venerdì 7 ottobre 2016

Ransomware Locky: indicazioni per un ripristino parziale dei dati.

Fonte: tradotto e riadattato da bleepingcoomputer.com. Non possiamo garantire la totale efficacia di questi ripristini.


E’ possibile decriptare gratuitamente file criptati da Locky?
Sfortunatamente non è ancora disponibile un tool di decriptazione che rimetta in chiaro i file criptati dal ransomware Locky. Se ne potrà parlare quando qualcuno riuscirà a recuperare sulla chiave di decriptazione dal server Command&Control di Locky. Tenete quindi da parte i file, così da poterli recuperare non appena verrà rilasciato un sistema gratuito di decriptazione.


Come ripristinare quindi i file criptati da Locky?
Se avevate preso degli accorgimenti precedenti all'infezione, non tutto è perduto. Indichiamo 3 metodi di recupero dei file.

  1. Backup.
  2. Software di recupero dati.
  3. Shadow volume copies.

1. E’ indubbiamente i metodo migliore per recuperare i dati, quello di disporre di un backup più recente possibile dei file. Se, prima dell’infezione, avevi organizzato un sistema di backup regolare e ricorrente, potrai usarlo per recuperare tutti i dati come se nulla fosse successo, una volta ripulito il tuo dispositivo dai “residui” del ransomware. 

2. Quando Locky cripta i file, la prima opzione che compie è eseguire una copia,quindi cripta la copia e cancella l’originale. Grazie a questo è probabile, ma non possiamo garantirne ovviamente il funzionamento al 100%, che possa avere effetti benefici l’utilizzo di un software di recupero file, per recuperare almeno parte dei file originali. 
Tieni però di conto che più avrai usato il pc dopo l’infezione, più sarà difficile per il software di recupero file recuperare gli originali non criptati che sono stati cancellati dal ransomware. 

3. Alcuni ricercatori di sicurezza sono rimasti sorpresi nello scoprire, in recenti test su Locky, che questo non ripulisce correttamente le Copie Shadow di Volume. Così consigliamo di provare a recuperare i propri file usando proprio le Copie Shadow, nella speranza che non siano state rimosse completamente. (Vedi la guida sotto, per capire come fare). 

Se hai abilitato il Sistema di Ripristino, Windows crea le cosidette Shadows Copy che contengono copie dei tuoi file dal momento in cui viene creato lo snapshot per il ripristino di sistema. Questi snapshot possono quindi consentire di ripristinare versioni precedenti dei tuoi file, cioè in versioni precedenti al momento della criptazione. Questo metodo non è però del tutto efficace, poichè è molto probabile, ma dipende dalla data di creazione della copia Shadow, che si perderanno le modifiche al file successive alla creazione della copia stessa. Questa possibilità esiste però solo dove è presente il meccanismo delle Shadow Volume copies, disponibili su Windows XP Service Pack 2, Windows Vista, Windows 7, & Windows 8.

Ecco qua due metodi per tentare il recupero dei file tramite le Copie Shadow.

1. Usando le precedenti versioni dei file originali 
Per ripristinare i singoli file, fai clic col tasto destro sul file, vai nelle Proprietà e seleziona il tab “Versioni Precedenti”. Questo tab elencherà la lista di tutte le copie del file che sono salvate nelle Copie Shadow  e la data di backup. 



Per ripristinare una particolare versione del file, fai clic sul comando “Copia”, quindi seleziona la destinazione dove vuoi che venga ripristinato il file. Se invece fai clic su “Ripristina”, il file selezionato sostituirà quello esistente. Apri quindi il file appena ripristinato per verificare che il meccanismo abbia effettivamente funzionato o se invece il file è ancora criptato. 

Lo stesso meccanismo può essere usato per ripristinare intere cartelle. Ugualmente, fai clic col destro sulla cartella, seleziona le Proprietà, quindi sul tab “Versioni precedenti”. Si aprirà una schermata molto simile a quella precedente e potrai, anche in questo caso, scegliere se copiare il backup selezionato della cartella in una nuova destinazione o se sostituire la cartella stessa nella destinazione originaria. 

2. Usando Shadow Explore
Puoi usare anche un programma gratuito chiamato ShadowExplorer, utile per ripristinare intere cartelle. 

Avviato il programma ti verrà mostrata una schermata con elencati tutti i drive, le cartelle, i file di cui sono disponibili copie shadow e le date. Seleziona quindi il drive (freccia blu) e la data dai quali vuoi avviare il ripristino. 

Per ripristinare una intera cartella, fai clic col destro sul nome della cartella e seleziona Esporta.

Nessun commento:

Posta un commento