Il tuo computer o server è stato colpito da un Crypto Virus?
Il nostro team ti aiuterà a riavere i tuoi dati senza pagare alcun riscatto.
Richiesta informazioni
Ci hanno scelto
Come recuperare i file sottratti da un virus ransomware?
Negli ultimi anni si sono diffusi dei virus chiamati “ransomware” (unione delle parole “ransom”, che significa riscatto, e “malware”, software infetto) che bloccano l’accesso dell’utente al proprio computer criptando i dati e richiedendo un riscatto (che può ammontare anche a centinaia di dollari) per poterli decrittare.
Se il riscatto non viene pagato entro una data stabilita, la chiave di decrittazione viene distrutta e i file saranno persi per sempre.
Spesso il riscatto è richiesto in bitcoin, la moneta elettronica usata anche nella darknet perché garantisce il totale anonimato del possesso e del trasferimento di somme di denaro.
Il più comune ransomware in circolazione si chiama Crypto Virus ed è noto anche come CryptoLocker. Altri esempi sono CTB-Locker e TeslaCrypt.
Come avviene l'infezione e come prevenirla
Avere un antivirus installato sul proprio pc purtroppo non è sufficiente, a meno che non sia previsto un salvataggio periodico dei dati in cloud, garantendone così il successivo recupero.
Perciò consigliamo di fare molta attenzione ai siti visitati e ai programmi o aggiornamenti scaricati se provengono da fonti non sicure, così come occorre esaminare attentamente le email ricevute, poiché i link o gli allegati potrebbero contenere questo virus.
Questo tipo di virus può colpire tramite diversi canali, non solo da siti web poco sicuri ed email, ma anche da device esterni infetti come hard disk e chiavette Usb.
I sintomi di un’infezione da crypto virus sono un improvviso rallentamento del pc e la presenza di file di tipo encrypted.
In questa eventualità, si può provare ad arrestare il sistema in modo forzato per bloccare l’azione di criptazione; tuttavia, sarà necessario rivolgersi immediatamente a esperti nel recupero dati per rimuovere il virus e salvare i vostri file.
Bisogna sapere che il crypto virus è strutturato in maniera molto sofisticata, con algoritmi altamente complessi, come la chiave RSA a 2048 bit che genera una cifratura impossibile da violare.
Per questo i crypto virus sono un’autentica minaccia ai dati custoditi sui tuoi dispositivi ed è opportuno sapere come intervenire senza cedere ai ricatti.
Errori da evitare
-
Non pagare MAI il riscattoQuesta è la regola numero uno. Pagare non ti garantisce nulla: spesso i criminali incassano e spariscono, oppure ti inviano una chiave che non funziona o che decripta solo metà dei file. Inoltre, pagare ti inserisce in una "lista di pagatori", rendendoti bersaglio di futuri attacchi.
-
Non lanciare l'Antivirus o strumenti di puliziaSembra controintuitivo, ma non rimuovere il virus subito. L'antivirus potrebbe cancellare il file "dropper" o l'eseguibile del virus che a volte contiene al suo interno la chiave di decriptazione o tracce fondamentali per il Reverse Engineering. Lascia il sistema "sporco" per l'analisi.
-
Non contattare i criminali da solo:Non scrivere alle email lasciate nel file "HOW TO RECOVER". I criminali usano tattiche psicologiche per alzare il prezzo. Se è necessaria una negoziazione (come ultima spiaggia), deve essere gestita da professionisti che sanno come trattare e verificare le prove di decriptazione.
Cosa fare per recuperare i dati
-
Isola il dispositivo dalla rete (LAN/Wi-Fi)Stacca immediatamente il cavo Ethernet o disattiva il Wi-Fi. I Ransomware moderni (come LockBit o Conti) sono progettati per muoversi lateralmente nella rete aziendale e infettare server, NAS e altri PC collegati. Blocca l'emorragia subito.
-
Spegni la macchina (se l'attacco è in corso)Se vedi che i file stanno cambiando estensione proprio in questo momento, stacca la spina. Interrompere l'alimentazione ferma il processo di cifratura a metà, salvando potenzialmente una parte dei dati che il virus non ha ancora raggiunto.
-
Controlla data e ora dei file criptatiVerifica (da un altro PC o guardando le proprietà) quando sono stati modificati i file. Questo ci aiuta a capire quando è iniziata l'infezione e quale backup (se ne hai) è "pulito" e quale invece è stato fatto quando il virus era già dentro.
Marche trattate
Recuperiamo i tuoi dati
o non paghi nulla
La nostra filosofia si basa sulla trasparenza totale: il pagamento è dovuto esclusivamente se il recupero dei tuoi dati va a buon fine, azzerando così qualsiasi rischio economico per te.
Recuperiamo i tuoi dati in 4 step
Spedisci o consegna
il dispositivo
Imballa con attenzione in tuo dispositivo. Applica l’etichetta che ti forniremo al pacco scrivendo in modo chiaro il nominativo lasciato in fase di accettazione online. Se puoi, inserisci all’interno del pacco una copia della mail riepilogativa che ti verrà inviata e spedisci il tutto al nostro laboratorio con il vettore che preferisci.
Diagnosi in
laboratorio
Non appena il supporto arriva in laboratorio, i nostri tecnici eseguono una diagnosi approfondita per valutare la possibilità di recupero e individuare la soluzione più efficace. Questa fase è fondamentale per stabilire la fattibilità dell’intervento.
Preventivo
gratuito
Riceverai un preventivo dettagliato per il servizio di recupero dati.
Il preventivo è sempre gratuito e non vincolante: potrai decidere liberamente se procedere.
Recupero
dei dati
Dopo la tua conferma, il dispositivo entra nella fase di lavorazione vera e propria.
Utilizziamo tecnologie avanzate e, se necessario, operiamo in Camera Bianca per garantire la massima sicurezza anche in caso di danni meccanici o contaminazioni.
Perchè sceglierci
Il nostro team di tecnici specializzati affronta quotidianamente tutte le principali tipologie di perdita dati: danni meccanici, elettronici, firmware, cancellazioni accidentali, formattazioni involontarie, attacchi di virus, sbalzi di tensione, incendi e allagamenti.
La Camera Bianca
di Recovery Data
Il luogo in cui sono svolte le operazioni di recupero è la Camera Bianca, ambiente altamente controllato nel quale l’aria è fino a 50.000 volte più pura rispetto al normale.
Ciò è necessario affinché i dispositivi su cui intervenire non siano contaminati da infiltrazioni di vario genere, poiché la sola apertura di un hard disk in una stanza priva di determinati requisiti causa danni irreparabili, rendendo il dispositivo inutilizzabile e provocando la perdita definitiva di tutti i dati contenuti al suo interno.
La certificazione Classe 100 / ISO 5 della Camera Bianca di Recovery Data è la garanzia di un ambiente idoneo allo svolgimento delle operazioni di recupero dati.
Domande frequenti
I miei file hanno cambiato estensione (es. .locked, .enc, .id[...]) e non si aprono. Cosa succede?
Sei vittima di un Ransomware. Un virus ha cifrato i tuoi dati rendendoli illeggibili e i criminali chiedono un pagamento per fornirti la chiave di sblocco.
Spegni subito la macchina o disconnettila dalla rete per impedire che il virus infetti altri computer o dispositivi collegati (come server o NAS di backup).
I criminali chiedono un riscatto in Bitcoin. Mi consigliate di pagare?
Sconsigliamo vivamente il pagamento. Non hai alcuna garanzia che i criminali ti forniscano la chiave dopo aver pagato (spesso spariscono o chiedono altri soldi).
Inoltre, pagare finanzia la criminalità organizzata e ti segnala come un “bersaglio”, esponendoti a futuri attacchi. Prima di considerare qualsiasi azione disperata, lascia che i nostri tecnici analizzino se esistono alternative tecniche per il recupero.
È possibile decriptare i file senza la chiave dei criminali?
Dipende dalla variante del virus. In alcuni casi (virus più vecchi o scritti male), esistono dei “decryptor” o delle falle nell’algoritmo che permettono di forzare la serratura. Tuttavia, per i virus moderni (AES-256), la decriptazione matematica è difficile ma non impossibile. In questi casi, il nostro lavoro si concentra sull’acquisto della potenza di calcolo necessaria al brute force della key.
Cos'è il recupero tramite "Shadow Copies" o "File Carving"?
Anche se il virus cripta i file originali, Windows spesso conserva delle copie di backup automatiche (Volume Shadow Copies). Molti virus tentano di cancellarle, ma a volte falliscono o lo fanno in modo incompleto. Noi analizziamo il disco a basso livello per trovare queste copie nascoste o frammenti di file cancellati prima della criptazione, permettendoci di recuperare i dati senza bisogno della chiave.
I miei database (SQL, Gestionale) sono criptati. È tutto perso?
Non necessariamente. I file di database sono molto grandi e spesso il virus ne cripta solo l’intestazione (Header) o alcune porzioni per velocizzare il processo. I nostri ingegneri possono analizzare la struttura interna del database e, operando chirurgicamente, estrarre le tabelle e i record validi dalle parti non criptate, ricostruendo un archivio funzionante.
Anche il disco di backup USB è stato criptato. Potete fare qualcosa?
Purtroppo i Ransomware moderni scansionano tutte le periferiche collegate. Se il backup era connesso al momento dell’infezione, viene colpito. Tuttavia, spesso il virus cripta i file ma non sovrascrive lo spazio libero immediatamente. Se stacchi subito il disco, potremmo riuscire a recuperare le versioni cancellate dei file originali che erano presenti prima che il backup venisse sovrascritto dalla versione infetta.
Se vi invio il disco, il virus può infettare il vostro laboratorio?
No. I nostri laboratori operano in un ambiente isolato e sicuro. I dischi infetti vengono collegati tramite blocchi hardware in modalità “Sola Lettura” a sistemi che non eseguono il sistema operativo infetto, ma analizzano solo la struttura dei dati. Non c’è rischio di propagazione.
Quali varianti di Ransomware trattate?
Analizziamo quotidianamente le varianti più diffuse come Dharma, Phobos, LockBit, Ryuk, Conti, REvil, Stop/Djvu, Magniber e molte altre.
I nostri database di firme virali sono aggiornati costantemente per identificare subito il tipo di attacco e le possibili vulnerabilità note.
Posso formattare il computer per rimuovere il virus e poi recuperarmi i dati?
No! Se formatti, distruggi le tracce che potrebbero servirci per il recupero (come file temporanei, log di sistema o chiavi rimaste nella cache). Inoltre, sovrascrivi lo spazio disco. Se vuoi pulire il computer, fallo solo dopo che abbiamo recuperato i tuoi dati e te li abbiamo consegnati su un supporto sicuro.
Quanto costa l'analisi di un caso Ransomware?
Offriamo una diagnosi preliminare per verificare la fattibilità del recupero. Poiché il recupero da Ransomware è un’attività di “Reverse Engineering” molto complessa e diversa dal recupero fisico, i costi e i tempi possono variare rispetto a un guasto standard. Ti forniremo un preventivo chiaro dopo aver analizzato un campione dei file criptati o l’unità stessa.