Questo è un bel riassunto delle “soluzioni possibili” per i ransomware come CryptoLocker, CTB-Locker e CryptoWall, scritto da un esperto in sicurezza
Questo è un bel riassunto delle “soluzioni possibili” per i ransomware come CryptoLocker, CTB-Locker e CryptoWall, scritto da Claudio Panerai direttore tecnico di Achab, distributore specializzato in sicurezza.
Scritto da Claudio Panerai il giorno 06 febbraio 2015
Abbiamo pubblicato in passato diversi articoli su CryptoLocker e sui virus che cifrano i dati del disco.
Questo articolo vuole fare chiarezza su quello che si può o non si può fare per recuperare i dati una volta che sono stati criptati.
Se hai solo 60 secondi
Il problema
Hai preso un virus bestiale e ti ritrovi con i file illeggibili e una bella schermata che ti chiede di pagare un riscatto per riavere indietro i tuoi file.
La (NON) soluzione
In linea di massima NON c’è soluzione. Devi considerare persi per sempre i tuoi dati. Fai finta che il tuo PC sia andato sotto uno schiacciasassi.
Se paghi il riscatto riottieni i file ma cedi al ricatto dei malfattori (che usano sistemi anonimi, anche per il pagamento, e quindi non possono essere rintracciati).
Se hai un backup pulito, senza dati cifrati dentro, sei a posto: basta che recuperi i dati dal backup.
Se non paghi il riscatto NON c’è modo di riottenere i tuoi file, tutto quello che puoi fare è qualche tentativo come illustrato qui sotto.
I tentativi che puoi fare
Premesso che le speranze di recuperare i dati sono poche, ci sono tre strade per tentare un recupero:
- usare PhotoRec, leggi come.
- Usare Shadow Explorer, leggi come.
- Dropbox, leggi come.
Se hai più di 60 secondi
Se vuoi prenderti un attimo di tempo in più per capire cosa è successo effettivamente e come evitare in futuro questo problema eccoti qualche informazione più dettagliata.
Il problema
Un bel giorno ti compare una schermata che ti dice che i tuoi dati (file) sono stati criptati e non saranno più accessibili finché non paghi un riscatto.
La prima sensazione è di sgomento. La seconda è di incredulità, poi rabbia e infine impotenza.
Quello che è successo (e non sei l’unico perché è successo a migliaia di persone) in genere è questo:
- ti è arrivata una email;
- hai aperto l’allegato;
- l’allegato (senza che tu lo sapessi) ha scaricato un virus;
- il virus ha cifrato (ossia reso illeggibili) tutti i tuoi dati, o buona parte;
- il virus ti chiede un riscatto (cioè un pagamento) per riavere indietro i tuoi file.
E adesso ti stai chiedendo come fare a recuperare i file che il virus ti ha criptato, ossia ha reso illeggibili.
La (NON) soluzione
Lo so che in te covano rabbia, frustrazione e sgomento, ma la verità è l’unica cosa che ti dirò.
Se non hai un backup valido, NON riavrai indietro i tuoi file a meno che non paghi.
Lo dico in altre parole:
- se hai un backup valido, sei a posto, puoi ripartire;
- se non hai un backup, hai due possibilità:
- paghi, cedi al ricatto, fai contenti i disonesti e torni in possesso dei tuoi file;
- non paghi, ma non riavrai indietro i tuoi file.
Una volta che i dati sono cifrati non c’è modo di riportarli alla luce se non si possiede la chiave giusta per decriptarli (renderli nuovamente leggibili).
La chiave per decifrare i dati si può ottenere solo pagando il riscatto.
Ma c’è una speranza.
Tentativi che puoi fare per recuperare i dati
Nonostante la situazione nera che ti ho descritto, c’è qualche tentativo che si può fare e che forse vale la pena di fare.
Diciamo subito che questi virus che criptano i dati sono stati messi in giro in tantissimevarianti differenti.
Questo vuol dire che ogni virus di questo tipo si può comportare in maniera leggermente differente da un virus molto simile.
Quindi è possibile che una procedura di ripristino vada bene per un computer ma non funzioni altrettanto bene per altri, in base alla “forma” di virus che è stata presa.
Qui di seguito ti elenco tre tipi differenti di strade che è possibile percorrere
- Poiché alcune forme del virus cancellano i file leggibili e lasciano sul disco solo quelli illeggibili, potresti essere fortunato e con un programma per il recupero dei file cancellati tornare in possesso dei tuoi file, senza pagare il riscatto.
Uno di questi programmi si chiama PhotoRec e puoi utilizzarlo secondo questa procedura. - Alcune versioni del virus cancellano quelle che vengono chiamate copie Shadow, ossia copie di sicurezza fatte automaticamente da Windows.
Altre versioni però non le cancellano, quindi potresti essere fortunato e riuscire arecuperare qualcosa utilizzando un software che ti faccia vedere queste copie di sicurezza (se il virus non le ha cancellate).
Trovi la procedura in un mio articolo. - Ultimo, ma non meno importante, parliamo di Dropbox, il sistema per condividere file.
Se tu hai l’abitudine di mettere i tuoi file su Dropbox ti farà piacere sapere che conserva sia i file cancellati sia le modifiche apportate ai file per un periodo di trenta giorni.
Per scoprire come recuperare da Dropbox file vecchi e cancellati, ti suggerisco questo articolo.
Leggi il post Completo sul Blog di Achab
Esiste la soluzione per CryptoLocker, CTB-Locker e CryptoWall? Dal blog Achab
- Ultima modifica: 2015-02-06T12:27:23+00:00
da
