Per le soluzioni e un elenco più recente, si prega consultare la seguente pagina :

http://www.aesse-service.it/news.php?id=22

Il Virus della famiglia Ransomware, sono certamente fra i più pericolosi in circolazione. La definizione "Ransomware" deriva dall'inglese "Ransom" = Riscatto. Nel web ne sono presenti moltissimi tipi, con diversi nomi ma che svolgono la stessa azione distruttiva. I più frequenti sono denominati CryptoLocker, CryptoWall, TorrentLocker, Reventon, CryptInfinite, TeslaCrypt, AlphaCrypt, Locky solo per citarne alcuni.


Ad oggi quali files criptati dal Virus è possibile decritpare ?

La maggioranza dei Virus Ransomware, aggiungono al nome originario del file colpito, una particolare estensione che permette di riconoscere la tipologia e la verisione del Virus stesso. Ad oggi siamo in grado di decriptare i files criptati con le seguenti estensioni :

  • .ecc
  • .ezz
  • .exx
  • .xyz
  • .zzz
  • .aaa
  • .abc
  • .ccc
  • .vvv
  • .micro
  • .mp3
  • .xxx
  • .ttt
  • Nessuna modifica dell'estensione originaria (TeslaCrypt V.4.0+)
  • .locky (Solo versione AutoLocky. Vedi sotto)
  • .crypt (Solo versione 1 e 2. Vedi sotto)

Come si propaga e come funziona il Virus

Il principale veicolo di propagazione di questo codice malevolo, è certamente attraverso la posta elettronica in messaggi con allegati infetti. Il Virus si attiva aprendo l’allegato ricevuto, e come prima cosa ricerca nel disco rigido del malcapitato tutti i files con determinate estensioni (Es: .JPG, .XLS, .DOC, .XLSX, .DOCX, MDB, Ecc…) eseguendone la criptazione. Questo processo avviene in background all’insaputa dell’utente che semmai nota solo un leggero rallentamento nella velocità operativa del computer. Al termine del processo all’utente appare un messaggio avvisandolo che tutti i suoi dati sono stati criptati e invitandolo a pagare un riscatto in BitCoin per ottenere la procedura e la chiave di decriptazione. Convertendo i BitCoin richiesti in moneta reale, l'importo estorto può variare da alcune centinaia di Euro fino a diverse decine di migliaia di Euro. Essendo un pagamento eseguito in BitCoin, è praticamente impossibile rintracciarne il beneficiario. Anche se si decidesse di cedere al ricatto, non vi è assolutamente alcuna certezza che verrà inviata ne la procedura ne tantomeno la fantomatica chiave di decriptazione.


Come difendersi

  • Installare un buon programma antivirus, che permetta di controllare anche gli allegati di posta elettronica e tenerlo sempre aggiornato. Sconsigliamo vivamente l'utilizzo di antivirus free.
  • Se utilizzate Windows Vista, Windows 7, Windows 8 o Windows 10, e se la funzione ShadowCopy era attivata prima dell'azione del Virus, è possibile recuperare i files utilizando la funzione "Versioni Precedenti" o navigando nelle ShadowCopy precedentemente generate. Questa procedura, però funziona solo con le varianti Virus più datate. Le nuova varianti, purtroppo, sovrascrivono completamente tutte le informazioni relativa alle ShadowCopy, impedendo di fatto il ripristino del files criptati.

I nostri rimedi

Presso i nostri laboratori, sono pervenuti molti dischi rigidi affetti da questi Virus, e abbiamo riscontrato principalmente tre casistiche :

  1. Per alcune tipologie di Ransomware, anche se il Virus dichiara di aver criptato i files, in realtà esegue direttamente una loro sovrascrittura byte per byte con un Pattern Pseudo-Random. In poche parole rende impossibile il recupero del file.
  2. Per alcune tipologie di Ransomware, ad esempio CriptoLocker, CriptoWall, Locky i dati vengono realmente criptati ma attualmente non vi è modo di decriptarli.
  3. Per alcune tipologie di Ransomware, ad esempio TeslaCrypt 1.0, 2.0, 3.0, 4.0, AlphaCrypt, AutoLocky, e CryptXXX Ver.1 e 2 i dati vengono realmente criptati e vi è modo di decriptarli

Nel primo e nel secondo caso l’unico modo per tentare il recupero almeno in parte dei dati originari, è quello di utilizzare la tecnica definita Signature Seeking. Questa tecnica scansiona la parte dell’area dati del disco rigido che non risulta sovrascritta e recupera predefiniti tipi di files, raggruppandoli per estensione, (Es: .JPG, .XLS, .DOC, .XLSX, .DOCX, MDB, Ecc…). Non sarà però possibile recuperare nome e posizione originaria del file e, non essendoci un File System di riferimento, non sarà neanche possibile eseguire un controllo automatico di validità. La tecnica descritta permette comunque di raggiungere ottimi risultati soprattutto se la parte di capacità utilizzata del disco rigido, è inferiore al 50% rispetto alla capacità complessiva. Segue esempio :

Capacità complessiva Hdd Capacità utilizzata Possibilità di recupero
500Gb dal 0 al 10 % Ottima
500Gb dal 10 al 40% Buona
500Gb dal 40 al 50% Mediocre
500Gb dal 50 al 60 % Scarsa
500Gb dal 60 al 99% Improbabile


Quanto sopra descritto rappresenta esclusivamente un’ipotesi, e sfrutta la particolarità dei sistemi operativi di non scrivere sequenzialmente i files ma di allocarli in zone differenti dell’area dati. Ad esempio, se qualche files sovrascritto dal Virus, in precedenza era anche presente in allocazioni dell’area dati differenti dall’ultima posizione (Es : il file è stato spostato da una cartella all’altra), è possibile che venga recuperato integro. Ovviamente per avere la certezza se i files sono o meno recuperabili, è necessario eseguire la fase di Diagnostica.

Nel terzo caso è stato possibile creare una particolare procedura che permette di rilevare l'algoritmo di criptazione e conseguentemente di decriptare tutti i files originari ottenendo di fatto la struttura delle cartelle e i relativi files, nelle stesse condizioni in cui erano prima dell'azione del Virus. Quindi perfettamente funzionanti e validi.

Aggiornamenti

  • 2/10/2015 - E' possibile decriptare i files colpiti da TeslaCrypt Versione 1 e TeslaCrypt Versione2
  • 15/02/2016 - I files criptati ai quali è stata aggiunta una estensione di 6 o 7 caratteri, sono vittime del Virus denominato CTB-Locker o del Virus denominato CriptoLocker. Attualmente non vi è possibilità di poter decriptare questi file. L'unica modalità per tentare il recupero dei dati è utilizzare la nostra tecnica Signature Seeking, sopra descritta.
     
  • 18/02/2016 - I files criptati ai quali è stata aggiunta una estensione di 7 caratteri tipo .encrypted o .cryptolocker, sono vittime del Virus denominato CriptoLocker. Attualmente non vi è possibilità di poter decriptare questi file. L'unica modalità per tentare il recupero dei dati è utilizzare la nostra tecnica Signature Seeking, sopra descritta.
  • 22/02/2016 - E' apparso un nuovo Virus della famiglia Ransomware, denominato Locky. Questo Virus si propaga con le solite modalità, cripta, rinomina il file con una sequenza alfanumerica casuale e aggiunge l'estensione .Locky. Attualmente non vi è possibilità di poter decriptare questi file. L'unica modalità per tentare il recupero dei dati è utilizzare la nostra tecnica Signature Seeking, sopra descritta.
  • 29/02/2016 - Per i files criptati da TeslaCrypt 3.0 e 4.0, è stata mappata la struttura :
    • Da 0x0008 a 0x000F - Size 8h Bytes - ID utente (serve agli Hacker per trovare la PrivateKey relativa a quel determinato utente, dal loro database)
    • Da 0x0018 a 0x0078 - Size 61h Bytes - Probabilmente trattasi della Random1_PublicKey_AES_PrivateKey Master
    • Da 0x0098 a 0x013C - Size A5hBytes - Probabilmente trattasi della PublicKeySHA256Master
    • Da 0x015C a 0x016B - Size 10hBytes - Inizializzatore vettore per AES
    • Da 0x016C - Size 4hBytes - Dimensione originaria del file pre-criptazione
    • Oltre - Contenuto originario del files criptato in RSA-4096
  • 15/03/2016 - Sono apparsi due nuove versioni di Virus della famiglia Ransomware :
    • CryptoLocker 3 o anche definito Virus-Encoded : La nuova versione è riconoscibile dal tipo di estensione che aggiunge ai files criptati. L'estensione è nel formato id-xxx_yyyy@zzzzz.www dove xxx è composto da una serie di numeri mentre yyy, zzz e www sono lettere che compongono un'indirizzo Email (Es: id-5658745265_info@cryptedfiles.biz) . Attualmente non vi è possibilità di poter decriptare questi file. L'unica modalità per tentare il recupero dei dati è utilizzare la nostra tecnica Signature Seeking, sopra descritta.
  • 19/05/2016 - Da oggi è possibile decriptare i files colpiti da TeslaCrypt Versione 3 e TeslaCrypt Versione 4 !!!
  • 30/05/2016 - Esistono due varianti del Virus Locky. La prima denominata AutoLocky, aggiunge al nome/estensione originaria l'ulteriore estensione .locky (Es: Immagini.jpg.locky), la seconda rinomina il file con una sequenza di caratteri alfanumerici casuali e aggiunge l'estensione .locky (Es: D2D5B3E67839F914290B892BE6F567A6.locky) . Nel primo caso è possibile decriptare i dati, mentre nel secondo non è possibile decriptare i dati. L'unica modalità per tentare il recupero dei dati è utilizzare la nostra tecnica Signature Seeking, sopra descritta.
  • 31/05/2016 - Esistono 3 varianti del Virus CryptXXX. Questo virus aggiunge al nome/estensione originario del file, l'estensione .crypt. La prima e seconda variante (Versione 1 e Versione 2), sono decriptabili, mentre per la terza variante (Versione 3), attualmente non vi è possibilità di poter decriptare questi file. L'unica modalità per tentare il recupero dei dati è utilizzare la nostra tecnica Signature Seeking, sopra descritta. Altra nota dolente da evidenziare è che le persone che hanno deciso di pagare il riscatto, hanno ottenuto un decrypter non funzionante. Consigliamo pertanto di non pagare il riscatto in quanto è molto probabile che comunque non si riesca a decriptare i dati.

Aesse Service Srl mette a disposizione un servizio COMPLETAMENTE GRATUITO, di analisi dei files criptati. E' sufficiente inviare a recuperodati@aesse-service.it , dopo averli compressi in .ZIP o .RAR, 4 o 5 files criptati, tra cui almeno uno con estensione originaria .DOC (non .DOCX), le note di richiesta riscatto che il Virus di norma genera in formato .TXT o .HTML e l'indicazione della capacità complessiva dei dati da decriptare. Non appena avremo terminato l'analisi dei Files, sarà Ns. cura comunicare mezzo Email, l'esito ed eventualmente la quotazione economica per la decritpazione.