Recuperare dati criptati da un ransomware? Qualche volta si può!
I ransomware sono la piaga informatica di questi anni: da Cryptolocker a CTB-Locker, passando per i nuovi malware dedicati ai server Linux, la pratica di rendere inaccessibili i dati a meno di ricevere soldi in cambio ha messo in seria difficoltà decine di migliaia di utenti ed organizzazioni, purtroppo spesso colti impreparati.
Sebbene la prima pratica per proteggersi sia quella di evitare di incappare in un ransomware, esistono – fortunatamente – alcuni ransomware che, grazie al lavoro di una serie di esperti di sicurezza, sono stati smantellati, studiati e resi quasi inattivi – in altre parole, per alcuni ransomware è possibile recuperare i dati.
Vediamo insieme quali sono, sottolineando che questo articolo verrà aggiornato se e quando altre soluzioni verranno rese pubbliche.
LeChiffre
C’era una volta Casino Royale…
Ehm… no. Non stiamo parlando di quel simpaticissimo sociopatico calcolatore che cerca di ammazzare James Bond in tutti i modi possibili ma di un particolare ransomware che ha fatto un bel po’ di vittime a Mumbay, per poi espandersi nel resto del mondo.
Ecco a voi LeChiffre:
La cosa particolare di questo ransomware è che, contrariamente agli altri, se deciderete di non pagare il riscatto richiesto ma avete la pazienza di inviare file e chiave di cifratura ai criminali e di attendere sei mesi… questi vi sbloccheranno gratis i file criptati. O almeno così dicono.
In realtà non ce ne è bisogno, poiché Emsisoft l’ha smantellato ed ha creato un programmino da eseguire per decifrare i file. Senza pagare neppure un euro.
Recuperare dati criptati da LeChiffre
Dovrete semplicemente avere la pazienza che il programma di cui abbiamo parlato sopra compia la sua opera (a seconda della portata dei file potrebbero volerci ore, addirittura giorni). Scaricatelo ed eseguitelo: il resto verrà da sé.
DOWNLOAD | LeChiffre (KeyBTC) Decrypter
Hydracrypt & Umbrecrypt
L’anno scorso fu la volta del ransomware CrypBoss, che spaventò tantissimi utenti, tuttavia il suo algoritmo fu violato in maniera relativamente veloce permettendo così agli utenti di recuperare i propri file senza pagar nessun riscatto.
Se pensavate che quella sarebbe stata la sua fine, vi sbagliavate: probabilmente dalla stessa penna sono nati i ransomware Hydracrypt e Umbrecrypt, spuntati qualche mese fa nell’Europa dell’est e ad oggi in fase di diffusione attiva; il vettore dell’infezione? Ancora una volta un allegato di posta elettronica.
Ecco Hydracrypt…
…e suo cugino Umbrecrypt
Sarete felici di sapere che entrambi sono una versione modificata di CrypBoss e che, grazie in parte al lavoro già svolto lo scorso anno, il team di Emsisoft è riuscito a smantellare anche questi altri due ransomware e a creare un programma che permette di decifrare i file senza pagare nessun riscatto.
Recuperare dati criptati da Hydracrypt e Humbrecrypt
Prima di lasciarvi il link e le istruzioni, però, va detta una cosa: sia Hydracrypt che Umbrecrypt, in fase di cifratura, modificano irrimediabilmente gli ultimi 15 byte del file originale: per la maggior parte dei documenti ciò non rappresenta un problema, tuttavia in caso i file dovessero risultare danneggiati potrete recuperarli tramite un qualsiasi software di “file repair”.
NOTA: sebbene il tasso di successi sia altissimo, esiste una piccola probabilità che il recupero non riesca. Inoltre, assicuratevi di avere abbastanza spazio su disco in quanto il programma non eliminerà i file criptati al termine del processo.
Innanzitutto scaricate il decrypter per Hydracrypt ed Umbercrypt dal link in basso:
DOWNLOAD | Decrypter per Hydracrypt ed Umbercrypt (Emsisoft)
Copiatelo sul desktop, dopodiché trascinate al suo interno (come da immagine in basso) un file cifrato con la relativa copia originale recuperata eventualmente da un backup; in mancanza di quest’ultima, potrete procedere usando un file cifrato ed un’immagine qualunque scaricata da Internet (l’ultimo metodo allungherà un po’ il processo di recupero chiave).
Ora dovrete pazientare: il software cercherà di recuperare la chiave (potrebbe impiegare ore o addirittura qualche giorno) e, una volta terminata l’operazione, ve la mostrerà in una finestra di dialogo.
Annotate la chiave per sicurezza, dopodiché fate click su “Ok” per aprire il decrypter vero e proprio: qui potrete inserire le cartelle contenenti i file da decriptare, oltre che i singoli file. Vi consigliamo, onde evitare perdite di tempo, di verificare l’effettivo funzionamento del decrypter su una piccola quantità di file.
Anche il processo di decifratura completa può durare ore o giorni, a seconda della portata dei dati.
E Cryptolocker?
Purtroppo per noi, Cryptolocker è ancora il ransomware più diffuso – e ovviamente il più duro a morire; per la “versione originale” del 2013 è possibile richiedere gratuitamente un software di decifratura poiché la botnet è stata smantellata diversi mesi fa, tuttavia quest’ultima è praticamente sparita ed ha lasciato il posto a ransomware della medesima famiglia ma con algoritmi diversi, ad oggi rimasti purtroppo inviolati.
Stessa cosa vale per il famigerato CTB-Locker.
Duole sempre dirlo, ma beccare un ransomware come questo lascia poco spazio a soluzioni “pulite”: bisogna sempre sperare di avere un backup recente dei dati a portata di mano (e di non avere il dispositivo che lo contiene collegato in alcun modo alla macchina infetta), altrimenti il danno è – almeno per il momento – irreversibile.
Ovviamente a meno di non pagare il riscatto, tuttavia ciò – che noi assolutamente sconsigliamo – non fa altro che alimentare questo tipo di criminalità, restando intrappolati in un enorme circolo vizioso; tra l’altro, nessuno garantisce che i malintenzionati terranno fede alla parola data.
L’articolo Recuperare dati criptati da un ransomware? Qualche volta si può! appare per la prima volta su Chimera Revo – News, guide e recensioni sul Mondo della tecnologia.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.