I Malware della famiglia Ransomware sono certamente tra i più diffusi e tra i più pericolosi in circolazione. La definizione “Ransomware” deriva dall’inglese “Ransom”, ovvero Riscatto. Nel web ne sono presenti moltissimi tipi, nuovi ne usciranno, ma l’azione finale che andranno ad eseguire, sarà quella di provvedere alla cifratura dei files in modo da rendirli illeggibili.I Ransomware nella maggior parte dei casi, aggiungono una ben precisa estensione al nome originario del file colpito. Esistono diversi veicoli di infezione: dal classico allegato nei messaggi di posta elettronica, all’accesso tramite violazione rispetto a pubblicazioni esterne tramite Remote Desktop Protocol, all’exploit a seguito di una normalissima visita ad un sito web non sicuro e costruito ad-hoc per eseguire del codice dannoso sul Client. Non tutti sanno che per alcuni ransomware sono disponibili in maniera del tutto gratuita dei programmi in grado di recuperare il contenuto in chiaro dei file sottoposti a cifratura.

La lista dei Ransomware per cui stata trovata la chiave di decryption è piuttosto ridotta rispetto alla quantità e tipologia di ransomware “presenti”, ma rappresenta una risorsa importante per tutti quelli che sono stati colpiti da questa infezione. Ad oggi la lista dei tools gratuiti per il recupero dei file cifrati dai Ransomware è la seguente:

Decryptor DownloadLeggimiEstensione del File Cifrato
CuteIstruzioni
my-Little-RansomwareIstruzioni
AES_NIIstruzioni*.aes_ni, *.aes256, *.aes_ni_0day
Alcatraz LockerIstruzioni*.Alcatraz
ApocalypseIstruzioni*.encrypted, *.FuckYourData, *.locked, *.Encryptedfile, *.SecureCrypted
ApocalypseVMIstruzioni*.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted
BadBlockIstruzioniDoesn’t change file extension. Look for BadBlock in ransom note (32-Bit)
BadBlockIstruzioniDoesn’t change file extension. Look for BadBlock in ransom note (64-Bit)
BartIstruzioni*.bart.zip
BigBobRossIstruzioni*.obfuscated
BTCWareIstruzioni*.btcware, *.cryptobyte, *.cryptowin, *.theva, *.onyon
Crypt888IstruzioniThis ransomware adds Lock. to the beginning of file names
CryptFile2Istruzioni*.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd*.rscl
CryptoMix (Offline)Istruzioni*.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd*.rscl, *.MOLE
CryptoShieldIstruzioni*.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd*.rscl, *.MOLE
ZetaIstruzioni*.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd*.rscl
CrysisIstruzioni*[email protected], *[email protected], *[email protected], *[email protected], *.{[email protected]}.CrySiS, *.{[email protected]}.xtbl, *.{[email protected]}.xtbl, *.{[email protected]}.xtbl, *.{[email protected]}.dharma, *.{[email protected]}.dharma, *.wallet
EncrypTileIstruzioniThe ransomware adds the word “encryptTile” into a file name
EncrypTileIstruzioni*.EncrypTile
FindZipIstruzioni*.crypt
GandCrabIstruzioni*.GDCB, *.CRAB, *.KRAB, *.%RandomLetters%
GlobeIstruzioni*.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *exploit, *.frozen, *.globe, *.gsupport, *.kyra, *.purged, *.raid[0-9], *[email protected], *.xtlb, *.zendrz, *.zendr[0-9], *.hnyear
HiddenTearIstruzioni*.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, *.razy, *.mecpt, *.monstro, *.lok, *.암호화됨, *.8lock8, *.fucked, *.flyper, *.kratos, *.drypted, *.CAZZO, *.doomed
JigsawIstruzioni*.kkk, *.btc, *.gws, *.J, *.encrypted, *.porno, *.payransom, *.pornoransom, *.epic, *.xyz, *.versiegelt, *.encrypted, *.payb, *.payb, *.pays, *.payms, *.paymds, *,paymts, *.payrms, *.payrmts, *.paymrts, *.paybtcs, *.fun, *.hush, *[email protected], *.gefickt
LambdaLockerIstruzioni*.MyChemicalRomance4EVER
LegionIstruzioni*[email protected]$.legion, *[email protected]$.cbf
NoobCryptIstruzioniNoobCrypt doesn’t change the file name. Leaves “ransomed.html” message
StampadoIstruzioni*.locked
SZFLockerIstruzioni*.szf
TeslaCryptIstruzioniThe latest version of TeslaCrypt doesn’t rename files.
XDataIstruzioni*.~xdata~
ApocalypseIstruzioni*.encrypted, *.FuckYourData, *.locked, *.Encryptedfile, *.SecureCrypted
ApocalypseVMIstruzioni*.encrypted, *.FuckYourData, *.locked, *.Encryptedfile, *.SecureCrypted
BadBlock 32-BitIstruzioniDoesn’t change file extension. Look for BadBlock in ransom note
BadBlock 64-BitIstruzioniDoesn’t change file extension. Look for BadBlock in ransom note
BartIstruzioni*.bart.zip
Crypt888IstruzioniThis ransomware adds Lock. to the beginning of file names
MirCopIstruzioniLock.{Original file name}
LegionIstruzioni*[email protected]$.legion, *[email protected]$.cbf or *[email protected]$.cbf to end of filename
SZFLockerIstruzioni*.szf
TeslaCryptIstruzioniDecryptor for variant that doesn’t rename files
AnnabelleIstruzioni*.ANNABELLE
Bart*.Bart
GandCrab (V1, V4 and V5 up to V5.2 versions)Istruzioni*.GDCB, *.CRAB, *.KRAB, *.%RandomLetters%
Juicy LemonIstruzioni*.id-{number}[email protected]
PizzaCryptsIstruzioni*.id-{number}_, .id-{number}[email protected], .id-{number}_*@juicylemon.biz*protonmail.com*, .id-{number}_*@juicylemon.biz_BitMessage_*
ODCODCIstruzioni*.odcodc
CryptorbitIstruzionilocks files and creates HowDecrypt.txt and HowDecrypt.gif
Operation Global IIIIstruzioni*.exe
BitStakIstruzioni*.bitstak
GhostCryptIstruzioni*.Z81928819
JigsawIstruzioni*.FUN, *.KKK, *.GWS, *.BTC
Princess LockerIstruzioniRansomware appends random characters to the file extension
AuroraIstruzioni*.Nano
FilesLocker v1 and v2Istruzioni*.[[email protected]]
EverbeIstruzioni*.insane, *.DUESCRYPT, *.deuscrypt, *.Tornado, *.twist, *.everbe, *.embrace, *.pain, *.volcano
InsaneCryptIstruzioni*.[[email protected]].everbe, *.embrace, *.pain
AnnabelleIstruzioni*.ANNABELLE
CryptoDevilIstruzioni*.devil
ZykaIstruzioni*.lock
Unlock92Istruzioni*.CRRRT
CryptoHostCryptoHostDetected as Ransom:MSIL/Manamecrypt.A and Ransom_CRYPTOHOST.A.
TorrentLockerIstruzioni*.encrypted, *.enc
AlphaIstruzioni*.encrypt
BitKangarooIstruzioni*.bitkangaroo
Crypt38Istruzioni*.crypt38
DCryIstruzioni*.dcry
MicroCopIstruzioniAdds Locked to the beginning of your encrypted files
Mole02IstruzioniN/A
Offline CryptoMixIstruzioni*.CRYPTOSHIELD, *.scl, *.rscl, *.lesli, *.rdmk, *.code, *.rmd
PowerLockyIstruzioni*.locky
StrikedDecrypterIstruzioni*[email protected],*[email protected], *[email protected], *[email protected], *[email protected], *[email protected], *[email protected]
AnDROidIstruzioni*.android
Anti-DDosIstruzioni*.f*cked
Crypt0Istruzioni*_crypt0
Crypto-BlockerIstruzioni*.corrupted
CryptoLocker by NTKIstruzioni*.powned
CryptoSomwareIstruzioni*.FailedAccess
DeriaLockIstruzioni*.deria
DoNotOpenIstruzioni*.killedXXX
EnkripsiPCIstruzioni*.bleeped
F*ckTheSystemIstruzioni*.anon
HarzhuangziIstruzioni*.Harzhuangzi
HatersIstruzioni*.haters
HitlerIstruzioni*.Nazi
JeepersCryptIstruzioni*.jeepers
ManifestusIstruzioni*.f*cked
MikoyanIstruzioni*.MIKOYAN
NullByteIstruzioni*._nullbyte
SnakeEyeIstruzioni*.SnakeEye
XncryptIstruzioni*.xncrypt
MoleIstruzioni*.mole
BarRaxIstruzioni*.barrax
Merry X-MasIstruzioni*.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1
JigsawIstruzioni*.FUN, *.KKK, *.GWS, *.BTC
PylockyIstruzioniRANSOM_PYLOCKY.A
TeslaCryptIstruzioni{original file name}.ECC
ThanatosIstruzioni*.THANATOS
NanolockerIstruzioni
PopcornIstruzioni*.filock
Decrypt ProtectIstruzioni*.html
777Istruzioni*.777
Al-NamroodIstruzioni*.unavailable, *.disappeared
Amnesia2Istruzioni*.amnesia
ApocalypseIstruzioni*.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted
ApocalypseVMIstruzioni*.encrypted, *.locked
AuroraIstruzioni*.Aurora, *.aurora, *.animus, *.cryptoid, *.peekaboo, *.isolated, *.infected, *.locked
AutoLockyIstruzioni*.locky
BadBlockIstruzioniDoesn’t change file extension. Look for BadBlock in ransom note
Cry128Istruzioni*.fgb45ft3pqamyji7.onion.to._ or *.id__gebdp3k7bolalnd4.onion._’ or *.id__2irbar3mjvbap6gt.onion.to._ or *.id-_[qg6m5wo7h3id55ym.onion.to].63vc4
Cry9Istruzioni*.fgb45ft3pqamyji7.onion.to._, 8.id__gebdp3k7bolalnd4.onion._, *.id__2irbar3mjvbap6gt.onion.to._, *.id-_[qg6m5wo7h3id55ym.onion.to].63vc4
CrypBossIstruzioni*.crypt, *.R16M01D0
CryptInfiniteIstruzioni*.CRINF
CryptoDefenseIstruzioniIdentifes as CryptoDefense leaves note HOW_DECRYPT.txt
CryptonIstruzioni*.id-_locked, *.id-_locked_by_krec, *.id-_locked_by_perfect, *.id-_x3m, *.id-_r9oj, *[email protected], *[email protected]_, *[email protected]_, *[email protected]_, *[email protected]_,*[email protected]_
DamageIstruzioni*.damage
DMALockerIstruzioniDMALocker with ID “DMALOCK 41:55:16:13:51:76:67:99
DMALocker2IstruzioniDMALocker2 with ID “DMALOCK 43:41:90:35:25:13:61:92
FabiansomwareIstruzioni*.encrypted
FenixLockerIstruzioni*[email protected]!!
GetCryptIstruzioniAppends a random 4-character extension to files
GlobeIstruzioni*.purge, *.globe, *[email protected]!dsvgdfvdDVGR3SsdvfEF75sddf#xbkNY45fg6}P{cg.xtbl.
Globe2Istruzioni*.raid10, *.blt, *.globe, *.encrypted,*[[email protected]]
Globe3Istruzioni*.decrypt2017, *.hnumkhotep
GlobeImposterIstruzioni*.crypt
GomasomIstruzioni*.crypt
HarasomIstruzioni*.html and note from Spamhaus or US Department of Justice
HKCryptIstruzioni*.hacked
HydraCryptIstruzioni*.hyrdacrypt, *.umbrecrypt
UmbreCryptIstruzioni*.hydracrypt, *.umbrecrypt
ImS00rryIstruzioni
JSWorm 4.0Istruzioni*.[ID-9LF5BNP][[email protected]].JSWRM
JSWormIstruzioni*.[ID.194958][[email protected]].JSWORM
KeyBTCIstruzioniLeaves ransom note called Decrypt_Your_Files.txt on your system that asks you to contact [email protected] for decryption.
LeChiffreIstruzioni*.LeChiffre and the ransom note asks you to contact [email protected] via email.
Istruzioni*.lcphr
MarlboroIstruzioni*.oops
MegaLockerIstruzioni*.nampohyu
MRCR or Merry X-MasIstruzioni*.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1
NemucodIstruzioni*.crypted and you find a ransom note named DECRYPT.txt on your desktop.
NemucodAESIstruzioniDoes not change file extension and a ransom note named “DECRYPT.hta” can be found on your desktop.
NMoreiraIstruzioni*.maktub, *._AiraCropEncrypted!
OpenToYouIstruzioni*[email protected]
OzozaLockerIstruzioni*.locked With a ransom note named “HOW TO DECRYPT YOU FILES.txt” on your desktop. Note is from [email protected]
PClockIstruzioniDoesn’t change extension look for enc_files.txt
PewcryptIstruzioni*.PewCrypt
PhiladelphiaIstruzioni*.locked
PlanetaryIstruzioni*.mira
RadamantIstruzioni*.rdm, *.rrk
StampadoIstruzioni*.locked Known variants of this ransomware ask victims to contact [email protected], [email protected], [email protected], [email protected] or [email protected]
SyrkIstruzioni*.Syrk
XoristIstruzioni*.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1
ZQIstruzioni*.zq
WannaCryFakeIstruzioni*.wannacry
AvestIstruzioni*.ckey().email().pack14
TeslaCryptIstruzioni*.xxx, *.ttt, *.micro, *.mp3
VirlockIstruzioni*.exe
CrysisIstruzioni*.xtbl, *.crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion
SimplockerIstruzioni
TrustezebIstruzioni
MiraIstruzioni*.mira
TeslaCryptIstruzioni*.vvv, *.ccc, *.zzz, *.aaa, *.abc
7even-HONE$TPython Script{sequential number}.R4A or{sequential number}.R5A
BitcryptorIstruzioni.cvlst
Agent.iihIstruzioni
AuraIstruzioni
AutoITIstruzioni{Original Filename}@<mail server>_.<random_set_of_characters>.
AutoLTIstruzioniRenames files “<original_name>@<mail server>_.<random_set_of_characters>”
Bitman v.3Istruzioni*.xxx, *.ttt, *.micro, *.mp3
Bitman v.4IstruzioniDoes not change file extension.
CerberIstruzioni{10 random characters}.cerber
ChimeraIstruzioni{Original file name}.crypt
CryptokluchenIstruzioni
CrysisIstruzioniid}.{email address}.xtbl, crypt
DemocryIstruzioni*[email protected]$.777 OR *[email protected]$.legion
DharmaIstruzioni*.wallet
JaffIstruzioni*.Jaff
LamerIstruzioni
LobzikIstruzioni*.fun, *.gws, *.btc, *.AFD, *.porno, *.pornoransom, *.epic, *.encrypted, *.J, *.payransom, *.paybtcs, *.paymds, *.paymrss, *.paymrts, *.paymst, *.paymts, *.payrms
LortokIstruzioni*.crime
PletorIstruzioni
RakhniIstruzioni*.locked, *.kraken
RotorIstruzioni*[email protected]____.tar, *[email protected]____.tar
TeslaCrypt v3Istruzioni{original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt v4IstruzioniFile name and extension are unchanged
XDataIstruzioni*.~xdata~
AutoLTIstruzioniRenames files “<original_name>@<mail server>_.<random_set_of_characters>”
CryaklIstruzioniInfected with Trojan-Ransom.Win32.Cryakl (also tags end of file name with{CRYPTENDBLACKDC})
CrybolaIstruzioniInfected with Trojan-Ransom.Win32.Crybola
CryptXXX v1Istruzioni{original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX v2Istruzioni{original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX v3Istruzioni{original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
FuryIstruzioniInfected with Trojan-Ransom.Win32.Fury
MarsjokeIstruzioni*.a19 or *p19
PolyglotIstruzioniInfected with Trojan-Ransom.Win32.Polyglot
RannohIstruzioniRenames files “locked-<original_name>.<four_random_letters>”
ShadeIstruzioni*.xtbl, *.ytbl, *.breaking_bad, *.heisenberg
WildfireIstruzioni*.wflx
XoristIstruzioni*.xorist (or adds a random extension)
RectorIstruzioniTrojan-Ransom.Win32.Rector
ScraperIstruzioniTrojan-Ransom.Win32.Scraper
CrysisIstruzioni*[email protected], *[email protected], *[email protected], *[email protected], *.{[email protected]}.CrySiS, *.{[email protected]}.xtbl, *.{[email protected]}.xtbl, *.{[email protected]}.xtbl, *.{[email protected]}.dharma, *.{[email protected]}.dharma, *.wallet
CoinVaultIstruzioni*.cvlst
FortuneCryptIstruzioni
YatronIstruzioni*.yatron
PetyaIstruzioni
TeslaCryptIstruzioni*.xxx, *.ttt, *.micro, *.mp3
TeslaCrypt V3Istruzioni*.mp3, *.micro, *.xxx, *.ttt
PoshCoderPoshCoder*.locky
CryprenIstruzioni*.encrypted
AlmaIstruzioniAdds 5 random characters at the end of each file and a unique 8 character victim ID
Lock Screen USBIstruzioniLockscreen ransomware
Lock ScreenIstruzioniLockscreen ransomware
777Istruzioni{Original file name}.777
AutoLockyIstruzioni{Original file name}.locky
Cerber .v1Istruzioni{10 random characters}.cerber
ChimeraIstruzioni{Original file name}.crypt
DemoToolIstruzioni*.demoadc
DXXD v.1Istruzioni{Original file name}.{Original extension}dxxd
Globe .v1Istruzioni{Original file name}.purge
Globe .v2Istruzioni{Original file name}.{email address + random characters}
Globe v.3IstruzioniExtension not fixed or file name encrypted
JigsawIstruzioni*.FUN, *.KKK, *.GWS, *.BTC
LeChiffreIstruzioni{Original file name}.LeChiffre
MirCopIstruzioniLock.{Original file name}
NemucodIstruzioni{Original file name}.crypted
Purge v.1Istruzioni{Original file name}.purge
Purge v.2Istruzioni{Original file name}.{email address + random characters}
Purge v.3Istruzioni{Original file name}.{email address + random characters}
SNSLockerIstruzioni{Original file name}.RSNSLocked
StampadoIstruzioni*.locked
TeamxratIstruzioni{Original filename}.__xratteamLucked
TeleCryptIstruzioni{Original file name}
TeslaCrypt v3Istruzioni{original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt v4IstruzioniFile name and extension are unchanged
XORBATIstruzioni{Original file name}.crypted
XoristIstruzioni*.xorist (or adds a random extension)
XpanIstruzioni{Original filename}.__xratteamLucked
Istruzioni{original file name}.ECC
BadBlockIstruzioniDoesn’t change file extension. Look for BadBlock in ransom note
MacRansomIstruzioni
777Istruzioni*.777
CryptXXX v1Istruzioni{original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX v2Istruzioni{original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX v3Istruzioni{original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX v4Istruzioni*.5 hexadecimal characters
CryptXXX v5Istruzioni*.5 hexadecimal characters
CrysisIstruzioni*[email protected], *[email protected], *[email protected], *[email protected], *.{[email protected]}.CrySiS, *.{[email protected]}.xtbl, *.{[email protected]}.xtbl, *.{[email protected]}.xtbl, *.{[email protected]}.dharma, *.{[email protected]}.dharma, *.wallet
TeslaCrypt V2Istruzioni{original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
XRatTeamIstruzioni

Arrivati a questo punto potrebbe sorgere spontanea la domanda: “Come faccio a sapere se il ransomware che mi ha cifrato i files è tra questi?”.

Una possibile soluzione potrebbe essere quella di affidarsi ad un tools via web, in grado di riconoscere la forma di encryption applicata ad un file e tramite una sorta di definizione a livello di Database, confrontare il tutto al fine di identificare il Ransomware. La web application in questione è ID Ransomware. Quello che bisogna fare è uploadare o il file cifrato dal ransomware o il file di Info in cui viene fatta la richiesta di riscatto, o entrambe le tipologie di file.

Cosa fare il vostro Ransomware non è tra quelli per cui è disponibile un tools gratuito di decryption?

Ci sono alcune possibilità, ma in quanto tali non danno nessuna certezza per quanto riguarda il recupero dei file… In particolar modo:

  • Shadow Copy (istantanea dei file in uso riservata al sistema sui sistemi Windows sia client che server)
  • Alcuni Ransomware non riescono a cifrare file di grosse dimensioni, ma qua dipende tutto dal Ransomware
  • Signature Seeking: Tecnica di scansione sulla parte dell’area dati del disco rigido che non risulta sovrascritta, al fine di recuperare i contenuti dei file ma senza riferimenti al nome o alla posizione del file

In definitiva tutto ciò che è elencato nell’articolo è una possibilità per tentare il recupero dei file senza avere nessuna sicurezza sul buon fine dell’operazione; l’unica vera soluzione del problema è quella di ripristinare un backup…

Quindi la parola d’ordine è una sola: Backup, Backup, Backup 🙂

Vanno fatti, vanno controllati e periodicamente bisogna testare un ripristino: voi lo fate?

 

Nexsys Nexsys Solution +39 3477732554 [email protected]
X