Le guide

Qualche pillola del Dottor Marc

cryptolocker_recuperare_file_criptati

Cryptolocker 2018: come recuperare i file criptati dal virus?

Come recuperare i file criptati dal virus?

Si possono decriptare i file criptati da Cryptolocker?

Queste sono alcune delle domande che ci vengono poste più di frequente. Negli ultimi anni i virus che criptano i file e che chiedono il pagamento di un riscatto per la decriptazione hanno avuto una diffusione sempre maggiore, creando molti danni a privati e aziende. I file criptati con estensioni modificate possono essere decriptati in alcuni casi con pochi click, in altri attraverso l’aiuto di personale esperto in questo genere di operazioni.

Decriptare i file colpiti da Cryptolocker (o crypt0l0cker) e altri virus simili è un’operazione molto delicata e il rischio di perdere tutti i dati è molto alto; se non sei perfettamente consapevole delle operazioni che stai eseguendo non improvvisare, potresti creare danni irreparabili al tuo patrimonio informatico.

In questa guida ti spiegheremo come recuperare i file criptati attraverso alcuni programmi e procedure, talvolta semplici altre volte complesse.

Cryptolocker, il virus che cripta i file e chiede di pagare un riscatto

Comprendi al meglio la tipologia di infezione

Nel 2018 Cryptolocker miete ancora vittime criptando i file e chiedendo un riscatto per la decriptazione.

Già negli anni scorsi i problemi causati da questo tipo di virus sono stati tantissimi e nonostante non sia ancora stata trovata una soluzione per impedire la diffusione di queste minacce, sono possibili alcune soluzioni per decriptare i file.

Questo virus ha raggiunto una portata molto ampia, come dimostra questa infografica relativa all’anno 2016.

cryptolocker_recupero

Cryptolocker fa parte della famiglia dei ransomware (virus che chiedono un riscatto). I ransomware non sono una minaccia recente, ma nel corso del tempo i criminali informatici hanno migliorato notevolmente la scrittura di questi virus raggiungendo i risultati devastanti che possiamo constatare in questi giorni.

Questo genere di virus ha origine nel 1989, quando il biologo Joseph Popp scrisse un trojan chiamato “AIDS” (conosciuto anche come “PC Cyborg”), che veniva diffuso principalmente attraverso i floppy disc. Una volta eseguito criptava i dati contenuti nel computer e visualizzava un messaggio inerente ad una licenza scaduta. Alla vittima era richiesto di pagare 189 dollari alla “PC Cyborg Corporation” per ripristinare la situazione.

Joseph Popp fu dichiarato incapace di intendere e di volere e promise di devolvere i riscatti pagati dagli utenti vittima del malware ai progetti di ricerca per la cura dell’AIDS.

Questo conferma che solo una mente bacata, una persona che ha evidente bisogno di cure, può essere il padre putativo di queste subdole attività criminali.

Negli anni seguenti la crittovirologia ha compiuto passi da gigante, arrivando ai picchi rilevati negli anni a partire dal 2013. ZDnet ha stimato (basandosi su informazioni relative alle transazioni su Bitcoin), che negli ultimi 2 mesi del 2013 i criminali che si occupavano della diffusione di Cryptolocker avevano intascato circa 27 milioni di dollari dai pagamenti dei riscatti.

Da un punto di vista tecnico, Crypt0l0cker genera una coppia di chiavi con cifratura RSA a 2048 bit, che vengono inviate ad un server remoto chiamato command-and-control e procede con la criptazione dei file del computer in modo silenzioso. In alcuni casi alcune tipologie di questo virus minacciano di cancellare definitivamente la chiave di criptazione se non avviene il pagamento del riscatto entro un limite di tempo.

Funzionamento tecnico di Cryptolocker

cryptolocker_funzionamento

Ci sentiamo di sconsigliare il pagamento del riscatto in qualsiasi forma per molti motivi, uno dei quali è la possibilità di recuperare i file criptati con l’aiuto di professionisti del settore che mettono a disposizione competenze e serietà per risolvere questi problemi in modo sicuro, professionale e soprattutto legale.

In questa immagine è possibile vedere alcune delle molteplici varianti che sono state scoperte e spesso neutralizzate, portando alla possibilità di recupero dei file.

ransomware-timeline-2010-2017

La diffusione della minaccia e la gravità delle conseguenze stanno aumentando velocemente. Se inseriamo la minaccia dei virus che criptano i file all’interno di un quadro più generale possiamo notare come le percentuali di crescita siano incredibili.

virus_ransomware

Come eliminare il virus Cryptolocker?

 Qual è la cura giusta?

Un computer infetto da un virus che cripta i file può presentarsi in molti modi diversi. Nelle ultime versioni di Cryptolocker viene visualizzato un messaggio all’utente con la richiesta di pagare il riscatto, ma in altre versioni il messaggio potrebbe essere diverso o addirittura non essere visibile.

cryptolocker-1

La soluzione migliore per eliminare il virus dalla macchina infetta è quella di scollegare il disco fisso del computer e collegarlo su un’altra macchina, facendo attenzione a non avviare alcun tipo di applicazione.

A questo punto è possibile operare come se il il disco sotto l’effetto di un potente anestetico e attraverso le scansioni multiple di alcuni software antivirus molto potenti e aggiornati si possono eliminare eventuali minacce rilevate.

Per essere sicuri al 100% la procedura ideale è quella di copiare i file criptati su una memoria esterna e formattare completamente il computer infetto.

Recuperare i file criptati è possibile?

 Una convalescenza lunga ma indispensabile

Recuperare i file criptati da Cryptolocker o decriptare i file criptati dagli altri tipi di virus ransomware è possibile in molti casi.

Per sapere se i tuoi file possono essere recuperati è necessario innanzitutto determinare la variante del virus.

Per farlo sono necessarie 2 informazioni:

  • Uno o più file criptati dal virus

    I file criptati hanno spesso un’estensione diversa dal file originale.

    Le più comuni sono encrypted, mp3, micro, enc, locky, zepto, cerber, crypt, crypz, o possono essere casuali, formate da 4, 5, 6 o più caratteri alfabetici o alfanumerici.

  • La richiesta di riscatto da parte del virus

    Le richieste di riscatto sono file contenenti le istruzioni per il pagamento in bitcoin del riscatto. Spesso sono situati in tutte le cartelle che contengono dei file criptati.

    Ecco alcuni esempi:

    COME_RIPRISTINARE_I_FILE.html

    COME_RIPRISTINARE_I_FILE.txt

    _HELP_HELP_HELP_YW8I_.png

    HELP_RESTORE_FILES.txt

    Recovery+xsrwv.html

    UNLOCK_FILES_INSTRUCTIONS_788.html

    # DECRYPT MY FILES #.html

In base all’estensione del file è possibile conoscere le probabilità di recupero.

Questa è solo un’indicazione ma, se la barra corrispondente alla tua versione è verde, contattaci e troveremo la soluzione!

Quali file criptati possono essere recuperati?

micro
mp3
vvv
ttt
encrypted
zzz
enc
6 caratteri casuali senza numeri (es. kjepgi)
cryp1
CrySiS
crypz
crypt
5 caratteri esadecimali (es. 0BDAD)
__airacropencrypted!
ccc
crypted
xtbl
cerber
locky
6 caratteri casuali (es. 1szjh)
zzzzz
zepto
cerber3
odin
thor
cerber2
4 caratteri casuali e nome file con caratteri casuali (es. 7mcwevX9bS.882a)
7 caratteri alfabetici casuali (es. pmitykk )

I consigli del Dottor Marc

 per la tua sicurezza e la salute dei tuoi dati

Tutti noi, dall’azienda al libero professionista al privato, non possiamo essere vittime così facile dei virus che criptano i file. Cryptolocker ha avuto una diffusione così rapida soprattutto grazie alla negligenza nella gestione dei dati.

Sperare di recuperare i file criptati dal virus dovrebbe essere una soluzione da non prendere neanche in considerazione, pari al pagamento del riscatto.

Ti consigliamo di prestare particolare attenzione a questi punti per evitare di essere vittima di questi virus, con pochi e semplici accorgimenti.

Ricordati che prevenire è meglio che formattare.

Condividi questo post

Commenti (13)

  • alberto piccoli Rispondi

    abbiamo criptato vostri file con il virus Crypt0L0cker !!!

    ecco il messaggio che mi sono trovato su una cartella di foto.

    cosa devo fare?

    il 26 maggio 2017 alle 15:58
    • Enrico Marcolini Rispondi

      Salve,
      le consigliamo di caricare un file criptato e la richiesta di riscatto a questo indirizzo. Vi avviseremo in caso di possibilità di recupero dei file.

      https://www.dottormarc.it/servizi/recuperare-file-criptati-fai-analizzare-file-dagli-esperti-un-consulto-gratuito/

      Per evitare che questo tipo di problema possa ripresentarsi le consigliamo di approfondire le tematiche riguardanti la protezione antivirus, la giusta strategia per il salvataggio dei dati e un po’ di formazione su questo tipo di minacce.
      Se desidera possiamo occuparci di tutti e 3 questi ambiti e insieme potremo analizzare la sua situazione nel dettaglio.

      Ci faccia sapere come intente procedere!

      Restiamo a disposizione,
      grazie e buona giornata.

      il 29 maggio 2017 alle 17:30
  • Carmelo Santangelo Rispondi

    Buonasera, ho avuto un problema che mi è stato criptato tuo il mio pc, io ho conservato il mio hard disk da alcuni anni, con la speranza che si possa effettuare un miracolo, perchè ho perso 12 anni delle foto dei miei figli e un pò del mio lavoro. Io non ho pagato il riscatto ma vorrei tanto avere i miei file, estensione delle foto e dei file sono con 7 lettere (es.rlnrpsa) posso avere la possibilità di recupero dei dati.
    Grazie

    il 1 novembre 2017 alle 19:15
    • Claudio Marchesini Rispondi

      Può inviarci un file criptato e la richiesta di riscatto alla mail info @ dottormarc.it ? Grazie mille

      il 1 novembre 2017 alle 19:16
  • Antonino Rispondi

    Salve, leggo nell’articolo che files criptati e con questa estensione (.encrypted) possono essere recuperati. Ho provato la procedura con shadowexplorer ma sono criptati anche da li dato che il backup è recente. Come posso fare?

    il 29 dicembre 2017 alle 20:10
    • Claudio Marchesini Rispondi

      Buongiorno, può provare a caricarci un file criptato così entra automaticamente nel nostro sistema di analisi? https://www.dottormarc.it/upload.
      Grazie mille

      il 8 gennaio 2018 alle 18:04
  • Ilaria Cantarelli Rispondi

    Salve! Posso inviarvi un file per vedere se e’ possibile decrittarlo? Grazie!

    il 5 febbraio 2018 alle 22:39
  • GIOVANNI Rispondi

    Salve,
    I file infettati nel mio pc da criptolocker sono immagini e formati exel. L’estensione dei file è diventata .stqxvkk
    C’è qualche rimedio per recuperare i file??
    Grazie, Giovanni

    il 3 giugno 2018 alle 0:47
  • Giuseppe Scarpino Rispondi

    buongiorno,
    vi invio un file per capire se può essere decrittografato
    grazie per l’aiuto

    il 7 luglio 2018 alle 13:22
    • Enrico Marcolini Rispondi

      Buongiorno Sig. Scarpino, grazie per l’invio. Se i nostri sistemi saranno in grado di recuperare il file verrà avvisato via email.
      Nel frattempo le ricordiamo di valutare una buona soluzione antivirus e di impostare una strategia di backup dei file adeguata.
      Buona giornata

      il 9 luglio 2018 alle 9:48
  • d80 Rispondi

    sono riuscito a recuperare molti dati ma non tutti, trasferendo prima i file su supporto estraibile, poi staccando tutte le connessioni a internet e usando ripristino configurazione dal prompt in modalità provvisoria ( premendo F7 all’avvio di Windows7) ,
    in questo modo ho disinstallato tutti i programmi successivi al punto di ripristino compreso (e sopratutto) il cryptoloker, quindi ho scansionato i file ed infine li ho rimessi nel pc, alla fine solo pochi erano definitivamente irrecuperabili, un danno limitato visto che avevo altri backup

    al ripristino della connessione ho cambiato tutte le password ai siti più importanti

    alla mail di riscatto non ho risposto, mi sono segnato l’indirizzo come pericoloso e ho cancellato la mail sia dalla casella di posta che dal cestino, ora il pc funziona di nuovo, ma è che magari sono stato fortunato e ne avevo uno “facilmente eliminabile”…

    spero che il sistema che ho adottato possa essere di aiuto a qualcuno, cercatevi sulle guide in linea le istruzioni esatte per vostro il sistema operativo, e programmate un punto di ripristino ad ogni avvio, possibilmente senza cancellare quelli dei giorni precedenti o al limite eliminando i più vecchi, oppure a distanza di breve tempo, più punti avete e meno possibilità avrete di perdere i dati, se poi si crea ogni tanto un supporto di ripristino tanto meglio

    il 27 ottobre 2018 alle 12:33

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *