Visualizzazione post con etichetta BadBlock. Mostra tutti i post
Visualizzazione post con etichetta BadBlock. Mostra tutti i post

sabato 4 giugno 2016

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.
Impossibile avviare Windows a causa di file mancante o corrotto
FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).
BadBlock: richiesta pagamento riscatto
FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 



Come recuperare i dati cifrati


Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.
Decrypt BadBlock: Creazione cartella sul desktop
FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.
BadBlock: Decryption Key
FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su  per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.
Decrypt BadBlock - License terms
FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.
BadBlock: Emsisoft Decrypter
FIG 6 - BadBlock: Emsisoft Decrypter


BadBlock: Emsisoft Decrypter, risultati
FIG 7 - BadBlock: Emsisoft Decrypter, risultati