Sempre più spesso sento parlare di aziende, studi professioniali e liberi professionisti bloccati e ricattati da organizzazioni che usano il malware Ransom per cifrare i dati del computer e ricattare le vittime.
Ecco una breve guida su come fare per risolvere la questione rendendo nuovamente accessibili i dati cifrati, non è certo l'unica ma a titolo indicativo è una soluzione per le versioni non particolaremnte complesse di Ransom.
Noi lo sappiamo decriptare anche nelle varianti più complesse, abbiamo già avuto modo di sviluppare una metodoloiga per i nostri clienti.
(fonte: http://www.istitutomajorana.it/forum/Thread-GUIDA-Decriptare-i-file-bloccati-dal-virus-Trojan-Ransom-Win32-Rannoh)
Verificare se il pc è infetto dal virus:
Il virus modifica il nome e l' estensioni ai file nel modo seguente :
" locked-(nome_del_file) (4 caratteri casuali)"
Puliamo il sistema:
Scarichiamo RannohDecryptor.exe
Eseguiamo RannohDecryptor.exe sulla macchina infetta
Riavviamo il sistema una volta completata la pulizia del virus.
Come utilizzare l' utility messa disposizione da Kasperky
Eseguiamo RannohDecryptor.exe.
Facciamo clic su Start scan per iniziare la scansione.
Specifichiamo a RannohDecryptor il percorso di un file criptato ed il programma tenterà di decriptare automaticamente tutti i files. In caso che non riuscisse in una prima fase la decriptazione dei file, sarà necessario trovare una copia originale di almeno uno dei file crittografati così da poter fare un confronto e trovare la chiave per decriptare tutti gli altri files.
Finito il recupero, per cancellare le copie dei file crittografati denominati "locked-(nome_del_file) (4 caratteri casuali)" useremo la funzione "Delete crypted files after decryption".
Troveremo il log con le operazioni eseguite dall'utility, sul disco di sistema:
Ad esempio, C:\ RannohDecryptor.1.1.0.0_01.06.2012_10.15.21_log.txt