Ripristinare file compromessi da Ransomware

Questa pagina è stata creata per aiutarvi a decriptare file che sono stati manomessi e criptati da virus ransomware.

I Ransomware possono essere devastanti. Questi virus sono in grado di entrare nei vostri sistemi e rendere inaccessibili tutti i vostri file finché non pagherete un riscatto richiesto. Spesso anche pagare il riscatto non sarà sufficiente a ripristinare i file manomessi dagli hacker. Fortunatamente, sono disponibili diversi programmi di decodifica distribuiti gratuitamente online, ma non rappresentano la panacea universale ai danni causati dai ransomware. Spesso i programmi messi a disposizione per la decrittografia non sono in grado di ripristinare i file affetti dai più moderni protocolli di criptografia, ma riescono a ripristinare solo file manomessi da vecchie tipologie di ransomware. Questi programmi gratuiti sono utili più di quanto si possa pensare, poiché le vecchie tipologie di ransomware sono anche le più presenti sul web.

  • Fate attenzione ai programmi a pagamento che promettono di decodificare i vostri file corrotti, spesso sono una fregatura create dagli stessi hacker che hanno infettato i vostri sistemi. Tutti i programmi attualmente in grado di decriptare i file corrotti da un ransomware non richiedono alcun tipo di pagamento.
  • I programmi di decodifica, non sono da confondere con i programmi anti-malware, ovvero quei programmi specializzati nella rimozione del virus stesso. Un decodificare dei file corrotti, ed un anti-malware per il rimuovere il virus, sono supplementari l’uno all’altro.

step-1

Rimozione

Prima di iniziare la procedura di ripristino/decodifica dei tuoi file, accertatevi che il virus Ransomware sia già stato neutralizzato. Seguite la guida che vi ha portati a questo articolo per rimuovere il virus, altrimenti i vostri file potranno essere criptati nuovamente se il virus fosse ancora attivo dopo aver effettuato la procedura di decodifica dei file.Vi consigliamo di scaricare ed usare SpyHunter insieme alle istruzioni da noi descritte per assicurare una totale rimozione dell’infezione.

step-2

Identificazione

Di seguito vi elencheremo una lista di decodificatori gratuiti che potrebbero aiutarvi nel recupero dei vostri file. Ad ogni modo prima di scaricare il programma specializzato nel tipo di cifratura utilizzata per i vostri file, è necessario identificare il Ransomware che ha infettato il vostro sistema utilizzando il servizio online ID Ransomware. Il servizio vi chiederà semplicemente di caricare il file Ransom Note, che solitamente troverete nel vostro Desktop,  oppure un qualsiasi file criptato.

Cliccate su “Choose File” nei campi evidenziati e selezionate i file richiesti da caricare
Cliccate su “Choose File” nei campi evidenziati e selezionate i file richiesti da caricare

Una volta che ID Ransomware avrà finito di analizzato il file, vi sarà svelato con quale versione di ransomware avete a che fare.

Vi elencheremo adesso una lista di tutti i decodificatori di ransomware conosciuti. Scorrete la lista e cercare il decodificatore per il vostro particolare tipo di ransomware. Abbiamo segnato per voi sia il nome del virus che l’estensione usata sui vostri file.

Ripristinare i documenti corrotti da un Ransomware non è sempre possibile. Molti utenti però hanno avuto successo proteggendo i propri file creando delle copie automatiche di backup inaccessibili da hackers e virus grazie a pCloud Questo programma infatti permette di generare degli archivi a cui solo voi potrete accedere, memorizzarli su un cloud sicuro e renderli accessibili da tutti i vostri dispositivi. Una volta eliminato il Ransomware dal vostro pc, o se volete prevenire attacchi futuri, pCloud è il modo giusto per rendere inefficace l’attacco di qualsiasi forma di virus e ransomware ai vostri file . Per saperne di più potete anche provare la versione trial per 14 giorni.

step-3

Decodifica

Non garantiamo al 100% che tutti questi programmi di decodifica funzionino o che siano esattamente la versione rilasciata dai creatori, ma il più delle volte questi programmi riusciranno a ripristinare I vostri file.

Naturalmente, prima di provarli suoi vostri file vi consigliamo di effettuare una copia di backup di tutti i file.

  • Autolocky – estensione file: .locky
  • Nemucod – estensione file: .crypted
  • DMALocker2 – estensione file: unchanged
  • DMALocker – estensione file: .unchanged
  • Gomasom – estensione file:.crypt
  • LeChiffre – estensione file:.lechiffre
  • KeyBTC – estensione file: .keybtc@inbox_com
  • Radamant – estensione file: .rdm or .rrk
  • PClock – estensione file: .unchanged
  • CryptoDefense – estensione file: unchanged
  • Harasom – estensione file: .HTML
  • Decrypt Protect – estensione file: .HTML
  • Apocalypse – .encrypted
  • ApocalypseVM varianti – .ecrypted .locked
  • Xorist – .cerber (Per Cerber Ransomware  .cerber e .cerber2 guardate sotto)

Una azienda chiamata Emsisoft ha creato diversi decrittatori per tutti i tipi di ransomware sopracitati. (Complimenti ai ragazzi per il duro lavoro!)

Emisisoft è una azienda specializzata in decriptazione di ransomware che ha raggiunto ottimi risultati.Potete scaricare tutti i loro programmi di decrittografia dal loro sito.

I loro programmi di decodifica sono facili ed intuitivi da usare. La maggior parte dei decodificatori creati d Emsisoft presenta una interfaccia grafica simile, utilizzabile allo stesso modo per tutti. Quello che dovrete fare è semplicemente eseguire il programma realizzato per lo specifico ransomware (l’installazione non è necessaria) e dalla finestra dei risultati selezionare la cartella o il disco che volete decriptare. Potete aggiungere e rimuovere le cartelle attraverso gli appositi bottoni in basso. Una volta selezionati tutti i file che volete ripristinare, selezionare la cartella che volete e cliccate su Decrypt.

ransomware-2

HydraCrypt e UmbreCrypt – estensione file: .hydracrypt e .umbrecrypt

Questi due ransomware sono le ultime aggiunte di CrypBoss ransomware. Anche in questo caso il programma di decodifica è sviluppato da Emsisoft. Ecco il link per scaricarlo. Questo programma di decodificazione funziona in maniera diversa rispetto agli altri decrittatori sviluppati da Emsisoft, proprio per questo motivo abbiamo separato le due sezioni. Per utilizzare questo programma, avete bisogno di un file criptato sul vostro computer, ma anche una versione non criptata dello stesso. Una volta che avete entrambe, basterà selezionarle e spostarle sopra l’icona del programma di decodifica. Se non siete in grado di recuperare la coppia di file richiesta (scenario abbastanza comune , cercate un file PNG file criptato ( semplicemente una immagine, come quelle di esempio di Windows nella cartella /Documenti/Immagini o /Questo PC/Immagini ) del vostro sistema e poi scaricate un qualsiasi file PNG da internet. L’immagine scaricata non deve essere la stessa di quella presente nel vostro computer, quello che importa è che l’estensione sia la stessa). Usate le due immagini come coppia da usare con il programma di decodifica, in questo modo quest’ultimo sarà in grado di ricavare il codice per la decodifica.

Il metodo mostrato in questa guida può essere applicato a qualsiasi programma di decrittografia Emsisoft mostrato in futuro
Il metodo mostrato in questa guida può essere applicato a qualsiasi programma di decrittografia Emsisoft mostrato in futuro

Petya password generator – nessuna estensione, l’intero Hard Disk è bloccato.

Petya, è uno degli ultimi ransomware creati. L’effetto principale causato dal virus è l’impossibilità di avviare lo stesso sia normalmente che in Safe Mode. In altre parole, la crittografia viene estesa a tutto il PC. La Decrittografia di Petya pertanto risulta parzialmente più complicata rispetto le altre.

La prima cosa da fare è disconnettere il tuo HDD/SSD infetto e connetterlo ad un altro computer. Assicuratevi che la seconda macchina che stai usando sia dotata di anti-virus installato ed attivo! Petya dovrebbe essere già inerte dopo la rimozione del vostro Hard Disk / SSD, ma è meglio essere sicuri ed in un ambiente protetto da anti-virus. A questo punto scaricate ed eseguite Petya Sector Extractor by Wosar. Questo programma effettuerà una scansione dell’HDD infetto ed estrarrà alcuni dati che dovrai copiare nei campi di questo sito.  Una volta che avrai immesso i dati richiesti, riceverai un codice. Annotalo su un pezzo di carta. Ricollega il tuo Hard Disk nel tuo computer ed avvia Windows normalmente. Quando Petya farà partire la riga dei comandi su cui inserire la chiave di crittografia, utilizza il codice annotato precedentemente. A questo punto dovreste essere in grado di accedere di nuovo ai vostri file.

Operation Global III – estensione file: .exe

Questo virus a differenza degli altri ha una particolarità, ogni file che viene cifrato può diventare un potenziale veicolo per la trasmissione del virus. Per questo motivo non trasferite, in nessuna circostanza, file cifrati ad altri computer o dispositivi.

Il nome del tool utilizzato per la decodifica è OG3 Patcher – qui il download. Il programma è facile da usare, una volta che lo avete scaricato, basta avviarlo e nella finestra di interfaccia cliccare Patch. Una volta che il processo di patching è finito, cliccate semplicemente due volte su qualsiasi file corrotto. Questo basterà a ripristinarlo.

ransomware-4Tenete conto però, che utilizzare questo tool per decriptare i vostri file, potrebbe rendere qualche file eseguibile inutilizzabile di tanto in tanto. In quel caso, dovrete reinstallare il programma associato al file eseguibile danneggiato. Questa situazione accade a causa della natura dei ransomware, che di per sé sono problematici, e ci sono danni per il quale non è possibile far nulla.

Suggeriamo inoltre, in caso di infezione, di effettuare un back-up di tutti i file più importanti e installare nuovamente l’intero Sistema Operativo e formattare (o effettuare una pulizia profonda dei dischi) tutti i dispositivi danneggiati o entrati in contatto con file cifrati. In questo modo non resterà più nessuna traccia del virus Operation Global III nella vostra macchina.

TeslaCrypt – estensioni file: .ECC.EXX.EZZ

Talos decryptor by Cisco – potete scaricare il programma di decodifica da questo link.Questo tool a riga di comando vi permette di violare il codice utilizzato per la cifratura dei vostri file causa dal ransomware TeslaCrypt. (Ma non funzionerà per la cifratura causata da TeslaCrypt versione 2.0 o superiore, che hanno diverse estensione di file che potete trovare successivamente in questo stesso articolo).  Per utilizzare Talos decryptor  avrete bisogno di un file “key.dat” creato da TeslaCrypt. In nessun modo è possible far funzionare il tool senza il file “key.dat”. Ad ogni modo, sarà il tool stesso a ricercare automaticamente il file nella posizione in cui dovrebbe trovarsi, se non dovesse trovarsi lì, il tool continuerà a cercare nelle cartelle in cui è stato installato. Se anche stavolta la ricerca non dovesse andare a buon fine, il programma risponderà con un messaggio di errore. Assicuratevi che il file “key.dat” si trovi in una delle due posizioni sopracitate! Fatto questo dovrete inserire la cartella da decriptare inserendo sia il percorso sia il nome del file da ripristinare.

 

Per esempio; avete ammassato tutto in una cartella chiamata Decodificazione localizzata sul vostro drive C. In tal caso il percorso da inserire è C:/Decodificazione

Ricapitolando, inserite I file da decifrare in una cartella, inserite il percorso della cartella, premete Enter, ed è fatta.

Il programma è dotato anche dei seguenti comandi:

  • /help – Mostra i messaggi di aiuto
  • /key – Per inserire manualmente la chiave di decodifica (32 bytes/64 digits)
  • /keyfile – Per inserire un percorso specific per la ricercar del file “key.dat” oltre che al percorso di default.
  • /file – Per inserire il nome di un file specific da decriptare
  • /dir – Per selezionare una intera cartella da decriptare.
  • /scanEntirePc – Per effettuare una scansione totale del vostro PC e dei vostri file. /KeepOriginal – Questo comando permetterà di mantenere una copia dei file criptati dopo la decodifica.
  • /deleteTeslaCrypt – Questo comando eliminerà qualsiasi processo attivo del virus TeslaCrypt

TeslaCrypt – estensione file:  .micro, .xxx, .ttt, .mp3 o “estensioni non modificate”

Nome Tool: TeslaCrypt Decryptor

Questo programma di decodifica è stato sviluppato da una compagnia di servizi antivirus di nome ESET, e può essere scaricato dal loro sito ufficiale.

  1. Scaricate il programma di decodifica sul vostro Desktop
  2. Aprite il vostro menu di start e cercate Prompt dei Comandi (o CMD). Cliccate sul file eseguibile e selezionate Avvia Come Amministratore
  3. Inserite il seguente comando cd %userprofile%\Desktop. Inserite il comando così come scritto, non avete bisogno di inserire il vostro username al posto di userprofile.
  1. Digitate exe e premete Enter.
  2. Digitate exe C:e Enter per effettuare una scansione del vostro drive C. Fate se avete driver con etichetta diversa (D, E, F …) se ne avete insallati.
  3. I file cifrati da TeslaCrypt (estensioni .micro, .xxx, .ttt, .mp3 or “unchanged”) verranno a questo punto decifrati.

ransomware-5

BitCryptor e CoinVault – estensione file: 7z.encrypted

Nell’ultimo anno Kaspersky è riuscita a decifrare i file criptati da questi due ransomware, sviluppando gli appositi programmi di decodifica che potete scaricare gratuitamente da questa pagina. Una volta scaricato il file, decomprimetelo ed eseguite il programma.Questo tool è estremamente semplice da usare, vi basterà seguire i seguenti passi:

  1. Una volta aperto il programma, cliccate su Start Scan.
  2. A questo punto si aprirà una pagina di selezione, per la quale dovrete selezionare un file specifico con nome cylst. Questo file viene generato dal ransomware e localizzarlo è necessario per permettere al tool la decodifica dei vostri file.
  3. Se non riusciste a trovare il file richiesto, posizionate tutti i vostri file cifrati in un’unica cartella ed usate il comandando Folder with encrypted files alla quale potete accedere dal programma dopo aver selezionato Change Parameters dall’interfaccia principale dello stesso.
  4. Una volta selezionato l’operazione che fa al caso vostro, aspettate che la scansione faccia il suo corso e selezionando prima la cartella con i file da decodificare.
  5. Una volta che l’operazione sarà completata, il tool genererà delle copie ripristinate aggiungendo al nome del file la dicitura Se volete che il programma sostituisca direttamente i file cifrati con i file ripristinati senza crearne delle copie, selezionate sempre dalla finestra principale Change Parameters la casella replace encrypted files with decrypted ones come mostrato nell’immagine.

ransomware-6ransomware-001

Kaspersky ha sviluppato dei programmi di decodifica anche per le seguenti tipologie di ransomware:

Rector  – estensione file: sconosciuta.

Rakhni  – estensione file: .locked

.kraken; .nochance; .oshit; .oplata@qq_com; .relock@qq_com; .crypto; .helpdecrypt@ukr.net; .pizda@qq_com; .dyatel@qq_com; .crypt; .nalog@qq_com; .hifrator@qq_com; .gruzin@qq_com; .troyancoder@qq_com; .encrypted; .cry .AES256; .enc; .coderksu@gmail_com_id371; .coderksu@gmail_com_id372 .coderksu@gmail_com_id374; .coderksu@gmail_com_id375; .coderksu@gmail_com_id376; .coderksu@gmail_com_id392; .coderksu@gmail_com_id357; .coderksu@gmail_com_id356; .coderksu@gmail_com_id358; .coderksu@gmail_com_id359; .coderksu@gmail_com_id360; .coderksu@gmail_com_id20; .crypt@india.com.random_characters; .hb15;

._date-time_$address@domain$.777; .xxx; .ttt; .micro; .mp3

Scatter  – estensione file:  .pzdc .crypt .good

Xorist – estensione file: sconosciuta.

Rannoh  – estensioni file possibili locked-<original_name>.<four_random_letters> ; <original_name>@<mail server>_<random_set_of_characters> ; <original_name>.crypt

Rector (decryptor link)

Rakhni (decryptor link)

Scatter (decryptor link)

Xorist (decryptor link)

Rannoh (decryptor link)

 

I programmi di decodifica per queste tipologie di ransomware sono simili a quello presentato sopra per CoinVault e BitCryptor, pertanto vi basterà seguire gli stessi passi presentati precedentemente anche per questi tool.

Il programma Trend Micro’s Decrypter vi permetterà di codificare invece i file corrotti dai seguenti ransomware:

TeslaCrypt(v3, v4) – estensioni.micro, .xxx, .ttt, .mp3 or “unchanged

AutoLocky – estensione: .locky

SNSLockeр – estensione: .RSNSlocked

CryptXXX(v1, v2, v3) – estensione: .crypt

Questo tool è sviluppato da Trend Micro ed è capace di decodificare tutti i file corrotti dai ransomware citati sopra. Potete scaricare il programma qui.

  1. Una volta scaricato il programma di decodifica, eseguitelo ed accettate la licenza End User License Agreement.
  2. Fatto questo cliccate su Select, e selezionare il ransomware che ha infettato i vostri file.
    ransomware-7
    ransoware-8
  3. Fatto questo, cliccate su Select and Decrypt, selezionate il file o la cartella che volete decodificare e cliccate su OK. Tenete conto che il tempo di decodifica dipenderà dal tipo di ransomware con cui avete a che fare, in ogni caso siate pazienti nell’attendere che il processo di decodifica venga concluso.
    ransomware-9
  4. Se i vostri file sono stati compromessi da CryptXXX, oltre alla normale procedura vi verrà richiesto di fornire un file cifrato ed un file non compromesso. Per questo motivo è sempre bene tenere ed effettuare costantemente delle copie di backup dei vostri file più importanti.

Jigsaw – estensione file: .fun; .kkk; .gws; .btc; .PAYSM

Questo particolare ransomware, una volta entrato nel vostro computer, non solo comprometterà i vostri file, ma li eliminerà gradualmente se non pagherete il riscatto richiesto. A questo link potete trovare il programma di decodificare gentilmente concesso da Bleeping Computers forum.

  1. Una volta scaricato il tool di decodifica, cliccate due volte su di esso e selezionate il tasto Select Directory. Selezionate la/le cartella/e con i file cifrati e cliccate OK.

Consiglio: Per facilitare sia te stesso che il programma, raggruppate tutti i file cifrati in un’unica cartella.

ransomware-10
ransomware-11

  1. Adesso, quello che vi rimane da fare è cliccare su Decrypt my files. Potete anche selezionare l’opzione Delete Encrypted Files qualora desideraste eliminare i file compromessi finita l’operazione di decodifica e ripristino.ransomware-12

CryptXXX – Estensione file .crypz and .crypt1 Ecco

In questo caso non parliamo di un programma di decodifica, ma di un bug nella stessa codifica dei file. Sembra che le vittime del ransomware con estensioni .crypz e crypt1 possano trovare le istruzioni per la decodifica fornite dal ransomware stesso e decifrare così i file senza dover pagare. Se siete vittime di questo ransomware, sbrigatevi! Decifrate i vostri file prima che l’hacker si accorda del bug e lo risolva.

Ransomware ODCODC: Download Tool Decodifica

I ransomware Breaking Bad, presentano le seguenti estensioni: .xtbl, .ytbl, .breaking_bad, .heisenberg:

Download Tool DecodificaIl programma di decodifica è fornito da Kaspersky Labs e risulta semplicissimo da usare.Scaricatelo, eseguitelo e selezionate la cartella su cui effettuare la scansione.Il programma farà il resto automaticamente.

Cerber ransomware estensioni: .cerber and .cerber2 :

Download Tool Decodifica.La decodifica segue due passaggi come descritto nel sito di distribuzione:

  1. Scaricate un file .ceber cifrato per ricevere la vostra chiave in file formato PK.
  2. Scaricare il programma di decodifica, create una cartella in cui mettere insieme il file PK e il programma, a questo punto eseguite quest’ultimo.

  step-4

Ripristino Copie Nascoste

Se la versione del ransomware nel tuo sistema non è presente nella lista dei programmi di cifratura per i ransomware conosciuti, allora potresti avere un problema. Per fortuna non tutto è perduto. In questo caso, la cosa da fare è provare a ripristinare la copia originale dei vostri file prima che essi siano stati cifrati. I file originali vengono cancellati dai ransomware subito dopo che la copia cifrata viene creata, ma potrebbe ancora essere possibile ripristinarli allo stesso modo con cui potreste provare a ripristinare dei file cancellati accidentalmente. Esistono diversi programmi per questa tipologia di problema, come Recuva o Puran File Recovery che sono due tra le migliori soluzioni gratuite.

 

Come usare Recuva per ripristinare i tuoi file – scaricalo da qui

L’interfaccia del programma è facile e intuitiva da usare, è presente solo un checkbox possibile selezionare – Enable Deep Scan nel caso si voglia effettuare una scansione profonda della memoria.

ransomware-13La durata dell’operazione varia in base alla vostra CPU e la grandezza del vostro Hard Disk. Una volta finita l’operazione, vi verrà presentata una lista dei possibili file da ripristinare. Provate a trovare i file che volete ripristinare e selezionateli dalla lista, dopodiché premete Recover e sperate nel meglio.

 

Come usare Puran File Recovery per ripristinare i tuoi file – scaricalo da qui

Puran File Recovery è anche più semplice da usare. Installatelo, eseguitelo e selezionate una partizione su cui effettuare la scansione. Vedrete i risultati dell’operazione nella stessa finestra. Cercate e selezionate i file interessati lungo la lista ( potete usare sia lo scroll che il comando di ricerca search), poi premete Recover e sperate anche in questo caso per il meglio.

ransomware-14Speriamo che arrivati qui in un modo o nell’altro vi sia stato possibile recuperare I vostri file. Sfortunatamente, specialmente nel caso di infezione da Ransomware, potrebbe non sempre essere possibile recuperare i vostri file. A parte pagare il riscatto, c’è solo un’altra possibilità che vi rimane da provare:

step-5

Aspettare una soluzione

Né i ransomware né i loro creatori sono perfetti o infallibili, e la lista che abbiamo presentati di programmi di decodifica ne è la prova. Sfortunatamente, solitamente ci vuole un po’ di tempo affinché i ricercatori riescano a decifrare il codice dei ransomware e trovare cosi la soluzione che stavamo disperatamente aspettando. Dunque nel caso un programma di decodifica per un particolare ransomware non sia disponibile adesso, non significa che non possa esserlo in futuro.Ti consigliamo per tanto di inserire questa pagina tra i tuoi preferiti e controllare periodicamente gli aggiornamenti sulle nuove soluzioni disponibili e sviluppate nel web. Continueremo ad aggiornare questa pagina ogni qualvolta una nuova soluzione viene trovata e resa pubblica sulla rete.

 

Salva

Salva

Salva

LEAVE A REPLY