CTB Locker e Cryptolocker: come recuperare i file criptati da virus
2 Settembre 2019Come è noto, uno degli incubi peggiori di qualsiasi possessore di PC, smartphone o altro device è quello di perdere i propri file e dati. La “disperazione” che ne può seguire è direttamente proporzionale al numero e all’importanza di questi dati. Per questo motivo nel mondo della sicurezza informatica i cryptovirus sono particolarmente temuti e fastidiosi.
Nel post di oggi vedremo prima di capire cosa sono questi malware (citandone due particolarmente noti) per poi vedere come recuperare i file colpiti da cryptovirus.
Indice
Cos’è e come funziona un cryptovirus
Un cryptovirus è un malware pensato per criptare i file presenti sul proprio computer. Una volta installato il malware inizia, a seconda di come è progettato, a criptare alcune categorie di file rendendoli inaccessibili. In genere i cryptovirus chiedono alla vittima il pagamento di un “riscatto”, solitamente in Bitcoin, per avere indietro i propri preziosi dati (attraverso la chiave di decifratura). Per questo motivo tali malware sono conosciuti con il termine ransomware (unione delle parole “ransom”, riscatto, e malware, software dannoso).
Spesso negligenza e disattenzione stanno alla base dell’infezione (ad esempio l’incauta apertura di una e-mail portatrice del malware o il download di un file contenente il javascript infetto). Ciò a testimonianza di quanto una cultura base sulla sicurezza informatica è sempre più importante si diffonda a quante più persone possibile. Bisogna pur dire che in molti casi tali e-mail infette non sono inviate a caso, nascondendo dunque un’attività di social engineering particolarmente raffinata.
Cryptolocker e CTB Locker
Nel mondo dei cryptovirus probabilmente Cryptolocker è quello tristemente più noto, per via della portata della sua diffusione. Creato nel 2013 è stato poi modificato e ne esistono oggi diverse varianti. L’infezione con Cryptolocker avveniva generalmente attraverso l’allegato di una e-mail, che spesso veniva visto come un file PDF. Il falso PDF in realtà era un insidioso eseguibile, che dava il via all’infezione con file e dati criptati.
In genere il malware dava poco tempo per muoversi a trovare una soluzione (il riscatto veniva fissato tra le 72 e le 100 ore). Eliminare il cryptovirus in linea di massima non è una buona idea, in quanto ciò comporta la perdita della chiave di decifratura e la conseguente impossibilità di recuperare i file. Riguardo Cryptolocker abbiamo anche creato una completa infografica che ne riassume storia e comportamento.
CTB Locker altro non è che una variante di Cryptolocker, più recente, rientrante anch’essa nella famiglia dei ransomware. Anch’esso si presentava soprattutto come e-mail (spesso ben ragionata) e una volta scaricato andava a criptare un gran numero di file (.doc, .xls, .ppt, ecc.). Ma esistono ad oggi un gran numero di varianti di malware di questo tipo, alcune davvero molto avanzate, tanto da rendere spesso davvero ardue le operazioni di decifratura (un’altra variante abbastanza nota è TeslaCrypt).
Come recuperare i file criptati da virus
In alcuni casi il riscatto viene fissato a cifre non particolarmente esose e, visto anche il countdown breve del riscatto, si sono registrati molti casi di utenti che hanno deciso di pagare per riavere i propri dati. Tendiamo a sconsigliare il pagamento, ovviamente non si può avere alcuna garanzia che una volta pagato si riceveranno indietro i propri file.
Se sei stato colpito da questo tipo di infezione occorre rivolgersi in modo tempestivo a una struttura specializzata, che possieda know how e strumenti idonei a gestire un tipo di malware particolarmente ostico. A Recovery Data offriamo anche il servizio di recupero dati da cryptovirus.
Ma come avviene il recupero? In caso di infezione da cryptovirus l’unico modo per decriptare i dati e trovare la chiave di cifratura (che molte volte è nascosta tra i vari files criptati.). In alcuni casi può verificarsi che gli algoritmi crittografici contengano degli errori di scrittura, grazie ai quali è possibile sbloccare i file ed eliminare il cryptovirus.
Il primo passaggio fondamentale è dunque tentare di identificare la variante del cryptovirus con la quale si ha a che fare (se è una nota). Spesso è possibile farlo andando ad analizzare l’estensione dei file criptati o i file contenenti le istruzioni per il riscatto.
Il successo nel recupero dei dati criptati da ransomware dipende molto da quanto è raffinata la variante del virus. Per questo motivo se sei incappato in cryptolocker o in una sua variante, contattaci quanto prima!
Richiedi Informazioni
il form