RansomWare,sequestro di dati
Un vero e proprio incubo. Mentre lavorate al pc, si apre una finestra con un messaggio scritto in inglese: "Attenzione: i vostri file sono stati criptati con l'algoritmo RSA-1024.Per rendere recuperabili, dovrete acquistare il nostro software di decodifica.Per riceverlo contattateci a questo indirizzo email".
Questo metodo di Trojan GPCode ha assalito molti pc negli stati uniti,nemmeno il piu potente dei ransomware potrà bucare un antivirus del calibro di Avast,ma vediamo come agiscono:
Come potete vedere dalla cartella (in questo caso my picture) tutti i file sono criptati infatti Sunset.jpg ora è Sunset.jpg._CRYPT.
Vediamo come recuperare tutti i file criptati:
Scarichiamo PhotoRec,ed estraiamo l'archivio in una cartella (meglio se un'altra partizione dove non avete dati da recuperare o un supporto esterno, USB o CD-ROM).
A questo punto avviamo il file photorec_win.exe contenuto nella cartella win.
Selezioniamo adesso l'unità da cui recuperare i file. Se il virus avesse criptato più partizioni, sarà necessario eseguire la procedura separatamente per ognuna di esse.
Selezioniamo il tipo di tabella di partizione. Si tratterà sempre della prima voce ([Intel] Intel/PC Partition), poiché il virus funziona solo su sistemi Windows:
Selezioniamo la partizione dell'unità che contiene i file da recuperare. (Ricordo ancora che, se più partizioni sono state criptate, bisognerà effettuare una singola operazione di ripristino per ognuna di esse).
Selezioniamo ancora il filesystem utilizzato dalla partizione. La voce da scegliere sarà sempre la seconda ([Other]) per il motivo già spiegato.
Possiamo scegliere se cercare i file eliminati nello spazio libero o in tutta la partizione. Personalmente, consiglio la seconda voce, [Whole], che scansionerà l'intera partizione:
Infine, scegliamo dove salvare i file recuperati. Si consiglia una partizione diversa da quella in uso o un supporto esterno USB per non rischiare di sovrascrivere dati importanti. Trovata la cartella di destinazione, premiamo y per confermare la scelta:
Inizierà la scansione del disco, alla ricerca dei file eliminati. Il tempo di scansione varia a seconda dello spazio da scansionare. Nel mio caso, un'ora si è rivelata sufficiente per un disco da 80 GB.
Dopo aver recuperato i file con PhotoRec, noterete che i loro nomi non sono più quelli originari, poiché PhotoRec non è in grado di ripristinarli correttamente:
Proprio per questo, Kaspersky ha sviluppato un tool gratuito nominato StopGpcode, che ha il compito di assegnare un nome ai file recuperati da PhotoRec.
Estraiamo dall'archivio StopGpcode e poniamolo nella root dell'unità di sistema della partizione in cui sono presenti i file criptati.
Dobbiamo eseguire da riga di comando il file stopgpcode.exe, specificando i tre seguenti attributi:
- -r seguito dal percorso della cartella contenente i file recuperati da PhotoRec
- -i seguito dall'unità che contiene i file criptati
- -o seguito dal percorso della cartella in cui salvare i file rinominati.
In poco tempo potremo chiudere la finestra premendo un qualunque tasto.
fonte: Megalab.it
0 Response to "RansomWare,sequestro di dati"
Posta un commento