giovedì 26 settembre 2019

Istruzioni in caso di attacco ransomware

Un mio amico è stato colpito dal ransomware NESA. Ho chiesto aiuto a Glauco Rampogna, soprattutto per orientarmi nella marea di articoli e strumenti disponibili.

Mi sembra giusto condividere (anche per ricordarmene) la sua risposta.

"Se l'intenzione è di rimuovere il ransomware, ci sono molti tool (io uso Malwarebytes), ma per decifrare i files purtroppo non posso esserti di aiuto immediato, a quanto pare non è stata ancora trovata la chiave di Nesa.

Nesa è una variante del Ransomware DJVU/STOP su cui i ricercatori stanno lavorando:
- https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/?p=4442422.

Per recuperare i file, o si hanno copie di backup o shadow, oppure è necessario salvare tutti i files cifrati e attendere la decifratura. Alcuni siti sono aggiornati con le varianti decifrate. Ad esempio:
- https://www.nomoreransom.org/;
- https://noransom.kaspersky.com/.

Per verificare se è uno scherzo (quindi si vedono i file con estensione .nesa, ma in realtà un altro cryptolocker), si possono inviare due campioni su questi siti:
- https://www.nomoreransom.org/crypto-sheriff.php;
- https://id-ransomware.malwarehunterteam.com/index.php".

Non mi resta che ringraziare Glauco.

PS: un altro mio amico mi ha scritto che qualcuno potrebbe pensare che il "mio amico" sono in realtà io. Non è così. Ricordo che in quel caso si dice "mio cugino", non "mio amico".

Nessun commento:

Posta un commento