NoCryptolocker
RECUPERO FILES & DATABASE
Crypt0l0cker e Spora
Cosa sono? Posso recuperare i miei files?
Crypt0l0cker e Spora sono delle evoluzioni del ransomware Cryptolocker, solo con caratteristiche più avanzate.
Entrambi vengono distribuiti tramite e-mail spam (con allegati dannosi).
Ogni e-mail contiene un file HTA che, una volta eseguito, estrae un file JavaScript ( "closed.js"), collocandolo nel sistema nella cartella "% temp%". Il file Javascript estrae un eseguibile con un nome casuale e lo esegue. L'eseguibile poi inizia a crittografare i file utilizzando la crittografia RSA. Si noti che, a differenza di altri virus ransomware, Spora non rinominare i file crittografati. Il file HTA suddetto estrae anche un file DOCX.
Questo file è danneggiato e, in tal modo, verrà visualizzato una volta aperto un errore. Questo è creato per ingannare le vittime a credere che il download di allegati di posta elettronica non è riuscito.
A seguito della crittografia, Spora genera dei file .html e .KEY (entrambi nominati utilizzando caratteri casuali), mettendoli in tutte le cartelle che contengono i file crittografati.
Crypt0l0cker invece aggiunge 4 o 6 lettere casuali alla fine di ogni file.
Una delle principali caratteristiche di Crypt0l0cker e Spora è la capacità di lavorare offline (senza connessione Internet).
Come accennato in precedenza, i file sono criptati utilizzando RSA (un algoritmo di crittografia asimmetrica) e, quindi, una chiave pubblica (crittografia) e una privata (decodificazione) vengono generate durante il processo di crittografia. La decrittografia senza la chiave privata è impossibile. Inoltre, la chiave privata è anche criptata utilizzando la crittografia AES, rendendo la situazione ancora peggiore. Così come per la crittografia dei file, Spora disattiva Windows Startup Repair, cancella le copie shadow del volume, e cambia BootStatusPolicy.
L'utente potrebbe trovarsi sul pc un file, datacipher.txt o README.txt nel caso di Spora, o COME_RIPRISTINARE_I_FILE.txt e COME_RIPRISTINARE_I_FILE.html nel caso di Crypt0l0cker che contengono un messaggio che indirizza a una pagina web per l'acquisto della chiave ed il successivo scaricamento di un decryptor.
Come decriptare file cifrati da Crypt0l0cker / Spora ?
Potete recuperare i miei dati?
Si possiamo recuperare tutti i tuoi files!!
Scrivici un'email a info@recuperafiles.it allegando dei files criptati ed il tuo numero di cellulare;
ti risponderemo il prima possibile!
File di testo lasciato da Crypt0l0cker "COME_RIPRISTINARE_I_FILE.txt"
Files criptati da Crypt0l0cker, con estensioni casuali per ogni file
Portale di pagamento di Spora, in versione russa