Abbiamo visto in precedenza cos’è Cryptolocker e come ci si può difendere evitando di essere infettati, in questa pagina invece, andremo a provare qualche azione volta al recupero dei dati (tentativi che andranno quasi sempre a fallire, ve lo anticipo, ma i più fortunati potrebbero recuperare qualcosa). A fine articolo trovate tutti i programmi che menzioneremo strada facendo.

Per tentare di recuperare qualche dato, dobbiamo capire come funziona questo tipo di infezione. Alcune varianti (le prime) sono state ampiamente studiate ed è stato possibile realizzare un algoritmo di decriptazione con tutte le chiavi utilizzate. Attualmente, i dati vengono invece prima criptati, e poi cancellati dal pc, il che potrebbe essere più che positivo. Se così fosse infatti, è possibile scaricare ed installare un software di recupero dati (come quelli per recuperare i file cancellati), e si recuperano parecchi dei dati andati persi.

C’è poi l’opzione “Shadow copy”, che è in sostanza un sistema grazie al quale il nostro PC tiene una copia dei file dei giorni precedenti (deve essere attivata, non è sempre attiva di default). Per navigare nelle copie shadow, esiste un piccolo programmino che si chiama Shadow Explorer, lo installate e potrete ritornare alle versioni originali del file. Due cose da dire su questa opzione: la prima, se avete preso la nuova variante che cripta il file e poi lo cancella, non avrete shadow copy di quel file (è stato cancellato ed il nuovo criptato è stato appena creato, quindi non esisteva prima), la seconda è che ci sono varianti di Cryptolocker che cancellano anche le copie shadow.

Usate Dropbox, Google Drive o Microsoft One Drive? Allora i file che erano li sopra sono tutti salvi anche se sono stati criptati, vi basterà cliccarci con il tasto destro e scegliere l’opzione “Ripristina versione precedente”. Se non funziona dal vostro pc, accedete al servizio dal sito e ripetete l’operazione da li.

Kaspersky ha rilasciato diverse utility per cercare di “decriptare” i file in questione. Se avete preso la variante Cryptowall Coin Vault potete gioire, c’è il rimedio e si chiama Coin Vault Decrypt, lo trovate qui: decryption application.
Se poi avete preso la versione Rannoh (non chiedetemi come si distinguono) Kaspersky ha rilasciato RannohDecrypt che recupera qualcosa (in realtà quasi tutto) e la trovate qui: http://support.kaspersky.com/viruses/disinfection/8547#block1 cliccando su “How to disinfect a system”.
C’è poi la variante Rakhni e per questa il programma in questione è RakhniDecryptor che trovate qui: http://support.kaspersky.com/viruses/disinfection/10556#block1 anche qui, cliccate su “How to work with the utility” per scaricare il programma.
Terza possibilità, la variante Scraper e per questa c’è ScraperDecryptor che trovate qui: http://support.kaspersky.com/viruses/disinfection/11718#block1 cliccate su “How to restore the files” per scaricare il programma.
Ultima possibilità è la variante Scatter dove Kaspersky ha realizzato ScatterDecryptor che trovate qui: http://support.kaspersky.com/viruses/disinfection/11333#block1 cliccate su “How to restore your files” per scaricare il programma.

Se con nessuno di questi 4 programmi riuscite a recuperare i file, non c’è niente da fare. Formattate, e lasciate stare tutto. Se avevate un backup su chiavetta o su disco esterno, dopo aver reinstallato tutto, copiatevi i file di nuovo sul pc, altrimenti è la volta buona per pensare a salvare regolarmente tutti i vostri documenti importanti. I programmi possono sempre essere reinstallati, i dati purtroppo se si perdono non c’è modo di riaverli.