Strumenti gratuiti per il decrittaggio di ransomware

Sei stato colpito da un ransomware? Non pagare il riscatto!

I nostri strumenti gratuiti per il decrittaggio di ransomware possono aiutarti a decrittare i file criptati dalle forme di ransomware elencate di seguito. Fai clic su un nome per visualizzare i sintomi dell'infezione e scaricare la correzione gratuita.

Vuoi prevenire nuove infezioni ransomware?

Scarica Avast Free Antivirus.

Alcatraz Locker

Alcatraz Locker è una forma di ransomware rilevata per la prima volta verso metà Novembre 2016. Per criptare i file degli utenti, questo ransomware sfrutta la crittografia AES a 256 bit in combinazione con la codifica Base64.

Modifiche ai nomi dei file:

I file criptati presentano l'estensione ".Alcatraz".

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "ransomed.html" sul desktop dell'utente):

+

Se i tuoi file sono stati criptati da Alcatraz Locker, fai clic qui per scaricare la correzione gratuita:

Correzione per Alcatraz Locker

Apocalypse

Apocalypse è una forma di ransomware rilevata per la prima volta nel Giugno 2016. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

Apocalypse aggiunge .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc.locked).

Messaggio di richiesta del riscatto:

Se si apre un file con estensione .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt o .Where_my_files.txt (ad esempio, Tesi.doc.How_To_Decrypt.txt) viene visualizzato un messaggio simile al seguente:

Correzione per Apocalypse Correzione per ApocalypseVM

BadBlock

BadBlock è una forma di ransomware rilevata per la prima volta nel Maggio 2016. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

BadBlock non rinomina i file.

Messaggio di richiesta del riscatto:

Dopo avere eseguito il crittaggio dei file, BadBlock mostra uno dei seguenti messaggi (da un file denominato Help Decrypt.html):

+ +

Se i tuoi file sono stati criptati da BadBlock, fai clic qui per scaricare la correzione gratuita:

Correzione per BadBlock per Windows a 32 bit Correzione per BadBlock per Windows a 64 bit

Bart

Bart è una forma di ransomware rilevata per la prima volta alla fine del Giugno 2016. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

Bart aggiunge .bart.zip in coda al nome dei file (ad esempio, Tesi.doc = Tesi.docx.bart.zip). Si tratta di archivi ZIP criptati in cui sono contenuti i file originali.

Messaggio di richiesta del riscatto:

Dopo avere eseguito il crittaggio dei file, Bart sostituisce lo sfondo del desktop con un'immagine simile alla seguente. Il testo visualizzato nell'immagine consente di stabilire che si tratta di Bart. Il file dell'immagine viene salvato sul desktop, con un nome simile a recover.bmp e recover.txt.

+

Se i tuoi file sono stati criptati da Bart, fai clic qui per scaricare la correzione gratuita:

Ringraziamenti: Si ringrazia Peter Conrad, autore di PkCrack, per averci concesso l'autorizzazione a usare la sua libreria nello strumento per il decrittaggio di Bart.

Correzione per Bart

Crypt888

Crypt888 (detto anche Mircop) è una forma di ransomware rilevata per la prima volta nel Giugno 2016. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

Crypt888 aggiunge Lock. all'inizio del nome dei file (ad esempio, Tesi.doc = Lock.Tesi.doc).

Messaggio di richiesta del riscatto:

Dopo avere eseguito il crittaggio dei file, Crypt888 sostituisce lo sfondo del desktop e visualizza una delle seguenti schermate:

+ + + + + + +

Se i tuoi file sono stati criptati da Crypt888, fai clic qui per scaricare la correzione gratuita:

Correzione per Crypt888

CryptoMix (Offline)

CryptoMix (noto anche come CryptFile2 o Zeta) è una forma di ransomware rilevata per la prima volta a Marzo 2016. All'inizio del 2017 è emersa una nuova variante di CryptoMix, denominata CryptoShield Entrambe le varianti criptano i file utilizzando la crittografia AES a 256 bit con una chiave di crittografia unica scaricata da un server remoto. Se il server non è disponibile o se l'utente non è connesso a Internet, il ransomware esegue comunque il crittaggio dei file utilizzando una chiave fissa ("chiave offline").

Importante: lo strumento per il decrittaggio supporta solo i file criptati con "chiave offline". Nei casi in cui per il crittaggio dei file non sia stata utilizzata una chiave offline, il nostro strumento non sarà in grado di ripristinare né di modificare i file.

Modifiche ai nomi dei file:

I file criptati possono presentare una delle seguenti estensioni: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd o .rscl.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, nel PC è possibile trovare i seguenti file:

+ + + +

Se i tuoi file sono stati criptati da CryptoMix, fai clic qui per scaricare la correzione gratuita:

Correzione per CryptoMix

CrySiS

CrySiS (JohnyCryptor, Virus-Encode o Aura) è una forma di ransomware rilevata per la prima volta a Settembre 2015. Sfrutta la crittografia AES a 256 bit in combinazione con la crittografia asimmetrica RSA a 1024 bit.

Modifiche ai nomi dei file:

I file criptati possono presentare numerose estensioni diverse, come:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato uno dei messaggi mostrati di seguito. Il messaggio è contenuto in un file denominato "Decryption instructions.txt", "Decryptions instructions.txt" o "*README.txt" sul desktop dell'utente.

+ + + + + + + +

Se i tuoi file sono stati criptati da CrySiS, fai clic qui per scaricare la correzione gratuita:

Correzione per CrySiS

Globe

Globe è una forma di ransomware rilevata per la prima volta ad Agosto 2016. A seconda della variante, sfrutta il metodo di crittaggio RC4 o Blowfish. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

Globe aggiunge al nome dei file una delle seguenti estensioni: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" o ".hnyear". Inoltre, alcune delle varianti di questo ransomware criptano anche i nomi dei file.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "How to restore files.hta" o "Read Me Please.hta"):

+ + +

Se i tuoi file sono stati criptati da Globe, fai clic qui per scaricare la correzione gratuita:

Correzione per Globe

HiddenTear

HiddenTear è uno dei primi codici ransomware open source ospitati in GitHub e risale ad Agosto 2015. Da quel momento, centinaia di varianti di HiddenTear sono state prodotte a partire dal codice sorgente originale. HiddenTear utilizza la crittografia AES.

Modifiche ai nomi dei file:

I file criptati presentano un'estensione simile alle seguenti: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, sul desktop viene visualizzato un file di testo (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Alcune varianti possono inoltre visualizzare un messaggio di richiesta del riscatto:

+ + + +

Se i tuoi file sono stati criptati da HiddenTear, fai clic qui per scaricare la correzione gratuita:

Correzione per HiddenTear

Jigsaw

Jigsaw è una forma di ransomware rilevata per la prima volta a Marzo 2016. Il nome deriva dal personaggio cinematografico "The Jigsaw Killer" (L'enigmista). Diverse varianti di questo ransomware utilizzano l'immagine dell'enigmista nella schermata di riscatto.

Modifiche ai nomi dei file:

I file criptati possono presentare una delle seguenti estensioni: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org o .gefickt.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzata una delle seguenti schermate:

+ + + + + +

Se i tuoi file sono stati criptati da Jigsaw, fai clic qui per scaricare la correzione gratuita:

Correzione per Jigsaw

Legion

Legion è una forma di ransomware rilevata per la prima volta a Giugno 2016. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

Legion aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Messaggio di richiesta del riscatto:

Dopo avere eseguito il crittaggio dei file, Legion sostituisce lo sfondo del desktop e mostra un messaggio simile al seguente:

+

Se i tuoi file sono stati criptati da Legion, fai clic qui per scaricare la correzione gratuita:

Correzione per Legion

NoobCrypt

Globe è una forma di ransomware rilevata per la prima volta a Luglio 2016. Per criptare i file degli utenti, questo ransomware sfrutta il metodo di crittaggio AES a 256 bit.

Modifiche ai nomi dei file:

NoobCrypt non modifica i nomi dei file. Tuttavia una volta criptati, i file non possono essere aperti utilizzando le applicazioni associate.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "ransomed.html" sul desktop dell'utente):

+ +

Se i tuoi file sono stati criptati da NoobCrypt, fai clic qui per scaricare la correzione gratuita:

Correzione per NoobCrypt

Stampado

Stampado è una forma di ransomware realizzata utilizzando lo strumento di script AutoIt. È in circolazione da Agosto 2016. Viene venduto nel dark Web, dove è via via possibile trovare varianti sempre nuove. Una delle varianti è anche denominata Philadelphia.

Modifiche ai nomi dei file:

Stampado aggiunge .locked in coda al nome dei file. Alcune varianti effettuano il crittaggio anche del nome del file, che pertanto può essere simile a: documento.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene mostrata la seguente schermata:

+ +

Se i tuoi file sono stati criptati da Stampado, fai clic qui per scaricare la correzione gratuita:

Correzione per Stampado

SZFLocker

SZFLocker è una forma di ransomware rilevata per la prima volta a Maggio 2016. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

SZFLocker aggiunge .szf in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc.szf).

Messaggio di richiesta del riscatto:

Quando si tenta di aprire un file criptato, SZFLocker mostra il seguente messaggio (in polacco):

+

Se i tuoi file sono stati criptati da SZFLocker, fai clic qui per scaricare la correzione gratuita:

Correzione per SZFLocker

TeslaCrypt

TeslaCrypt è una forma di ransomware rilevata per la prima volta a Febbraio 2015. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

L'ultima versione di TeslaCrypt non modifica il nome dei file.

Messaggio di richiesta del riscatto:

Dopo avere eseguito il crittaggio dei file, TeslaCrypt mostra un messaggio simile al seguente:

+

Se i tuoi file sono stati criptati da TeslaCrypt, fai clic qui per scaricare la correzione gratuita:

Correzione per TeslaCrypt

Logo del browser Chrome

Avast consiglia l'utilizzo
del browser internet GRATUITO Chrome™.