Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)

Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Tempo di lettura: 4 minuti
I Ransomware: una piaga in crescente aumento in questi ultimi mesi ed in costante evoluzione. Per avere una stima della portata del fenomeno, si stima che l’ultima variante di CryptoLocker ha provocato danni per 325 milioni di dollari a livello globale, colpendo privati ed aziende. Questo tipo di malware colpisce in prevalenza sistema Windows, ma in minor numero anche OS X (come indicato qui Nuovo ransomware per OS X). Quindi ora cerchiamo di capire cosa sono questi ransomware

 

Cosa sono i ransomware

 
Il ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta e chiede il riscatto per rimuoverne la limitazione. Si è cominciato qualche anno fa con dei ransomware che si avviavano con il sistema operativo rendendo di fatto impossibile utilizzarlo, come ad esempio il famoso ransomware della polizia di stato o simili. Ad oggi siamo arrivati a due tipi di ransomware, ovvero:
 
  1. ransomware che crittano l’intero contenuto del disco, richiedendo un riscatto in BitCoin tramite rete TOR per la decrittazione
  2. ransomware che crittano l’MBR del disco, rendendo di fatto impossibile l’accesso al disco ed ai suoi dati. Anche in questo caso, viene richiesto un riscatto in BitCoin tramite rete TOR (Considerazioni: Petya Ransomware: temibile e diverso dai soliti ransom)
L’ultimo tipo è il più temibile ed il più recente. A questo punto sorge spontanea la domanda: è possibile difendersi? Vediamo cosa è possibile fare PRIMA in materia di prevenzione
 

Come prevenirli

In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:
 
  • mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update 
  • mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza 
  • accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati 
  • utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
  • eseguire delle scansioni antivirus regolari del sistema
  • non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
  • eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete. 
E nel caso malaugurato che siamo stati infetti? Come possiamo procedere? C’è un modo per recuperare i nostri dati? 
 
 

Come identificare da che ransomware siamo stati infettati

 
In questo ambito ci viene in aiuto uno strumento online dedicato a riconoscere il tipo di ransomware che ci ha infettato: basterà eseguire l’upload di un file criptato (non un file personale) o della schermata di blocco che visualizziamo dopo l’infezione. Lo strumento rileva fino a 178 ransomware differenti tra cui troviamo i famosi TeslaCrypt, Crytowall ecc. Il sito è il seguente: 
 
 

Come recuperare i dati (se possibile)

 
In alcuni casi NON è possibile recuperare i dati, come nel caso del Petya Ransomware (o meglio ad infezione avvenuta, vedere paragrafo successivo), ma in altri casi vi sono degli strumenti che ci aiutano a tornare in possesso dei nostri dati. 
[table id=7 /]
 
Di seguito alcuni strumenti di de-crittazione forniti da Kaspersky Labs per i seguenti malware:
Leggi  Scoperta nuova vulnerabilità Intel: milioni di dispositivi vulnerabili

Verranno aggiunti collegamenti a nuovi strumenti di recupero quando saranno disponibili.

PETYA RANSOMWARE

 
Riguardo il secondo tipo di ransomware, ovvero PETYA, vanno elaborati i passaggi di infezione, che sono:
 
  • avvio dell’infezione tramite una mail di SPAM (solitamente tentativi di phising)
  • il malware viene caricato in memoria
  • viene provocata una schermata di errore forzata che obbliga il sistema al riavvio
  • dopo il riavvio viene mostrata una schermata di finta esecuzione di chkdsk del sistema
  • durante questo processo, viene eseguita la vera e propria criptazione dell’MFT e sostituzione del boot loader
  • infezione avvenuta, richiesta di “riscatto” tramite BITCOIN
L’infezione VERA E PROPRIA avviene nel secondo passaggio, ovvero quando viene eseguito il finto chkdsk che completerà l’infezione. Come prevenirlo?
 
  1. Disabilitare il riavvio automatico del sistema: WIN + R > digita “sysdm.cpl” e dare invio > Avanzate > impostazioni Avvio e ripristino > togliere la spunta da Riavvia automaticamente
  2.  Ora c’è una procedura da seguire, abbastanza articolata, CONSIGLIATA SOLO PER UTENTI ESPERTI: Petya key decoder | hasherezade’s 1001 nights – Decodificatore per PRIMO PASSAGGIO (Prima del CHKDSK) here
 

RECUPERO FILE

E’ disponibile una procedura e degli strumenti per il recupero dei file: verificare i passaggi indicati in questo articolo
 
Cit: “In questo caso vi è qualche passaggio da fare, in quanto è necessario collegare il proprio disco rigido ad un altro computer, utilizzando una dock station USB. Dopo aver collegato il disco, scarichiamo questo strumento Petya Sector Extractor il quale individuerà il disco infetto e ci fornirà due dati necessari in seguito, disponibili dalla voce Copy Sector e Copy Nonce(come da immagine).


Immagine
 
In seguito rechiamoci nel sito https://petya-pay-no-ransom.herokuapp.com ove dovremo inserire prima il codice Base64 Encoded 512 bytes e nel box sottostante il codice relativo a Base64 encoded 8 bytes nonce, quindi inviando i dati comincerà il processo di creazione della password (ci vorrà qualche minuto), la quale poi potremo inserire nella richiesta di riscatto che visualizziamo in avvio dopo l’infezione. 
 
Immagine
Grazie a leostone e a Fabian Wosar per gli strumenti”
 
 
Per approfondimenti in merito i ransomware e i BitCoin invito a leggere questo post Ransomware e i BitCoin: considerazioni, dati e prevenzione
 
 
 
Avete altri strumenti che avete usato per recuperare i vostri file? ditelo nei commenti.
 
 
Elvis

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!
%d blogger hanno fatto clic su Mi Piace per questo: