Come recuperare i file Criptati

come recuperare file criptatiCome recuperare i file criptati ? Questa è la domanda che in questi mesi molti visitatori del mio blog, mi hanno posto. Dopo tutto dalle prime apparizioni di CriptoLocker, il virus ha preso diverse forma e modalità per criptare i file del vostro pc.
Prestate attenzione a come sono criptati i file, in particolare l’estensione finale del file, perché questo potrebbe cambiare le modalità di recupero dei file criptati, comunque nell’articolo cercherò di evidenziare tutte le varie forme del Virus CriptoLocker..
Mi auguro che con la mia guida riuscirete a recuperare i file criptati ..Shadow CopyLa prima cosa da provare a fare per recuperare i files criptati è di controllare se nel computer vi sono delle shadow copy dei files, la copia di shadow è una caratteristica introdotta a partire da Windows Xp SP1 che permette di creare copie di backup dei files ed è gestita in maniera automatica dal sistema purtroppo alcune varianti di ransonware bloccano questa funzione. Per visionare e salvare le copie shadow è sufficiente lanciare l’utility Shadow Copy Viewer, selezionare la data di shadow a sinistra, cercare i files che ci interessano, selezionarli e salvarli nella directory che preferiamo.
Se nel computer non vi sono copie di shadow possiamo provare a utilizzare dei specifici tool creati per le differenti varianti. Iniziamo con l’identificazione del ransonware che ha criptato la macchina, qui di seguito le immagini dei vari ransonware.

BitCryptor

BitCryptorBitCryptor è una nuova versione di ransomware prodotta dagli stessi creatori di CoinVault, cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy ma la cosa curiosa è che il processo di cifratura consiste nel creare una copia criptata e eliminare l’originale del file, quindi utilizzando un tool per il recupero dei dati come photorec o recuva è possibile recuperare i files.

CoinVault

CoinVaultCoinVault cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. A differenza di BitCryptor non cancella le shadow copy e anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Inoltre Kasperskyquesto indirizzo ha creato un database con i codici di decriptazione, vi basterà visitare il sito, inserire l’indirizzo Bitcoin associato visibile in basso a destra e controllare se nel database è presente il codice di decriptazione. Se il codice è presente, lanciare kaspersky coinvault decryptor, selezionare i files o la lista di files, inserire i codici forniti dal sito e avviare il processo di decriptazione.

CryptoDefense 

CryptoDefenseCryptoDefense cripta i files con una chiave a 2048 bit e richiede un riscatto iniziale di 500 Euro e dopo 4 giorni di 1000 Euro. Apparte le nuovissime versioni non cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft DECRYPTER prodotto da Emsisoft disponibile non risulta molto efficace ma tentar non nuoce. Una volta lanciato verificherà se nel registro è presente la key per la decriptazione e se la trova sarà possibile recuperare i files.

CryptoLocker

CryptoLockerCryptoLocker cripta i files con una chiave a 2048 bit e richiede un riscatto di 300 Euro. Estensione file criptato .encrypted . Apparte le nuovissime versioni non cancella le shadow copy. Dr.Web possiede un database con i codici di decriptazione, per verificare se è possibile decriptare i vostri files dovrete essere in possesso di una licenza valida di Dr.Web con un costo intorno ai 150 euro e inviare un file criptato e la vostra mail a questa pagina e se sarete fortunati vi verranno inviate le istruzione su come decriptare i vostri files via email.

Cryptorbit

CryptorbitCryptorbit cripta solo una piccola porzione di codice dei vostri files rendendoli illegibili e possiede una componente attiva che utilizza la vostra cpu per produrre monete coin digitali. Non cancella le shadow copy. Nathan Scott, DecrypterFixer, ha prodotto il tool Anti-CryptorBit che è in grado di decriptare i files JPEG/JPG, .PDF, .WAV, .PST, .DOC, .XLS, .XLSX, .PPTX, .DOCX, e .MP3. Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.

CryptoWall

CryptoWall crea i file HELP_DECRYPT.HTMLHELP_DECRYPT.PNGHELP_DECRYPT.TXT, e HELP_DECRYPT.URL in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i file criptati . Per il momento non esiste nessuna utility per decriptare.

CTB-Locker 

CTB-Locker crea i file !Decrypt-All-Files.bmp e !Decrypt-All-Files.txt in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Per il momento non esiste nessuna utility per decriptare.

Locker

Locker cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Il produttore del malware a inizio giugno ha deciso di rilasciare tutti i codici di decriptaggio e Nathan Scott, DecrypterFixer, ha prodotto il tool Locker Unlocker . Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.

PClock

PClock cripta i files con una chiave a 2048 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft Decryptor for PClock prodotto da Emsisoft, se la variante di Pclock è compatibile una volta lanciato, il tool importerà automaticamente i files criptati e sarà sufficiente cliccare su Decrypt per avviare il processo di recupero dei files.Il tool rinominerà i file criptati con l’estensione .decbak e creerà i files decriptati.

TeslaCrypt / Alpha Crypt

TeslaCrypt cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Esiste un tool per la decapitazione TeslaDecoder prodotto da BloodDolly che è capace di decriptare i files con estensione .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz . Una volta avviato si metterà alla ricerca dei files storage.bin o key.dat necessari per ricavare il codice e se ci riuscirà sarà sufficiente cliccare su Decrypt folder o Decrypt All per decriptare i files.Se non trova alcuna key è possibile decriptare i files fattorizzando un numero presente nell’header dei file criptati e utilizzando i fattori per generare la chiave.

TorrentLocker

TorrentLocker una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Estensione file criptato .encrypted . Esiste un tool per la decriptazione TorrentUnlocker che è capace di decriptare i files delle prime varianti ma necessita di una copia non criptata e una copia criptata di un file di almeno 2 MB per vedere la struttura e estrapolare i codici necessari per decriptare. Una volta recuperati i files necessari sarà sufficiente lanciare il tool e seguire le istruzioni a schermo.

Rakhni

Rakhni una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione RakhniDecryptor, (link per il download) prodotto da Kaspersky che è in grado di decriptare i files. L’utility si basa su un sistema brute force con migliaia di chiavi ed è quindi molto lento e potrebbe impiegare diversi giorni. Questa variante rinomina i files in uno dei seguenti modi: .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, .helpdecrypt@ukr.net, .pizda@qq_com, .dyatel@qq_com, _crypt, .nalog@qq_com, .chifrator@qq_com , .gruzin@qq_com, .troyancoder@qq_com, .encrypted, .cry, .AES256, .enc, .coderksu@gmail_com_ID, .crypt@india.com.CARATTERIRANDOM, .hb15, ID_helpme@freespeechmail.org .

Filecoder

Filecoder è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 2.5 Bitcoins circa 1000 euro. Estensione file criptati .bleep , .him0m , .1999 , .33t , .0x0  . Cripta i primi 64 KB dei documenti e una volta avviato cancella le shadow copy. Per il momento non esiste alcun tool per la decriptazione.

Randamant 

Randamant è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 0.5 Bitcoins circa 250 euro. Estensione file criptati .RDM  . Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione creato da Emsisoft scaricabile da qui. Una volta lanciato è sufficiente cliccare sul pulsante ‘Decrypt’ per iniziare la decriptazione dell’intero disco.

Credo che questa mia guida possa aiutare molte persone a recuperare i file, quindi vi chiedo cortesemente visto che usufruite di informazioni che vi fanno risparmiare molti soldi per il recupero dei file criptati, di lasciare una piccola donazione a una Associazione che aiuta i bambini bisognosi in varie parti del mondo, lo potete fare direttamente nel sito www.geronlus.org potete anche sostenerla donando il 5 per mille nella dichiarazione dei redditi, per farlo vedi le indicazioni riportate qui in basso ..
GerOnlus

Se hai trovato utile il mio articolo ti sarei grato se lasci un COMMENTO..

Vi segnalo il mio nuovo e-book WHATSAPP SENZA SEGRETI ( Best Seller nell’Ibooks Store ) lo scarichi gratuitamente da questo link .

Se hai bisogno di Assistenza o devi Riparare il tuo Pc, Mac, Tablet o SmartPhone, ti consiglio di visitare la mia pagina dedicata a Assistenza e riparazione Pc e Mac 

Vi segnalo anche la mia Guida a WhatsApp e la mia Guida a Instagram, troverete molti utili consigli e trucchi per sfruttare al meglio queste fantastiche App.

Ricordo a chi vuole approfondire le proprie conoscenze su Excel e Word vi consiglio i miei due nuovi ebook gratuiti : Manuale Excel 2010 e Manuale Word 2010 , se vi Iscrivete alla Newsletter li avrete in omaggio.

#MAgodelPC
Esperto Mac

Bruno Pramaggiore

 

8 commenti su “Come recuperare i file Criptati”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Anti-spam image

Visit Us On TwitterVisit Us On FacebookVisit Us On Google PlusVisit Us On PinterestVisit Us On Linkedin