Virus Cryptowall 3.0: come rimuovere e ripristinare i file crittografati

Il riscatto

Il riscatto richiesto è di 500USD se pagate subito. Aumentano a 1000 USD dalla settimana successiva.

Come ripristinare i file criptati da CryptoWall?

Come vi abbiamo detto, il virus è stato veramente ben fatto.
Non esiste un modo per ripristinare in autonomia i file che sono stati criptati.

Le soluzione sono fondamentalmente 2:

  1. cercare di ripristinare i file originali cancellati dal virus dopo averli criptati
  2. pagare il riscatto per riavere i propri file

1. cercare di ripristinare i file originali cancellati dal virus dopo averli criptati

Se avete una copia di backup dei file funzionanti salvati su altro dispositivo (hard disk esterno, chiavetta USB) siete veramente fortunati: non inserite questi supporti nel pc infetto, altrimenti anche queste versioni dei files verranno criptati.

Usate un pc diverso, sicuro, e verificate se avete tutti i file a cui tenete di piu.
Dopo esservene assicurati via consigliamo caldamente di FORMATTARE completamente il computer infetto.

Se invece non siete stati previdenti e non avete altre copie dei file che vi servono potete tentare queste soluzioni:

Versioning dei files

  1. click con il pulsante destro su un file criptato -> proprietà
  2. verificate se nella finestra che si apre avete in alto la linguetta “Versioni precedenti”
  3. in questo caso ripristinate una versione precedente del file e copiatela su un altro supporto prima che venga anch’essa criptata.

Se eravate certi di aver attivato il versioning dei files, ma tale opzione non è piu’ disponibile.. non state impazzendo.. certe versioni di CryptoWall provvedono a disabilitare questo servizio di Windows.

Shadow copies

Metodo simile al precedente, ma più semplice è utilizzare il programma “Shadow Explorer” per ripristinare intere cartelle (sempre se il servizio di Windows non è stato arrestato da CryptoWall); è possibile scaricarlo in modo gratuito e sicuro da qui: http://www.shadowexplorer.com/downloads.html

Quando aprite Shadow Explorer vedrete in alto di fianco alla lettera della vostra unità anche una tendina con le date in cui le shadow copies sono stete create. Guardate se avete a disposizione date antecedenti l’infezione dal virus, e procedete al ripristino delle cartelle (restore).

Se i metodi precedenti non funzionano.. non vi resta altro che cedere al ricatto.

Continua a leggere l’articolo: