CTB-Locker: la soluzione per recuperare i file

CTB-Locker è un Ransomware che sta colpendo migliaia di computer in Italia.
Ne esistono diverse versioni, ma tutte hanno in comune una cosa: crittografa i file e non è possibile recuperarli, se non pagando da 200 a 500 $ ai cybercriminali. In realtà non è neanche così, alcuni che hanno pagato il “riscatto” non sono comunque riusciti a recuperare tutti i file.
Di seguito trovate la soluzione da hacker di un lettore di Digitalic,  che sfrutta un bug del virus. come tutti i software i virus hanno dei bug, e li ha anche CTB-Locker. Non è detto che funzioni con tutte le versioni di questo ransomware, ma è indubbiamente una luce  in fondo al tunnel che molte persone e aziende stanno attraversando in questi giorni. Se CTB-Locker ha dei bug possono essere sfruttati per recuperare i file.

“IT’S JUST A RIDE”


29 gennaio 2015 at 19:24

SONO RIUSCITO (IN PARTE) A RIMEDIARE AI DANNI SUBITI.


PREMESSA: ieri sul pc di un collega abbiamo preso il CTB-Locker, ho cercato una soluzione su internet tutta la notte ma tutti i metodi trovati sono risultati inutili. Premetto che senza la chiave privata in possesso degli sviluppatori su un qualche server sconosciuto è impossibile decrittare i file.
La chiave PUBBLICA scritta all’interno del file .txt è INUTILE, in quanto il virus utilizza una crittografia asimmetrica, e la chiave necessaria per decrittografare è quella PRIVATA non in vostro possesso. il virus genera una chiave RSA a 2048 bit (praticamente impossibile da forzare con sistemi di forza bruta).
Quasi tutte le soluzioni trovate su internet (compreso il sito http://www.decryptcryptolocker.com) forniscono aiuto per decrittare file criptati da CryptoLocker, che è in circolazione dal 2013 ma sono inefficaci con CTB-Locker che è una nuova evoluzione, gli sviluppatori vendono anche il virus stesso su rete TOR!
Per cui ci sono moltissime varianti e non assicuro che la soluzione che per me ha funzionato vada bene per tutti…
Le nuove versioni danno ai file criptati estensioni generate casualmente, nel mio caso i file erano ,xmfgh ma sono diverse per ogni pc (quindi non troverete soluzioni googlando l’estensione dei vostri file infetti).

LA MIA SOLUZIONE: Nel virus che ha colpito il pc della mia collega c’era un piccolo bug di implementazione: il virus non ha crittato direttamente i file, ma ha creato una copia crittata di ogni file CANCELLANDO L’ORIGINALE! Così facendo è possibile utilizzare un software per il recupero dei file cancellati per recuperare buona parte dei propri dati! In pratica questo è il procedimento:

1)ELIMINARE IL VIRUS: Non è un virus difficile da eliminare, io ho utilizzato Combofix, ma molti altri antivirus aggiornati lo eliminano senza problemi.

2)DECRITTARE I FILE (premetto io non avevo Backup e la mia versione del virus ha eliminato le copie shadow di windows!! Non ho quindi potuto utlizzare Shadow Explorer, ma voi provate comunque perchè ho letto che in alcuni casi il virus non riesce a cancellarle) Io sfruttando il bug descritto sopra ho recuperato i file cancellati con un sofrware apposito (io ho utilizzato Recuva, gratuito e disponibile in italiano, ma ce ne sono molti altri).

Così facendo ho recuperato circa 10.000 file. Che ora stiamo aprendo uno a uno, perchè ovviamente in mezzo ci sono molti file cancellati volutamente e alcuni danneggiati. Ho già recuperato molti documenti importanti, i file .doc, .docx, .odt quasi tutti, .prf e .jpg inveca molti sono irrecuperabili.
Scusate se mi sono dilungato molto ma ho cercato di spiegare tutto in modo che magari la spiegazione vi possa aiutare anche se avete una versione del virus leggermente diversa dalla mia.
BUONA FORTUNA!

Qui tutti i dettagli su CTB-Locker

Il video di DigitalicX, l’evento sulle storie di innovazione negli studi Tv RAI