un sito – anche se particolare (!) – dove si scaricano programmi. Credo sia ancor piu’ preoccupante, perchè chi di noi non scarica programmi, demo e quant’altro da vari siti? Possibile a questo punto che l’antivirus non segnali anomalie? Io uso kaspersky ma, a questo punto, non so proprio che pensare.

Giovanni Marchese,

Ciao, grazie per i vostri contributi.
I vostri consigli sono certamente buoni, ma purtroppo è sbagliata la prospettiva. Disabilitare l’esecuzione di file in certe aree di sistema o con una determinata estensione ci mette al riparo da versioni dei virus "conosciute "(quelli che probabilmente adesso tutti i vostri antivirus intercettano). Se il prossimo dropper avrà estensione PIF o magari sarà nascosto dentro un file Word o un PDF alterato, o scaricherà il crypter nella cartella Programmi, penseremo di essere al sicuro ma rischieremo di nuovo un’infezione.
Purtroppo questi virus fanno leva su principi legati all’Ingegneria Sociale sempre più raffinati, e quindi saremo al sicuro solo se cambieremo il nostro modo di operare su Internet e acquisiremo consapevolezza che ogni nostra azione potrebbe avere esiti negativi.

Furio Borsi,

Vi prego aiutatemi io ho preso il virus e mi ha criptato tutti i miei file cambiandoli in questa estensione OZNDKPD se allego come dicono mi dice che non è un file danneggiato ,come posso fare?
Ho tutta la mia vita li dentro, privata e lavorativa, chi mi puo’ aiutare? A me pero’ non è arrivata l’email del riscatto….Vi ringrazio

Lisa Girelli,

Puoi dirmi il nome dell’azienda?

dim mid,

io forunatamente sono riuscito a risolvere ma ho dovuto contattare un azienda che con una cavolata mi ha risolto il problema

Luca Incognito,

Buonasera confermo di non aver potuto recuperare neanche le shadow copy, inesistenti…le foto nel mio cloud non sono state intaccate, io avevo anche i back up automatici attivi però sono utilizzabili; una soluzione che mi aiutato moltissimo è stata quella di cercare i file di back up che il virus non ha intaccato; mi spiego meglio ho scoperto che il virus cripta "solo" 30 estensioni tra le più usate; i miei file dwg infatti sono andati distrutti; io però ho recuperato tutti i file .back che Autocad genera in automatico nelle cartelle temporanee…ho salvato così tanti lavori…se solo trovassi i file back di word ed excel…altri file li ho recuperati xche avevano estensioni specifiche legate ai miei software di lavoro, quindi cercare tutto per estensioni aiuta…

Paola Faber,

Ho preso due volte il fatidico virus CRYPLOCKER….non c’è antivirus che tenga, io mi sono salvato in questo modo in previsione di questo attacco:
Ho due HD in uno metto tutti i programmi che servono con il sistema operativo in un altro conservo l’archivio, foto, documenti ecc…il virus mi ha criptato l’archivio non c’è stato verso di recuperare….mai io sono stato previdente avevo un terzo HD esterno con lo stesso archivio ma non collegato al computer il virus non lo ha attaccato e quindi ho recuperato tutto. Invito tutti ad essere previdenti di conservare tutto in un hd esterno fare il backup e tenerlo non collegato al PC è l’unica soluzione:

Salvo Presti,

@Pomposelli: sicuramente un diverso sistema operativo diminuisce le possibilità di infezione ma non le rende nulle.

Claudio Panerai,

@Bevilacqua: in generale chi le decripta i file NON è un anello della catena, è proprio lo stesso che le ha cifrato i file.
E come vede non sono rintracciabili. Chi cifra i file ha tuto l’interesse a farle tornare indietro i dati perché guadagna soldi.
Due riflessioni riguardo alla possibilità di decrittare i file senza pagare.
I file cifrati NON POSSONO essere decifrati se non da chi li ha cifrati. Quindi non esistono siti che decifrano gratis i file, a meno che non si verifichi una situazione particolare che spiego subito.
Questi virus che criptano i file hanno tantissime varianti, ognuna leggermente diversa dalle altre. Poichè questi virus sono in giro da anni e tutti stanno cercando di eliminarli quanche chiave di cifratura (sopratutto le piu’ vecchie) è stata scoperta, quindi in qualche caso è stata trovata la chiave per "tornare indietro" e recuperare i file originali.
Ma si tratta di casi molto rari e questa operazione avviene solo su qualche tipo particolare di infezione e di cifratura.

Claudio Panerai,

@marchese: confermo che non è sempre necessario scaricare un file per prendersi un’infezione ma basta navigare su un sito che (appositamente o inconsapevolmente) contiene codice maligno.
Kaspersky è un ottimo antivirus. Se vuole puo’ anche dare un’occhiata a Webroot che è leggerissimo e puo’ convivere con altri antivirus e include funzioni di scansione delle pagine web che stai visitando.

Claudio Panerai,

Buongiorno a tutti,
la versione del virus che codifica e rinomina .frtrss sembra essere davvero fresca. Con windows defender ho trovato il malware e una backdoor, ma per la decodifica dei file il sito cryptolocker non risolve il problema. Bisognera attendere del tempo? Suggerimenti?

Marco Capacciola,

mi interessa sapere chi ha pochi soldi puo’ aiutarmi a risolvere file criptati escono 4 nomi files help_…. di "Ransomware Cryptolocker. ho letto che con 8 eruo si riesce a provare a ripristinare copia. io ho windows seven ma non trovo copie dentro shadowexplorer. ho bisogno di un miracolo da chi tutto nella vita e’ possibile perche’ tutto e’ possibile a chi crede!!!! urge miracolo grazie di cuore

Claudio Saracino,

@frengo Curioso che tu non abbia riportato il sito di questo servizio miracoloso…Sarebbe carino che tu lo riportassi per completezza di informazione!

Luca Ciatti,

colpito (e affondato) da CRYPTOWALL in data 9 giugno 2015
sarei interessato a contattare @frengo
giamp.s@katamail.com
grazie a Claudio e a tutti per la disponibilità e competenza

Giampietro Scarabello,

anche io sono incappata nel virus che ha criptato le mie foto degli ultimi 5 anni che erano nell’hd esterno incautamente collegato..NOn posso fare nulla? SOno disperata!

ELena Donnarumma,

@Presti: mi trovi abbastanza d’accordo.
La prima difesa contro i virus sono le "buone abitudini".
Backup
Backup
Backup
Su un disco esterno non collegato al pc oppure su un disco esterno e poi replicato in un servizio cloud.

Claudio Panerai,

@Donnarumma: c’è davvero pochissimo che si puo’ fare: i metodi esposti in questo articolo sono quelli che forse ti possono aiutare.

Claudio Panerai,

@Roberto e Vincenzo56 e gli altri che si lamentano che i link non vanno o riportano le informazioni errate: questo articolo è vecchio!!
Le informazioni piu’ nuove le trovate qui

Claudio Panerai,

@ciatti, sara e paris: frego non pubblica il nome del servizio perché la SOLUZIONE NON ESISTE.
Quello che potrebbe aver trovato frengo è una soluzione per una specifica versione particolare e una specifica variante del virus in questione. Non nego che possa averla trovata, ma è un caso particolare.
IN generale per questi tipi di virus non esiste la soluzione. Se esistesse davvero, sarebbe di pubblico dominio.

Claudio Panerai,

Ciao a tutti sono Enrico anche io incappato ieri in questa disavventura. Non sono un grande esperto e quello che posso dire è che mi hanno criptato file di ogni tipo, tutte le foto e film delle mie bambine archiviate su hard disk esterno collegato USB. Il mio stato d’animo è come il vostro e non vorrei cedere ma stò valutando di pagare perchè la perdita (non avendo altro backup) è troppo grande. Ho letto che qualcuno di voi è riuscito e vorrei chiedervi maggiori info per evitare di fare altri pasticci. I file ora hanno estensione (encrypted). vorrei avere maggiori info su iter da seguire. Grazie

Enrico Marcobelli,

Ciao a tutti, sono Antonio, anche io per fretta, leggendo un messaggio di posta ho aperto un allegato in formato zip . Mi è comparsa una icona con scritto se volevo autorizzare a modificare dati, ho risposto no, l’icona mi compariva continuamente ed io ho risposto sempre no. Nei piccoli spazi di tempo sono riuscito a riavviare il pc ed a lanciare windows defender che mi ha trovato 2 virus. Quando ho finito la scansione mi sono accorto che tutti i miei file erano criptati con estensione micro. Pur avendo eliminato i 2 virus sono alla ricerca di un possibile rimedio e chiedo un vostro aiuto:
Ho il sistema operativo windows 10 e vorrei provare a vedere se è possibile tornare indietro a qualche situazione precedente come fare? Ho notato che se clicco sull’icona PC quando si apre la schermata vedo tre sezioni. nelle due sezioni :cartelle e dispositivi tutto normale, mentre in quella di rete sono comparse tre icone: help_recover_instructions+dfr.html; help_recover_instructions+dfr.png; help_recover_instructions+dfr.txt;
Chi può aiutarmi? Grazie. Antonio

Antonio Teta,

Ho file ".cript" … qualcuno ha qualche idea????
r

ruggero bonisolli,

Buongiorno a tutti anche io sono stato colpito dal CRYPTO ma ho fatto il backup, vorrei sapere se prima di ricopiare tutto è necessario formattare. Grazie

MASSIMO FUNARI,

Salve mi chiamo Giuseppe…anche io sono stato "colpito" dal virus addirittura ho preso una delle ultimissime versioni di Cryptolocker codificandomi i miei file in mp3….ho subito (credo come molti un gravissimo danno) soprattutto per le cose private….però non ho ceduto al ricatto!!!!!!!Mi sono rassegnato ho fatto finta che si fosse bruciato il pc e me ne sono dato una ragione non potevo farci più nulla…..credo che la colpa di tutta questa situazione che si è venuta a creare è di tutti coloro che hanno pagato e continuano a farlo…..si ne sono convintissimo la colpa è solo vostra!!! Anche io ho perso file importanti ma importanti fino a un certo punto (di certo non lascio nel pc file di estremissima importanza vitale e a maggiar ragione un’ unica copia.) tutto ciò che è così sacro ce l ho in un hard disk esterno….oppure nel fisso senza connessione ad internet!!!Non so se lo sapete l’ Italia è da poco passata al primo posto a livello mondiale per attacchi subiti da Cryptolocker e il numero tristemente sta salendo a livello esponenziale…..ma per quale motivo???? chissa???? Complimenti abbassatevi i pantaloni e cagatevi addosso bravi continuate a pagare!!! Chi si occupa di questo forum e fa finta di capire qualcosina di informatica dovrebbe avvisare gli utenti che il pagamento non è una soluzione "giusta" per svariatissimi motivi….anzi aumenta la richiesta del virus….le prime versioni del virus le vendevano per poche centinaio di dollari adesso le ultime versioni di Cryptolocker arrivano a essere vendute anche più di 3000 dollari….(fossi un hacker lo acquisterei anche io vi spennerei e poi vi farei impazzire)…..la mia rabbia è dettata dal fatto che siete stati voi (con i vostri pagamenti) che avete creato questo caos

GIUseppe Rossi,

Anch’io ho ricevuto l’e-mail che mi diceva di una non avvenuta consegna di un pacco…e questo poco dopo aver fatto un ordine on-line…quindi l’ho aperto perché sembra verosimile…ma sembra che il computer me lo abbia bloccato perché il file non si apriva e finora i miei files non sono criptati…speriamo bene!

jam njam,

Buongiorno, sono un tecnico informatico e mi sono trovato di fronte a questo virus parecchie volte dato che seguo aziende e privati.
Innanzitutto Vi consiglio di "prevenire" questo attacco di cryptolocker…
E’ un virus che crypta i file in ordine alfabetico, quindi sarebbe meglio creare una cartella sul disco C chiamata AAA (in modo che sia la prima cartella) e riempirla di piccoli file (.jpg; .pdf; .xls ecc). in questo modo potrete arrestare il pc prima che crypti file importanti del quale non potete fare a meno.
Il virus, una volta riavviato il pc, non continuerà a cryptare i file ma lascerà infetti solo quelli che ha cryptato fino al momento dello spegnimento del pc.
Se proprio dovessero esser stati cryptati file importanti, shadowexplorer è un buon software, gratuito, che permette il ripristino di file a versioni precedenti… Non funziona in tutti i casi di cryptazione purtroppo, alcuni virus bloccano le versioni precedenti.
Se posso consigliare un Antivirus che blocca (in molti casi) cryptolocker è Kaspersky.
Nel caso il pc fosse stato infettato interamente, consiglio di non pagare assolutamente in bitcoin ma piuttosto di sostituire l’hard disk del pc e tenere da parte quello cryptato per poi analizzarlo successivamente con un buon antivirus .
Spero di essere stato di aiuto a qualcuno
Buona giornata a tutti

Francesco Renò,

Salve io in data 02.02.16 ho ricevuto una mail apparentemente mandata da SDA. Invece sorpresa tutti i file criptati con estensione e wmvlmi. Cosa posso fare?

Raffaele Vommaro,

Buongiorno
Lo stesso identico problema di Teta.
Mi ritrovo un disco completamente criptato dove i file .pdf, .docx, .xlsx, .pst, .jpg sono stati rinominati in .MICRO e ovviamente non si aprono.
Saranno in qualche maniera recuperabili ?

Marco Cavallo,

Una domanda per Ponti. Nel tuo caso si trattava di cbt Locker?

Nico Napoletano,

buongiorno,
ieri ho pensato di fare la cavolata dell’anno ovvero di aprire una bolletta enel finita negli spam…. e cosi ho preso questo simpatico virus…
ho provato a toglierlo e credo di esserci riuscita, ma i miei file sono rimasti tutti criptati e nelle cartelle ce questa pagina web "come ripristinare i file"..
ho provato a scaricare vari programmi per decriptare i file (shadowexplorer – file view – ecc ecc) ma non ci sono riuscita… qualcuno mi può aiutare??
non ho mai preso virus e sono negata con il computer
ovviamente e’ il computer del lavoro e sono DISPERATA!!!

francesca tonna,

Buongiorno a tutti: volevo provare a dare una mano: prima di tutto non c’è garanzia di recuperare i files criptati. Il procedimento che ho usato io è questo:
1) scaricato il KAV Rescue disk, installato tramite Rufus su un pen drive (vuoto ovviamente) da 2 Gb.
2) avviato il pc facendo il boot dalla suddetta pen drive, fatto l’update dell’antivirus
e proceduto alla scansione completa del pc. Attenzione, potrebbe impiegare ORE,
nel mio caso oltre 16 ore
3) una volta finito e cancellate le minacce, ho riavviato normalmente il pc. Manualmente,
tramite il "cerca" di windows ho trovato i "resti" del virus (file png e html). Nel mio caso
erano in OGNI cartella del sistema, quindi ho impiegato un’altra ora per trovarli tutti ed
eliminarli. Fate attenzione, i files si trovano anche in cartelle normalmente "nascoste",
quindi dovrete almeno momentaneamente nelle opzioni Cartella attivare la
visualizzazione di files e cartelle nascoste.
4) i files criptati sono riusciti a recuperarli tramite questo software, gratuito, non
necessita di installazione sempre di Kaspersky. Lo trovate qui
https://noransom.kaspersky.com/
selezionate nelle opzioni la cartella contenente i files criptati e state a vedere.
Nota finale: ripeto, NON c’è garanzia, e questo purtroppo insegna a tutti noi quanto sia importante un sistema affidabile di backup, In bocca al lupo a tutti

Francesco Ponti,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.