I Virus della famiglia Ransomware, sono certamente fra i più pericolosi in circolazione. La definizione "Ransomware" deriva dall'inglese "Ransom" = Riscatto. Nel web ne sono presenti moltissimi tipi, con diversi nomi ma che svolgono la stessa azione distruttiva. I Virus di questo tipo, nella maggior parte dei casi, aggiungono una ben precisa estensione al nome originario del file colpito, e/o lo rinominano completamente.Il principale veicolo dell'infezione è rappresentato da allegati nei messagi di posta elettronica.

Aesse Service Srl mette a disposizione un servizio COMPLETAMENTE GRATUITO, di analisi dei files criptati. E' sufficiente inviare a recuperodati@aesse-service.it , dopo averli compressi in .ZIP o .RAR, 4 o 5 files criptati, tra cui almeno uno con estensione originaria .DOC (non .DOCX), le note di richiesta riscatto che il Virus di norma genera in formato .TXT o .HTML e l'indicazione della capacità complessiva dei dati da decriptare. Non appena avremo terminato l'analisi dei Files, sarà Ns. cura comunicare mezzo Email, l'esito ed eventualmente la quotazione economica per la decritpazione.

Con questo articolo tentiamo di fare il punto della situazione e indicare le soluzioni ad oggi possibili, per recuperare i dati criptati, dai Virus Ransomware pdiù frenquenti e conosciuti :

Nome del Virus

Estensione aggiunta dal Virus

Soluzione

Synack

Questo ransomware aggiunge al nome/estensione originale, una propria estensione composta da 11 caratteri alfabetici casuali. Esempio :

Fattura.doc.zyMvfwUlAEZ

File richiesta riscatto :
==READ==THIS==PLEASE==xxxxxxxx.txt

Dove xxxxxxxx sono lettere e numeri casuali.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Good

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione comosciuta finora, è : .Good

File richiesta riscatto :
HOW_TO_RECOVER_FILES.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Ryuk

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione comosciuta finora, è : .RYK

File richiesta riscatto :
RyukReadMe.html

In alcuni casi, per alcuni tipi di files di dimensione superiore a 500Mb, è possibile recuperarne in gran parte il contenuto (Es: Database SQL, Files .ZIP, Files Video, Files di posta elettronica .PST, Ecc...). In tutti gli altri casi, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Buddy

Questo ransomware modifica il nome originale, con la seguente struttura, aggiungendo l'estensione .BDDY :

[Indirizzo Email].[8 Caratteri casuali - 8 Caratteri casuali].BDDY

File richiesta riscatto :
#BDDY_README#

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

MedusaLocker

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].id[8 Caratteri casuali - 4 Caratteri casuali].[Indirizzo Email].[Estensione Aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .Devon

File richiesta riscatto :
info.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cryakl

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

< Versioni più datate >
[Nome Originale del File].[Estensione Originale del File] [Indirizzo Email] [10 cifre - 10 cifre].[Estensioni Aggiunte]

Il ransomware aggiunge differenti estensioni, composte da 3 caratteri. Es : .ang , .wrm , .uhe , .bpc , .cya Ecc...

< Versioni più recenti >
[Nome Originale del File].[Estensione Originale del File] [Indirizzo Email] [5 caratteri alfanumerici] .[8 cifre - 8 cifre]

La decriptazione per le versioni più datate di questo Ransomware, è possibile. Per tutte le altre versioni tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Maze

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Estensioni Aggiunte]

Il ransomware aggiunge differenti estensioni, composte da 6 o 7 caratteri. Es : .UvXwEVO , .se3g4d , .k9Uw4z , .rNrRZq , .jFiQqN Ecc...

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Makop

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Codice composto da 8 caratteri].[Indirizzo Email].[Estensione aggiunta]

Attualmente le estensioni aggiunte conosciute, sono : .CARLOS, .makop, .FAIR

File richiesta riscatto :
readme-warning.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

HelpMe

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[id-(10 caratteri numerici)]_[indirizzo Email]

Attualmente l'indirizzo Email inserito nel nome del file criptato, è : email_info@cryptedfiles.biz

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Hydra

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .enc

File richiesta riscatto :
===HOW DECRYPT MY FILES===.txt

Nella maggior parte dei casi è possibile decriptare i files. Ultimamente per questo tipo di Virus, abbiamo ottenuto ottimi risultati. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

eCh0raix / QNAPCrypt

Questo è uno dei rari Ransomware che colpisce sistemi operativi Linux. Direttamente concepito per colpire i NAS della QNAP, sfruttando un Bug presente nel firmware.Attualmente l'estensione aggiunta conosciuta è : .encrypt

File richiesta riscatto :
README_FOR_DECRYPT.txt

Solo i files criptati prima del 17 Luglio 2019, sono decriptabili in determinate condizioni. Per tutti gli altri esiste solo una possibilità di decriptare i dati. Per verificare la fattibilità, è però necessario contattarci telefonicamente per fissare data e ora per eseguire l'intervento in remoto. Se la verifica di fattibilità sarà negativa, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

LockBit

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Estensione aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .lockbit

File richiesta riscatto :
Restore-My-Files.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Phobos

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[NomeFileOriginario].[EstensioneOriginaria].id[8caratteri-4caratteri].[indirizzo email].[Estensione aggiunta]

Le estensioni aggiute e conosciute fino ad oggi, sono : .phobos , .help, .Adair, .eking, .eight, .Calum, .elder, .DLL, .ete, .DEAL, .ACUTE

Il File di richiesta riscatto è un file denominato phobos.hta o info.txtx, oppure si riceve una Email con uno dei seguenti contenuti :

Hello mail, we would like to recover in our encrypted files. we attach a zip file containing files encrypted by you. we await your reply.
I found information about you in my database. You have id. xxxxxxxx The cost of decrypting data will be x.xx Bitcoin.

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: xxxxxx@xxxxx.xx. If we don't answer in 24h., send e-mail to this address: xxxxxx@xxxxxx.com

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail xxxxx@xxx.xx
Write this ID in the title of your message XXXXXXXX-XXXX
In case of no answer in 24 hours write us to this e-mail:xxxxx@xxxx.xx
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Bitpaymer / DoppelPaymer

Questo Ransomware aggiunge al nome originale una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .doppeled

File richiesta riscatto :
Per ogni file criptato, il Ransomware genera un file di testo con la richiesta di riscatto. Esempio :

File originale = Documento.pdf
File critpato = Documento.pdf.doppeled
File richiesta riscatto = Documento.pdf.how2decrypt.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Thanos

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[Nome Originale del File].[Estensione Originale del File].[ID-<8 caratteri>].[Indirizzo Email].[estensione aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .BLOCK

File richiesta riscatto :
RESTORE_FILES_INFO.txt

Da oggi 08/04/2021, i dati colpiti da questo Ransomware, possono essere decriptati ma è necessario inviarci almeno un files criptato maggiore di 10Mb e il suo corrispondente non criptato, per permetterci di estrarre la chiave privata di decriptazione.

Qlocker

Questo è uno dei rari Ransomware che colpisce sistemi operativi Linux. Direttamente concepito per colpire i NAS della QNAP, sfruttando un Bug presente nel firmware. In pratica utilizza lo Snap In di 7zip per comprimere tutti i files, proteggendo il file compresso con una password.  Attualmente l'estensione aggiunta conosciuta è : .7z

File richiesta riscatto :
!!!READ_ME.txt

L'unico modo per poter recuperare i dati criptati da questo ransomware, è intervenire immediatamente mentre il processo è ancora in corso. In pratica è necessario, attraverso AnyDesk o TeamViewer, fornirci tempestivamente un accesso remoto ad un Pc dal quale è possibile collegarsi al NAS sotto attacco. Una volta connessi, inseriremo un codice particolare che ci permetterà di identificare la password che il Ransomware sta utilizzando per criptare i dati. Se il processo di criptazione del Ransomware è già terminato, purtroppo ad oggi non vi è alcuna possibilità di decriptare i dati. In questo caso l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

.

Per maggiori dettagli sulla tecnica Signature Seeking, leggere il seguente articolo :
https://www.aesse-service.it/news.php?id=41