I Virus della famiglia Ransomware, sono certamente fra i più pericolosi in circolazione. La definizione "Ransomware" deriva dall'inglese "Ransom" = Riscatto. Nel web ne sono presenti moltissimi tipi, con diversi nomi ma che svolgono la stessa azione distruttiva. I Virus di questo tipo, nella maggior parte dei casi, aggiungono una ben precisa estensione al nome originario del file colpito, e/o lo rinominano completamente.Il principale veicolo dell'infezione è rappresentato da allegati nei messagi di posta elettronica.
Aesse Service Srl mette a disposizione un servizio COMPLETAMENTE GRATUITO, di analisi dei files criptati. E' sufficiente inviare a recuperodati@aesse-service.it , dopo averli compressi in .ZIP o .RAR, 4 o 5 files criptati, tra cui almeno uno con estensione originaria .DOC (non .DOCX), le note di richiesta riscatto che il Virus di norma genera in formato .TXT o .HTML e l'indicazione della capacità complessiva dei dati da decriptare.
In alternativa, possiamo intervenire in remoto. In tal caso, installare TeamViewer sul computer da cui ha avuto origine l'attacco Ransomware e inviarci mezzo Email a recuperodati@aesse-service.it
"Il Tuo ID" e la "Password". Entro pochi minuti un Ns. esperto si collegherà in remoto per analizzare il caso e prelevare i Files necessari per l'analisi.
Con questo articolo tentiamo di fare il punto della situazione e indicare le soluzioni ad oggi possibili, per recuperare i dati criptati, dai Virus Ransomware più frenquenti e conosciuti :
Nome del Virus |
Estensione aggiunta dal Virus |
Soluzione |
CTB Locker o Citroni Virus |
.Ctbl o .Ctb2 o 7 caratteri casuali tipo .ftelhdd o .ztswgmc |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Crypt0L0cker |
.7z , .Encrypted , .Xla o 6 caratteri alfabetici casuali |
Nella maggior parte dei casi è possibile decriptare i files. Ultimamente per questo tipo di Virus, abbiamo ottenuto ottimi risultati. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
TorrentLocker CryptoLocker copycat |
.Encrypted e altre |
Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Locky |
(sequenza di caratteri).Locky |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
AutoLocky |
.Locky |
E’ possibile decriptare i files |
TeslaCrypt (Ver. 1 e 2) |
.ecc .ezz .exx .xyz .zzz .aaa .abc .ccc .vvv |
E’ possibile decriptare i files |
TeslaCrypt (Ver. 3 e 4) |
.micro .mp3 .xxx .ttt Nessuna modifica dell'estensione originaria (TeslaCrypt V.4.0+) |
E’ possibile decriptare i files |
Shade / Troldesh |
Questo ransomware rinomina i file con il formato Base64 (AES_ENCRYPT (nome originale del file)) |
E’ possibile decriptare i files |
CryptoWall |
Rinomina i file e l’estensione. |
Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Chimera |
.Crypt , .Locked , .Kraken , .Darkness e altri |
Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
CryptXXX (Ver.1 e Ver.2) |
.Crypt |
E’ possibile decriptare i Files |
CryptXXX (Ver.3) o UltraCrypter |
.Crypt .Crypz .Cryp1 |
Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
CrypMIC |
Nessuna modifica al nome o alla estensione del File |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Bandarchor |
Aggiunge al nome originario .id-[ID]_[EMAIL_ADDRESS] |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Cerber 1 / 2 |
Modifica nome del file e aggiunge estensione .cerber o .cerber2 |
Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Cerber 3 |
Modifica nome del file e aggiunge estensione .cerber o .cerber3 |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Cerber 4 / 5 |
Modifica nome del file e aggiunge estensione con 4 caratteri qualsiasi |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
CrySis 1° Tipo |
Questo ransomware rinomina i files aggiungendo le seguenti estensioni : |
E’ possibile decriptare i files |
Lokmann.Key993 |
Nel caso di Lokmann.Key993 il Ransomware non modifica ne il nome ne l'estensione del File, ma aggiunge due files di richiesta riscatto, denominati HELLO.0MG e LOKMANN.KEY993 |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
SystemDown |
Questo ransomware rinomina i files con la seguente struttura : |
E’ possibile decriptare i files |
Zepto, Thor, Odin, Aesir, .Osiris o altre estensioni, ma con struttura nome file come descritto di fianco. |
Questo ransomware rinomina i files con la seguente struttura : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Popcorn Time |
.filock , .kok |
E’ possibile decriptare i files |
CryptON |
Questo ransomware rinomina i files aggiungendo le seguenti estensioni : |
E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato |
CrySis 2° Tipo |
Questo ransomware rinomina i files con la seguente struttura : |
Nella maggior parte dei casi è possibile decriptare i files. Per la restante parte, l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Al-Namrood 2 |
Questo ransomware rinomina i files con la seguente struttura : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
PClock |
Questo ransomware non rinomina i files e non aggiunge estensioni. Genera un files di richiesta riscatto, chiamato : Your files are locked !.txt |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
NMoreira 2 |
Questo ransomware aggiunge una propria estensione. Attualmente l'estesione tipica conosciuta, è .HakunaMatata |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Amnesia |
Questo ransomware rinomina il file e aggiunge una propria estensione. Attualmente l'estesioni tipiche conosciute, sono : |
E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato |
WannaCry |
Questo ransomware aggiunge una propria estensione. Attualmente l'unica estesione conosciuta, è : |
E’ possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario inviare presso i NS. laboratori, direttamente il disco rigido colpito dal Ransomware e non la sola copia dei dati criptati. |
NM4 |
Questo ransomware aggiunge una propria estensione. Attualmente l'unica estesione conoscuta, è : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Cry128 |
Questo ransomware aggiunge al nome.estensione originaria, sue estensioni con differenti strutture. |
Nella maggior parte dei casi, è possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato |
Cry9 |
Questo ransomware aggiunge al nome.estensione originaria, sue estensioni con differenti strutture. |
Nella maggior parte dei casi, è possibile decriptare i files ma, per identificare la chiave di criptazione, è necessario disporre di un file criptato e del suo corrispondente non criptato |
!XTPLOCK5.0 |
Questo ransomware non modifica il nome e l'estensione del file. E' riconoscibile in quanto genera un file di testo per la richiesta di riscatto, denominato CRYPTINFO.TXT o, editando in esadecimale il file criptato, l'Header originario è sostituito con !Encrypt!## |
In alcuni casi è possibile decriptare i files. Molto dipende dalla variante dello stesso Ransomware. E' comunque necessario eseguire un'analisi approfondita dei dati criptati. |
BTCWare |
Questo ransomware aggiunge al nome.estensione originaria, un indirizzo Email e una sua estensione. Di seguito un esempio :[nome files].[estensione].[indirizzo Email].[estensione aggiunta] |
E’ possibile decriptare i files |
BTCWare |
Questo ransomware aggiunge al nome.estensione originaria, un indirizzo Email e una sua estensione. Di seguito un esempio :[nome files].[estensione].[indirizzo Email].[estensione aggiunta] |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Petya - NotPetya |
Il Ransomware Petya, a differenza di tutti gli altri, quando colpisce un computer, al riavvio mostra una schermata di avviso con la richiesta di riscatto, ma cripta solo la MFT. A questo punto, per evitare la criptazione dei dati, è assolutamente necessario spegnere il computer, non riavviarlo nuovamente e inviare il disco rigido presso i Ns. laboratori. Il Ransomware NotPetya, invece, subito dopo aver criptato la MFT, esegue la criptazione anche dei dati, ma vi è il sospetto che in realtà esegua un'operazione di Wipping (sovrascrittura totale) che oltre a non permettere alcuna decriptazione in caso di pagamento del riscatto, impedirebbe di fatto anche il recupero stesso dei dati. |
Per il Ransomware Petya, ci sono buone probabilità di poter recuperare i dati, a patto che dopo l'infezione, il computer non sia stato riavviato. Per il Ransomware NotPetya, purtroppo ad oggi non esiste modo di decritpare i dati, L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto, anche se vi è il sospetto che in realtà esegua un'operazione di Wipping (sovrascrittura totale) che non permetterebbe il recupero stesso dei dati. |
Cry36 |
Questo ransomware aggiunge al nome.estensione originaria, una nuova estensione con la seguente struttura : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Mole02 |
Questo ransomware rinomina il file con una sequenza di 32 caratteri e aggiunge l'estensione .mole02 |
E’ possibile decriptare i files |
BitKangoroo |
Questo ransomware non rinomina i files ma aggiunge l'estensione .bitkangoroo . Il virus propone una finestra in cui chiede di inserire la chiave di decriptazione entro 60 minuti. Attenzione !!! Non inserire una chiave errata in quanto il virus cancellerà tutti i files criptati. Spegnere il computer e inviare il disco rigido presso i Ns. laboratori. |
E’ possibile decriptare i files |
CrySis 3° Tipo |
Questo ransomware rinomina il file e aggiunge una nuova estensione, con la seguente struttura : [nome file] id-[8 caratteri esadecimali casuali].[indirizzo email].[nuova estensione] . e il file di richiesta riscatto si chiama : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
CryptoMix |
Questo ransomware rinomina il file con una stringa esadecimale di 32 caratteri casuali e aggiunge una nuova estensione. Al momento la nuova estensione conosciuta è : Esempio : 0D0A516824060636C21EC8BC280FEA12.ARENA |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
GlobeImposter 2.0 |
Questo ransomware non cambia il nome del file originario, ma aggiunge una nuova estensione, |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Accdfisa V.2 |
Questo ransomware non rinomina il file e aggiunge una nuova estensione, con la seguente struttura : [nome file](!! to get password email id xxxxxxxxxx to [indirizzo email] !!).exe |
Esiste una minima probabilità di poter decriptare i files, ma è necessario inviarci tutto il contenuto della cartella \Programdata del disco rigido colpito o l'elenco completo del contenuto della stessa cartella, eseguendo dal prompt dei comandi, la seguente istruzione : |
Blackout |
Questo ransomware non rinomina il file con una sequenza casuale di caratteri e senza estensione. La richiesta di riscatto ha il seguente nome : README_xxxxxx_xxxxx.txt dove xxxxx sono numeri. |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Rapid |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Matrix |
< Matrix Prima Variante > < Matrix Seconda Variante > |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
GrandCrab |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi le estensioni aggiunte conosciute, sono : |
Per le versioni fino alla 4, la decriptazione è possibile. Per le versioni superiori alla 4, solo in alcuni casi la decriprtazione è possibile. |
Hermes 2.0 / 2.1 |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi le estensioni aggiunte conosciute, sono : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Scarab |
Di questo ransomware esistono diverse variati. Alcune non modificano il nome del File ma aggiungono una propria estensione. Altre invece rinominano il file con caratteri casuali e modificano l'estensione originaria. Ad oggi le estensioni conosciute che utilizza il Ransomware sono: |
Per alcune versioni del Ransomware è possibile tentare la decriptazione dei files colpiti ma per l'analisi, oltre che ad inviare alcuni campioni di Files criptati, è necessario inviarci anche il file export della chiave di registro HKEY_USERS e l'elenco di tutti i files contenuti nel disco C: del computer colpito. Per tutti gli altri casi tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive e attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Mobef Salam |
Questo ransomware non modifica ne nome ne estensione. La richiesta di riscatto contiene l'indicazione di inviare prova di pagamento in BitCoin all'indirizzo : haraam@takfir24.net o haraam@alayam24.net |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
JosepCrypt |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Cry36 |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi le estensioni aggiunte conosciute, sono : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Mobef |
Questo ransomware non modifica ne nome ne estensione. Genera 2 files denominati G0D.KEI e OPEN.ME1 . Il primo contiente la Preshared Key, mentre il secondo contiene la richiesta di riscatto. |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Seto |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensioni aggiunte conosciute, sono : |
In alcuni casi è possibile decriptare i files, ma per l'analisi è necessario fornire campioni normali e criptati dello stesso file. |
Bitpaymer |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Ad oggi l'estensione aggiunta conosciuta, è : |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto |
Stop (Djvu) |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Le estensioni aggiunte, fino ad oggi conosciute, sono : |
La decriptazione è possibile solo per alcune varianti del Ransomware. |
NamPoHyu o MegaLocker |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. Le estensioni aggiunte, fino ad oggi conosciute, sono : |
E’ possibile decriptare i files |
Sodinokibi |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione (Es: k861jidq9) Il File di richiesta riscatto è un file di testo con nome uguale all'estensione aggiunta (Es: k861jidq9.txt) |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
CryPy |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato : [NomeFileOriginario].[EstensioneOriginaria].[Estensione aggiunta] L'estensione aggiuta e conosciuta fino ad oggi, è : .encrypt File richiesta riscatto :README_FOR_DECRYPT.txt |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
B2dr |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato : [NomeFileOriginario].[EstensioneOriginaria].open_readme.txt.[Estensione aggiunta] L'estensione aggiuta e conosciuta fino ad oggi, è : .ke3q Esempio : Fattura.pdf.open_readme.txt.ke3q File richiesta riscatto :Readme.txt |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Mr.Dec |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato : [NomeFileOriginario].[EstensioneOriginaria]. Esempio : Decoding help.htax |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
Maoloa o Hermes |
Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione aggiuta e conosciuta fino ad oggi, è : .HERMES666 File richiesta riscatto : Con il seguente contenuto : YOUR FILES ARE ENCRYPTED !!! |
Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto. |
.
Segue Parte 2, per altri tipi di Ransomware : https://www.aesse-service.it/news.php?id=42
Per maggiori dettagli sulla tecnica Signature Seeking, leggere il seguente articolo :
https://www.aesse-service.it/news.php?id=41