Ultimi Articoli

CryptoLocker e CTB-Locker: rimuoverli e recuperare i file

Rimuoviamo i Virus che chiedono il riscatto e tentiamo il recupero dei file criptati

CryptoLocker e CTB-Locker: rimuoverli e recuperare i file
Condivisioni

Con questo Tutorial vedremo la procedura per rimuovere i ransomware CryptoLocker e CTB_Locker e tentare il ripristino dei file criptati.

AGGIORNAMENTO DI LUGLIO 2016: finalmente è arrivata la soluzione per il recupero completo di tutti i file criptati da Cryptolocker TeslaCrypt dalla versione 3.0 alla 4.2. Tutte le informazioni a questo link.

AGGIORNAMENTO DEL 15/02/2016: Per infezioni di Cryptolocker TeslaCrypt 3.0 fate riferimento a questo articolo.

AGGIORNAMENTO DEL 25/03/2016Per una protezione totale dagli attacchi di CryptoWall, CryptoLocker, Tesla e CTB-Locker, fate riferimento a questo nuovo articolo.

Per prima cosa è assolutamente necessario rimuovere i virus dal Pc infetto per evitare che, una volta sistemata (per quanto  possibile) la questione recupero file criptati, la situazione non si ripresenti identica nel giro di pochi giorni.

Per fare questo ci affidiamo a Norton Power Eraser, un tool gratuito fornito da Symantec, in grado di eseguire scansioni ed eliminare virus residenti in profondità, che potrebbero sfuggire alle scansioni tradizionali.

La procedura di rimozione di CryptoLocker e CTB-Locker tramite Norton Power Eraser varia in base al Sistema Operativo che viene utilizzato, seguite quindi il Tutorial adatto al vostro caso.

Procedura con Microsoft Windows 8 Posizionate il cursore del mouse nell’angolo del desktop in basso a destra, dovrebbe comparire la Barra Charm.

  • Selezionate “Impostazioni”.
  • Cliccate su “Arresta” → “Riavvia il Pc” tenendo premuto il tasto “SHIFT”.
  • Sulla schermata che compare dopo qualche secondo scegliete “Risoluzione dei problemi”.
  • Ora cliccate “Opzioni Avanzate”.
  • Selezionate poi “Impostazioni di Avvio”.
  • Infine “Riavvia” in basso sulla destra.
  • Successivamente al riavvio del Pc, comparirà la schermata blu delle “Impostazioni di avvio”, premete f5 (tasto funzione) per selezionare “Abilita modalità provvisoria con rete”.
  • Ora il Pc si riavvierà in Modalità Provvisoria e vi darà quindi la possibilità di effettuare l’accesso ad Internet in quanto risulta abilitata la scheda di rete. Aprite quindi il Browser Internet.
  • Scaricate Norton Power Eraser direttamente da questo link.
  • Eseguitelo seguendo le indicazioni a monitor.
  • Terminata l’installazione di Norton Power Eraser cliccate sul pulsantone “Scan” (Fig.1).
  • Attenetevi alle direttive a monitor per rimuovere l’infezione.
  • Riavviate il Pc.

Procedura con Microsoft Windows 7 e Vista

  • Riavviate il Pc e, prima che compaia il logo di Windows premete ripetutamente il tasto funzione f8
  • Con le frecce ↑ e ↓ selezionate “Modalità Provvisoria con Rete” e premete Invio
  • Attendete l’avvio del Pc in Modalità Provvisoria, connettetevi ad Internet e scaricate Norton Power Eraser direttamente da questo link
  • Seguite le stesse indicazione per Windows 8 dal punto 11.
CryptoLocker e CTB-Locker: rimuoverli e recuperare i file

Fig.1

Ora che avete rimosso CryptoLocker o CTB-Locker dal vostro Pc possiamo dedicarci al recupero dei file criptati. Diciamo subito che i file criptati da questi ransomware non sono recuperabili, o meglio, per alcune variante del virus, tipo l’LCryptoLocker, esiste oggi un tool di rimozione fornito gratuitamente su https://www.decryptcryptolocker.com con cui ripristinare i propri file,  per le altre varianti possiamo tentare il recupero delle versioni non originali.

Spieghiamoci meglio, probabilmente molti di voi conoscono la funzionalità di “Ripristino configurazione di Sistema” introdotta in tutte le versioni di Windows da XP Sp1 in poi, tale funzionalità ha probabilmente salvato molti dei vostri Pc, ma forse non tutti sanno che è possibile esplorare il contenuto di tutte le copie di Ripristino che Windows crea in automatico con tale funzionalità.

La possibilità di esplorare il contenuto di queste Shadow Copies (copie di ripristino) viene già offerta a tutti gli utenti delle versioni Ultimate di Windows, mentre per tutti gli altri è necessario installare un semplicissimo software, si chiama Shadow Explorer e lo potete scaricare gratis direttamente da questo Link.


Una volta scaricato il file, eseguitelo, selezionate la vostra lingua dalla tendina e premete Ok per proseguire, Avanti sulla finestra successiva, accettate quindi i Termini del contratto di Licenza spuntando l’apposito punto, cliccate Avanti quattro volte e poi su Installa.

Concludete cliccando su Fine e sarete pronti ad esplorare le vostre Shadow Copies e tentare quindi il recupero delle copie un po’ più datate dei vostri file criptati ed ormai persi.

CryptoLocker e CTB-Locker: rimuoverli e recuperare i file

Come potete notare vi trovate di fronte ad un normalissimo Esplora Risorse di Windows, quindi ora non dovrete far altro che cercare i file che vi interessa recuperare (il percorso lo potete ovviamente conoscere solamente voi), cliccarci sopra con il pulsante destro del mouse e selezionare l’unica voce disponibile: Export…, vi troverete di fronte ad una finestra dove potrete andare a selezionare dove salvare il file ripristinato, scegliete il percorso che preferite e concludete cliccando su OK.

CryptoLocker e CTB-Locker: rimuoverli e recuperare i file

Infine per tutti coloro che ancora non sono stati infettati da questi ransomware, esiste la possibilità di prevenire l’infezione tramite l’installazione di un tool gratuito scaricabile a questo link, si tratta di CryptoPrevent, questo software non fa altro che aggiungere delle regole al Pc su come comportarsi con i file eseguibili. Una volta avviata l’applicazione, sarà sufficiente applicare l’impostazione “Default” e cliccare “Apply” per fare in modo che CryptoLocker non sia più un problema.

Questo è tutto, spero di essere stato utile a risolvere i problemi di molti di voi, per qualunque domanda o eventuale segnalazione di link non funzionante utilizzate l’apposita sezione commenti in fondo all’articolo.

Condivisione-Social-1

Condivisioni

67 Commenti su CryptoLocker e CTB-Locker: rimuoverli e recuperare i file

  1. Sono stato infettato da Crypt0l0cker e stavo per pagare il riscatto chiesto da quei criminali quando un amico mi ha suggerito di contattare http://www.openfile.it
    I loro tecnici hanno decriptato tutti i miei file, e sopratutto con un costo molto più contenuto rispetto ai 2.500 euro richiesti da quei cybercriminali.
    Li consiglio a tutti!

  2. File criptati da Cryptolocker ho risolto grazie all’intervento dei tecnici di drweblab.it mi hanno inviato uno script per decodificare i file.

  3. ho provato ma non va,non mi fa eseguire il file che dice nelle istruzioni.
    avete altri metodi per xp?

  4. Salve,
    circa un anno fa (gennaio 2015), il mio computer è stato infettato da CTBlocker e tutti i file (con estensione .jpg, .pdf, ecc) sono stati criptati. L’estensione di questi file è “.wgsyztk”.
    Ho conservato i file danneggiati, raggruppandoli in una cartella, sperando di riuscire prima o poi a decriptarli.
    Ora a distanza di un anno, volevo sapere se esiste una soluzione.
    Grazie in anticipo!

    Marco

  5. Scusate, ma per decriptare i file .encrypted è stata trovata una soluzione? E se si cosa si deve fare?

  6. confermo, il sistema di ForumEA funziona! Grazie grazie grazie a tutti!

  7. sono stato colpito anche da cryptolocker ma ho xp e quindi con la vostra guida non riesco a risolvere perchè non supportato da shadowexplorer.
    come posso fare?

  8. Ieri sono stato infettato da CTB-Locker.
    Seguendo le indicazioni sono riuscito a rimuoverlo e in una copia Shadow sono anche riuscito a recuperare tutto quello che avevo salvato sul desktop. Non riesco purtroppo a trovare i file che salvavo nella partizione D:. In ShadowExplore il disco D: risulta vuoto. Evidentemente Windows (ho Vista) salvava i file in altra cartella. Qualcuno può aiutarmi? Grazie. Martino

  9. Buonasera, come posso fare per decriptare i file criptati dal virus e che ora sono inaccessibili con estensione .encrypted? Su internet non ho trovato molte soluzioni. Forse è la variante più potente del virus e non posso fare niente? Grazie a chi vorrà aiutarmi.

    • Ciao, ti rispondo per l’esperienza personale che ho avuto con questo virus. Purtroppo non ho trovato soluzione e nonostante avessi provato e rinominare alcuni file (doc., foto..) dopo la rinomina rimanevano danneggiati. Solo i video una volta rinominati si aprivano correttamente. Purtroppo l’unica soluzione è stata ripristinare le condizioni di fabbrica del pc 🙁

  10. ciao spero possiate aiutarmi, il mio pc è stato colpito da virus e tutti i file sono in .micro ovviamente i documenti anche se importanti non hanno bakchup e sono disperata … non posso aver perso tutto!!!! 🙁 … ho xp come sistema … vi ringrazio ….aiutatemi.

    • ciao eliana, anche il pc di un mio amico è stato colpito da questo maledetto virus. purtroppo non c’è soluzione (o almeno io dopo un pò di giorni non l’ho trovata) e siamo stati costretti a reinstallare windows e a perdere tutto! mi dispiace

      • Vi rispondo da tecnico di pc con annesso negozio, tante persone vengono con questo problema purtroppo ad oggi la cura NON ESISTE bisogna formattare tutto e salvare il salvabile

  11. qualcuno sa cosa sono i file .TGKKWEH? non trovo alcuna notizia nel web. Ho perso alcuni documenti word convertiti in questi file e pur avendo messo APRI CON WORD mi viene fuori un documento scritto in simboli e lettere che sembrano codici. Grazie a chi risponderà a questo mio.

    • Ma cosa ti esce perché la prima cosa ti blocca office pdf,word e .txt

      • ho tanti documenti di testo e alcuni di questi (cinque o sei) aprendoli mi hanno dato tutto bianco. Ho cliccato con il dx su Proprietà ed ho visto che non erano più doc. di testo apribili con word ma file tgkkweh apribili con Adobe. A questo punto cercando di recuperare ciò che per me è molto importante ho cliccato su CAMBIA mettendo WORD ma appena aperto tutti i caratteri che, secondo me, avrebbero dovuto essere le parole da me scritte sono invece come tanti segni e lettere e sulla console che si apre contemporaneamente mi dà come scelta EUROPA OCCIDENTALE. Cercando questo file tgkkweh non ho trovato niente che mi dica che esiste. Cosa devo fare? grazie del tempo che mi dedichi.

        • Infatti vedi anche i programmi zip non te le legge più.e un virus di merda le cripta foto video immagini documenti ed ecc..per la mia fortuna avevo sul PC solo i driver del computer il resto dei miei risultati c’è lo su una penna dammi un po di tempo che sto ancora cercando un metodo x decriparte i fai e sono 3 gg che cerco ma niente ancora.

          • Salvatore // gennaio 9, 2016 a 12:00 am //

            Alla fine di questa lunga ricerca lo formattarlo ragazzi rasegnatevi e un trojan cattivo

      • grazie per il tempo che mi hai dedicato. Un’ultima cosa: questi file tgkkweh esistono e se sì che file sono???

        • no sono file cryptati e questo file e solo inventato dal trojan significa il file cryptato da lui.dovvresti vedere qualche file che decripta i file vedi su youtube scrivi ctb locker ma x me sono initile tutti mi hanno consigliato il programma spyhunter4 ma e a pagamento ma non ti consiglio nulla xche non sono sicuro.
          ps io ho scaricato antivirus kaspersky e mi ha trovato il trojan.ma nn risolvi il probema ripari solo il pc i file criptati no.

      • no sono file cryptati e questo file e solo inventato dal trojan significa il file cryptato da lui.dovvresti vedere qualche file che decripta i file vedi su youtube scrivi ctb locker ma x me sono initile tutti mi hanno consigliato il programma spyhunter4 ma e a pagamento ma non ti consiglio nulla xche non sono sicuro.
        ps io ho scaricato antivirus kaspersky e mi ha trovato il trojan.ma nn risolvi il probema ripari solo il pc i file criptati no.

      • grazie per tutto il tempo che mi hai dedicato. Sono davvero commossa per tanta gentilezza. Proverò a cercare attraverso i dati che mi hai fornito. Se dovessi miracolosamente trovare una soluzione ti prometto che ti renderò partecipe. Io sono una di quelli che smanetta e si spreme le meningi sino a quando non risolve il problema. Farò così anche ora e spero avere la meglio. Grazie ancora e buon lavoro.

  12. anche io sono stato attaccato da questo virus,come prima arriva email che sia equitalia di pagamento non effettuato,il file e winzip lo apri incoscendemente che pensi che sia una cosa non hai pagato e si installa sto criptato.ma intelligente mente stacco il cavo ethernet e finisci qui,appare la pagina che ti dice che e stato criptato i file e ed ecc.. ma mi spiace di questo stupito. lo risolto il problema con varrei antivirus.vorrei capire come le cripta questi file ed ecc..

  13. Ma come mai un antivirus come Norton non ha rilevato il virus prima dell’attacco?

    • Salve Davide, tutte le softwarehouse produttrici di antivirus, come Symantec, sono alla continua ricerca di nuovi virus e delle relative soluzioni per la prevenzione contro i loro attacchi. Purtroppo ogni giorno vengono fabbricati nuovi virus con funzionalità sempre più complesse ed è quindi abbastanza probabile che molti utenti vengano infettati prima dell’uscita di un aggiornamento in grado di proteggerli. Per quanto riguarda i ransomware conosciuti fin’ora, i migliori antivirus sul mercato sono oggi sicuramente in grado di riconoscerli ma, domani….
      I miei consigli sono sicuramente: installare un buon Software Antivirus e leggere sempre, mai aver fretta di cliccare su OK prima di aver letto bene ciò che andiamo a confermare. Grazie per il commento e torna presto a trovarci.
      Saluti, Davide

  14. Sono stato colpito da CTBLocker e ho tutti i file criptati con estensione wpxesxi . Sul PC ho Windows 7 . Mi hanno detto che ha attaccato anche le copie shadow. ho qualche possibilità? Vi prego aiutatemi

  15. Ciao a tutti, sono stato infettato anche io da Cryptolocker, intaccando i file all’interno del mio ha e ho una versione di Windows xp.
    Leggendo i post precedenti,mi riuscite a dire il software che qualcuno ha pagato 70€ per il recupero dei dati?

    Grazie
    Luca

  16. Io ho eliminato il virus, che a occhio sembrerebbe la prima versione eppure i file mi sono rimasti criptati e ho scoperto che le copie shadows non ci sono proprio di quei file antecedenti alla data dell’infezione.
    Se qualcuno ha novità mi faccia sapere. Il link per il pagamento dei file porta su una pagina che non esiste.

  17. Grazie all vostra guida sono riuscito a eliminare il virus ma il software shadow Explorer non è compatibile con win XP

  18. Ciao, ho seguito la vostra guida e sono riuscito a rimuovere il virus. Pero il software Shadow Explorer non è compatibile con Win XP.

  19. Io con Windows xp ho risolto pagando 70€ un software che mi ha recuperato tutti i file.

  20. Qualcosa di nuovo rispetto al cryptwall? Vi sono sviluppi riguardo la possibilità di recuperare i file?

  21. Qualcosa di nuovo rispetto al CryptWall? vi è la possibilità di recuperare i file?

    • Ho dovuto formattare il sistema operativo perchè non riuscuvo a debbellare il virus, si reinseriva a ogni avvio. Pertanto mi son rimasti i file che hanno mantenuto la loro dimensione ma illeggibili. Alcuni come i file audio riesce ad aprirli VLC ma l’ascolto è pessimo, i file JPEG, Doc. World, PDF e vari, compresi Htlm salvati praticamente illegibili.

  22. Ho scaricato Shadow ma anche là si sono visualizzati files infetti con l’estensione abc….per cui nessun recupero….Cosa altro posso fare? Grazie

  23. Sono stato colpito da cryptolocker su windows xp sp3, ho provato con la vostra procedura ma su windows xp sp3 shadowexplorer non gira. Avete un’alternativa a shadowexplorer? Oppure esiste una versione per xp sp3? Grazie

  24. se siete stati colpiti da alfacrypt, teslacrypt, cryptolocker e loro varianti http://www.decryptolocker.it
    vi riadiamo in poche ore Tutti i vostri files in chiaro

    • Salve, sabato ho mandato una mail all’indirizzo di posta presente sul vostro sito. Dal momento che non ho ancora ricevuto nessuna risposta, volevo capire se la mail fosse arrivata a destinazione.

      • Salve Federico, quando ci ha inviato l’email? Abbiamo visto il suo commento di ieri e risposto a quello, ma non abbiamo ricevuto la sua email.

        • Il mio commento era una risposta al post di Alessandro: “se siete stati colpiti da alfacrypt, teslacrypt, cryptolocker e loro varianti http://www.decryptolocker.it
          vi riadiamo in poche ore Tutti i vostri files in chiaro”

          Ho inviato una mail all’indirizzo di posta presente sul loro sito. Non so se ho sbagliato qualcosa.

          • Ciao Federico, ok sorry, avevo semplicemente capito male. Spero si riesca a trovare presto una soluzione anche al tuo problema. Nel frattempo poso consigliarti di provare ad inviare una richiesta di aiuto anche alla ESET a questo link. Sono sempre molto disponibili.
            Saluti, Davide

        • Mi hanno appena risposto. Purtroppo per l’attacco che ho subito io non ci sono ancora soluzioni. A quanto pare non è cryptolocker ma una sua variante. Non mi rimane altro che aspettare e sperare che, prima o poi, la soluzione venga trovata.

  25. Io sono stato infettato su due server aziendali. sul primo ho provato a seguire le istruzioni, sia di questo sito che di altri, ma ho ottenuto solamennte di perdere tutto. Al momento ho tutti i file cryptati, e aspetto e spero che prima o poi ci sia sul web una soluzione che sia in grado di decriptare quanto combinato dal virus. Sul secondo ho pagato, non potevo far altro. Conteneva tutti i dati per elaborare il bilancio, ed essendo un vecchio server, non avevo copie di backup. Sfortuna vuole che fosse agli ultimi giorni di attività… doveva servire solo finchè non avesso cofnermato il bilanncio definitivo 2015….una volta pagato, nel giro di un ora è tornato a funzioonare normalmente.

    • Utilizzando la procedura come indicato sopra, tramite norton e shadow explorer ho risolto.

      “installare un semplicissimo software, si chiama Shadow Explorer e lo potete scaricare gratis direttamente da questo Link.”

    • Buongiorno. Un virus terribile mi ha criptato i files aggiungendo l’estensione abc. Potreste essermi di aiuto? Ho già eliminato il virus ma non so come recuperare i files. Grazie

  26. grazie molto

6 Trackback & Pingback

  1. CryptoLocker TeslaCrypt 3.0: rimuoverlo e recuperare i file
  2. Attenzione! Virus Cryptolocker 2016 – Come rimuoverlo
  3. Come eseguire un backup dei dati | Dott. Informatica
  4. Strani caratteri leggendo file testo - Microsoft Windows
  5. Attenzione! Virus Cryptolocker 2016 | ops
  6. Petya ransomware: rimuoverlo e recuperare i file criptati

Scrivi un commento

L'indirizzo email non sarà pubblicato.


*


Translate »