Ransomware: cosa sono, come prevenirli e come recuperare i dati (aggiornato 23/08/2017)

Livello tecnico : Intermedio

Riepilogo
Si applica a : Windows 7, Windows 8/8.1, Windows 10 Dettagli: Questo articolo wiki si propone di spiegare cosa sono i ransomware, in che modo è possibile prevenirli e come recuperare i dati (se possibile) in caso di infezione
Dettagli

I Ransomware: una piaga in crescente aumento in questi ultimi mesi ed in costante evoluzione. Per avere una stima della portata del fenomeno, si stima che l'ultima variante di CryptoLocker ha provocato danni per 325 milioni di dollari a livello globale, colpendo privati ed aziende. Questo tipo di malware colpisce in prevalenza sistema Windows, ma in minor numero anche OS X (come indicato qui Nuovo ransomware per OS X). Quindi ora cerchiamo di capire cosa sono questi ransomware

Cosa sono i ransomware

Il ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta e chiede il riscatto per rimuoverne la limitazione. Si è cominciato qualche anno fa con dei ransomware che si avviavano con il sistema operativo rendendo di fatto impossibile utilizzarlo, come ad esempio il famoso ransomware della polizia di stato o simili. Ad oggi siamo arrivati a due tipi di ransomware, ovvero:

  1. ransomware che crittano l'intero contenuto del disco, richiedendo un riscatto in BitCoin tramite rete TOR per la decrittazione
  2. ransomware che crittano l'MFT (Master File Table) del disco, rendendo impossibile l'accesso ai file e sostituisce il boot loader, rendendo di fatto impossibile l'accesso al disco ed ai suoi dati. Anche in questo caso, viene richiesto un riscatto in BitCoin tramite rete TOR (Considerazioni: Petya Ransomware: temibile e diverso dai soliti ransom)

L'ultimo tipo è il più temibile ed il più recente. A questo punto sorge spontanea la domanda: è possibile difendersi? Vediamo cosa è possibile fare PRIMA in materia di prevenzione

Come prevenirli

In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:

  • mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update 
  • mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza 
  • accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati 
  • utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
  • eseguire delle scansioni antivirus regolari del sistema
  • non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall'italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l'allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
  • eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete. 

Per ambiente aziendale consultare il seguente articolo wiki: Ransomware: cosa sono, come prevenirli e come recuperare i dati - TechNet Articles - United States (English) - TechNet Wiki

E nel caso malaugurato che siamo stati infettati? Come possiamo procedere? C'è un modo per recuperare i nostri dati? Come possiamo identificare da che tipo di ransomware siamo stati infettati? 

Come identificare da che ransomware siamo stati infettati

In questo ambito ci viene in aiuto uno strumento online dedicato a riconoscere il tipo di ransomware che ci ha infettato: basterà eseguire l'upload di un file criptato (non un file personale) o della schermata di blocco che visualizziamo dopo l'infezione. Lo strumento rileva fino a 178 ransomware differenti tra cui troviamo i famosi TeslaCrypt, Crytowall ecc. Il sito è il seguente: 

Come recuperare i dati (se possibile)

In alcuni casi NON è possibile recuperare i dati, come nel caso del Petya Ransomware (o meglio ad infezione avvenuta, vedere paragrafo successivo), ma in altri casi vi sono degli strumenti che ci aiutano a tornare in possesso dei nostri dati. 

UmbreCrypt e HydraCypt

strumento di de-crittografia rilasciato da Emsisoft

 Download

Descrizione: 

Come da immagine, basterà trascinare i file (un file immagine crittato ed un file immagino non crittato) per estrarre la chiave di decrittazione. 

Per ulteriori informazioni vedere questo articolo: Decrypter For HydraCrypt And UmbreCrypt Available | Emsisoft Blog

TeslaCrypt Decription Tool

Strumento rilasciato da Cisco

Download

Ulteriore Strumento rilasciato da Eset per decrittazione universale 

Download

Strumento consigliato dagli stessi sviluppatori del ransom, rilasciato da BleepingComputer

Download

Per utilizzare questo strumento, è opportuno cercare il file key.dat, che si trova solitamente sotto la cartella AppData, infatti lo strumento è interamente da linea di comando (prompt dei comandi). 

Per ulteriori informazioni vedere questo articolo: Threat Spotlight: TeslaCrypt – Decrypt It Yourself

Le istruzioni per l'uso dello strumento universale rilasciato da Eset le trovate qui: How do I clean a TeslaCrypt infection using the ESET TeslaCrypt decrypter?—ESET Knowledgebase

CryptoDefense Decription Tool

Strumento rilasciato da Emsisoft

Download

Questo strumento è valido solo per infezioni antecedenti Aprile 2014, ma lo riporto perchè inerente l'argomento. Il suo utilizzo è semplice, aprendo il programma potremmo aggiungere manualmente i file da decrittare.

Per ulteriori info vedere qui:

How to decrypt or get back encrypted files infected by known encrypting ransomware viruses. - wintips.org - Windows Tips & How-tos

PcLock Cryptolocker

Strumento rilasciato da Emsisoft

Download

Strumento automatizzato, dopo l'installazione importerà in automatico la lista dei file da decrittare 

Cryptorbit e Howdecrypt 

Strumento rilasciato da BleepingComputer

Download

Strumento intuitivo, basterà selezionare il tipo di file e seguire le istruzioni a video, come da immagine

Torrentlocker

Strumento rilasciato da BleepingComputer

Download

Attenzione: strumento valido per vecchie versioni del ransomware, visto che nell'ultima release l'algoritmo di criptazione è stato modificato. 

Nemucod Trojan's

Strumento rilasciato da Emsisoft

Download

Come da immagine, basterà trascinare i file (un file immagine crittato ed un file immagino non crittato) per estrarre la chiave di decrittazione. 

Per ulteriori info vedere qui:

Decryptor Released for the Nemucod Trojan's .CRYPTED Ransomware

CryptoHost 

Strumento rilasciato da Michael Gillespie (@demonslay335) | Twitter

Download

E' necessario stoppare il processo, tramite Task Manager o Gestione Attività, chiamato cryptohost.exe, quindi rechiamoci nel percorso AppData\Roaming e cerchiamo il file compresso.
Prima, scarichiamo ed installiamo (se non lo abbiamo già) 7zip, il quale ci servirà per la de-compressione; scegliamo di estrarre, tramite il menù contestuale, il contenuto del file tramite 7zip e, quando richiesto, inseriamo la password che abbiamo ottenuto tramite il key generator.

Jigsaw Ransomware

Strumento rilasciato da BleepingComputer

Download

Stoppare i seguenti processi da Gestione processi:

drpbx.exe e firefox.exe

Eliminarli anche dall'avvio, se necessario applicare e mantenere un avvio pulito

Quindi, scaricare lo strumento, selezionare la directory ove si trova i file criptati e procedere alla loro de-crittazione. 

Per ulteriori info vedere: 

Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

Autolocky Ransomware 

Strumento rilasciato da Emsisoft 

Download 

Prima di lanciare lo strumento, è opportuno chiudere tramite task manager il processo relativo al ransom, si può fare questo eseguendo le consuete guide di rimozione malware o, ancor meglio, la guida redatta da Vincenzo Di Russo (Collega MVP) . Quindi avviare lo strumento, il quale prima recupererà la chiave di decrittazione, in seguito decritterà i file che si trovano nel disco locale C. Per altre posizioni basterà aggiungere manualmente le cartelle

CryptXXX Ransomware e variabile 2.0

Strumento rilasciato da Kaspersky 

Download 

Strumento per variabile 2.0 rilasciato da Kaspersky

Download

Vi è una particolare procedura di decrittazione con questo strumento, infatti servirà, oltre ad un file crittato, anche un NON crittato dal quale sarà possibile estrapolare l'algoritmo necessario. Ad esempio, possiamo indicare un immagine SAMPLE  crittata che si trovano in tutte le versioni di windows (le immagini di sfondo) e scaricare, se non ne abbiamo già, una versione della stessa NON crittata (Bleepingcomputer fornisce un indirizzo apposito). Dopo di che verrà eseguita automaticamente la decrittazione dei file restanti. Per ulteriori info seguire qui

Xorist Ransomware (articolo dedicato)

Strumento rilasciato da Emsisoft 

Download

Anche per questo strumento, è necessario avere un file NON criptato, in maniera da permettere di ricavare la chiave di criptazione usata (richiederà 2-3 ore il processo)

777 Ransomware (articolo dedicato)

Strumento rilasciato da Emsisoft 

Download

Basta eseguire una scansione e lo strumento decritterà tutti i file che avranno come estensione .777

Apocalypse Ransomware 

Strumento rilasciato da Emsisoft 

Download

Funzionamento simile a molti altri strumenti di decrittazione: bisogna prima permettergli di recuperare la chiave di codifica indicandogli un file criptato ed uno NON criptato. Dopo di questo, potremo decriptare tutto il disco locale c:. Per ulteriori info vedere qui

BadBlock Ransomware

Strumento rilasciato da Emsisoft 

Download

Stesso principio di cui sopra, in assenza di questi è possibile usare un file PNG criptato ed un altro PNG non criptato (anche recuperato da internet) per la ricerca della chiave di codifica. Quando vi è la richiesta da parte dell'UAC dare conferma: al termine, indicare le cartelle ove sono i dati criptati. Per ulteriori info vedere qui

ODCODC Ransowmare 

Strumento rilasciato da BloodDolly tramite il forum di BleepingComputer

Download 

All'avvio lo strumento scaricherà delle chiavi con le quali proverà a decrittare i vostri file, altrimenti avrà bisogno di alcuni file campione scaricabili, come le immagini standard di sfondo di windows. Questo ransomware critta i dati con l'algoritmo RSA-2048

Bart Ransomware

Strumento rilasciato da AVG

Download

Lo strumento richiede di avere un file campione non criptato, come di solito accade. (Bleepingcomputer fornisce un indirizzo apposito) Una volta acquisita la chiave verrà eseguita la decrittazione dei file. Questo ransomware crea dei file compressi protetti da password con i vostri file e non ha collegamenti tramite internet e server esterni. 

Stampado Ransomware

Strumento rilasciato da Emsisoft 

Download

In questo caso basterà inserire i dati richiesti dal software, ovvero l'indirizzo email e l'ID che troviamo nella lock screen. 

WildFire Locker Ransomware (articolo dedicato)

Strumenti rilasciati da Kaspersky e Mcafee

Kaspersky's WildFire Decryptor

McAfee's WildFire Decryptor

Strumenti molto semplice, dopo la scansione a video ci saranno le istruzioni per decriptare i propri file.

NanoLocker Ransomware

Strumento rilasciato da BleepingComputer

Download

Strumento da utilizzare tramite riga di comando: 

WIN + X > prompt dei comandi come  amministratore > ora recarsi nella directory ove risiede lo strumento, quindi digitare:

NanoLocker_Decryptor.exe 

Per avviare la decriptazione invece digitare quanto segue:

NanoLocker_Decryptor.exe "C:\Users\Public\Pictures\Sample Pictures\Desert.jpg" "C:\Users\Public\Pictures\Sample Pictures\Desert-good.jpg" %userprofile%\appdata\local\lansrv.ini

Questo strumento decripta un file alla volta, quindi se abbiamo bisogno di decriptare una cartella intera sarà opportuno creare un file batch.

Per chi non conosce molto bene il funzionamento del prompt dei comandi, qui può trovare alcuni elementi utili

International Police Association Ransomware

Strumento rilasciato da BleepingComputer

Download

Strumento molto facile da usare, al primo avvio basterà inserire il codice ID associato ai nostri file criptati, quindi selezionare la radice del disco ove risiedono i file (per esempio l'intero disco C: o D:) e lanciare la scansione del software

Princess Locker Ransomware (articolo dedicato)

Strumento sviluppato da Hasherezades

Download

Prima avviare il keygen che troviamo nel pacchetto, il quale scoprirà la chiave di decriptazione, quindi avviare il decryptor che avvierà la decrittazione vera e propria. Di seguito potete trovare un video che spiega l'operazione: 

PrincessLocker - how to recover files - YouTube

MRCR o Merry Christmas Ransomware

Strumento sviluppato da Emsisoft

Download

Anche in questo caso sarà necessario avere una copia dei file non criptati, sotto la voce Bart Ransomware trovate un campione di file non criptati scaricabili, una volta trovata la chiave potranno esser decriptati i file restanti.

Marlboro Ransomware (articolo dedicato)

Strumento sviluppato da Emsisoft

Download

Stessa procedure come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qui)

Globe3 Ransomware

Strumento sviluppato da Emsisoft

Download

Stessa procedure come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qui)

GlobeImposter Ransomware

Strumento sviluppato da Emsisoft

Download

Stessa procedure come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qui)

Ozoza Locker Ransomware

Strumento sviluppato da Emsisoft

Download

Stessa procedure come sopra, necessari file non criptati per recupero chiave di decriptazione (scaricabili da qui)

Amnesia Ransomware

Strumento sviluppato da Emsisoft 

Download

Procedura come di consueto, dove serve un file non criptato ed uno criptato per estrarne la corretta chiave di cifratura 

Striked Ransomware

Strumento sviluppato da Michael Gillespie

Download

 
Procedura veloce, verrà eseguita la scansione del sistema e la decriptazione avverrà in automatico

BTCWare Ransomware (articolo dedicato) 

Strumento sviluppato da Michael Gillespie

Download

In questo caso sarà necessario avere una copia dei file non criptati (scaricabili da qui), una volta trovata la chiave potranno esser decriptati i file restanti.

Mole02 Ransomware (articolo dedicato) 

Strumento sviluppato da M AV

Download

Procedura veloce, verrà eseguita la scansione del sistema e la decriptazione avverrà in automatico

BitKangaroo Ransomware

Strumento sviluppato da Michael Gillespie

Download

Procedura veloce, verrà eseguita la scansione del sistema e la decriptazione avverrà in automatico

Di seguito alcuni strumenti di de-crittazione forniti da Kaspersky Labs per i seguenti malware:

Verranno aggiunti collegamenti a nuovi strumenti di recupero quando saranno disponibili. 

Per approfondimenti in merito i ransomware e i BitCoin invito a leggere questo post Ransomware e i BitCoin: considerazioni, dati e prevenzione

PETYA RANSOMWARE

Riguardo il secondo tipo di ransomware, ovvero PETYA, vanno elaborati i passaggi di infezione, che sono:

  • avvio dell'infezione tramite una mail di SPAM (solitamente tentativi di phising)
  • il malware viene caricato in memoria
  • viene provocata una schermata di errore forzata che obbliga il sistema al riavvio
  • dopo il riavvio viene mostrata una schermata di finta esecuzione di chkdsk del sistema
  • durante questo processo, viene eseguita la vera e propria criptazione dell'MFT e sostituzione del boot loader
  • infezione avvenuta, richiesta di "riscatto" tramite BITCOIN

L'infezione VERA E PROPRIA avviene nel secondo passaggio, ovvero quando viene eseguito il finto chkdsk che completerà l'infezione. Come prevenirlo?

  1. Disabilitare il riavvio automatico del sistema: WIN + R > digita "sysdm.cpl" e dare invio > Avanzate > impostazioni Avvio e ripristino > togliere la spunta da Riavvia automaticamente
  2.  Ora c'è una procedura da seguire, abbastanza articolata, CONSIGLIATA SOLO PER UTENTI ESPERTI: Petya key decoder | hasherezade's 1001 nights - Decodificatore per PRIMO PASSAGGIO (Prima del CHKDSK) here

DISPONIBILE STRUMENTO DI RECUPERO PER PETYA (AGGIORNATO AL 11 APRILE 2016)

In questo caso vi è qualche passaggio da fare, in quanto è necessario collegare il proprio disco rigido ad un altro computer, utilizzando una dock station USB. Dopo aver collegato il disco, scarichiamo questo strumento Petya Sector Extractor il quale individuerà il disco infetto e ci fornirà due dati necessari in seguito, disponibili dalla voce Copy Sector e Copy Nonce(come da immagine).



In seguito rechiamoci nel sito https://petya-pay-no-ransom.herokuapp.com ove dovremo inserire prima il codice Base64 Encoded 512 bytes e nel box sottostante il codice relativo a Base64 encoded 8 bytes nonce, quindi inviando i dati comincerà il processo di creazione della password (ci vorrà qualche minuto), la quale poi potremo inserire nella richiesta di riscatto che visualizziamo in avvio dopo l'infezione. 

Grazie a leostone e a Fabian Wosar per gli strumenti

Articolo originale: Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Cryptolockers (Aggiornato al 12 Aprile 2016) ~ L'angolo di Windows e di Arduino


Versione articolo per ambiente aziendale: Ransomware: cosa sono, come prevenirli e come recuperare i dati - TechNet Articles - United States (English) - TechNet Wiki

 

Informazioni articolo forum


Ultimo aggiornamento dicembre 21, 2019 Visualizzazioni 2.081 Si applica a:

* Prova con un numero di pagina inferiore.

* Immetti solo numeri.

* Prova con un numero di pagina inferiore.

* Immetti solo numeri.

Grande ottimo articolo !

Su java e flash posso fare due domande ?

1)credo di aver capito che EMET 5.5 blocca di default Java, ( e questo non mi sta creando problemi, personalmente ) è giusto ?/utile?

2) nelle impostazioni di Windows ho disabilitato il download automatico di contenuti flash o qualcosa del genere( non ricordo bene lo ho fatto settimane fa) , e non noto nessun problema da quando lo ho fatto . Anche questo può essere di aiuto o non c'entra ?

grazie in anticipo 

può esser utile, certo. Java può esporre il sistema a problemi di sicurezza, per questo viene aggiornato spesso.

Disattivarlo è comunque una scelta personale.

Alvise C. Microsoft® MVP Windows Insider - Blogger on angolodiwindows.com - Google Certified -
Comptia Security + Certified
Ho letto l'aggiornamento su petya( non sono stato infettato). E non ho capito una cosa: il punto due ( dove è indicato il decodificatore serve x chi è stato infettato , se non ho capito male) , ma il punto uno posso farlo in sicurezza tutti? O ci sono casi in cui questo riavvio automatico salva il PC da guai peggiori ? Grazie scusi il disturbo .

il punto 1 impedisce al sistema di riavviarsi in caso di crash improvviso: puoi applicarlo senza alcun problema

Alvise C. Microsoft® MVP Windows Insider - Blogger on angolodiwindows.com - Google Certified -
Comptia Security + Certified

Complimenti Elvis!

Ottimo Articolo!

Risorsa.

Ciao.

CEO & Founder at HTNovo
Windows 10 Expert
Sito Web - https://www.htnovo.net/

Ottimo articolo.

Tenterò la procedura per il testlacrypt decription tool su file infetti .micro

Dovrebbero essere infezioni dovute a teslacrypt3.0, hai qualche consiglio/aggiornamento in merito?

grazie

riguardo a teslacrypt non vi sono aggiornamenti, se ne hai bisogno trovi informazioni aggiuntive qui
Alvise C. Microsoft® MVP Windows Insider - Blogger on angolodiwindows.com - Google Certified -
Comptia Security + Certified

Buonasera, io sono stato "infettato" da un Ransomware....  ma il mio computer facendo parte di una Azienda ho scoperto di non esser io l'untore, ma al contrario il mio è stato contagiato dal PC aziendale che ha aperto una eMail virale.

A quel punto ho staccato il cavo di rete ed isolato il mio PC.. nonostante avesse già più di 500 file con estensione *.encrypted

Ma appunto VI CHIEDO, dato che il mio PC non è in realtà l'untore, ci sarà un modo per proteggerlo senza dovermi tenere staccato dalla rete Aziendale.. che sò impostando escludendo i comandi di rete.. perchè i file contagiati NON sono nella cartella condivisa, ma in cartelle locali che DOVREI avervi accesso solo io.

Grazie

A me è capitato (non nel mio pc), un tipo di ransomware che rende tutti i file (documenti, immagini...) dei FILE MUSICALI.

Avete notizie in merito a questo ransomware ? Non mi sembra che possa essere usata una delle soluzioni sopra esposte.

Ecco qualche immagine per chiarire come si manifesta il signorino...

A voi la parola. Grazie

* Prova con un numero di pagina inferiore.

* Immetti solo numeri.

* Prova con un numero di pagina inferiore.

* Immetti solo numeri.