Come sbarazzarsi di CoinVault e riavere indietro i file

Kaspersky Lab e la polizia informatica olandese hanno creato un tool per ripristinare i file criptati dal ransomware CoinVault

coinvault-logo

La maggior parte delle volte, quando si è vittima di un ransomware, non c’è molto da fare. Per fortuna, di tanto in tanto, la polizia e le compagnie che si occupano di sicurezza informatica riescono a prendere le redini dei server command and control di un ransomware e a raccogliere informazioni molto utili per creare strumenti in grado di decifrare e ripristinare i file degli utenti. Recentemente la polizia informatica olandese e Kaspersky Lab hanno ottenuto ottimi risultati per dare  una mano alle vittime del ransomware CoinVault.

Se volete sapere qualcosa di più su CoinVault, vi consigliamo di dare un’occhiata al report dettagliato su Securelist. Se volete sapere come è stata creato questo nuovo strumento per decifrare i file, abbiamo un post anche per questo su Securelist. Se invece avete bisogno delle istruzioni per sbarazzarvi di questo ransomware e riottenere i vostri file, questo articolo è quello che fa per voi.

Passo 1: Il vostro computer è stato infettato da CoinVault?

Assicuratevi innanzitutto che i vostri file siano stati “catturati” da CoinVault e non da qualche altro ransomware. È facile verificarlo: se il vostro computer è stato infettato da CoinVault, visualizzerete la seguente immagine:

Passo 2: Ottenere lindirizzo del Bitcoin wallet

In basso a destra della schermata di CoinVault troverete l’indirizzo del Bitcoin Wallet (segnalato nell’immagine con un cerchietto nero). È molto importante copiare e mettere da parte questo indirizzo!

Passo 3: Ottenere lelenco dei file criptati

Nell’angolo in alto a sinistra della finestra del malware vedrete il tasto “View encrypted filelist” (segnalato nell’immagine con un cerchietto blu). Fate click qui e scaricate l’elenco. 

Passo 4: Rimuovere CoinVault

Andate su https://kas.pr/kismd-cvault e scaricate la versione di prova di Kaspersky Internet Security. Installate il programma e rimuovere CoinVault dal sistema. Assicuratevi di aver salvato le informazioni ottenute nei passi 2 e 3. 

Passo 5: Visitare https://noransom.kaspersky.com

In https://noransom.kaspersky.com digitate l’indirizzo del Bitcoin wallet ottenuto nel passo 2. Se si tratta di un indirizzo conosciuto, sullo schermo compariranno sullo schermo il vettore di inizializzazione (IV) e le chiavi. Potrebbero essercene molte, salvatele tutte sul computer, vi saranno utili in seguito.

Passo 6: Scaricare il tool per decifrare i file

Scaricate il tool da https://noransom.kaspersky.com e avviatelo. Se visualizzate un messaggio di errore, come la seguente immagine, andate al passo 7, altrimenti passate direttamente al punto 8.

Passo 7: Scaricare e installare librerie aggiuntive

Andate su http://www.microsoft.com/en-us/download/details.aspx?id=40779 e seguite le istruzioni scritte sul sito. Successivamente installate il software.

Passo 8: Avviare il tool

Avviando il tool visualizzerete la seguente schermata:

Passo 9: Verificare che loperazione si stia svolgendo correttamente

Quando avviate il tool per la prima volta, vi consigliamo di fare prima un test di prova. Ovvero:

  • Cliccate su “Select file” nella sezione “Single File Decryption” e selezionate il file da decifrare;
  • Inserite l’IV nella casella corrispondente;
  • Inserite la chiave nella casella corrispondente;
  • Cliccate su “Start”

A questo punto verificate che il file sia stato decifrato correttamente.

Passo 10: Decifrare tutti i dati rubati da CoinVault

Se durante il passo 9 tutto è andato bene, potete recuperare tutti i file in un colpo solo. Per farlo selezionate l’elenco dei file ottenuto durante il passo 3, inserite l’IV, la chiave e fate click su Start. Potete selezionare, se volete, “Overwrite encrypted file with decrypted contents” per sovrascrivere i file.

Se avete ottenuto diverse chiavi e IV una volta inserito l’indirizzo del Wallet, prestate molta attenzione perché al momento non siamo sicuri al 100% della loro provenienza. In questo caso vi consigliamo di non spuntare la casella “Overwrite encrypted file with decrypted contents”. Se qualcosa va storto durante il processo potete provare la coppia IV+clave una per volta fino a raggiungere il vostro scopo.

Se non avete ottenuto IV e chiave, vi tocca aspettare e verificare periodicamente su https://noransom.kaspersky.com. Ci sono ancora ricerche in corso, aggiungeremo nuove chiavi non appena saranno disponibili.

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi