Navigaweb.net logo

File criptati da virus Ransomware; capire se recuperarli gratis

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
Come recuperare e liberare i file criptati dai malware di tipo Ransomware che prendono in ostaggio i file chiedendo di pagare un riscatto
recuperare file ransomware

Svegliarsi e trovare i propri documenti, le foto di anni e i file di lavoro con un'estensione incomprensibile e inaccessibili è uno scenario da incubo. Appare un file di testo sul desktop, una richiesta di riscatto e la minaccia di perdere tutto. I ransomware, spesso indicati genericamente come Cryptolocker o con i nomi delle varianti più recenti, non cancellano i dati ma li bloccano con una crittografia di livello militare.

Molti pensano che l'unica via sia cedere al ricatto o formattare tutto, ma la realtà tecnica è più sfumata. Anche se non esiste un pulsante magico per annullare il danno istantaneamente, esistono procedure specifiche per analizzare l'attacco e verificare la disponibilità di chiavi di sblocco pubbliche. Mantenendo la calma e seguendo la rotta di Navigaweb in questa analisi tecnica, vedremo i passaggi esatti per isolare l'infezione e tentare il recupero dei dati senza spendere un centesimo.


LEGGI ANCHE: Attiva un Anti-Ransomware contro virus del Riscatto o Crypto

1. Isolamento immediato della rete

La priorità assoluta nell'istante in cui si nota l'infezione non è aprire i file, ma impedire che il danno si estenda. I ransomware moderni (come le ultime evoluzioni di LockBit o Qilin) sono progettati per muoversi lateralmente nella rete locale. Cercano altri PC, server domestici e soprattutto unità di backup NAS o dischi USB collegati per criptare anche quelli.

È necessario scollegare fisicamente il computer da Internet rimuovendo il cavo Ethernet o spegnendo l'interruttore del Wi-Fi. Bisogna estrarre immediatamente qualsiasi chiavetta USB o hard disk esterno. Questo isolamento impedisce al malware di contattare i server di comando remoti e di trasmettere le chiavi di cifratura o i dati rubati. Evitiamo di riavviare il sistema se non costretti: alcuni virus completano la cifratura o si nascondono proprio durante la fase di avvio.

2. Identificare la variante del virus

Per sconfiggere il nemico bisogna conoscerne il nome esatto. Le estensioni dei file (come .locked, .enc, .djvu) sono un indizio, ma non bastano. Per ottenere una diagnosi precisa e capire se esiste una cura, ci affidiamo a strumenti di analisi automatizzata.

Utilizzando un dispositivo pulito, come lo smartphone o un tablet, accediamo a ID Ransomware. Questo servizio gratuito è lo standard del settore: permette di caricare il file con la richiesta di riscatto (la "ransom note") e uno dei file criptati. Il sistema analizza la firma digitale dell'attacco e restituisce il nome esatto della famiglia malware, indicando subito se esiste un decrittatore gratuito disponibile.

3. Usare i Decryptor ufficiali

Se ID Ransomware conferma che il virus è decifrabile, il passo successivo è procurarsi il software corretto. Le forze dell'ordine internazionali e le aziende di cybersecurity collaborano nel progetto No More Ransom. Questo portale è un archivio sicuro che contiene centinaia di strumenti di sblocco (Decryptor) aggiornati.

È fondamentale scaricare questi strumenti solo da fonti ufficiali per evitare di scaricare falsi decrittatori che contengono altri virus. Oltre al portale citato, i produttori di antivirus offrono librerie di tool affidabili:

  • Strumenti di decifrazione di Emsisoft (spesso i più aggiornati per la famiglia STOP/Djvu).
  • Tool gratuiti di Avast.
  • Utility di recupero di Kaspersky.

4. Il problema di STOP/Djvu: chiavi Offline vs Online

Una delle minacce più persistenti per gli utenti domestici, spesso veicolata tramite download di software piratati o crack di giochi, è la famiglia di ransomware STOP/Djvu. Qui la situazione tecnica si divide in due scenari ben distinti:

  • Chiave Offline: Se durante l'infezione il computer non era connesso a internet o il server dei criminali era irraggiungibile, il virus usa una chiave di cifratura generica integrata nel suo codice. In questo caso, i file sono recuperabili gratuitamente non appena la chiave viene estratta e aggiunta ai tool di Emsisoft.
  • Chiave Online: Se il malware riesce a comunicare con l'esterno, genera una chiave univoca specifica per quella vittima. Attualmente, la decifrazione di file bloccati con chiave online è matematicamente impossibile senza pagare i criminali.

Il servizio ID Ransomware o lo stesso decrypter di Emsisoft vi diranno se i vostri file sono stati colpiti da una variante online o offline.

5. Recuperare copie nascoste (Shadow Copy)

Windows possiede una tecnologia di backup automatico chiamata Volume Shadow Copy Service (VSS). Molti ransomware tentano di cancellare queste copie di sicurezza col comando vssadmin delete shadows, ma l'operazione non va sempre a buon fine.

Possiamo esplorare queste istantanee del sistema usando Shadow Explorer. Questo programma gratuito permette di navigare nel disco fisso come se fossimo in una "macchina del tempo". Selezionando una data precedente all'infezione dal menu a tendina, potremmo ritrovare le cartelle dei documenti ancora intatte. Basta fare clic destro sulla cartella desiderata e scegliere "Export" per salvarla su un disco esterno pulito. Questa procedura scavalca la crittografia perché recupera la versione del file salvata prima dell'attacco.

6. Recupero dati grezzi (File Carving)

Quando un ransomware agisce, tecnicamente crea una copia cifrata del file e cancella l'originale. I software di recupero dati tradizionali cercano proprio questi originali cancellati nello spazio libero del disco rigido. Le probabilità di successo sono variabili e dipendono da quanto il PC è stato utilizzato dopo l'infezione: meno è stato usato, maggiori sono le speranze.

Tra i software più efficaci per questo tentativo disperato troviamo:

  • PhotoRec: Incluso nella suite TestDisk, è uno strumento open source potente che ignora il file system danneggiato e cerca le firme dei file (foto, documenti). Non ha un'interfaccia moderna, ma è estremamente efficace.
  • Recuva: Più semplice da utilizzare per l'utente medio, permette una scansione profonda alla ricerca di tracce recuperabili.
  • Windows File Recovery: Lo strumento ufficiale di Microsoft a riga di comando, utile per tentare il recupero su file system NTFS.

È bene notare che i file recuperati con questo metodo ("Carving") potrebbero aver perso il nome originale o la struttura delle cartelle, ma il contenuto potrebbe essere ancora leggibile.

Altre domande su Ransomware

  • Pagare il riscatto garantisce i file? Le statistiche di settore indicano che una parte significativa di chi paga non riceve mai la chiave o ne riceve una difettosa. Pagare finanzia direttamente lo sviluppo di virus più potenti e vi inserisce in una lista di "pagatori" pronti per essere attaccati di nuovo.
  • Posso rinominare i file per aprirli? Cambiare l'estensione (togliendo ad esempio .locked) non serve a nulla. Il file è mescolato a livello di codice binario; rinominarlo non ne ripristina la struttura.
  • Formattare pulisce il PC? Sì, una formattazione completa e la reinstallazione di Windows eliminano il ransomware, ma cancellano anche tutti i dati criptati. Se avete un backup esterno dei dati sani, questa è la via più sicura per ripartire.

LEGGI ANCHE: Attivare la protezione Ransomware in Windows 11 e 10





Posta un commento


0%