L'ultima spiaggia per tentare almeno in parte il recupero dei dati da supporti colpiti dai Virus Ransomware, è la Ns. tecnica Signature Seeking. Questa tecnica scansiona la parte dell’area dati del disco rigido che non risulta sovrascritta e recupera predefiniti tipi di files, raggruppandoli per estensione, (Es: .JPG, .XLS, .DOC, .XLSX, .DOCX, MDB, Ecc…). Non sarà però possibile recuperare nome e posizione originaria del file e, non essendoci un File System di riferimento, non sarà neanche possibile eseguire un controllo automatico di validità. La tecnica descritta permette comunque di raggiungere ottimi risultati soprattutto se la parte di capacità utilizzata del disco rigido, è inferiore al 50% rispetto alla capacità complessiva. Segue esempio :

Capacità complessiva Hdd

Capacità utilizzata

Possibilità di recupero

500Gb

dal 0 al 10 %

Ottima

500Gb

dal 10 al 40%

Buona

500Gb

dal 40 al 50%

Mediocre

500Gb

dal 50 al 60 %

Scarsa

500Gb

dal 60 al 99%

Improbabile


Quanto sopra descritto rappresenta esclusivamente un’ipotesi, e sfrutta la particolarità dei sistemi operativi di non scrivere sequenzialmente i files ma di allocarli in zone differenti dell’area dati. Ad esempio, se qualche files sovrascritto dal Virus, in precedenza era anche presente in allocazioni dell’area dati differenti dall’ultima posizione (Es : il file è stato spostato da una cartella all’altra), è possibile che venga recuperato integro. Ovviamente per avere la certezza se i files sono o meno recuperabili, è necessario eseguire la fase di Diagnostica.