Come recuperare i file infettati da Cryptolocker

13 Novembre 2015 Admin Home, Internet 0

Cos’è Criptoloker?

E’ un trojan della famiglia ransomware, ovvero quella famiglia di virus progettati per estorcere denaro alla vittima. Un ransomware può penetrare nel computer tramite email di phishing, oppure attraverso un programma nocivo presente all’interno di un sito web. Questo malware apporta delle modifiche al sistema che consistono nella crittografia dei dati presenti sul disco fisso del pc, impedendone l’accesso da parte della vittima. Successivamente per ripristinare il sistema e riottenere l’accesso ai file, la vittima viene ricattata attraverso una procedura per effettuare il pagamento di un riscatto.

Se il vostro computer è stato infettato da Cryptolocker, la cosa che maggiormente preoccupa dopo aver rimosso questo virus dal sistema è quella di trovare un modo per recuperare i file criptati.

Ecco un elenco delle estensioni dei file colpiti da Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Come avrete potuto notare, Cryptolocker, una volta introdottosi nel pc della vittima, la ricatta con un avviso dove si richiede il pagamento di un riscatto per ottenere la chiave di decriptazione per il recupero di tutti i documenti che il virus ha reso inutilizzabili.

Come decriptare i file criptati da Criptolocker?

Esiste un modo per trovare la chiave di decriptazione dei file e ripristinarli? Vi parlerò sulla base della mia esperienza che ho avuto di recente, lavorando al pc di un’azienda cliente che aveva riscontrato questa problematica.

Ho consultato diverse guide e forum per trovare una soluzione funzionante, ma non appena si parlava di “recupero dei file” o “decriptazione”, le speranze presentate erano scarse e non tanto aggiornate. Diverse fonti rimandano tutt’ora al sito decryptcryptolocker.com, che è stato il punto di riferimento principale per aiutare le vittime di questo malware; ormai il sito si è dimesso da tempo da questo incarico.

Concentrando la mia ricerca su qualche tool di decriptazione contro ransomware, ho finalmente incontrato alcune soluzioni offerte dalla nota casa software antivirus Kaspersky.

Il piccolo software che ho utilizzato si chiama rakhnidecryptor, occupa solo 1,5MB e non richiede installazione.

A seguire vi spiego come utilizzare questo programma:

  • Per prima cosa scaricate exe da questo link.
  • Trasferite il programma nel pc dove si trovano i file da recuperare. (es: tramite chiavetta usb)
  • Eseguite il programmino facendo doppio click sull’icona.

viruses_10556_0113-214761

  • Cliccate sulla voce “Change parameters”.

 

viruses_10556_0213-214764

  • Nella finestra che compare potete selezionare i dispositivi che devono essere scansionati (Objects to scan). Le voci che hanno già il segno di spunta sono “Hard drives” e “Removable drives”, quindi segnate anche “Network drives” per scansionare eventuali unità di rete; Come opzione addizionale (Additional Options) vedrete la voce “Delete crypted files after decryption” che permette al programma di cancellare automaticamente i file criptati, al termine della decriptazione. Date infine “Ok” per chiudere la finestra.

[amazon_link asins=’B01LEI5GWI,B016LPIKS6,B00NFG1CHG,B01L0N4MVI,B0089XH38M’ template=’ProductCarousel’ store=’giugio-21′ marketplace=’IT’ link_id=’3e443e4f-0184-11e7-9d95-fddc5f8b5d80′]

viruses_10556_0313-214765

  • Cliccare il pulsante “Start Scan”.

 

viruses_10556_0413-214768

  • Nella finestra che si apre, selezionare uno dei files criptati e premere “Apri”.

 

viruses_10556_0513-214770

  • Il programma vi avviserà che la scansione potrebbe richiedere ore o addirittura giorni; questo perché il tool dovrà trovare la chiave corretta tra le tantissime chiavi a lui note.
  • Quando il tool avrà terminato vi avviserà che la chiave è stata trovata, date “Ok” perché il programma possa completare la procedura di ripristino dei files.
  • Al termine potrete accedere nuovamente ai vostri documenti.

Nota: Nel corso degli anni Cryptolocker si è evoluto e sono state create moltissime altre varianti che adottano lo stesso metodo. E’ possibile quindi che il tool non funzioni in quanto le nuovi chiavi di decriptazione non sono ancora note.