I Virus della famiglia Ransomware, sono certamente fra i più pericolosi in circolazione. La definizione "Ransomware" deriva dall'inglese "Ransom" = Riscatto. Nel web ne sono presenti moltissimi tipi, con diversi nomi ma che svolgono la stessa azione distruttiva. I Virus di questo tipo, nella maggior parte dei casi, aggiungono una ben precisa estensione al nome originario del file colpito, e/o lo rinominano completamente.Il principale veicolo dell'infezione è rappresentato da allegati nei messagi di posta elettronica.

Aesse Service Srl mette a disposizione un servizio COMPLETAMENTE GRATUITO, di analisi dei files criptati. E' sufficiente inviare a recuperodati@aesse-service.it , dopo averli compressi in .ZIP o .RAR, 4 o 5 files criptati, tra cui almeno uno con estensione originaria .DOC (non .DOCX), le note di richiesta riscatto che il Virus di norma genera in formato .TXT o .HTML e l'indicazione della capacità complessiva dei dati da decriptare. Non appena avremo terminato l'analisi dei Files, sarà Ns. cura comunicare mezzo Email, l'esito ed eventualmente la quotazione economica per la decritpazione.

Con questo articolo tentiamo di fare il punto della situazione e indicare le soluzioni ad oggi possibili, per recuperare i dati criptati, dai Virus Ransomware più frenquenti e conosciuti :

Nome del Virus

Estensione aggiunta dal Virus

Soluzione

CTB Locker o Citroni Virus

.Ctbl o .Ctb2 o 7 caratteri casuali tipo .ftelhdd o .ztswgmc

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Crypt0L0cker

.7z , .Encrypted , .Xla o 6 caratteri alfabetici casuali

Nella maggior parte dei casi è possibile decriptare i files. Ultimamente per questo tipo di Virus, abbiamo ottenuto ottimi risultati. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

TorrentLocker CryptoLocker copycat
CryptoLocker Ver.3

.Encrypted e altre

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Locky

(sequenza di caratteri).Locky
Esempio : D2D5B3E67839F914290B892BE6F567A6.locky

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

AutoLocky

.Locky

E’ possibile decriptare i files

TeslaCrypt (Ver. 1 e 2)

.ecc .ezz .exx .xyz .zzz .aaa .abc .ccc .vvv

E’ possibile decriptare i files

TeslaCrypt (Ver. 3 e 4)

.micro .mp3 .xxx .ttt Nessuna modifica dell'estensione originaria (TeslaCrypt V.4.0+)

E’ possibile decriptare i files

Troldesh o Shade

Questo ransomware rinomina i file con il formato Base64 (AES_ENCRYPT (nome originale del file))
.Xtbl, .ytbl, .breaking_bad o .heisenberg. Altre estensioni possono essere .better_call_saul,
.da_vinci_code, .magic_software_syndicate, .windows10 e .no_more_ransom
. Un esempio di nome di un file colpito
da Troldesh/Shade  è "VTJGc2RHVmtYMSs3aHNzL1NSem5
qMmlxUjhKVVR2SlA4dGhVQkFDV1R1TT0 = .xtbl
".

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

CryptoWall

Rinomina i file e l’estensione.
Es: x83o8x.ux7

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Chimera

.Crypt , .Locked , .Kraken , .Darkness e altri

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

CryptXXX (Ver.1 e Ver.2)

.Crypt

E’ possibile decriptare i Files

CryptXXX (Ver.3) o UltraCrypter

.Crypt .Crypz .Cryp1

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

CrypMIC

Nessuna modifica al nome o alla estensione del File

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Bandarchor

Aggiunge al nome originario .id-[ID]_[EMAIL_ADDRESS]

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cerber 1 / 2

Modifica nome del file e aggiunge estensione .cerber o .cerber2
Es: CUvgRhJsIK.cerber o CUvgRhJsIK.cerber2

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cerber 3

Modifica nome del file e aggiunge estensione .cerber o .cerber3
Es: CUvgRhJsIK.cerber3

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Cerber 4 / 5

Modifica nome del file e aggiunge estensione con 4 caratteri qualsiasi
Es: CUvgRhJsIK.83ab

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

CrySis
(Variante Dharma)

Questo ransomware rinomina i files aggiungendo le seguenti estensioni :
.xtbl
.crysis
.crypt
.lock
.crypted
.dharma

Altre estensioni riguardano altre varianti, e al momento non sono decriptabili (Vedi Sotto)

E’ possibile decriptare i files

Lokmann.Key993
Kriptoki

(Variante Virus Mobef)

Nel caso di Lokmann.Key993 il Ransomware non modifica ne il nome ne l'estensione del File, ma aggiunge due files di richiesta riscatto, denominati HELLO.0MG e LOKMANN.KEY993
Nel caso di Kriptoki il Ransomware non modifica ne il nome ne l'estensione del File, ma aggiunge due files di richiesta riscatto, denominati KRIPTOKI.DONOTDELETE e PLEASEREAD.THISMSG

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

SystemDown

Questo ransomware rinomina i files con la seguente struttura :
[nome del file].id-[id].[indirizzo email].xtbl
Un esempio di un file crittografato da SystemDown  è mypicture.jpg.id-6C0111F6.systemdown@india.com.xtbl
Prima dell'estensione .xtbl, possono essere indicati diversi indirizzi e-mail

E’ possibile decriptare i files

Zepto, Thor, Odin, Aesir,  .Osiris o altre estensioni, ma con struttura nome file come descritto di fianco.
(Varianti Virus Locky)

Questo ransomware rinomina i files con la seguente struttura :
[8 caratteri casuali]-[4 caratteri casuali]-[4 caratteri casuali]-[4 caratteri casuali]-[12 caratteri casuali].

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Popcorn Time

.filock , .kok

E’ possibile decriptare i files

CryptON
Nemesis
X3M

Questo ransomware rinomina i files aggiungendo le seguenti estensioni :
.id-_locked
.id-_locked_by_krec
.id-_locked_by_perfect
.id-_x3m", ".id-_r9oj .id-_garryweber@protonmail.ch
.id-_steaveiwalker@india.com_
.id-_julia.crown@india.com_
.id-_tom.cruz@india.com_
.id-_CarlosBoltehero@india.com_
.id-_maria.lopez1@india.com_
.fgb45ft3pqamyji7.onion.to._
.id__gebdp3k7bolalnd4.onion._
.id__2irbar3mjvbap6gt.onion.to._
.id-_[qg6m5wo7h3id55ym.onion.to].63vc4

E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

Dharma, Wallet, Onion

Questo ransomware rinomina i files con la seguente struttura :
[nome file].[estensione].[ID-xxxxxxxx].[indirizzo email].[estensione aggiunta]
Per ora le estensioni aggiunte dal Virus conosciute, sono .dharma , .zzzzz, .wallet e .onion

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Al-Namrood 2

Questo ransomware rinomina i files con la seguente struttura :
[nome file].[estensione].ID-[10 caratteri casuali][indirizzo Email].[estensione aggiunta]
Le estensioni aggiunte dal Virus, possono essere diverse, ad esempio .mqbgadqaq , .oqa0adqaoaa

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

PClock

Questo ransomware non rinomina i files e non aggiunge estensioni. Genera un files di richiesta riscatto, chiamato : Your files are locked !.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

NMoreira 2

Questo ransomware aggiunge una propria estensione. Attualmente l'estesione tipica conosciuta, è .HakunaMatata

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Amnesia

Questo ransomware rinomina il file e aggiunge una propria estensione. Attualmente l'estesioni tipiche conosciute, sono :
.amnesia
.02

E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

WannaCry

Questo ransomware aggiunge una propria estensione. Attualmente l'unica estesione conosciuta, è :
.uiwix

E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario inviare presso i NS. laboratori, direttamente il disco rigido colpito dal Ransomware e non la sola copia dei dati criptati.

NM4
(NMoreira 4)

Questo ransomware aggiunge una propria estensione. Attualmente l'unica estesione conoscuta, è :
.NM4

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Cry128
(Variante CryptON)

Questo ransomware aggiunge al nome.estensione originaria, sue estensioni con differenti strutture.
Di seguito alcuni esempi :
.hj5tg67iof59dfr45.onion.to._
.id__hj5tg67iof59dfr45.onion._
.id__hj5tg67iof59dfr45.onion.to._
.id-_[hj5tg67iof59dfr45.onion.to].63vc4
.id-2866322645_[yotabyte@protonmail.com].4se9s

Nella maggior parte dei casi, è possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

Cry9
(Variante CryptON)

Questo ransomware aggiunge al nome.estensione originaria, sue estensioni con differenti strutture.
Di seguito alcuni esempi :
.-juccy[a]protonmail.ch
.id-
.id-_[nemesis_decryptor@aol.com].xj5v2
.id-_r9oj
.id-_x3m
.id-_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
._[wqfhdgpdelcgww4g.onion.to].r2vy6

Nella maggior parte dei casi, è possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

 !XTPLOCK5.0

Questo ransomware non modifica il nome e l'estensione del file. E' riconoscibile in quanto genera un file di testo per la richiesta di riscatto, denominato CRYPTINFO.TXT o, editando in esadecimale il file criptato, l'Header originario è sostituito con !Encrypt!##

In alcuni casi è possibile decriptare i files. Molto dipende dalla variante dello stesso Ransomware. E' comunque necessario eseguire un'analisi approfondita dei dati criptati.

BTCWare
(1° Variante)

Questo ransomware aggiunge al nome.estensione originaria, un indirizzo Email e una sua estensione. Di seguito un esempio :[nome files].[estensione].[indirizzo Email].[estensione aggiunta]
Attualmente le estensioni conosciute aggiunte dal Ransomware sono : .btcware , .cryptobyte , .onyon , .xfile , .theva, .cryptowin, .master
Le note create dal Ransomware per la richiesta di riscatto, sono denominate : !#_RESTORE_FILES_#!.inf

E’ possibile decriptare i files

BTCWare
(2° Variante)

Questo ransomware aggiunge al nome.estensione originaria, un indirizzo Email e una sua estensione. Di seguito un esempio :[nome files].[estensione].[indirizzo Email].[estensione aggiunta]
Attualmente le estensioni conosciute aggiunte dal Ransomware sono : .aleta , .blocking, .encrypted, .crypton, .nuclear, .wyvern, .payday
Le note create dal Ransomware per la richiesta di riscatto, sono denominate : !#_RESTORE_FILES_#!.inf

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Petya - NotPetya

Il Ransomware Petya, a differenza di tutti gli altri, quando colpisce un computer, al riavvio mostra una schermata di avviso con la richiesta di riscatto, ma cripta solo la MFT. A questo punto, per evitare la criptazione dei dati, è assolutamente necessario spegnere il computer, non riavviarlo nuovamente e inviare il disco rigido presso i Ns. laboratori. Il Ransomware NotPetya, invece, subito dopo aver criptato la MFT, esegue la criptazione anche dei dati, ma vi è il sospetto che in realtà esegua un'operazione di Wipping (sovrascrittura totale) che oltre a non permettere alcuna decriptazione in caso di pagamento del riscatto, impedirebbe di fatto anche il recupero stesso dei dati.

Per il Ransomware Petya, ci sono buone probabilità di poter recuperare i dati, a patto che dopo l'infezione, il computer non sia stato riavviato.

Per il Ransomware NotPetya, purtroppo ad oggi non esiste modo di decritpare i dati, L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto, anche se vi è il sospetto che in realtà esegua un'operazione di Wipping (sovrascrittura totale) che non permetterebbe il recupero stesso dei dati.

Cry36
(Variante CryptON)

Questo ransomware aggiunge al nome.estensione originaria, una nuova estensione con la seguente struttura :
.id-xxxxxxxxxx_[indirizzo email].xxxxx
e il file di richiesta riscatto si chiama :
### DECRYPT MY FILES ###.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Mole02
(Variante CryptoMIX)

Questo ransomware rinomina il file con una sequenza di 32 caratteri e aggiunge l'estensione .mole02

E’ possibile decriptare i files

BitKangoroo

Questo ransomware non rinomina i files ma aggiunge l'estensione .bitkangoroo . Il virus propone una finestra in cui chiede di inserire la chiave di decriptazione entro 60 minuti. Attenzione !!! Non inserire una chiave errata in quanto il virus cancellerà tutti i files criptati. Spegnere il computer e inviare il disco rigido presso i Ns. laboratori.

E’ possibile decriptare i files

CrySis
(Variante Dharma)

Questo ransomware rinomina il file e aggiunge una nuova estensione, con la seguente struttura : [nome file] id-[8 caratteri esadecimali casuali].[indirizzo email].[nuova estensione] .
Al momento le nuove estensioni conosciute, sono:
.arena
.cesar
.cezar

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

CryptoMix

Questo ransomware rinomina il file con una stringa esadecimale di 32 caratteri casuali e aggiunge una nuova estensione. Al momento la nuova estensione conosciuta è :
.arena

Esempio : 0D0A516824060636C21EC8BC280FEA12.ARENA

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

GlobeImposter 2.0

Questo ransomware non cambia il nome del file originario, ma aggiunge l'estensione .reaGAN
Il file di richiesta riscatto si chiama :
how_to_back_files.html

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Accdfisa V.2

Questo ransomware non rinomina il file e aggiunge una nuova estensione, con la seguente struttura : [nome file](!! to get password email id xxxxxxxxxx to [indirizzo email] !!).exe
La richiesta di riscatto ha il seguente nome :
howtodecryptaesfiles.txt

Esiste una minima probabilità di poter decriptare i files, ma è necessario inviarci tutto il contenuto della cartella \Programdata del disco rigido colpito o l'elenco completo del contenuto della stessa cartella, eseguendo dal prompt dei comandi, la seguente istruzione :
Dir C:\programdata /a/s > dir.log
Il file generato e da inviarci è il dir.log
In tutti gli altri casi, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Blackout

Questo ransomware non rinomina il file con una sequenza casuale di caratteri e senza estensione. La richiesta di riscatto ha il seguente nome : README_xxxxxx_xxxxx.txt dove xxxxx sono numeri.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

La tecnica Signature Seeking :

L'ultima spiaggia per tentare almeno in parte il recupero dei dati da supporti colpiti dai Virus Ransomware, è la Ns. tecnica Signature Seeking. Questa tecnica scansiona la parte dell’area dati del disco rigido che non risulta sovrascritta e recupera predefiniti tipi di files, raggruppandoli per estensione, (Es: .JPG, .XLS, .DOC, .XLSX, .DOCX, MDB, Ecc…). Non sarà però possibile recuperare nome e posizione originaria del file e, non essendoci un File System di riferimento, non sarà neanche possibile eseguire un controllo automatico di validità. La tecnica descritta permette comunque di raggiungere ottimi risultati soprattutto se la parte di capacità utilizzata del disco rigido, è inferiore al 50% rispetto alla capacità complessiva. Segue esempio :

Capacità complessiva Hdd

Capacità utilizzata

Possibilità di recupero

500Gb

dal 0 al 10 %

Ottima

500Gb

dal 10 al 40%

Buona

500Gb

dal 40 al 50%

Mediocre

500Gb

dal 50 al 60 %

Scarsa

500Gb

dal 60 al 99%

Improbabile


Quanto sopra descritto rappresenta esclusivamente un’ipotesi, e sfrutta la particolarità dei sistemi operativi di non scrivere sequenzialmente i files ma di allocarli in zone differenti dell’area dati. Ad esempio, se qualche files sovrascritto dal Virus, in precedenza era anche presente in allocazioni dell’area dati differenti dall’ultima posizione (Es : il file è stato spostato da una cartella all’altra), è possibile che venga recuperato integro. Ovviamente per avere la certezza se i files sono o meno recuperabili, è necessario eseguire la fase di Diagnostica.