Aggiornamento maggio 2017! Questo articolo si propone di fornire istruzioni sui metodi diversi di ripristinare i file .WNCRY crittografati dalla seconda versione del ransomware WannaCry noto anche come Wana Decrypt0r 2.0, WanaCrypt0r 2.0 e WCry.
“EternalBlue” e “DoublePulsare” sono i nomi degli exploit utilizzati dall’organizzazione che diffonde l’infezione del file .WNCRY e ciò che è peggio è che sono stati trapelati in linea verso le vacanze di Pasqua da un’entità di hacking conosciuta come “The Shadow Brokers”. Questo exploit riguarda principalmente problemi nei sistemi Windows, ecco perchè chiunque che non sia ancora infetto da questo virus è consigliato di eseguire il backup del sistema e quindi aggiornarlo.
Se sei diventato vittima di questo virus di ransomware, abbiamo creato diversi metodi che potrebbero rivelarsi utili per aiutarti a recuperare i file. Non si garantisce che i metodi funzionano, ma sono sicuramente quelli più probabili per ripristinare i tuoi file, pertanto ti consigliamo di seguirli e di farci tutte le domande che hai sul nostro argomento di supporto su WannaCry ransomware.
Metodo 1: Utilizzare Wireshark per annodare le chiavi di decodifica
È molto difficile stare al passo con un ransomware, come WannaCry, ma nonostante ciò, abbiamo deciso di mostrarti come utilizzare Wireshark per il tuo sperando di intercettare il traffico HTTP nel momento giusto. Tuttavia, si deve tenere presente che queste istruzioni sono teoriche e ci sono molti fattori che possono impedire il loro funzionamento in una situazione reale. Nonostante tutto, è meglio intentare, che non provare nulla prima di decidere di pagare il riscatto, giusto?
Prima di scaricare e utilizzare Wireshark – uno dei più usati sniffers di rete là fuori, dovresti avere l’esecutore del software malizioso in standby e infettare nuovamente il tuo computer. Tuttavia, tenere a mente che alcuni virus di ransomware eseguono una nuova crittografia ogni volta che viene riavviato un computer, in modo da configurare Wireshark per eseguire automaticamente all’avvio.
Fase 1: Scarica Wireshark sul tuo computer facendo clic sui seguenti pulsanti (per la tua versione di Windows):
Fase 2: Eseguisci, configura e impara a sniffare i pacchetti con Wireshark. Per sapere come avviare l’analisi dei pacchetti e verificare dove i pacchetti salvarono i dati, occorre aprire prima il Wireshark e scegliere l’interfaccia di rete attiva per l’analisi dei pacchetti.
Metodo 2: Utilizzo di Python in Ubuntu
Il secondo metodo con il quale si desidera provare a recuperare i file non è garantito per funzionare, ma si può riuscire nel caso in cui questa variante di Ransomware WannaCry utilizza la crittografia RSA (Rivest-Shamir-Adleman) per generare chiavi univoche per i file. Lo script di fatturazione è stato originariamente progettato per il ransomware CryptoWall , ma può anche essere utile per questa infezione. In entrambi i casi, vi preghiamo di fare attenzione e creare copie dei file crittografati seguendo le istruzioni riportate di seguito:
Per questo tutoriale particolare, abbiamo utilizzato il file con estensione da un altro virus, chiamato Bitcrypt. Abbiamo anche utilizzato Ubuntu versione 14.04 che ci ha aiutato ad utilizzare software speciali appropriati per questa distribuzione. Puoi scaricarlo dalla pagina di download del loro sito web e potrai inoltre:
Metodo 3: Utilizzo di tipi di file .VHD e software di recupero dati
Con questo metodo si rischia di riportare la maggioranza dei file dei metodi illustrati sopra, puramente perché non cerca una soluzione diretta per decrittografare i file crittografati che risulta impossibile se non si dispone delle chiavi. Invece utilizza diversi algoritmi per recuperare i file, trattandoli come se fossero eliminati. Uno dei tanti algoritmi utilizzati dai diversi programmi di recupero dati è noto per essere basato su branch predictors.
La ragione per cui abbiamo deciso di mettere in risalto questo metodo è che molte vittime dell’erruzione recente del ransomware Dharma, un altro virus indecisibile, erano effettivamente in grado di ripristinare oltre il 90% dei loro file utilizzando questo metodo.
La sua competenza primaria è che utilizza la conversione dei file in un tipo di file VHD che è fondamentalmente una partizione delle unità virtuali sul tuo PC. Quindi tratta il file crittografato come una partizione. Questa unità può essere avviata e si può provare a eseguire la scansione della partizione stessa utilizzando il software di recupero dati.
