Guida su come recuperare i file criptati da ransomware 5/5 (1)

Posted By: Dom novembre 16, 2016

L’Italia da un recente studio risulta essere uno dei Paesi più colpiti dai ransomware (come ad esempio Cryptolocker), una tipologia di malware che, come dice la parola stessa “ransom” chiede un riscatto in denaro per ripristinare i file criptati o per sbloccare un dispositivo. Questa tipologia di malware si propaga maggiormente attraverso email con allegati indi per cui è altamente consigliato aprire esclusivamente gli allegati provenienti da fonti sicure e con la giusta estensione. Purtroppo esistono migliaia di varianti e quindi per il momento solo per alcune risulta possibile decriptare i files.

La prima cosa da provare a fare per recuperare i files criptati è di controllare se nel computer vi sono delle shadow copy dei files, la copia di shadow è una caratteristica introdotta a partire da Windows Xp SP1 che permette di creare copie di backup dei files ed è gestita in maniera automatica dal sistema purtroppo alcune varianti di ransonware bloccano questa funzione. Per visionare e salvare le copie shadow è sufficiente lanciare l’utility Shadow Copy Viewer, selezionare la data di shadow a sinistra, cercare i files che ci interessano, selezionarli e salvarli nella directory che preferiamo.

Se nel computer non vi sono copie di shadow possiamo provare a utilizzare dei specifici tool creati per le differenti varianti. Iniziamo con l’identificazione del ransonware che ha criptato la macchina, qui di seguito le immagini dei vari ransonware.

: BitCryptor

: CoinVault

: CryptoDefense

: Cryptorbit

: Locker

: LosPollos

: PClock

: TeslaCrypt

: Crypt0l0cker

: CTB-Locker

BitCryptor

BitCryptor è una nuova versione di ransomware prodotta dagli stessi creatori di CoinVault, cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy ma la cosa curiosa è che il processo di cifratura consiste nel creare una copia criptata e eliminare l’originale del file, quindi utilizzando un tool per il recupero dei dati come photorec o recuva è possibile recuperare i files.

CoinVault

CoinVault cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. A differenza di BitCryptor non cancella le shadow copy e anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Inoltre Kaspersky a questo indirizzo ha creato un database con i codici di decriptazione, vi basterà visitare il sito, inserire l’indirizzo Bitcoin associato visibile in basso a destra e controllare se nel database è presente il codice di decriptazione. Se il codice è presente, lanciare kaspersky coinvault decryptor, selezionare i files o la lista di files, inserire i codici forniti dal sito e avviare il processo di decriptazione.

CryptoDefense

CryptoDefense cripta i files con una chiave a 2048 bit e richiede un riscatto iniziale di 500 Euro e dopo 4 giorni di 1000 Euro. Apparte le nuovissime versioni non cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft DECRYPTER prodotto da Emsisoft disponibile non risulta molto efficace ma tentar non nuoce. Una volta lanciato verificherà se nel registro è presente la key per la decriptazione e se la trova sarà possibile recuperare i files.

Crypt0L0cker

Crypt0L0cker cripta i files con una chiave a 2048 bit e richiede un riscatto di 399 Euro.I files che una volta criptati hanno un estensione di 6 caratteri casuali. Al momento non è possibile decriptare i files gratuitamente l’unica alternativa è Dr.Web che possiede un database con i codici di decriptazione, per verificare se è possibile decriptare i vostri files dovrete inviare un file criptato e la vostra mail a questa pagina, il costo è di 150 euro + iva

Cryptorbit

Cryptorbit cripta solo una piccola porzione di codice dei vostri files rendendoli illegibili e possiede una componente attiva che utilizza la vostra cpu per produrre monete coin digitali. Non cancella le shadow copy. Nathan Scott, aka DecrypterFixer, ha prodotto il tool Anti-CryptorBit che è in grado di decriptare i files JPEG/JPG, .PDF, .WAV, .PST, .DOC, .XLS, .XLSX, .PPTX, .DOCX, e .MP3. Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.

CryptoWall

CryptoWall crea i file HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, e HELP_DECRYPT.URL in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Per il momento non esiste nessuna utility per decriptare.

CTB-Locker

CTB-Locker crea i file !Decrypt-All-Files.bmp e !Decrypt-All-Files.txt in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Per il momento non esiste nessuna utility per decriptare.

Locker

Locker cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Il produttore del malware a inizio giugno ha deciso di rilasciare tutti i codici di decriptaggio e Nathan Scott, aka DecrypterFixer, ha prodotto il tool Locker Unlocker . Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.

PClock

PClock cripta i files con una chiave a 2048 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft Decryptor for PClock prodotto da Emsisoft, se la variante di Pclock è compatibile una volta lanciato, il tool importerà automaticamente i files criptati e sarà sufficiente cliccare su Decrypt per avviare il processo di recupero dei files.Il tool rinominerà i file criptati con l’estensione .decbak e creerà i files decriptati.

TeslaCrypt / Alpha Crypt

TeslaCrypt cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Esiste un tool per la decriptazione TeslaDecoder prodotto da BloodDolly che è capace di decriptare i files con estensione .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz . Una volta avviato si metterà alla ricerca dei files storage.bin o key.dat necessari per ricavare il codice e se ci riuscirà sarà sufficiente cliccare su Decrypt folder o Decrypt All per decriptare i files.Se non trova alcuna key è possibile decriptare i files fattorizzando un numero presente nell’header dei file criptati e utilizzando i fattori per generare la chiave, per fare cio potete seguire questa guida o in alternativa scrivere un post sul forum e qualcuno cercherà di darvi una mano. Esiste una nuova variante 3.0 che cripta i files con estensione .micro .ttt .xxx .micro o senza modificare l’estensione, le istruzione per decriptare quest’ultima si trovano qui.

Locky / Zepto

Locky è una nuova versione di ransomware, cripta i files con una chiave RSA-2048 e chiede un riscatto da 0.5 Bitcoins ai 2.5 Bitcoin. Estensione dei file criptati .Locky e .Zepto . Una volta avviato cancella le shadow copy e per il momento non esiste alcun tool per la decriptazione.

CryptXXX

CryptXXX è un ransomware ideato da gli stessi programmatori del famigerato Reventon, cripta i files con una chiave a 2048 bit e chiede un riscatto di 1.3 Bitcoins circa 500 euro. L’estensione dei files criptati è .crypt e i files di istruzioni sono molto simili a quelli del noto Teslacrypt: de_crypt_readme.bmp,de_crypt_readme.txt, de_crypt_readme.html. Esiste un tool per la decriptazione prodotto da Kaspersky scaricabile da qui LINK. Esiste una nuova variante che cripta i file con estensione .crypt1 o .crypz con l’ultima variante il recupero è solo parziale, le istruzioni a questo link (cambiare l’estensione dei file .crypz in .cryp1 per l’ultima variante). Sembra inoltre che vi siano problemi con il decripter che viene fornito quindi sconsiglio di pagare il riscatto.

Rakhni

Rakhni una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione RakhniDecryptor, (link per il download) prodotto da Kaspersky che è in grado di decriptare i files di alcune varianti . L’utility si basa su un sistema brute force con migliaia di chiavi ed è quindi molto lento e potrebbe impiegare diversi giorni. Questa variante rinomina i files in uno dei seguenti modi: .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, .helpdecrypt@ukr.net, .pizda@qq_com, .dyatel@qq_com, _crypt, .nalog@qq_com, .chifrator@qq_com , .gruzin@qq_com, .troyancoder@qq_com, .encrypted, .cry, .AES256, .enc, .coderksu@gmail_com_ID, .crypt@india.com.CARATTERIRANDOM, .hb15, ID_helpme@freespeechmail.org .

Bandarchor

Bandarchor cripta i files con una chiave AES da 256 bit solo i primi 16kb dei file. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorec o recuva per recuperare i files. Non esiste alcun tool in grado di decriptare i file ma eliminando la parte criptata dai file cioè i primi 16Kb si puo recuperare una buona parte dei files. Questa variante rinomina i files in uno dei seguenti modi: ID_info@cryptedfiles.biz, ID_bingo@opensourcemail.org, ID_doctor@freelinuxmail.org, ID_johndoe@weekendwarrior55.com, ID_sos@encryption.guru, ID_av666@weekendwarrior55.com, ID_email_info@cryptedfiles.biz, ID_email1_info@cryptedfiles.biz, ID_milarepa.lotos@aol.com

Filecoder

Filecoder è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 2.5 Bitcoins circa 1000 euro. Estensione file criptati .bleep , .him0m , .1999 , .33t , .0x0 . Cripta i primi 64 KB dei documenti e una volta avviato cancella le shadow copy. Per il momento non esiste alcun tool per la decriptazione.

Randamant

Randamant è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 0.5 Bitcoins circa 250 euro. Estensione file criptati .RDM . Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione creato da Emsisoft scaricabile da qui. Una volta lanciato è sufficiente cliccare sul pulsante ‘Decrypt’ per iniziare la decriptazione dell’intero disco.

Sarà comunque necessario effettuare un controllo completo sul pc per eliminare l’infestazione seguendo questa guida alla rimozione.

Se vi serve aiuto aprite una discussione sul forum e proveremo a darvi una mano o scriveteci qui.

Zombie™

Salve,

Mi sono stati decriptati i file in estensione “.vvv”, e sono presenti 3 file per ogno directory.

Ho provveduto ad eliminare subito il virus con Norton, ed ho ripristinato (formattato) tutto, lasciando solo i file personali. C’è qualcosa che posso fare per decriptare i file? Sono per lo più le foto che mi interessano (7 anni di foto).

Grazie, poverò con tutti i tools, ma per caso se mi rivolgo ad un esperto? Qualcosa si può fare?

Grazie, cordiali saluti.
- sirdom
  
  .vvv e una nuova variante del teslacrypt purtroppo per adesso non si puo fare niente tranne verificare se e ancora presente una shadow copy precedente ma di solito cancella anche quello, tenga comunque i files che non si sai mai se un domani potrebbero uscire con dei nuovi tools per la decriptazione
  - Zombie™
    
    Ok, farò così.
    La ringrazio per la risposta tempestiva. Ho già controllato, e purtroppo non sono presenti shadow copy o versioni precedenti…
    Spero riescano a fare i tools, mi iscriverò al forum.
    Grazie ancora, cordiali saluti.
    - sirdom
      
      Mi mandi una mail con un file criptato a support@techgeeks.it e la informerò nel caso trovassi qualcosa…
      - Zombie™
        
        Non appena arrivo a casa da scuola, glielo mando.
        La ringrazio ancora.
      - Trustno1
        
        Buonasera, mi intrometto nella discussione in quanto sono stato colpito anch’io da RANSOMEWARE credo Cryptowall 3.0
        Non sembra mi abbia rinominato i file, e le estensioni sono sempre le stesse, vorrei xo capire se qualche soluzione in merito è saltata fuori, almeno per recuperare le foto del matrimonio e del viaggio di nozze (che sono insostituibii) per il resto me ne faccio una ragione….potrebbe darmi una risposta un consiglio o un aiuto??? grazie per il tempo e buona serata
  - Nopnop Nop
    
    io ho decriptato i file .vvv seguendo le istruzioni indicate su http://giovannilubrano.blogspot.it/2016/01/ransomware-teslacrypt.html
- Leonardo Angelini
  
  la procedura per recuperare i .vvv è complessa, però esiste la soluzione. guarda qui http://www.cobaltica.it/recupero-file-vvv-teslacrypt/
- Niccolo’ Faglia
  
  Ho creato una pagina
  
  https://www.facebook.com/TESLASOLUTION
  se la chiave e’ stata risolta gia’ online la decodifica e’ assolutamente gratuita
  Recupera i files criptati da Teslacrypt con estensione .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz
Paolo Montagna

Buona sera
Mi sono stati criptati i file dell’intero HardDisk (secondario); alcuni file hanno estensione “ccc” (e presumo non si possa fare nulla al momento) e, altri, hanno estensione “.encryped”. Come consigliato dal sito, ho provato ad effettuare la scansione mediante il tool “rakhnidecryptor.exe”.
Dopo alcuni minuti, mi dice che la decriptazione ha avuto successo, ma se provo ad aprire i relativi file decriptati mediante il loro programma specifico (jpeg, psd, zip, ecc.) mi dice che il formato non è valido.
C’è qualche speranza di recuperare diversi gigabyte di file?
Ho provato ad inviare una copia di file ad una ditta italiana che esegue la decriptazione…mi hanno risposto che è fattibile ma chiedono 220€ più IVA….e, purtroppo, sono davvero eccessivi per le mie tasche

Grazie
- sirdom
  
  Salve, Le ho inviato una mail.
- Daniele D’Innocenzio
  
  mi da il link di questa ditta italiana?grazie daniele1@email.it
  - Paolo Montagna
    
    http://www.decryptolocker.it/
    Prego
Molo Diciassette

Salve.

Ho subito la criptazione di quasi tutti i files dell hard disk.
L’hd è formattato in tre partizioni
Sono stati criptati files di qualsiasi estensione
Su ogni cartella è presente il file COME_RECUPERARE_I_FILES e anch’esso risulta criptato.
I file criptati hanno estensione “.encrypted”
Quando ho fatto la scansione con Microsoft Essential il Trojan era nominato Ransom HTML/Tracer
Sul volume C, dove risiede il s. o. Win7 ho notato che posso recuperare i files con Shadow copy Viewer mentre sulle altre partizioni non ci sono shadow copy (disattivate forse)
Ho provato a lanciare Rakhinkasperky e, malgrado mi dica che la decriptazione ha avuto successo i file ripristinati non sono apribili.
Cosa mi consigliate?
Grazie
- sirdom
  
  Salve si dovrebbe trattare di torrentlocker provi a utilizzare il tool torrentunlocker
  - Molo Diciassette
    
    Grazie mille. Ci provo
    Vi faccio sapere
    - Molo Diciassette
      
      Purtroppo mi ha decriptato solo il file di cui avevo la copia buona. Come se la chiavd utilizzata per la ricostruzione funzioni solo per quel fil
- Niccolo’ Faglia
  
  Ho creato una pagina
  
  https://www.facebook.com/TESLASOLUTION
  se la chiave e’ stata risolta gia’ online la decodifica e’ assolutamente gratuita
Goblin Green

Riesco aiutare a decriptare file criptatti TeslaCrypt files that have the extensions .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, and .VVV.
inviare per testare 2-3 files criptato a
recoverycryptfiles@gmail.com
Niccolo’ Faglia

Ho creato una pagina

https://www.facebook.com/TESLASOLUTION
se la chiave e’ stata risolta gia’ online la decodifica e’ assolutamente gratuita
Aiuteremo a Recuperare i files criptati da Teslacrypt con estensione .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz
Nopnop Nop

Con tesla crypt ho risolto seguendo le istruzioni indicate http://giovannilubrano.blogspot.it/2016/01/ransomware-teslacrypt.html
Vittorio Scaperrotta

Buonasera, ho subito la criptazione di tutti i file di un pc che ho in casa. Si tratta di un vecchio Windows XP SP2 e ogni file al suo interno (testi, immagini, video) hanno preso l’estensione .micro.
Cosa potrei usare per decriptare almeno i file più importanti?
Grazie mille per l’aiuto!!
- Mario
  
  Salve! Sono in grado di recuperare tutti i file con l’estensione .micro.. Mi contatti per maggiori informazioni.
Luca Balloriani

Buonasera, il pc di mio padre con os Windows XP SP3 è stato infettato da TeslaCrypt 3.0 che ha cambiato le estensioni di tutti i file in .micro
Come posso fare a recuperare tali dati? sono principalmente fogli word ed excel lavorativi quindi molto importanti…
Grazie!
- Mario
  
  Salve! Sono in grado di recuperare tutti i file con l’estensione .micro. Mi contatti per maggiori informazioni.
Viviana

Buongiorno,
ho disgraziatamente cercato di aprire un file denominato “fattura” da un indirizzo di posta conosciuto ed ho invero contratto il virus tesla con estensione .micro. Come posso recuperare i files criptati? Ho copie di molte cose su un supporto esterno ma moltissime altre importanti le perderei poiché ancora non le avevo copiate. Purtroppo non essendo un’esperta di informatica non so proprio come muovermi in queste acque a me oscure. Grazie molte per una risposta.
- Mario
  
  Salve! Sono in grado di recuperare tutti i file con l’estensione .micro. Mi contatti per maggiori informazioni.
Viviana

Buongiorno,
qualcuno degli amministratori può cortesemente rispondere?
Grazie mille ancora.
- Dom
  
  Salve, per il momento non c’è alcuna soluzione per l’ultima versione di teslacrypt, ci siamo accorti che le mail contenenti il virus arrivano anche da indirizzi di conoscenti…mi mandi una mail a support@techgeeks.it con un paio di file criptati e appena sapro qualcosa le faro sapere
Andrea Antonio Gallo

Salve sono stato anche io vittima di file criptato da tesla, ma l’estensione e scritto micro. Utilizzo sempre lo stesso procedimento?
- Andrea Antonio Gallo
  
  non ce nessuno che mi potrebbe spiegare?
  - Il Pellaro
    
    Il virus che ti ha colpito, è appena uscito il 30 gennaio 2016, quindi prima di avere risposte occorre aspettare un po’
    Anche io sono stato colpito dallo stesso trojan e domani devo sentire il tecnico che oggi mi ha detto che sta lavorando su questo nuovo virus: appena so qualcosa ti farò sapere.
    - Andrea Antonio Gallo
      
      Grazie, ho letto come devo fare, ma ci sono delle cose che non capisco, come l’acceleratore di calcolo ci come usare. Se cera un video tutorial in italiano stiamo a cavallo.
- ciro semeraro
  
  http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
  scaricate il programma tesladecoder e seguite le istruzioni, io ho risolto grazie anche all aiuto di un programmatore in un forum su BleepingComputer.com ….
  - Marco Cibelli
    
    c’è anche una guida per TeslaDecoder.exe ?
    - ciro semeraro
      
      se i files criptati sono .micro devi aspettare finchè non esce l aggiornamento del programma per decriptare i tuoi file…e fidati che uscirà devi solo eliminare il virus, farti un back up dei files criptati e seguire i forum e vedi che presto recuperi tutti i tuoi dati…
  - Andrea Antonio Gallo
    
    Ho parlato con un programmatore, ma mi ha detto di aspettare. Posso chiederti a te un favore se mi spiegheresti come hai fatto.
  - Andrea Antonio Gallo
    
    ma non potresti aiutarmi?
- Andrea Antonio Gallo
  
  Finalmente risolto, e a pensare che era cosi facile.
nandino nandello

Salve anche io colpito dal virus che mi ha criptato tutti i files rinominandoli con estensione .micro
come faccio a sapere quado sara’(se) trovato un tool di descript ?? Grazie
- Mario
  
  Salve! Sono in grado di recuperare tutti i file con l’estensione .micro.. Mi contatti per maggiori informazioni.
Giuseppe Lamanna

Salve purtroppo scaricando un torrent non so come ma ho preso un torrentlokerho provato con torrentunloker ma una volta generata la chiave il file che provo a decriptare non me li apre saprebbe darmi qualche consiglio grazie mille per la disponibilità. Purtroppo oltre le foto ho perso un sacco di lavoro visto che mi ha beccato anche il droob (lo studio mi vuole uccidere)
- Dom
  
  Salve purtroppo torrentulocker funziona solo con le vecchie varianti di torrentlocker purtroppo c’è poco da fare…cosa intende per droob?
Alessandro

Vi sono novità per i file con estensione micro?
- Mario
  
  Salve! Sono in grado di recuperare tutti i file con l’estensione .micro. Mi contatti per maggiori informazioni.
  - Alessandro
    
    Cosa devo fare?
    - Mario
      
      Mi passi il suo contatto skype. La contatto io.
      - Alessandro
        
        mail: xander.87 at hotmail.it
Alessandro

nessuna novità riguardo i file micro?
- Dom
  
  Per il momento ancora no…
Alessandro

B.sera sono stato infettato dal virus (invoice_sCqOln.js e mi ha criptato i file docx,jpg e pdf in estensione MP3…qualcuno sa qualche news a riguardo?…grazie grazie
- Mario
  
  Salve! Sono in grado di recuperare tutti i file con l’estensione .mp3. Mi contatti per maggiori informazioni.
Alessandro

B.sera sono stato infettato dal virus (invoice_sCqOln.js e mi ha criptato i file docx,jpg e pdf in estensione MP3…qualcuno sa qualche news a riguardo?…grazie grazie
ali

Buonasera
giovedì uno dei pc del lavoro è stato preso dal virus CTB-Locker, che ha bloccato tutti i file…
Sto leggendo che a volte è possibile recuperare i file, grazie per l’aiuto!
Sergio

Buongiorno a tutti
purtroppo mi si è infettato il pc con LOCKY, che mi ha cambiato l’estensione dei file txt e word.
ho provato vari software per il recupero dei file ma con nessun risultato.
cosa potreste consigliarmi voi?

grazie
SS
Paolo Bagnoli

salve a tutti. Stamattina, appena acceso il computer sul quale lavoro ho visto che quasi tutti i files (sicuramente quelli con estensione .docx, jpg, xls) hanno un’estensione .mp3 aggiunta che li rende inutilizzabili. Cerco urgentemente suggerimenti su a) quale antivirus comprare per eliminare con certezza il vius che mi ha colpito b) come recuperare i files corrotti /(sono migliaia..)
- Paolo Bagnoli
  
  Ho scoperto che il corruttore è CryptoDefence (mi ha chiesto 500€..) e le shadow copy di documenti ecc. sono sparite.. Qualcuno sa come uscirne?
  - Roberto Gambelli
    
    Credo che il virus che ti ha colpito è l’ultima versione di TeslaCrypt che cripta aggiungendo l’estensione mp3. Sembra che al momento non ci sia modo di recuperare i files
  - Mario
    
    Salve! Sono in grado di recuperare tutti i file con l’estensione .mp3. Mi contatti per maggiori informazioni.
Nicola Fanfu Fantini

Salve,
sono stato attaccato da iLocky, è ad oggi possibile recuperare i file?
Grazie per l’aiuto
CY

CONSIGLIO PER RECUPERARE DATI CRIPTATI da Hard Disk infettati da ransomware (tipo Crypt0l0cker, e sim) – dopo eliminazione del virus con opportuno antivirus.

Siccome il virus è un programma che cripta i file ed elimina i file originali, i file originali, pur non essendo più visibili, rimangono comunque fisicamente sull’hard disk almeno fino a che non vengono sovrascritti da nuovi file. Si può dunque procedere come segue:

– Punto 1 – IMPORTANTISSIMO: NON UTILIZZARE L’HARD DISK per salvare file onde evitare di sovrascrivere i file cancellati

– Punto 2: procurare un programma tipo Undeleter per recuperare dall’hard disk i file cancellati

– Punto 3: salvare i file recuperati su un altro hard disk (sempre al fine di evitare qualunque sovrascrittura)

N.B. Non è detto che si riescano a recuperare tutti i dati perché può accadere che (soprattutto se lo spazio libero sull’HD è scarso) i file criptati siano già loro stessi andati a sovrascrivere file originali.
Anna Bozzetto

salve il ransomware che ha criptato il mio computer crea un file htm e un txt in ogni cartella infettata con il nome -!RecOveR!. nel quale sono presenti le istruzioni per il riscatto. Il virus inoltre cancella tutte le copie shadow. In tutti i siti in cui mi sono informata non ho mai trovato questo nome. E’ nuovo? qualcuno sa dirmi qualcosa? grazie!
- Dom
  
  Si tratta di Teslacrypt 4.0 e per il momento non c’è alcuna soluzione http://www.techgeeks.it/nuova-variante-teslacrypt/
Andrea Antonio Gallo

Ma insomma non e possibile che nessuno abbai trovato la soluzione e che questi Hacker hanno vinto. Avete una soluzione perfavore?
Osservatore inesperto

Salve a tutti, proprio oggi mio padre ha subito un attacco da parte di un ramsonware che ha criptato molti dei suoi file, su cui lavora, con una estensione .crypt . Sono quasi tutti file excell, pdf, word. Sapreste dirmi se c’è una soluzione al problema??? Mi hanno parlato di Dr. Web, un antivirus gesito da un team russo che se gli invii il file loro tentano di decriptarlo e te lo reinviano con la chiave per decriptare. Ne sapete niente?
- Carlettodj
  
  si ho inviato i files criptati in due occasioni, ma non sono riusciti a mandarmi una chiave per decriptare i files.
Alessandro Galeotti

per decriptare i file .crypz che programma devo usare?
- Dom
  
  ciao, bisogna usare il tool della trendmicro e modificare l’estensione in .cryp1 ma il recupero per il momento è solo parziale quindi i files recuperati sono corrotti la cosa migliore sarebbe aspettare ma se vuoi provare a vedere con qualche file ti lascio due link
  http://www.techgeeks.it/cryptxxx-cambia-nome-nasce-ultradecrypter-estensione-files-crypt-cryp1-crypz/
  
  https://esupport.trendmicro.com/solution/en-US/1114221.aspx
Andrea Antonio Gallo

Fino ad ora nessuno e stato capace di risolvere questo problema?
Fino a quando dobbiamo sopportare tutto questo?