Cerca nel blog

2008/06/24

Tecniche contro il ransomware

Vi chiedono un riscatto per i vostri dati? Non spegnete il computer


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

La settimana scorsa ho parlato del nuovo ransomware Gpcode, un virus che cifra i dati e poi chiede un pagamento non tracciabile per ottenere la chiave di decifrazione.

Edgar, da Bangkok, mi segnala (in italiano) una soluzione trovata da Kaspersky: non è ancora possibile decrittare i dati cifrati dal virus, ma si può sfruttare una caratteristica del suo modo di agire per recuperare i dati sotto riscatto.

Infatti, nota Kaspersky in inglese, quando Gpcode lucchetta un file, ne crea una nuova copia cifrata e poi cancella il file originale. Basta quindi utilizzare un programma di recupero dei file cancellati, come PhotoRec, suggerito da Kaspersky ma prodotto da un programmatore indipendente a costi bassissimi (è donationware, scaricabile gratis con richiesta di donazione), e si elude l'azione del virus. Per ripristinare correttamente i nomi dei file cancellati e recuperati si può usare l'apposita utility gratuita di Kaspersky. Attenzione: con questa tecnica il virus non viene estirpato, ma vengono soltanto recuperati i dati.

Affinché questa tecnica funzioni, è essenziale che il computer non venga spento e che non vengano scritti nuovi dati: se vi trovate infettati da Gpcode, non toccate niente e chiamate subito aiuto esperto.

12 commenti:

Unknown ha detto...

photorec è free, non è shareware

Giorgio Loi ha detto...

Mi pare che sia Edgar, non Edward.

Edgar Bangkok ha detto...

In effetti sono Edgar :) da Bangkok

Per quanto si riferisce a Photorec confermo che a me risulta free

'PhotoRec is free, this open source multi-platform application is distributed under GNU Public License. "

ma e' benvenuta una donazione.

".... Therefore if you've used TestDisk and the other utilities and have found them useful, and maybe feel like giving something back and contributing to the cause then please feel free to donate....."

Saluti dalla Thailandia

http://edetools.blogspot.com/

Paolo Attivissimo ha detto...

Edgar, scusami, avrò guardato non so quante volte il tuo nome e sono riuscito lo stesso a scriverlo sbagliato.

Ho corretto anche la descrizione di Photorec. Grazie di tenermi d'occhio!

Vado a cambiare fornitore di diluente nitro per il caffé.

IlTremendo ha detto...

ma gli utenti linux cosa devono fare?

Edgar Bangkok ha detto...

Il malware anche catalogato come Virus.Win32.Gpcode.ak. colpisce solo S.O. WINDOWS
Un bell'articolo su come agisce e come recuperare i files e' presente qui.

http://www.viruslist.com/en/viruses

/encyclopedia?virusid=313444

Anonimo ha detto...

ma gli utenti linux cosa devono fare?

Stare a guardare.

Cesare ha detto...

ragazzi, c'è la soluzione è disponibile anche spiegata in italiano

http://www.alground.com/blog/sicurezza/kaspersky-come-sconfiggere-eliminare-cancellare-ransomware-virus-gpcode-2/

Stepan Mussorgsky ha detto...

uhm...ma questo diabolico ransomware non si preoccupa di cancellare l'originale subito dopo averlo crittato? magari con un bello schema di Guttman a 35 sovrascritture?

bella boiata :D

Dan ha detto...

Bravo, dagli anche le idee per la prossima versione...
Comunque, un'operazione del genere unita alla criptazione di molti file importanti credo che farebbe lavorare parecchio il disco fisso, e la cosa potrebbe attirare l'attenzione dell'utente. E' pur vero che anche se se ne accorge è da vedere cosa possa farci, ma questo è un altro discorso.

cyberninja ha detto...

pierluigi ha detto:

[quote]
ma gli utenti linux cosa devono fare?

Stare a guardare.
[/quote]

E sghignazzare! :D

Luca

levante ha detto...

ahaha ma io mi chiedo...perchè la gente perde tempo a scrivere virus? non servono a nulla e danno solo problemi..bah
un saluto da ingross