Aesse Service Srl mette a disposizione un servizio COMPLETAMENTE GRATUITO, di analisi dei files criptati. E' sufficiente inviare a recuperodati@aesse-service.it , dopo averli compressi in .ZIP o .RAR, 4 o 5 files criptati, tra cui almeno uno con estensione originaria .DOC (non .DOCX), le note di richiesta riscatto che il Virus di norma genera in formato .TXT o .HTML e l'indicazione della capacità complessiva dei dati da decriptare. Non appena avremo terminato l'analisi dei Files, sarà Ns. cura comunicare mezzo Email, l'esito ed eventualmente la quotazione economica per la decritpazione.

Con questo articolo tentiamo di fare il punto della situazione e indicare le soluzioni ad oggi possibili, per recuperare i dati criptati, dai Virus Ransomware pdiù frenquenti e conosciuti :

Nome del Virus

Estensione aggiunta dal Virus

Soluzione

Synack

Questo ransomware aggiunge al nome/estensione originale, una propria estensione composta da 11 caratteri alfabetici casuali. Esempio :

Fattura.doc.zyMvfwUlAEZ

File richiesta riscatto :
==READ==THIS==PLEASE==xxxxxxxx.txt

Dove xxxxxxxx sono lettere e numeri casuali.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Good

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione comosciuta finora, è : .Good

File richiesta riscatto :
HOW_TO_RECOVER_FILES.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Ryuk

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione comosciuta finora, è : .RYK

File richiesta riscatto :
RyukReadMe.html

In alcuni casi, per alcuni tipi di files di dimensione superiore a 500Mb, è possibile recuperarne in gran parte il contenuto (Es: Database SQL, Files .ZIP, Files Video, Files di posta elettronica .PST, Ecc...). In tutti gli altri casi, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Buddy

Questo ransomware modifica il nome originale, con la seguente struttura, aggiungendo l'estensione .BDDY :

[Indirizzo Email].[8 Caratteri casuali - 8 Caratteri casuali].BDDY

File richiesta riscatto :
#BDDY_README#

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

MedusaLocker

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].id[8 Caratteri casuali - 4 Caratteri casuali].[Indirizzo Email].[Estensione Aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .Devon

File richiesta riscatto :
info.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cryakl

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File] [Indirizzo Email] [10 cifre - 10 cifre].[Estensioni Aggiunte]

Il ransomware aggiunge differenti estensioni, composte da 3 caratteri. Es : .ang , .wrm , .uhe , .bpc , .cya Ecc...

La decriptazione per le versioni più datate di questo Ransomware, è possibile. Per tutte le altre versioni tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Maze

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Estensioni Aggiunte]

Il ransomware aggiunge differenti estensioni, composte da 6 o 7 caratteri. Es : .UvXwEVO , .se3g4d , .k9Uw4z , .rNrRZq , .jFiQqN Ecc...

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Makop

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Codice composto da 8 caratteri].[Indirizzo Email].[Estensione aggiunta]

Attualmente le estensioni aggiunte conosciute, sono : .CARLOS, .makop

File richiesta riscatto :
readme-warning.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

HelpMe

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[id-(10 caratteri numerici)]_[indirizzo Email]

Attualmente l'indirizzo Email inserito nel nome del file criptato, è : email_info@cryptedfiles.biz

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Hydra

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .enc

File richiesta riscatto :
===HOW DECRYPT MY FILES===.txt

Nella maggior parte dei casi è possibile decriptare i files. Ultimamente per questo tipo di Virus, abbiamo ottenuto ottimi risultati. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

eCh0raix / QNAPCrypt

Questo ransomware aggiunge al nome originale, una propria estensione. E' uno dei rari Ransomware che colpisce sistemi operativi Linux, compresi appliance (NAS, SAN, Ecc..) basati su Linux. Attualmente l'estensione aggiunta conosciuta è : .encrypt

File richiesta riscatto :
README_FOR_DECRYPT.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

LockBit

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Estensione aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .lockbit

File richiesta riscatto :
Restore-My-Files.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

.

Per maggiori dettagli sulla tecnica Signature Seeking, leggere il seguente articolo :
https://www.aesse-service.it/news.php?id=41