I Malware della famiglia Ransomware sono certamente tra i più diffusi e tra i più pericolosi in circolazione. La definizione “Ransomware” deriva dall’inglese “Ransom”, ovvero Riscatto. Nel web ne sono presenti moltissimi tipi, nuovi ne usciranno, ma l’azione finale che andranno ad eseguire, sarà quella di provvedere alla cifratura dei files in modo da rendirli illeggibili.I Ransomware nella maggior parte dei casi, aggiungono una ben precisa estensione al nome originario del file colpito. Esistono diversi veicoli di infezione: dal classico allegato nei messaggi di posta elettronica, all’accesso tramite violazione rispetto a pubblicazioni esterne tramite Remote Desktop Protocol, all’exploit a seguito di una normalissima visita ad un sito web non sicuro e costruito ad-hoc per eseguire del codice dannoso sul Client. Non tutti sanno che per alcuni ransomware sono disponibili in maniera del tutto gratuita dei programmi in grado di recuperare il contenuto in chiaro dei file sottoposti a cifratura.
La lista dei Ransomware per cui stata trovata la chiave di decryption è piuttosto ridotta rispetto alla quantità e tipologia di ransomware “presenti”, ma rappresenta una risorsa importante per tutti quelli che sono stati colpiti da questa infezione. Ad oggi la lista dei tools gratuiti per il recupero dei file cifrati dai Ransomware è la seguente:
Alcatraz Decryptor tool // direct tool download
CryptoMix/CryptoShield decryptor tool for offline key (Avast)
Damage ransomware decryption tool
.777 ransomware decrypting tool
.8lock8 ransomware decrypting tool + explanations
Agent.iih decrypting tool (decrypted by the Rakhni Decryptor)
Alcatraz Ransom decryptor tool
Amnesia Ransom 2 decryptor tool
ApocalypseVM decrypting tool + alternative
Aura decrypting tool (decrypted by the Rakhni Decryptor)
AutoIt decrypting tool (decrypted by the Rannoh Decryptor)
Badblock decrypting tool + alternative 1
Chimera decrypting tool + alternative 1 + alternative 2
Cryakl decrypting tool (decrypted by the Rannoh Decryptor)
Crybola decrypting tool (decrypted by the Rannoh Decryptor)
Crypt888 (see also Mircop) decrypting tool
CryptoHost (a.k.a. Manamecrypt) decrypting tool
Cryptokluchen decrypting tool (decrypted by the Rakhni Decryptor)
CryptoMix Ransom decrypting tool
CryptoTorLocker decrypting tool
CrySIS decrypting tool (decrypted by the Rakhni Decryptor – additional details)
CTB-Locker Web decrypting tool
CuteRansomware decrypting tool
Dharma Ransom Rakhni decryptor tool
DJVU RANSOM DECRYPTOR
DeCrypt Protect decrypting tool
Democry decrypting tool (decrypted by the Rakhni Decryptor)
Derialock ransom decryptor tool
DMA Locker decrypting tool + DMA2 Locker decoding tool
Everbe Ransomware decrypting tool
Fury decrypting tool (decrypted by the Rannoh Decryptor)
Globe / Purge decrypting tool + alternative
Jigsaw/CryptoHit decrypting tool + alternative
Lamer decrypting tool (decrypted by the Rakhni Decryptor)
LeChiffre decrypting tool + alternative
Lock Screen ransomware decrypting tool
Lortok decrypting tool (decrypted by the Rakhni Decryptor)
Marlboro ransom decryption tool
Manamecrypt decrypting tool (a.k.a. CryptoHost)
Mircop decrypting tool + alternative
Merry Christmas / MRCR decryptor
Nemucod decrypting tool + alternative
NMoreira ransomware decryption tool
Operation Global III Ransomware decrypting tool
Ozozalocker ransomware decryptor
Petya decrypting tool + alternative
Planetary ransomware decrypting tool
Pletor decrypting tool (decrypted by the Rakhni Decryptor)
PowerWare / PoshCoder decrypting tool
Popcorn Ransom decrypting tool
PyLocky Ransomware decrypting tool
Rotor decrypting tool (decrypted by the Rakhni Decryptor)
Shade / Troldesh decrypting tool + alternative
Stampado decrypting tool + alternative
Teamxrat / Xpan decryption tool
TeleCrypt decrypting tool (additional details)
TeslaCrypt decrypting tool + alternative 1 + alternative 2
Wildfire decrypting tool + alternative
WannaCry decryption tool + Guide
XORIST decrypting tool + alternative
MoneroPay Ransomware decrypting tool
A questo url trovate disponibile una lista aggiornata con le relative estensioni applicate dal ransomware e relativo riferimento al tools di decryption.
Arrivati a questo punto potrebbe sorgere spontanea la domanda: “Come faccio a sapere se il ransomware che mi ha cifrato i files è tra questi?”.
Una possibile soluzione potrebbe essere quella di affidarsi ad un tools via web, in grado di riconoscere la forma di encryption applicata ad un file e tramite una sorta di definizione a livello di Database, confrontare il tutto al fine di identificare il Ransomware. La web application in questione è ID Ransomware. Quello che bisogna fare è uploadare o il file cifrato dal ransomware o il file di Info in cui viene fatta la richiesta di riscatto, o entrambe le tipologie di file.
Cosa fare il vostro Ransomware non è tra quelli per cui è disponibile un tools gratuito di decryption?
Ci sono alcune possibilità, ma in quanto tali non danno nessuna certezza per quanto riguarda il recupero dei file… In particolar modo:
- Shadow Copy (istantanea dei file in uso riservata al sistema sui sistemi Windows sia client che server)
- Alcuni Ransomware non riescono a cifrare file di grosse dimensioni, ma qua dipende tutto dal Ransomware
- Signature Seeking: Tecnica di scansione sulla parte dell’area dati del disco rigido che non risulta sovrascritta, al fine di recuperare i contenuti dei file ma senza riferimenti al nome o alla posizione del file
In definitiva tutto ciò che è elencato nell’articolo è una possibilità per tentare il recupero dei file senza avere nessuna sicurezza sul buon fine dell’operazione; l’unica vera soluzione del problema è quella di ripristinare un backup…
Quindi la parola d’ordine è una sola: Backup, Backup, Backup 🙂
Vanno fatti, vanno controllati e periodicamente bisogna testare un ripristino: voi lo fate?