Come rimuovere i Ransomware dal PC

Sei stato colpito da un Ransomware? Il tuo disco è stato criptato? Prima di pagare il riscatto puoi provare a decriptare i file utilizzando uno di questi tool di decriptazione gratuiti…

Abbiamo già parlato in passato dei Ransomware, i malware che criptano i file dei PC infettati e chiedono il pagamento di un riscatto per effettuare la decriptazione. Se sei caduto vittima di uno di questi virus forse non tutto è perduto, esistono una serie di tool gratuiti offerti da Avast che possono aiutarti a decriptare i file criptati dai Ransomware elencati di seguito.

Come riconoscere un Ransomware

Al fine di scaricare lo strumento di rimozione Ransomware adatto è necessario identificare il Ransomware che ha infettato il computer, per farlo puoi fare riferimento alle seguenti descrizioni.

Alcatraz Locker
Puoi riconoscerlo perché i file sono crittografati con l'estensione .Alcatraz. Inoltre dopo aver infettato il computer viene visualizzato a schermo un messaggio nel file ransomed.html che sarà creato sul Desktop.

Apocalypse
Questo Ransomware aggiunge ai file l'estensione .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted. Il messaggio di riscatto appare in un file con estensione .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt.

BadBlock
In questo caso i file non saranno rinominati ma una volta crittati i file viene mostrato un messaggio nel file chiamato Help Decrypt.html.

Bart
Puoi identificare il Ransomware in questione perché viene aggiunto .bart.zip al nome dei file. Una volta criptati i file, Bart rimpiazza lo sfondo del desktop con un'immagine contente le indicazioni di riscatto, quest'ultima viene creata sul desktop ed è denominata recover.bmp o recover.txt.

Crypt888
Al contrario dei suddetti Ransomware Crypt888 aggiunge all'inizio del nome dei file crittati Lock. Anche in questo caso il messaggio di riscatto viene mostrato sul desktop.

CryptoMix (Offline)
I file criptati presentano una delle seguenti estensioni: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd o .rscl.
NB: lo strumento di rimozione per questo Ransomware funziona esclusivamente con i file criptati con "chiave offline".

CrySiS
Se hai incontrato questo Ransomware i file criptati possono avere diverse estensioni tra cui: .johnycryptor@hackermail.com.xtbl,.ecovector2@aol.com.xtbl, .systemdown@india.com.xtbl, .Vegclass@aol.com.xtbl, .{milarepa.lotos@aol.com}.CrySiS, .{Greg_blood@india.com}.xtbl,.{savepanda@india.com}.xtbl, .{arzamass7@163.com}.xtbl.
Mentre la richiesta di riscatto viene mostrata in un file chiamato Decryption instructions.txt, Decryptions instructions.txt o *README.txt che sarà creato sul desktop.

Globe
Globe aggiunge al nome dei file una delle seguenti estensioni: .ACRYPT, .GSupport[0-9], .blackblock, .dll555,.duhust, .exploit, .frozen, .globe, .gsupport,.kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl,.zendrz, .zendr[0-9]o .hnyear. Tuttavia esistono varianti di questo Ransomware che riescono a criptare anche i nomi dei file.
La richiesta di riscatto è contenuta in un file denominato How to restore files.hta o Read Me Please.hta.

HiddenTear
I file criptati presentano una delle estensioni seguenti: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.
Una volta criptati i file sul desktop viene mostrato un file di testo chiamato READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML.

Jigsaw
Le estensioni dei file criptati vengono cambiate in: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org o .gefickt.
Il messaggio di riscatto appare dopo la criptazione dei file.

Legion
Questo Ramsomware aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf dopo il nome dei file, mentre il messaggio sostituisce lo sfondo del desktop.

NoobCrypt
I nomi dei file non vengono modificati ma una volta criptati non è possibile aprirli utilizzando i normali software.
Il messaggio viene mostrato in un file denominato ransomed.html sul desktop dopo che i file sono stati criptati.

Stampado
Viene aggiunta l'estensione .locked ai file ma esistono varianti che riescono a crittare anche il nome del file che può presentarsi simile a: documento.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked. Il messaggio viene mostrato dopo la criptazione dei file.

SZFLocker
L'estensione aggiunta ai file criptati è .szf e quando si cerca di aprire un file viene mostrato un messaggio in polacco.

TeslaCrypt
TeslaCrypt non modifica il nome dei file ma dopo il crittaggio dei file mostra un messaggio di riscatto.

NB: Puoi trovere maggiori informazioni e gli screenshot dei messaggi di riscatto sul sito di Avast.

Come rimuovere un Ransomware

Una volta identificato, tutto quello che dovrai fare è collegarti a questa pagina del sito ufficiale di Avast per scaricare il tool col nome del Ransomware in questione, quindi avviare l'eseguibile e attendere che il processo di decriptazione sia terminato.

Come rimuovere WannaCry

Il team di Avast non ha ancora messo a disposizione uno strumento di rimozione per WannaCry, tuttavia esiste un tool automatico che può essere efficace solo se il sistema operativo non è stato riavviato in seguito all'infezione. Sto parlando Wanakiwi scaricabile su GtHub all'indirizzo https://github.com/gentilkiwi/wanakiwi/releases.

Purtroppo Wanakiwi funziona solo su Windows Vista, Windows 7 e Windows 8 e non garantisce il decriptaggio sui sistemi a 64bit.

Se invece il tuo sistema operativo è Windows XP puoi scaricare WannaKey da https://github.com/aguinet/wannakey/tree/master/bin.

Come proteggersi dai Ransomware

Sfortunatamente al momento non esistono tool per altri tipi di Ransomware non elencati in questo articolo, quindi l'unico sistema per combatterli è la prevenzione. A tal riguardo puoi usare RansomFree, un software gratuito che promette di prevenire l'infezione del 99% dei Ransomware in circolazione, tra cui Bad Rabbit, NotPetya, Locky, Globe, Cerber e altri.

Il programma non ha bisogno di configurazioni e una volta installato protegge automaticamente il computer e avvisa l'utente con una notifica in caso di file sospetti.

Se invece vuoi proteggerti da CryptoWall4, Cryptolocker Tesla e CTB-Locker puoi installare Malwarebytes Anti-Ransomware. L'Anti-Ransomware ti avviserà in caso di attività ransomware sul PC.

E tu conosci altri sistemi per eliminare i Ransomware e decriptare i file? Scrivilo nei commenti!