Ecco come eliminare definitivamente i ransomware dal PC

Quando l'antivirus non basta... ecco la guida pratica ed i tool definitivi per debellare dal vostro PC i ransomware una volta per tutte!

Inserito su 1 Febbraio 2017 da Dott. Informatica in Antivirus & Sicurezza, Soluzioni, Windows // 2 Commenti

come eliminare definitivamente i ransomware dal pc

Correva l’anno 2012 quando fu scoperto un malware di nuova generazione in grado di rendere inaccessibili tutti i file .doc contenuti nei computer delle proprie vittime. Il suo nome era DocEncrypter e segnò l’inizio di una nuova generazione di malware chiamata ransomware (dall’inglese ransom, riscatto), virus in grado appunto, una volta infettato il sistema operativo, di criptare i file personali degli utenti bloccandone l’accesso fino a quando non viene pagato un riscatto direttamente ai creatori del virus.

Da quella volta, i pirati informatici hanno fatto grossi passi avanti, riuscendo a creare nuovi ransomware in grado di crittografare i dati con algoritmi talmente soffisticati, come AES o RSA, con chiavi fino a 2048 bit o più, rendendoli di fatto praticamente irrecuperabili, se non pagando un riscatto (quasi sempre in bitcoin) su rete anonima Tor.

La cosa più importante a questo punto è ovviamente proteggersi, ma come? I normali antivirus solitamente non sono progettati per eseguire questo tipo di controllo, ma utilizzando un tool come Malwarebites Anti-Ransomware (di cui abbiamo precedentemente parlato in questo nostro articolo) sarete in grado di monitorare in tempo reale tutte le attività del computer, rilevando e bloccando automaticamente tutte le azioni sospette tipiche dei ransomware. Perché prevenire è sempre meglio che curare!

Ma se purtroppo il danno lo avete già fatto? Beh, forse non è il caso di disperarsi immediatamente, forse una soluzione al vostro problema ve la possiamo offrire noi oggi grazie agli Avast Free Ransomware Decryption Tools, una raccolta di sofisticati strumenti in grado di rimuovere ben 11 varietà di ransomware (Alcatraz Locker, Apocalypse, BadBlock, Bart, Crypt888, CrySiS, Globe, Legion, NoobCrypt, SZFLocker e TeslaCrypt) e di recuperarne i file criptati. Potete eseguire il download degli Avast Free Ransomware Decryption Tools o dal sito ufficiale a questo link, o direttamente dai server Mega riservati ai nostri lettori cliccando sull’apposito pulsante qui sotto.

DOWNLOAD AVAST FREE RANSOMWARE DECRYPTION TOOLS

Gli Avast Free Ransomware Decryption Tools non sono altro che dei singoli eseguibili dedicati esclusivamente ad un tipo di ransomware. Una volta individuato il vostro nemico seguendo le indicazioni riportate di seguito, non dovrete far altro che avviare il tool di rimozione con lo stesso nome del virus e lasciare che faccia il suo lavoro.

Come riconoscere i vari ransomware

Alcatraz Locker

I file crittografati da Alcatraz Locker presentano l’estenzione .Alcatraz. Una volta crittografati i file, viene visualizzato il messaggio di avvenuta infezione riportato qui sotto.

Alcatraz Locker

Apocalypse

Aggiunge .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted in coda al nome del file. Se si apre un file con estensione .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_To_Recover_Data.txt o .Where_My_Files.txt, viene visualizzata la richiesta di riscatto riportata qui sotto.

Apocalypse

BadBlock

Il ransomware BadBlock non rinomina i file ma, una volta avvenuta la crittografia, visualizza il messaggio di avvenuta infezione copiandolo dal file di testo archiviato sul Desktop Help Decrypt. Di seguito lo screenshot.

BadBlock

Bart

Il ransomware Bart aggiunge .bart.zip in coda ai nomi dei file. Si tratta di archivi ZIP crittografati, nei quali sono contenuti i file originali. Una volta crittografati i file, Bart sostituisce lo sfondo del desktop con una sua immagine. Il file dell’immagine viene salvato sul desktop con un nome simile a recover.bmp o recover.txt. Di seguito lo screenshot.

Bart

Crypt888

Crypt888 aggiunge Lock. all’inizio dei nomi dei file criptati. Una volta portata a termine la crittografia dei file, Crypt888 sostituisce lo sfondo del desktop e visualizza una schermata diversa a seconda della variante del virus. Di seguito lo screenshot.

Crypt888

Crysis

I file crittografati da Crysis possono presentare diverse estensioni, come: .johnycryptor@hackermail.com.xtbl, .ecovector2@aol.com.xtbl, .systemdown@india.com.xtbl, .Vegclass@aol.com.xtbl, .{milarepa.lotos@aol.com}.CrySiS, .{Greg_blood@india.com}.xtbl, .{savepanda@india.com}.xtbl o .{arzamass7@163.com}.xtbl. Dopo che i file sono stati crittografati, viene visualizzato sul desktop un messaggio minatorio contenuto all’interno di un file denominato Decryptions instructions.txt o README.txt. Di seguito lo screenshot.

Crysis

Globe

Globe aggiunge al nome dei file una delle seguenti estensioni: .ACRYPT”, “.GSupport[0-9]”, “.blackblock”, “.dll555”, “.duhust”, “.exploit”, “.frozen”, “.globe”, “.gsupport”, “.kyra”, “.purged”, “.raid[0-9]”, “.siri-down@india.com”, “.xtbl”, “.zendrz”, o “.zendr[0-9]”. Dopo aver crittografato i file, viene visualizzato un messaggio di avvenuta infezione e che invita la vittima a pagare il riscatto per poter riavere accesso ai propri file. Tale messaggio è contenuto in un file denominato “How to restore files.hta” o “Read Me Please.hta”). Di seguito lo screenshot.

Globe

Legion

Legion aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf in coda al nome del file infetto. Una volta eseguita la crittografia dei file, Legion sostituisce lo sfondo del desktop e visualizza un messaggio minatorio che intima alla vittima di pagare il riscatto per sbloccare i suoi file. Di seguito lo screenshot.

Legion

NoobCrypt

NoobCrypt non modifica i nomi dei file, tuttavia, una volta crittografati, i file non possono comunque essere aperti con le applicazioni associate. Una volta terminata la crittografia dei file, viene visualizzato un messaggio contenuto in un file denominato ransomed.html ed archiviato sul desktop. Di seguito lo screenshot.

NoobCrypt

SZFLocker

SZFLocker aggiunge .szf in coda al nome dei file infettati. Quando si tenta di aprire un file crittografato, viene visualizzato un incomprensibile messaggio in polacco. Di seguito lo screenshot.

SZFLocker

TeslaCrypt

L’ultima versione di TeslaCrypt non modifica i nomi dei file ma, dopo averne eseguita la crittografia, visualizza il classico messaggio minatorio per il malcapitato. Di seguito lo screenshot.

TeslaCrypt

Ed eccoci arrivati alla fine. Speriamo di aver aiutato molti dei nostri lettori e non dimenticate di iscrivervi alla nostra Newsletter o al nostro Feed RSS per rimanere sempre aggiornati sugli ultimi articoli pubblicati.

TI E’ PIACIUTO L’ARTICOLO?

SE NON LO HAI GIÀ’ FATTO, AIUTACI A CONDIVIDERLO CON I TUOI AMICI

TI BASTA UN PICCOLO CLICK 😉

Condividi ora!

2 Commenti su Ecco come eliminare definitivamente i ransomware dal PC

  1. Luigi Martino // 10 Febbraio 2017 a 20:09 // Rispondi

    Alcuni miei file sono stati infettati da CBT-Locker ed hanno estensione: DQCCXMM; quale decriptore dovrei usare per renderli di nuovo fruibili?
    Attendo Vostra email
    Grazie

  2. Luigi Martino // 10 Febbraio 2017 a 20:05 // Rispondi

    Alcuni miei files sono stati criptati da CBT-Locker e portano questa estensione: .DQCCXMM, quale decriptore dovrei usare per renderli utilizzabili?
    Attendo vostra mail. Grazie

Invia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Copyright ©2019 Dott. Informatica

Show Buttons
Hide Buttons