Oggi vorrei parlarvi di una risorsa utile per recuperare i file criptati da ransomware. Questi, come sappiamo, infettano i nostri PC criptando i nostri file con algoritmi di cifratura spesso impossibili da decodificare.

La buona notizia è però che per molte varianti di questo malware, sono state individuate o reperite le chiavi di codifica in grado di decodificare (scusate il gioco di parola) i nostri file quindi ripristinarli e renderli utilizzabili.

No More Ransom’s

No More Ransom’s è un portale disponibile in diverse lingue, che ci aiuta in modo gratuito a verificare se esiste una soluzione di decodifica al ransomware che ha infettato il nostro PC e ci guida nell’applicazione della soluzione del problema.

Per verificare se all’interno dei loro database sia disponibile una chiave di decodifica per la variante del malware che ci ha infettato, è sufficiente:

• Accedere al sito https://www.nomoreransom.org/it/index.html
• Alla domanda “OCCORRE AIUTO per sbloccare i vostri file senza pagare gli hackers*?” cliccare su SI
• In questa pagina possiamo caricare 2 file crittografati dal malware oppure caricare il messaggio di richiesta di riscatto.

Si avvierà quindi un processo di identificazione del ransomware e si verificherà in modo automatico che sia disponibile una chiave di decodifica sul database.

Se questo avrà esito positivo, comparirà una facile guida per decrittografare i file quindi eliminare il malware dal nostro PC.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Decriptare file cryptolocker ransomware sembra essere il primo su .

Per recuperare le chiavi, è però necessario che il PC non sia stato riavviato dopo l’infezione consentendo al decrypt di recuperare i primi numeri della chiave privata dell’algoritmo di crittografia RSA utilizzato da Wanna Cry.

Questa operazione è effettuata sul processo “wcry.exe” che è incaricato di generare la chiave privata RSA. Il problema principale è che attualmente il software di decodifica è efficace solo (“attualmente”) sui SO Windows XP.

Il suo ideatore Adrien ha però rilasciato il codice sorgente al pubblico consentendo quindi ulteriori sviluppi anche per gli altri sistemi operativi.

Adrien ha quindi rilasciato il suo strumento chiamato Wanna Key mentre, partendo da quest’ultimo, un altro ricercatore Benjamin Delpy ha rilasciato un nuovo applicativo denominato WannaKiwi

La falla di Wanna Cry

Il ransomware WannaCry utilizza un algoritmo di crittografia asimmetrica basato sull’accoppiata chiave pubblica e privata per la cifratura e decifratura dei file. Per generare la coppia di chiavi, l’algoritmo utilizza una coppia di numeri primi che consentono di risalire alla chiave per decifrare i file.  Generate le chiavi, WannaCry procede alla cancellazione dei file del PC infettato ma “dimentica” di cancellare i numeri primi utilizzati nel processo di generazione. Utilizzando questa “dimenticanza” è possibile recuperare i numeri primi dalla memoria del pc e applicando l’algoritmo di generazione della coppia di chiavi, risalire a quest’ultime per decifrare i file senza pagare alcun riscatto.

Il Consiglio

Anche se le soluzioni proposte non dovessero funzionare, il consiglio è quello di “congelare” la situazione in attesa di nuovi sviluppi che consentano di recuperare i file presi in ostaggio.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Wanna Cry: come liberare il pc senza pagare il riscatto sembra essere il primo su .

Il vaccino dovrebbe quindi inibire alcuni funzionamenti utilizzati dai virus ransomware e quindi impedire la cifratura dei file con conseguente riscatto monetario. La tecnica utilizzata è quello di informare i virus CTB-Locker, Locky e TeslaCrypt che il PC è già stato infettato facendoli quindi desistere dal procedere nell’infezione.

Il software di AntiRansomware di BitDefender inganna i controlli dei ransomware CTB-Locker, Locky e TeslaCrypt in modo che questi rilevino il PC come già infettato e quindi si disattivino o comunque non inizino a criptare i documenti della vittima.

Personalmente, ho tentato un test di funzionalità su macchine virtuali Win XP e  Win 8 avviando quindi l’ultima versione di TeslaCrypt. Dai primi risultati il virus non è partito nella crittografia dei file nè nell’intaccamento delle chiavi di registro.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Vaccino anti ransomware sembra essere il primo su .

I virus ransomware sono tra i malware più temuti non solo per la loro enorme diffusione, ma per i danni che causano spesso in modo irreversibile. In soldoni, il virus cifra i file del nostro PC con un algoritmo di cifratura rendendone impossibile la loro apertura a meno che non si abbia la chiave per decifrare. Questa chiave viene “promessa” dallo stesso virus dopo aver pagato un riscatto che oscilla intorno ai 500 dollari.

Come si prendono i virus Ransomware

La quasi totalità dei virus, riesce a far breccia all’interno dei nostri computer per colpa di una nostra azione ovvero la prima esecuzione del virus. Spesso i virus ci arrivano per mail da un mittente che conosciamo (ma che ovviamente è sotto falso nome) e nel corpo della mail ci invitano all’azione: scaricare ed aprire una fattura, visualizzare un resoconto ecc. Aprendo questi file diamo vita al virus che comincerà a fare breccia all’interno del nostro PC. Di seguito alcune mail che contengono i virus Ransomware:

Cosa fanno i virus Ransomware

Una volta avviato il virus, esso effettuerà una cifratura dei file usando una crittografia RSA-2048 protetta con chiave privata. Superare l’ostacolo di una crittografia non è affatto semplice anzi forse quasi impossibile. Pensiamo che tutto il sistema bancario mondiale, gli acquisti online, le carte di credito ecc vivono grazie ai più recenti sistemi di crittografia. Ci fosse un modo universale per superare questo espediente si avrebbe il controllo mondiale  Dopo aver cifrato i nostri file, il virus ci guiderà al loro recupero ovvero ci “insegnerà” a creare una connessione ad internet anonima e ad utilizzare il metodo di pagamento basato su BitCoin per riscattare i nostri file. Di seguito alcune varianti dei messaggi forniti dal virus:

Proteggersi dai virus Ransomware: BitCryptor, CryptoDefense,
 CryptoLocker, CryptoWall, TeslaCrypt / Alpha Crypt

Protezione Culturale:

Per far fronte a molti virus ed avere un sistema quanto più immune possibile dai malwere è necessario:

• Mantenere sempre aggiornato l’antivirus del nostro sistema
• Mantenere sempre aggiornato il sistema operativo scaricando ed installando gli aggiornamenti consigliati.
• Installare un firewall sia in entrata che in uscita ad ogni PC
• Educarsi ad esaminare in modo accurato le mail che si ricevono imparando a distinguere quelle reali da quelle fraudolente.
• Effettuare periodicamente copie di backup salvandole su supporti esterni.

Protezione con SandBox

Soprattutto in ottica aziendale, è fondamentale fare utilizzo di SandBox. Questa tecnologia apre i file che arrivano tramite mail in un ambiente virtualizzato denominato sandbox. In questo ambiente protetto i file vengono monitorati cercando di scovare comportamenti insoliti come tentativi di modifica del registro di sistema o connessioni anomale. In caso di rilevazione di comportamenti anomali, questi file vengono messi in quarantena senza che possano arrecare danni ad altri utenti della rete.

Protezione Pro Attiva

HitmanPro Alert

Per proteggersi dai Ransomware come BitCryptor,CryptoDefense,CryptoLocker, CryptoWall, TeslaCrypt / Alpha Crypt,può rivelarsi un’ottima strategia installare un software come HitmanPro Alert che garantisce la navigazione sicura su internet verificando che i collegamenti con banche, shopping online ecc siano in connessione protetta. HitmanPro Alert rileva quindi modifiche ai browser o sul sistema introducendo inoltre la funzione CryptoGuard che non rileva i malware in base alla loro staticità ma in base al comportamento attivo.

Cryptoprevent

Un altro software di protezione degno di nota è Cryptoprevent  che impedisce ai virus di modificare zone sensibili di Windows come le chiavi di registro.

Come rimuovere i virus  Ransomware BitCryptor, CoinVault,
 CryptoDefense,CryptoLocker, Cryptorbit,
CryptoWall, CTB-Locker, Locker, PClock,
 TeslaCrypt / Alpha Crypt, TorrentLocker, Rakhni, Filecoder,
 Randamant

La prima cosa da fare è sicuramente scollegare il PC da internet e tentare quindi connessioni con Kaspersky Virus Removal Tool, poi RKill e, in seguito , con Combofix. In caso non avessimo accesso al PC o peggio ancora alla modalità provvisoria, sarà necessario eseguire i software in modalità Live ovvero eseguendoli da una penna USB eseguendo il boot della pennetta dal BIOS.

Come recuperare i file crittografati da Ransomware TeslaCrypt

Recupero di variante Ransomware TeslaCrypt 2.2.0 file con estensione: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv

• Nella versione del virus sopra menzionata, vi è la possibilità di recuperare i file grazie ad una falla scoperta nel virus stesso che ha consentito la decodifica dei file.  La falla riscontrato consta nel fatto che il virus genera le chiavi di crittografia e decodifica  all’interno dei file cifrati usando numeri non primi rendendo quindi plausibile un attacco mirato anche con PC con potenza normale per gli standard attuali. Fattorizzando quindi i numeri primi è stato possibile ricostruire la chiave di decodifica. Questa operazione è però molto lenta. E’ quindi possibile utilizzare il software TeslaDecoder per recuperare i file cifrati da TeslaCrypt 2.2.0.
• Altra soluzione è quella di fare riferimento a Dr. Web, società russa attiva nel contrasto ai malware
• Come soluzione alternativa, è possibile ricorrere alle Shadow Copy di Windows. Questo sistema operativo ha introdotto questa funzione a partire da Windows XP SP1 che permette di effettuare copier di backup dei file in modo automatico. Per visualizzare le shadow copy è sufficiente lanciare il tool Shadow Copy Viewer cercando i file che ci interessano e di salvarli in una directory che preferiamo. In alcuni casi questa funzione non è utilizzabile in quanto i virus prima di ultimare il loro “lavoro” eseguono il comando ‘vssadmin delete shadows /all‘ che elimina tutte le shadow copy

Recupero di variante Ransomware TeslaCrypt 3 file con estensione: .XXX, .TTT e .MICRO.

Questa versione di virus Ransomware è stata rilasciata il 31 Gennaio 2016 correggendo le falle trovate nella precedente versione. Per tale motivo non si conoscono attualmente metodi di decodifica dei file che sono attualmente da considerare persi.

Glossario su Varianti Ransomware

BitCryptor, CoinVault, CryptoDefense,CryptoLocker, Cryptorbit, CryptoWall, CTB-Locker, Locker, PClock, TeslaCrypt / Alpha Crypt, TorrentLocker, Rakhni, Filecoder, Randamant

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Conoscere e curare (quando possibile) i Virus ransomware e varianti sembra essere il primo su .