Come identificare, rimuovere e a volte recuperare dati criptati dai ransomware

Il servizio è attivo già da alcuni mesi, di recente è stato tradotto in italiano e migliorato al punto da diventare il punto di riferimento per chi vuole sapere come identificare il ransomware che ha infettato il proprio PC, criptato i propri documenti, e richiesto un riscatto tipicamente in bitcoin.

Il servizio è davvero semplice da utilizzare, si deve cliccare sull’immagine qui sopra per connettersi al sito ID Ransomware sviluppato dal MalwareHunterTeam e avere pronti a disposizione un file criptato (quindi dal contenuto illeggibile dal PC) e la richiesta di riscatto, un file che viene lasciato dal cryptovirus in genere nelle cartelle dove sono stati criptati file e documenti.

E’ necessario collegarsi al servizio ID Ransomware del Malware Hunter Team e caricare il file con la richiesta di riscatto e un file cryptato (in genere con estensione .CRYPT, MICRO, etc…) selezionandoli dal proprio PC e caricandoli utilizzando gli appositi pulsanti.

Premendo quindi sul pulsante “Carica” si otterrà una risposta del sistema che permetterà – se possibile – l’identificazione del ransomware e delle possibili maniere di decifrare i file ovviamente senza pagare nulla ai criminali che hanno infettato il PC.

Se l’identificazione ha successo, si otterrà l’informazione sul nome e tipo del ransomware che ha criptato i nostri documenti, la conferma sulla possibilità di decifrare i file e alcuni link che spiegano come decifrare i file criptati dal cryptovirus, contenenti in genere link per il download del decryptor e istruzioni su come usarlo per recuperare i file cifrati dal trojan. Spesso i link forniti da ID Ransomware forniscono anche preziose indicazioni su come rimuovere il ransomware, consigliando ad esempio alcuni antivirus piuttosto che altri, anti-malware o tool specifici per rimuovere i cryptovirus.

Ad esempio, nel caso in cui il ransomware sia il famoso TeslaCrypt (abbiamo anche spiegato qui come decifrare i file criptadi da qualsiasi versione TeslaCrypt) il servizio fornirà conferma del fatto che il ransomware è decifrabile con uno o più link ai siti dove si potranno scaricare i tool di decryptor per recuperare i propri documenti.

Nel caso in cui invece non fosse ancora stato scoperto come recuperare i file criptati dal ransomware che ha infettato il vostro PC – come ad esempio le ultime versioni di CryptXXX – il servizio fornirà indicazioni sulle pagine ove la comunità scientifica sta discutendo circa l’infezione e ove si spera che presto verranno pubblicate le soluzioni per decodificare i file e i documenti bloccati dal virus.

Al momento della redazione del presente articolo, ID Ransomware rileva 102 ransomware differenti: 777, 7ev3n, 7h9r, 8lock8, Alpha, Apocalypse, AutoLocky, AxCrypter, BadBlock, BankAccountSummary, BitCryptor, BitMessage, Black Shades, Blocatto, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, Chimera, CoinVault, Coverton, CryFile, Crypren, Crypt0L0cker, CryptoDefense, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoMix, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CrySiS, CTB-Locker, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, ECLR Ransomware, Encryptor RaaS, Enigma, GhostCrypt, Gomasom, Herbst, Hi Buddy!, HydraCrypt, Jigsaw, JobCrypter, JuicyLemon, KeRanger, KEYHolder, KimcilWare, Kriptovo, KryptoLocker, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, Mischa, Mobef, NanoLocker, Nemucod, Nemucod-7z, ODCODC, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Protected Ransomware, RAA-SEP, Radamant, Radamant v2.1, RemindMe, Rokku, Russian EDA2, Samas, Sanction, Shade, Shujin, SNSLocker, Sport, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, Troldesh, TrueCrypter, UmbreCrypt, VaultCrypt, WonderCrypter, Xorist, Xort, zCrypt, Zyklon

Ricordiamo infine che una comunità di ricercatori ha prodotto e tiene aggiornato un documento che raccoglie tutte le infezioni note da ransomware descrivendone le caratteristiche tecniche e le eventuali possibilità di recupero, utile da associare al servizio di ID Ransomware descritto nel presente post come guida per sapere come comportarsi in caso d’infezione.

Il file è accedibile online e si chiama Ransomware Overview, ne abbiamo parlato anche in un articolo del blog, viene aggiornato periodicamente ed è ormai diventato un punto di riferimento per le vittime da ransomware che desiderano apprendere come rimuovere i ransomware, come identificarli e quando possibile come recuperare i propri documenti, foto, fimati criptati dai trojan.