Cerca nel blog

2008/06/24

Tecniche contro il ransomware

Vi chiedono un riscatto per i vostri dati? Non spegnete il computer


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

La settimana scorsa ho parlato del nuovo ransomware Gpcode, un virus che cifra i dati e poi chiede un pagamento non tracciabile per ottenere la chiave di decifrazione.

Edgar, da Bangkok, mi segnala (in italiano) una soluzione trovata da Kaspersky: non è ancora possibile decrittare i dati cifrati dal virus, ma si può sfruttare una caratteristica del suo modo di agire per recuperare i dati sotto riscatto.

Infatti, nota Kaspersky in inglese, quando Gpcode lucchetta un file, ne crea una nuova copia cifrata e poi cancella il file originale. Basta quindi utilizzare un programma di recupero dei file cancellati, come PhotoRec, suggerito da Kaspersky ma prodotto da un programmatore indipendente a costi bassissimi (è donationware, scaricabile gratis con richiesta di donazione), e si elude l'azione del virus. Per ripristinare correttamente i nomi dei file cancellati e recuperati si può usare l'apposita utility gratuita di Kaspersky. Attenzione: con questa tecnica il virus non viene estirpato, ma vengono soltanto recuperati i dati.

Affinché questa tecnica funzioni, è essenziale che il computer non venga spento e che non vengano scritti nuovi dati: se vi trovate infettati da Gpcode, non toccate niente e chiamate subito aiuto esperto.

Nessun commento: