Come recuperare dati criptati da virus con No More Ransom

Come recuperare dati criptati da virus con No More Ransom

Un'iniziativa realizzata da autorità di legge e firme di sicurezza informatica spiega in maniera semplice come comportarsi in caso di attacco ransomware subito sul proprio sistema

di pubblicata il , alle 12:01 nel canale Sicurezza
 

Negli scorsi mesi abbiamo assistito ad una crescita non indifferente del fenomeno dei ransomware e i motivi sono ben chiari. Non troppo difficili da implementare, i ransomware sono software malevoli che consentono all'eventuale aggressore di guadagnare in maniera particolarmente diretta dall'infezione del computer. Bloccando i file presenti in un sistema, il ransomware chiede un riscatto per consegnare l'accesso a quei contenuti. Tali tipi di software sono stati utilizzati per colpire soprattutto aziende (sfruttando l'ingenuità di alcuni impiegati), privati ed anche ospedali.

Proprio per rispondere alla crescente diffusione della tipologia di malware autorità di legge e firme di sicurezza si sono accorpate all'interno di un'iniziativa che ha come unico scopo quello di proteggere le vittime colpite da ransomware consentendo loro di recuperare i propri file senza pagare alcun riscatto. Il progetto si chiama No More Ransom e vede unite forze come l'Europol, la Polizia Nazionale Olandese, Intel Security e Kaspersky Lab, le quali hanno creato un portale per fornire quando possibile le chiavi per sbloccare i file protetti da crittografia.

Al lancio NoMoreRansom.org contiene quattro strumenti per sbloccare 20 differenti famiglie di ransomware, fra cui l'abusato CryptXXX, che cifra i file sul sistema e su tutti i dispositivi di archiviazione connessi, oltre a rubare eventuali fondi in criptovaluta e inviare dati sensibili ai cybercriminali. Ma il problema ransomware è anche di "educazione" dal momento che per quanto potenti tali tipi di malware richiedono un certo tipo di interazione da parte dell'utente. Chi conosce bene cause ed effetti dell'infezione, infatti, solitamente non rimane vittima di un cryptovirus.

Nel portale infatti non troviamo solo strumenti per decrittografare i file, ma anche consigli sui comportamenti da seguire per evitare eventuali infezioni e strumenti che permettono di identificare eventuali file sospetti. Il consiglio generale è comunque quello di non pagare in alcun caso il riscatto, anche perché spesso il recupero totale non è garantito e il pagamento incoraggerebbe altri criminali a fare altrettanto.

Come recuperare i dati cifrati da cryptovirus con No More Ransom

Per recuperare i dati cifrati da cryptovirus con No More Ransom è sufficiente indirizzare il proprio browser a questo indirizzo, sul portale e cliccare sul tasto Yes. Se invece si preme su No si raggiunge una pagina sui consigli da osservare per non rimanere vittima di una potenziale richiesta di riscatto. Premendo su Yes si deve individuare il tipo di ransomware che ha colpito il nostro computer fra le quattro famiglie disponibili e le differenti varianti, e scaricare il tool specifico. Prima di effettuare qualsiasi operazione è consigliato leggere la guida relativa riportata sullo stesso sito.

Nel portale, al momento in cui scriviamo, troviamo:

  • Coinvault, per le campagne ransomware CoinVault e Bitcryptor: guida sull'uso del tool
  • RannohDecryptor, efficace contro Rannoh, AutoIt, Fury, Crybola, Cryakl, CryptXXX: guida sull'uso del tool
  • RakhniDecryptor, per sconfiggere le infezioni Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt): guida sull'uso del tool.
  • ShadeDecryptor, può decifrare file con le estensioni .xtbl, .ytbl, .breaking_bad, .heisenberg: guida sull'uso del tool.
Come abbiamo scritto poco sopra fra gli strumenti offerti nel sito troviamo anche Crypto Sheriff, per identificare il tipo di infezione che ha colpito il nostro computer. Crypto Sheriff si trova a questo indirizzo e il suo uso è decisamente semplice: è sufficiente inviare due file cifrati dal malware e il testo contenuto nella richiesta del riscatto per ottenere informazioni sul tipo di ransomware che si è insediato sul nostro computer. Una volta acquisite le informazioni possiamo sfruttarle per scaricare il tool specifico fra quelli presenti sul portale.

All'interno del progetto è stato rilasciato anche ShadeDecryptor, sviluppato dopo che le autorità hanno sequestrato il server command and control che veniva utilizzato per immagazzinare le chiavi per il ransomware. Le chiavi sono state condivise con Kaspersky Lab e Intel Security, che hanno collaborato per sviluppare oltre 160 mila chiavi che possono essere utilizzate dalle vittime di Shade per recuperare i dati senza dover pagare nulla ai cybercriminali che hanno causato l'infezione sul sistema.

È questo tipo di successo che ha dimostrato quanto sia importante la cooperazione fra agenzie di legge e di sicurezza informatica in questo tipo di attacchi, ha dichiarato l'Europol. Il sito No More Ransom verrà aggiornato continuamente con ulteriori informazioni sulle nuove minacce, con altre firme di sicurezza che si potranno aggiungere - anzi, sono invitate a farlo - per contribuire a fornire consigli o strumenti per aiutare le vittime di ransomware.

Chi volesse approfondire il tema ransomware e volesse conoscere potenziali pratiche da osservare per prevenire il problema può leggere il nostro articolo Allarme Cryptovirus: prevenire per non pagare il riscatto a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dr-omega27 Luglio 2016, 12:38 #1
Ottima notizia e sito infilato subito tra i preferiti perché non si può mai sapere.
yurizena27 Luglio 2016, 14:34 #2

ottimo articolo utile

grazie, ottimi tips e strumenti 10/10
Thehacker6627 Luglio 2016, 15:15 #3
Originariamente inviato da: TRKChromium
Le persone dovrebbero imparare a fare un backup dei file importanti (magari sul cloud)...


Sì, così poi se bucano il servizio cloud addio privacy e backup.. E non tutti si possono permettere di fare il backup di gb di dati ogni mese (a stare molto larghi). Meglio un bel hdd da 4tb (100€ una tantum si possono anche spendere) e passa la paura.
Il Picchio27 Luglio 2016, 15:40 #4
E se ti si rompe l"hard disk addio dati. E se ti fregano il pc addio privacy e se hai le foto sul cellulare google le vede e se hai windows microsoft le vede e se le hai su icloud apple le vede e se e se.
Convidivo i dubbi sui cloud poco sicuri ma sta storia della privacy che viene sabotata e dello spionaggio di massa sta diventando un'ossessione di massa
Emin00127 Luglio 2016, 17:09 #5
Originariamente inviato da: Thehacker66
Sì, così poi se bucano il servizio cloud addio privacy e backup..


Prima preoccupati dell'upload dei dati con le adsl nostrane....
Per me l'upload di 20/30GB è da taglio vene, figuriamoci un backup completo di un pc(80/100GB volano senza problemi). Backup e cloud sono parole incompatibili in Italia per la stragrande maggioranza delle persone. Se come penso parlate di backuppare il selfie con le labbra a cu.lo di papera:
pinino27 Luglio 2016, 18:22 #6

no more ransom

articolo bellissimo ma in pratica ? quando mi sequestrano il computer
la prima cosa da fare consigliata è staccarsi da internet.
come si fa a collegarsi a "no more ramson" per vedere quale virus mi ha colpito e poi istallare il controvirus ?
Eress27 Luglio 2016, 19:09 #7
Finalmente qualcosa si muove contro questo virus. Sarà una battaglia lunga, ma credo che alla fine si possa vincere.
Emin00127 Luglio 2016, 21:28 #8
Originariamente inviato da: TRKChromium
Vivendo a Milano sono tra i pochi fortunati in Italia coperto da FTTH, il problema dell'upload anche in fibra rimane. Con una 500 mega Vodafone ho solo 20 Mbps in up


Qui ti prendi un amichevole vaff... solo per aver scritto che hai 20Mbps in up .


Originariamente inviato da: TRKChromium
Quello che dico di fare è un backup dei file importanti, non tutto l'hdd da 1TB


Tutto è relativo, dipende da cosa contiene quel disco.


Originariamente inviato da: pinino
articolo bellissimo ma in pratica ? quando mi sequestrano il computer
la prima cosa da fare consigliata è staccarsi da internet.
come si fa a collegarsi a "no more ramson" per vedere quale virus mi ha colpito e poi istallare il controvirus ?


Live cd linux, amici, parenti, hd nuovo/usato prestato/acquistato, vai da un presunto tecnico informatico*, ecc... Se non riesci nel 2016 ad accedere al web senza il tuo pc vai a Lourdes e prega.


*Presunto perché l'ultimo di mia conoscenza era bianco sulle variabili d'ambiente di windows. Praticamente monnezza indifferenziabile.
rockroll28 Luglio 2016, 01:35 #9
Originariamente inviato da: Thehacker66
Sì, così poi se bucano il servizio cloud addio privacy e backup.. E non tutti si possono permettere di fare il backup di gb di dati ogni mese (a stare molto larghi). Meglio un bel hdd da 4tb (100€ una tantum si possono anche spendere) e passa la paura.


Daccordissimo per HDD esterno da 4 TB a 100 euro, e giù di back-up, compresa però immagine di sistema restorabile stand-alone.
rockroll28 Luglio 2016, 01:55 #10
Originariamente inviato da: dr-omega
Ottima notizia e sito infilato subito tra i preferiti perché non si può mai sapere.


Io non sarei così tranquillo su questa soluzione.

Si è riusciti a decodificare in qualche modo unicamente perchè i sistemi di criptazione sono noti e quello che non è noto è solo la chiave. Con sforzi congiunti e calcolo distribuito si può arrivare all'obiettivo. Ma se l'algoritmo è inedito...?
Se ai cybercriminali salta la mosca al naso, quanto pensate che ci mettono a buttar dentro una serie di istruzioni casuali di "scompiglio dati" [U]inedita[/U] con l'unica avvertenza di ottenere una conversione biunivoca, cioè tale che ad una specifica sequenza di input corrisponda un'unica sequenza di output. Se questa condizione e rispettata, le istruzioni di "scompiglio inverso" rimettono le cose a posto, senza manco bisogno di una chiave (e se poi non le rimettono non penso che i cybercriminali se ne faranno scrupolo una volta ricevuto il riscatto).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^