www.MegaLab.it

Recupero dei dati criptati

Veniamo all'ultima fase, il recupero dei dati criptati dal virus.

Non è detto che questa fase vi riguardi sempre, se avete subito questo tipo d'infezione, ho trovato dei computer in cui il virus aveva bloccato tutto, ma non aveva ancora criptato i dati.

Se però, vi trovate con tutti i vostri documenti e le immagini con l'estensione cambiata e non più apribili da nessun programma, non provate a rinominarli o tentare di leggerli e modificarli con metodi strani, non servirebbe a niente. I documenti sono criptati e bisogna trovare il modo di scoprire la chiave giusta per poterli rendere nuovamente leggibili.

Dr. Web, produttore russo del noto antivirus, offre un servizio gratuito che analizza i file criptati e tramite un tool, scaricabile da questo indirizzo (la versione potrebbe però cambiare al modificarsi del virus), permette di decriptare un file che gli avete inviato e di scoprire la giusta chiave per farlo.

Collegatevi a questa pagina e tramite Sfoglia selezionate uno dei file criptati, nella Submission category scegliete Request for curing, inserite poi un indirizzo e-mail valido in cui ricevere la risposta. Visti i tempi di risposta, non utilizzate indirizzi e-mail temporanei. Per completare l'operazione premete Send.

Deve arrivarvi una prima mail di risposta che il file è stato ricevuto e che lo stanno analizzando per trovare la cura. Dopo qualche tempo vi deve arrivare una mail, come quella che vedete qui sotto, con il link per scaricare il tool di decriptazione e l'opzione giusta con cui avviarlo.

Se non ricevete la prima mail, dopo pochi minuti, provate a cambiare indirizzo di posta e rispedire il file, il primo gestore di posta che avevo utilizzato non mi aveva consegnato nessuna mail, in quanto ai tempi di risposta delle mail con la "cura" sono piuttosto variabili, se il metodo di criptazione è già conosciuto, ho letto di tempi di risposta intorno ai 30 minuti, se invece si tratta di una nuova variante, bisogna solo attendere e aspettare che scoprano la metodologia usata.

Io avevo provato, di sabato, a spedirgli un campione di file criptato che avevo trovato in rete e la risposta mi è arrivata lunedì mattina, quindi posso supporre che il sabato e la domenica non lavorino.

Il tool funziona da riga di comando, se tentate di avviarlo direttamente, senza fornirgli la giusta chiave, otterrete un messaggio come quello che vedete qui sotto.

Aprite quindi un prompt dei comandi (Start - Esegui - Cmd) e spostatevi nella cartella dove avete copiato il tool di decriptazione, scrivete ora il comando che avete ricevuto nella mail e premete invio.

Dopo che avete premuto Continue si avvierà una veloce scansione di tutte le partizioni del vostro disco fisso per cercare i file criptati.

Aspettate solo il messaggio conclusivo.

Altri tool

Esistono anche alcuni altri tool per la decriptazione, uno di Panda e il RannohDecryptor di Kaspersky, però non sono sempre in grado di aprire i file criptati, con quello che avevo io non ci sono riusciti, e richiedono una copia originale di almeno uno dei file criptati per poter aprire poi anche gli altri.

Non tutti hanno però una copia di backup dei loro file.