CheckBlackList

La conoscenza rende liberi

Ransomware, proviamo a recuperare i file criptati

by · Published · Updated

ransomware-recuperare-file

Il Ransomware è un software dannoso appartenente alla categoria dei malware. Il suo nome deriva dall’unione dei due vocaboli inglesi <ransom> (riscatto) e <ware> (merce; articolo).

Questo tipo di malware, meno conosciuto rispetto al classico virus, è in grado di limitare l’accessibilità del computer su cui è installato o addirittura di bloccarlo e prevede una somma da pagare per lo sblocco. Per incitare l’utente a versare la quota richiesta vengono applicate svariate strategie. A volte minacciando in nome di enti come la Polizia Postale che sono stati eseguiti azioni illegali, altre volte sostenendo che sia necessario il pagamento di una cifra per la rimozione di tutte le minacce informatiche presenti sul sistema. Il creatore del ransomware mette a disposizione come metodi di pagamento ad esempio paysafecard o ukash e una volta ricevuto il versamento della vittima, invia (in teoria) il codice di sblocco.

Il ransomware trae vantaggio dallo stato emotivo in cui la sua vittima si trova di fronte alla situazione. Poichè viene impedito l’accesso ai dati salvati sul computer, l’utente spesso si lascia prendere dal panico e ciò aumenta la probabilità che infine verserà la quota per lo sblocco. In ogni caso mai si dovrebbe pagare la cifra richiesta in quanto neppure è certo che dopo si ottenga il codice necessario per il funzionamento corretto del computer. Inoltre, pagando con la carta di credito si forniscono ulteriori informazioni personali al criminale informatico. Nelle peggiori delle ipotesi il ransomware non si limita a far apparire sempre il medesimo messaggio di avviso all’avvio del sistema, ma cripta i dati sensibili presenti sul computer del bersaglio in modo tale da non renderli accessibile. Per di più il task manager viene bloccato. (Wikipedia)

Cryptolocker e CTB-Locker sono le ultime due creazioni in grado di bloccare i sistemi di coloro che cadono nella trappola (che può “scattare” in seguito all’installazione di un falso aggiornamento o di un allegato di una email apparentemente sicura). La differenza tra CTB-Locker (Curve Tor Bitcoin Locker) e gli altri ransomware è che il primo sfrutta l’anonimità che concede la rete di The Tor Project per evitare eventuali tentativi di eliminazione che si affidano essenzialmente ai server command and control. Con Tor è più difficile individuare e bloccare questo tipo di ransomware. In aiuto a CTB-Locker viene anche la cryptomoneta Bitcoin, famosa per il suo carattere anonimo e decentralizzato.

Il modo migliore per difendersi da questa e da altre minacce simili è effettuare il backup dei dati presenti sul dispositivo il prima possibile (e farlo anche nelle prossime settimane). È importante anche utilizzare un antivirus aggiornato e assicurarsi che il sistema operativo e le altre applicazioni siano tutte aggiornate all’ultima versione e con le patch installate.

In teoria

Se il computer viene infettato, dicono in molti, non c’è modo per recuperare i file criptati da CTB-Locker. Si potrebbe anche pagare il riscatto ma, considerando che il cybercrimine è un business, non c’è alcuna garanzia di ricevere la password per decifrare i file.

Oltretutto, gli utenti che hanno pagato per la liberazione del proprio hard disk (circa il 3%) si sono accorti che, dopo l’operazione di ripristino, alcuni dei loro file risultavano comunque danneggiati (ed è stato questo che ci ha fatto pensare ad una “falsa” decriptazione…).

In pratica

Criptare un file equivale a farne una copia compressa e “chiusa” (il metodo è molto simile a quello usato per i file “rar”), cancellandone la versione originale solo al termine dell’operazione. E’ quindi possibile provarne il recupero operando in questo modo:

  1. spegnere al più presto il computer evitando qualsiasi operazione di scrittura;
  2. utilizzare un CD o chiavetta USB, con sistema operativo installato, per il riavvio del computer;
  3. procedere al recupero dei file grazie a software come Recuva o simili, in grado di salvare i file già eliminati anche se non più presenti nel cestino.

I file andranno salvati, naturalmente, su un altro supporto (disco o chiavetta USB) e risulteranno per la maggior parte integri e funzionanti. Solo in seguito al recupero, si procederà all’eliminazione dei file che hanno provocato l’infezione (procedura per Cryptolocker e CTB-Locker).

Se avete bisogno di un aiuto professionale, contattateci telefonicamente, dalle ore 14 alle 19, al numero Tim 349.4108719. Siamo in grado di inviarvi un CD con sistema operativo e seguirvi in teleassistenza nel tentativo di recuperare i file criptati.

Avete problemi con il vostro computer, è diventato lentissimo, si aprono finestre strane o il mouse a volte si muove da solo senza che voi lo tocchiate? Per cercare di risolvere questi e altri problemi, contattateci senza impegno. Potete farlo tramite un messaggio alla nostra pagina o telefonicamente (in orari di ufficio) al numero 331.449.8368. BANNER-TELEASSISTENZAValuteremo insieme se necessitate di un semplice consiglio, magari tramite le oltre 1.200 note già pubblicate, o se per risolvere preferite essere seguiti passo passo tramite un servizio professionale di teleassistenza (ai nostri fan, ma solo a loro, costa pochi euro). Siamo in grado di risolvere la quasi totalità dei problemi in teleassistenza, senza che voi o il vostro computer lasci la vostra abitazione, controllando insieme a noi cosa viene fatto sul vostro sistema. Altre informazioni

Tags:

You may also like...

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Privacy Policy - Personalizza tracciamento pubblicitario