I Virus della famiglia Ransomware, sono certamente fra i più pericolosi in circolazione. La definizione "Ransomware" deriva dall'inglese "Ransom" = Riscatto. Nel web ne sono presenti moltissimi tipi, con diversi nomi ma che svolgono la stessa azione distruttiva. I Virus di questo tipo, nella maggior parte dei casi, aggiungono una ben precisa estensione al nome originario del file colpito, e/o lo rinominano completamente.Il principale veicolo dell'infezione è rappresentato da allegati nei messagi di posta elettronica.

Aesse Service Srl mette a disposizione un servizio COMPLETAMENTE GRATUITO, di analisi dei files criptati. E' sufficiente inviare a recuperodati@aesse-service.it , dopo averli compressi in .ZIP o .RAR, 4 o 5 files criptati, tra cui almeno uno con estensione originaria .DOC (non .DOCX), le note di richiesta riscatto che il Virus di norma genera in formato .TXT o .HTML e l'indicazione della capacità complessiva dei dati da decriptare. Non appena avremo terminato l'analisi dei Files, sarà Ns. cura comunicare mezzo Email, l'esito ed eventualmente la quotazione economica per la decritpazione.

Con questo articolo tentiamo di fare il punto della situazione e indicare le soluzioni ad oggi possibili, per recuperare i dati criptati, dai Virus Ransomware più frenquenti e conosciuti :

Nome del Virus

Estensione aggiunta dal Virus

Soluzione

CTB Locker o Citroni Virus

.Ctbl o .Ctb2 o 7 caratteri casuali tipo .ftelhdd o .ztswgmc

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Crypt0L0cker

.7z , .Encrypted , .Xla o 6 caratteri alfabetici casuali

Nella maggior parte dei casi è possibile decriptare i files. Ultimamente per questo tipo di Virus, abbiamo ottenuto ottimi risultati. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

TorrentLocker CryptoLocker copycat
CryptoLocker Ver.3

.Encrypted e altre

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Locky

(sequenza di caratteri).Locky
Esempio : D2D5B3E67839F914290B892BE6F567A6.locky

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

AutoLocky

.Locky

E’ possibile decriptare i files

TeslaCrypt (Ver. 1 e 2)

.ecc .ezz .exx .xyz .zzz .aaa .abc .ccc .vvv

E’ possibile decriptare i files

TeslaCrypt (Ver. 3 e 4)

.micro .mp3 .xxx .ttt Nessuna modifica dell'estensione originaria (TeslaCrypt V.4.0+)

E’ possibile decriptare i files

Troldesh o Shade

Questo ransomware rinomina i file con il formato Base64 (AES_ENCRYPT (nome originale del file))
.Xtbl, .ytbl, .breaking_bad o .heisenberg. Altre estensioni possono essere .better_call_saul,
.da_vinci_code, .magic_software_syndicate, .windows10 e .no_more_ransom. Un esempio di nome di un file colpito
da Troldesh/Shade  è "VTJGc2RHVmtYMSs3aHNzL1NSem5
qMmlxUjhKVVR2SlA4dGhVQkFDV1R1TT0 = .xtbl".

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

CryptoWall

Rinomina i file e l’estensione.
Es: x83o8x.ux7

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Chimera

.Crypt , .Locked , .Kraken , .Darkness e altri

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

CryptXXX (Ver.1 e Ver.2)

.Crypt

E’ possibile decriptare i Files

CryptXXX (Ver.3) o UltraCrypter

.Crypt .Crypz .Cryp1

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

CrypMIC

Nessuna modifica al nome o alla estensione del File

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Bandarchor

Aggiunge al nome originario .id-[ID]_[EMAIL_ADDRESS]

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cerber 1 / 2

Modifica nome del file e aggiunge estensione .cerber o .cerber2
Es: CUvgRhJsIK.cerber o CUvgRhJsIK.cerber2

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cerber 3

Modifica nome del file e aggiunge estensione .cerber o .cerber3
Es: CUvgRhJsIK.cerber3

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Cerber 4 / 5

Modifica nome del file e aggiunge estensione con 4 caratteri qualsiasi
Es: CUvgRhJsIK.83ab

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

CrySis 1° Tipo
(Variante Dharma)

Questo ransomware rinomina i files aggiungendo le seguenti estensioni :
.xtbl
.crysis
.crypt
.lock
.crypted
.dharma
Altre estensioni riguardano altre varianti, e al momento non sono decriptabili (Vedi Sotto)

E’ possibile decriptare i files

Lokmann.Key993
Kriptoki
(Variante Virus Mobef)

Nel caso di Lokmann.Key993 il Ransomware non modifica ne il nome ne l'estensione del File, ma aggiunge due files di richiesta riscatto, denominati HELLO.0MG e LOKMANN.KEY993
Nel caso di Kriptoki il Ransomware non modifica ne il nome ne l'estensione del File, ma aggiunge due files di richiesta riscatto, denominati KRIPTOKI.DONOTDELETE e PLEASEREAD.THISMSG

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

SystemDown

Questo ransomware rinomina i files con la seguente struttura :
[nome del file].id-[id].[indirizzo email].xtbl
Un esempio di un file crittografato da SystemDown  è mypicture.jpg.id-6C0111F6.systemdown@india.com.xtbl
Prima dell'estensione .xtbl, possono essere indicati diversi indirizzi e-mail

E’ possibile decriptare i files

Zepto, Thor, Odin, Aesir,  .Osiris o altre estensioni, ma con struttura nome file come descritto di fianco.
(Varianti Virus Locky)

Questo ransomware rinomina i files con la seguente struttura :
[8 caratteri casuali]-[4 caratteri casuali]-[4 caratteri casuali]-[4 caratteri casuali]-[12 caratteri casuali].

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Popcorn Time

.filock , .kok

E’ possibile decriptare i files

CryptON
Nemesis
X3M

Questo ransomware rinomina i files aggiungendo le seguenti estensioni :
.id-_locked
.id-_locked_by_krec
.id-_locked_by_perfect
.id-_x3m", ".id-_r9oj .id-_garryweber@protonmail.ch
.id-_steaveiwalker@india.com_
.id-_julia.crown@india.com_
.id-_tom.cruz@india.com_
.id-_CarlosBoltehero@india.com_
.id-_maria.lopez1@india.com_
.fgb45ft3pqamyji7.onion.to._
.id__gebdp3k7bolalnd4.onion._
.id__2irbar3mjvbap6gt.onion.to._
.id-_[qg6m5wo7h3id55ym.onion.to].63vc4

E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

CrySis 2° Tipo
(Variante Dharma)

Questo ransomware rinomina i files con la seguente struttura :
[nome file].[estensione].[ID-xxxxxxxx].[indirizzo email].[estensione aggiunta]
Per ora le estensioni aggiunte dal Virus conosciute, sono : xtbl, CrySiS, .xtbl, .wallet, .dhrama, .onion, .wallet, .dhrama, .onion, .bip, .cesar, .wallet, .dharma

Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Al-Namrood 2

Questo ransomware rinomina i files con la seguente struttura :
[nome file].[estensione].ID-[10 caratteri casuali][indirizzo Email].[estensione aggiunta]
Le estensioni aggiunte dal Virus, possono essere diverse, ad esempio .mqbgadqaq , .oqa0adqaoaa

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

PClock

Questo ransomware non rinomina i files e non aggiunge estensioni. Genera un files di richiesta riscatto, chiamato : Your files are locked !.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

NMoreira 2

Questo ransomware aggiunge una propria estensione. Attualmente l'estesione tipica conosciuta, è .HakunaMatata

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Amnesia

Questo ransomware rinomina il file e aggiunge una propria estensione. Attualmente l'estesioni tipiche conosciute, sono :
.amnesia
.02

E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

WannaCry

Questo ransomware aggiunge una propria estensione. Attualmente l'unica estesione conosciuta, è :
.uiwix

E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario inviare presso i NS. laboratori, direttamente il disco rigido colpito dal Ransomware e non la sola copia dei dati criptati.

NM4
(NMoreira 4)

Questo ransomware aggiunge una propria estensione. Attualmente l'unica estesione conoscuta, è :
.NM4

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Cry128
(Variante CryptON)

Questo ransomware aggiunge al nome.estensione originaria, sue estensioni con differenti strutture.
Di seguito alcuni esempi :
.hj5tg67iof59dfr45.onion.to._
.id__hj5tg67iof59dfr45.onion._
.id__hj5tg67iof59dfr45.onion.to._
.id-_[hj5tg67iof59dfr45.onion.to].63vc4
.id-2866322645_[yotabyte@protonmail.com].4se9s

Nella maggior parte dei casi, è possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

Cry9
(Variante CryptON)

Questo ransomware aggiunge al nome.estensione originaria, sue estensioni con differenti strutture.
Di seguito alcuni esempi :
.-juccy[a]protonmail.ch
.id-
.id-_[nemesis_decryptor@aol.com].xj5v2
.id-_r9oj
.id-_x3m
.id-_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
._[wqfhdgpdelcgww4g.onion.to].r2vy6

Nella maggior parte dei casi, è possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato

 !XTPLOCK5.0

Questo ransomware non modifica il nome e l'estensione del file. E' riconoscibile in quanto genera un file di testo per la richiesta di riscatto, denominato CRYPTINFO.TXT o, editando in esadecimale il file criptato, l'Header originario è sostituito con !Encrypt!##

In alcuni casi è possibile decriptare i files. Molto dipende dalla variante dello stesso Ransomware. E' comunque necessario eseguire un'analisi approfondita dei dati criptati.

BTCWare
(1° Variante)

Questo ransomware aggiunge al nome.estensione originaria, un indirizzo Email e una sua estensione. Di seguito un esempio :[nome files].[estensione].[indirizzo Email].[estensione aggiunta]
Attualmente le estensioni conosciute aggiunte dal Ransomware sono : .btcware , .cryptobyte , .onyon , .xfile , .theva, .cryptowin, .master
Le note create dal Ransomware per la richiesta di riscatto, sono denominate : !#_RESTORE_FILES_#!.inf

E’ possibile decriptare i files

BTCWare
(2° Variante)

Questo ransomware aggiunge al nome.estensione originaria, un indirizzo Email e una sua estensione. Di seguito un esempio :[nome files].[estensione].[indirizzo Email].[estensione aggiunta]
Attualmente le estensioni conosciute aggiunte dal Ransomware sono : .aleta , .blocking, .encrypted, .crypton, .nuclear, .wyvern, .payday, .gryphon,  .wyvern,  .shadow, .wallet
Le note create dal Ransomware per la richiesta di riscatto, sono denominate : !#_RESTORE_FILES_#!.inf

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Petya - NotPetya

Il Ransomware Petya, a differenza di tutti gli altri, quando colpisce un computer, al riavvio mostra una schermata di avviso con la richiesta di riscatto, ma cripta solo la MFT. A questo punto, per evitare la criptazione dei dati, è assolutamente necessario spegnere il computer, non riavviarlo nuovamente e inviare il disco rigido presso i Ns. laboratori. Il Ransomware NotPetya, invece, subito dopo aver criptato la MFT, esegue la criptazione anche dei dati, ma vi è il sospetto che in realtà esegua un'operazione di Wipping (sovrascrittura totale) che oltre a non permettere alcuna decriptazione in caso di pagamento del riscatto, impedirebbe di fatto anche il recupero stesso dei dati.

Per il Ransomware Petya, ci sono buone probabilità di poter recuperare i dati, a patto che dopo l'infezione, il computer non sia stato riavviato.

Per il Ransomware NotPetya, purtroppo ad oggi non esiste modo di decritpare i dati, L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto, anche se vi è il sospetto che in realtà esegua un'operazione di Wipping (sovrascrittura totale) che non permetterebbe il recupero stesso dei dati.

Cry36
(Variante CryptON)

Questo ransomware aggiunge al nome.estensione originaria, una nuova estensione con la seguente struttura :
.id-xxxxxxxxxx_[indirizzo email].xxxxx
e il file di richiesta riscatto si chiama :
### DECRYPT MY FILES ###.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Mole02
(Variante CryptoMIX)

Questo ransomware rinomina il file con una sequenza di 32 caratteri e aggiunge l'estensione .mole02

E’ possibile decriptare i files

BitKangoroo

Questo ransomware non rinomina i files ma aggiunge l'estensione .bitkangoroo . Il virus propone una finestra in cui chiede di inserire la chiave di decriptazione entro 60 minuti. Attenzione !!! Non inserire una chiave errata in quanto il virus cancellerà tutti i files criptati. Spegnere il computer e inviare il disco rigido presso i Ns. laboratori.

E’ possibile decriptare i files

CrySis 3° Tipo
(Variante Dharma)

Questo ransomware rinomina il file e aggiunge una nuova estensione, con la seguente struttura : [nome file] id-[8 caratteri esadecimali casuali].[indirizzo email].[nuova estensione] .
Al momento le nuove estensioni conosciute, sono:
.arena , .cesar , .cezar , .java , .cobra , .write , .arrow, .bip, .combo, .gamma, .adobe, .btc, .amber, .frend, .ETH, .qwex

e il file di richiesta riscatto si chiama :
FILES ENCRYPTED.txt e
Info.hta

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

CryptoMix

Questo ransomware rinomina il file con una stringa esadecimale di 32 caratteri casuali e aggiunge una nuova estensione. Al momento la nuova estensione conosciuta è :
.arena

Esempio : 0D0A516824060636C21EC8BC280FEA12.ARENA

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

GlobeImposter 2.0

Questo ransomware non cambia il nome del file originario, ma aggiunge una nuova estensione,
con la seguente struttura :
[nome e estensione originaria].[indirizzo email].[estensione aggiunta]

Le estensioni aggiunte fino ad ora conosciute, sono :
.reaGAN , .BaRReTT , .LIN, readme

Il file di richiesta riscatto si chiama :
how_to_back_files.html o $HOW_BACK_YOUR_FILES$.html

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Accdfisa V.2

Questo ransomware non rinomina il file e aggiunge una nuova estensione, con la seguente struttura : [nome file](!! to get password email id xxxxxxxxxx to [indirizzo email] !!).exe
La richiesta di riscatto ha il seguente nome :
howtodecryptaesfiles.txt

Esiste una minima probabilità di poter decriptare i files, ma è necessario inviarci tutto il contenuto della cartella \Programdata del disco rigido colpito o l'elenco completo del contenuto della stessa cartella, eseguendo dal prompt dei comandi, la seguente istruzione :
Dir C:\programdata /a/s > dir.log
Il file generato e da inviarci è il dir.log
In tutti gli altri casi, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Blackout

Questo ransomware non rinomina il file con una sequenza casuale di caratteri e senza estensione. La richiesta di riscatto ha il seguente nome : README_xxxxxx_xxxxx.txt dove xxxxx sono numeri.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Rapid

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è :
.rapid
La richiesta di riscatto ha il seguente nome :
How Recovery Files.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Matrix

< Matrix Prima Variante >
Questo ransomware non modifica ne nome ne estensione. La richiesta di riscatto ha il seguente nome : WhatHappenedWithFiles.rtf

< Matrix Seconda Variante >
Questo ransomware rinomina i files con la seguente struttura : [indirizzo email].[8 caratteri].
[8 caratteri].[estensione aggiunta]
Ad oggi le estesioni aggiunte conosciute sono
.KOK08 , .CHE08 , .PEDANT
La richiesta di riscatto ha il seguente nome :
!PEDANT_INFO!.rtf

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

GrandCrab 1.x / 4.x / 5.x
No Ver. 5.0.4 e superiori

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi le estensioni aggiunte conosciute, sono :
.CRAB, .GDCB, .KRAB, .UKCZA, .YIAQDG, .CQXGPMKNR, .HHFEHIOL comunque una sequenza di caratteri dalla A alla Z.
La richiesta di riscatto ha il seguente nome :
(Estensione aggiunta)-DECRYPT.txt
(Estensione aggiunta)-MANUAL.txt
Nel testo della richiesta di riscatto, è contenuta la seguente stringa :
---= GANDCRAB Vxxxx  =---

E’ possibile decriptare i files. Per la versione del Ransomware 5.0.4 o superiori, la decriptazione non è possibile. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Hermes 2.0 / 2.1

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi le estensioni aggiunte conosciute, sono :
.HRM
La richiesta di riscatto ha il seguente nome :
DECRYPT_INFORMATION.html

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Scarab

Di questo ransomware esistono diverse variati. Alcune non modificano il nome del File ma aggiungono una propria estensione. Altre invece rinominano il file con caratteri casuali e modificano l'estensione originaria. Ad oggi le estensioni conosciute che utilizza il Ransomware sono:
.paymeme , .red, .bomber
La richiesta di riscatto ha il seguente nome :
HOW TO RECOVER ENCRYPTED FILES.TXT

Per alcune versioni del Ransomware è possibile tentare la decriptazione dei files colpiti ma per l'analisi, oltre che ad inviare alcuni campioni di Files criptati, è necessario inviarci anche il file export della chiave di registro HKEY_USERS e l'elenco di tutti i files contenuti nel disco C: del computer colpito. Per tutti gli altri casi tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive e attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Mobef Salam

Questo ransomware non modifica ne nome ne estensione. La richiesta di riscatto contiene l'indicazione di inviare prova di pagamento in BitCoin all'indirizzo : haraam@takfir24.net o haraam@alayam24.net

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

JosepCrypt

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è :
.karne
La richiesta di riscatto ha il seguente nome :
RECOVERY.TXT
Nel testo della richiesta di riscatto, è contenuto l'indirizzo Email karnel.fikol@aol.com

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Cry36
(Variante Nemesis3)
 

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi le estensioni aggiunte conosciute, sono :
.nem3end , .nemesis

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Mobef

Questo ransomware non modifica ne nome ne estensione. Genera 2 files denominati G0D.KEI e OPEN.ME1 . Il primo contiente la Preshared Key, mentre il secondo contiene la richiesta di riscatto.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

GandCrab 5.x
No Ver. 5.0.4 e superiori

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è :
.usjsi, .zzzzzzzz o comunque una sequenza di caratteri dalla A alla Z.
La richiesta di riscatto ha il seguente nome :
(Estensione aggiunta)-DECRYPT.txt
Nel testo della richiesta di riscatto, è contenuta la seguente stringa :
---= GANDCRAB Vxxxx  =---

In alcuni casi è possibile decriptare i files. Molto dipende dalla variante dello stesso Ransomware. E' comunque necessario eseguire un'analisi approfondita dei dati criptati. Per la versione del Ransomware 5.0.4, la decriptazione non è possibile. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Bitpaymer

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è :
.locked
Inoltre per ogni file criptato, genera un file di richiesta riscatto con lo stesso nome del file e con l'aggiunta dell'estensione .readme.txt
Esempio :
File criptato = File.xls.locked
File richiesta riscatto = File.xls.readme _txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto

Stop (Djvu)

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Le estensioni aggiunte, fino ad oggi conosciute, sono :
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .chech o .luceq

File richiesta riscatto :
!!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, !readme.txt, _openme.txt._readme.txt

La decriptazione è possibile solo per alcune varianti del Ransomware.
In tutti gli altri casi, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

NamPoHyu o MegaLocker

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Le estensioni aggiunte, fino ad oggi conosciute, sono :
.crypted, .NamPoHyu

File richiesta riscatto :
!DECRYPT_INSTRUCTION.TXT

E’ possibile decriptare i files

a tecnica Signature Seeking :

L'ultima spiaggia per tentare almeno in parte il recupero dei dati da supporti colpiti dai Virus Ransomware, è la Ns. tecnica Signature Seeking. Questa tecnica scansiona la parte dell’area dati del disco rigido che non risulta sovrascritta e recupera predefiniti tipi di files, raggruppandoli per estensione, (Es: .JPG, .XLS, .DOC, .XLSX, .DOCX, MDB, Ecc…). Non sarà però possibile recuperare nome e posizione originaria del file e, non essendoci un File System di riferimento, non sarà neanche possibile eseguire un controllo automatico di validità. La tecnica descritta permette comunque di raggiungere ottimi risultati soprattutto se la parte di capacità utilizzata del disco rigido, è inferiore al 50% rispetto alla capacità complessiva. Segue esempio :

Capacità complessiva Hdd

Capacità utilizzata

Possibilità di recupero

500Gb

dal 0 al 10 %

Ottima

500Gb

dal 10 al 40%

Buona

500Gb

dal 40 al 50%

Mediocre

500Gb

dal 50 al 60 %

Scarsa

500Gb

dal 60 al 99%

Improbabile


Quanto sopra descritto rappresenta esclusivamente un’ipotesi, e sfrutta la particolarità dei sistemi operativi di non scrivere sequenzialmente i files ma di allocarli in zone differenti dell’area dati. Ad esempio, se qualche files sovrascritto dal Virus, in precedenza era anche presente in allocazioni dell’area dati differenti dall’ultima posizione (Es : il file è stato spostato da una cartella all’altra), è possibile che venga recuperato integro. Ovviamente per avere la certezza se i files sono o meno recuperabili, è necessario eseguire la fase di Diagnostica.