Supportiamo i browser, non i dinosauri. Aggiorna il tuo browser per visualizzare correttamente il contenuto di questa pagina Web.

Strumenti gratuiti per il decriptaggio del ransomware

Sei stato colpito da un ransomware? Non pagare il riscatto!

I nostri strumenti gratuiti per il decriptaggio del ransomware possono aiutarti a decriptare i file criptati dalle forme di ransomware elencate di seguito. Fai clic su un nome per visualizzare i sintomi dell'infezione e scaricare la correzione gratuita.

Vuoi prevenire nuove infezioni ransomware?

Scarica Avast Free Antivirus

AES_NI

AES_NI è una forma di ransomware apparsa per la prima volta a dicembre 2016. Da quel momento ne sono state rilevate più varianti, con diverse estensioni di file. Per criptare i file, il ransomware utilizza il criptaggio AES-256 insieme al criptaggio RSA-2048.

Modifiche ai nomi dei file:

Il ransomware aggiunge una delle seguenti estensioni ai file criptati:
.aes_ni
.aes256
.aes_ni_0day

In ciascuna cartella con almeno un file criptato, è possibile trovare il file "!!!READ THIS - IMPORTANT !!!.txt". Inoltre, il ransomware crea un file chiave con un nome simile a: [NOME_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day nella cartella C:\ProgramData.

Messaggio di richiesta del riscatto:

Il file "!!!READ THIS - IMPORTANT !!!.txt" contiene la seguente richiesta di riscatto:

+

Correzione per AES_NI

Alcatraz Locker

Alcatraz Locker è una forma di ransomware rilevata per la prima volta verso metà novembre 2016. Per criptare i file degli utenti, questo ransomware sfrutta il criptaggio AES a 256 bit in combinazione con la codifica Base64.

Modifiche ai nomi dei file:

I file criptati presentano l'estensione ".Alcatraz".

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "ransomed.html" sul desktop dell'utente):

+

Se i tuoi file sono stati criptati da Alcatraz Locker, fai clic qui per scaricare la correzione gratuita:

Correzione per Alcatraz Locker

Apocalypse

Apocalypse è una forma di ransomware rilevata per la prima volta a giugno 2016. Sintomi dell'infezione:

Modifiche ai nomi dei file:

Apocalypse aggiunge .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc.locked).

Messaggio di richiesta del riscatto:

Se si apre un file con estensione .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt o .Where_my_files.txt (ad esempio, Tesi.doc.How_To_Decrypt.txt) viene visualizzato un messaggio simile al seguente:

Correzione per Apocalypse Correzione per ApocalypseVM

BadBlock

BadBlock è una forma di ransomware rilevata per la prima volta a maggio 2016. Sintomi dell'infezione:

Modifiche ai nomi dei file:

BadBlock non rinomina i file.

Messaggio di richiesta del riscatto:

Dopo avere eseguito il criptaggio dei file, BadBlock mostra uno dei seguenti messaggi (da un file denominato Help Decrypt.html):

+ +

Se i tuoi file sono stati criptati da BadBlock, fai clic qui per scaricare la correzione gratuita:

Correzione per BadBlock per Windows a 32 bit Correzione per BadBlock per Windows a 64 bit

Bart

Bart è una forma di ransomware rilevata per la prima volta alla fine di giugno 2016. Sintomi dell'infezione:

Modifiche ai nomi dei file:

Bart aggiunge .bart.zip in coda al nome dei file (ad esempio, Tesi.doc = Tesi.docx.bart.zip). Si tratta di archivi ZIP criptati in cui sono contenuti i file originali.

Messaggio di richiesta del riscatto:

Dopo avere eseguito il criptaggio dei file, Bart sostituisce lo sfondo del desktop con un'immagine simile alla seguente. Il testo visualizzato nell'immagine consente di stabilire che si tratta di Bart. Il file dell'immagine viene salvato sul desktop, con un nome simile a recover.bmp e recover.txt.

+

Se i tuoi file sono stati criptati da Bart, fai clic qui per scaricare la correzione gratuita:

Ringraziamenti: Si ringrazia Peter Conrad, autore di PkCrack, per averci concesso l'autorizzazione a usare la sua libreria nello strumento per il decriptaggio di Bart.

Correzione per Bart

BigBobRoss

BigBobRoss cripta i file dell'utente utilizzando il criptaggio AES128. Ai file criptati viene aggiunta l'estensione ".obfuscated" in coda al nome del file.

Modifiche ai nomi dei file:

Il ransomware aggiunge la seguente estensione: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Il ransomware crea anche un file di testo denominato "Read Me.txt" in ciascuna cartella. Il contenuto del file è il seguente.

+

Correzione per BigBobRoss

BTCWare

BTCWare è una forma di ransomware apparsa per la prima volta a marzo 2017. Da quel momento ne sono state rilevate cinque varianti, che possono essere distinte in base all'estensione del file criptato. Il ransomware utilizza due diversi metodi di criptaggio: RC4 e AES 192.

Modifiche ai nomi dei file:

I nomi dei file criptati avranno il seguente formato:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Inoltre, nel PC sarà presente uno dei seguenti file
Key.dat in %USERPROFILE%\Desktop

1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf o !#_DECRYPT_#!.inf in ciascuna cartella con almeno un file criptato.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, anche lo sfondo del desktop viene sostituito con il seguente:

+
Può inoltre essere visualizzata una delle seguenti richieste di riscatto:
+ +

Correzione per BTCWare

Crypt888

Crypt888 (detto anche Mircop) è una forma di ransomware rilevata per la prima volta a giugno 2016. Sintomi dell'infezione:

Modifiche ai nomi dei file:

Crypt888 aggiunge Lock. all'inizio del nome dei file (ad esempio, Tesi.doc = Lock.Tesi.doc).

Messaggio di richiesta del riscatto:

Dopo avere eseguito il criptaggio dei file, Crypt888 sostituisce lo sfondo del desktop e visualizza una delle seguenti schermate:

+ + + + + + +

Se i tuoi file sono stati criptati da Crypt888, fai clic qui per scaricare la correzione gratuita:

Correzione per Crypt888

CryptoMix (Offline)

CryptoMix (noto anche come CryptFile2 o Zeta) è una forma di ransomware rilevata per la prima volta a marzo 2016. All'inizio del 2017 è emersa una nuova variante di CryptoMix, denominata CryptoShield Entrambe le varianti criptano i file utilizzando il criptaggio AES a 256 bit con una chiave di criptaggio unica scaricata da un server remoto. Se il server non è disponibile o se l'utente non è connesso a Internet, il ransomware esegue comunque il criptaggio dei file utilizzando una chiave fissa ("chiave offline").

Importante: lo strumento per il decriptaggio supporta solo i file criptati con "chiave offline". Nei casi in cui per il criptaggio dei file non sia stata utilizzata una chiave offline, il nostro strumento non sarà in grado di ripristinare né di modificare i file.
Aggiornamento del 21/07/2017: Lo strumento per il decriptaggio è stato aggiornato per includere anche la variante Mole.

Modifiche ai nomi dei file:

I file criptati possono presentare una delle seguenti estensioni: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl o .MOLE.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, nel PC è possibile trovare i seguenti file:

+ + + + +

Se i tuoi file sono stati criptati da CryptoMix, fai clic qui per scaricare la correzione gratuita:

Correzione per CryptoMix

CrySiS

CrySiS (JohnyCryptor, Virus-Encode, Aura o Dharma) è una forma di ransomware rilevata per la prima volta a settembre 2015. Sfrutta il criptaggio AES-256 in combinazione con il criptaggio asimmetrico RSA-1024.

Modifiche ai nomi dei file:

I file criptati possono presentare numerose estensioni diverse, come:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato uno dei messaggi mostrati di seguito. Il messaggio si trova nei file "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" o "HOW TO DECRYPT YOUR DATA.txt" sul desktop dell'utente. Inoltre, lo sfondo del desktop viene sostituito con una delle immagini seguenti.

+ + + + + + + + + + +

Se i tuoi file sono stati criptati da CrySiS, fai clic qui per scaricare la correzione gratuita:

Correzione per CrySiS

EncrypTile

EncrypTile è una forma di ransomware rilevata per la prima volta a novembre 2016. Dopo sei mesi di sviluppo è stata rilevata una nuova versione finale di questo ransomware. Utilizza il criptaggio AES-128, con una chiave costante per un dato PC e utente.

Modifiche ai nomi dei file:

Il ransomware aggiunge la parola "encrypTile" al nome del file:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Il ransomware crea inoltre quattro nuovi file sul desktop dell'utente. I nomi di questi file sono localizzati. Ecco le versioni in inglese:

+
Messaggio di richiesta del riscatto:
+ +
Come eseguire uno strumento per il decriptaggio

Mentre è in esecuzione, il ransomware impedisce all'utente di eseguire strumenti che potrebbero potenzialmente rimuoverlo. Fai riferimento al post del blog per istruzioni più dettagliate su come eseguire lo strumento di decriptaggio nel caso in cui il ransomware sia in esecuzione nel PC.

Correzione per EncrypTile

FindZip

FindZip è una forma di ransomware rilevata per la prima volta alla fine di febbraio 2017. Questo ransomware si diffonde nel sistema operativo Mac OS X (versione 10.11 o successiva). Il criptaggio si basa sulla creazione di file ZIP (ciascun file criptato è una cartella ZIP contenente il documento originale).

Modifiche ai nomi dei file:

I file criptati avranno l'estensione .crypt.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, sul desktop dell'utente vengono creati diversi file con le seguenti varianti del nome: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Sono tutti identici e contengono il seguente messaggio di testo:

+

Speciale: Dal momento che gli strumenti per il decriptaggio di AVAST sono applicazioni Windows, è necessario installare un livello di emulazione nel Mac (WINE, CrossOver). Per ulteriori informazioni, leggi il post del blog.

Se i tuoi file sono stati criptati da FindZip, fai clic qui per scaricare la correzione gratuita:

Correzione per FindZip

Fonix

Il ransomware Fonix è in circolazione da giugno 2020. Scritto in C++, utilizza tre schemi di criptaggio delle chiavi (chiave master RSA-4096, chiave di sessione RSA-2048, chiave file a 256 bit per il criptaggio SALSA/ChaCha). A febbraio 2021 gli autori di questo ransomware hanno chiuso la loro attività e hanno pubblicato la chiave master RSA che può essere utilizzata per decriptare i file gratuitamente.

Modifiche ai nomi dei file:

I file criptati possono presentare una delle seguenti estensioni:
.FONIX,
.XINOF

Messaggio di richiesta del riscatto:

Dopo avere eseguito il criptaggio dei file sul computer della vittima, il ransomware mostra la seguente schermata:

+

Se i tuoi file sono stati criptati da Fonix, fai clic qui per scaricare la correzione gratuita:

Correzione per Fonix

GandCrab

Gandcrab è stato una delle forme di malware prevalenti nel 2018. Il 17 ottobre 2018 gli sviluppatori di Gandcrab hanno rilasciato 997 chiavi per le vittime situate in Siria. Inoltre, nel luglio 2018 l'FBI ha rilasciato le chiavi master per il decriptaggio delle versioni 4-5.2. Grazie all'utilizzo di tutte queste chiavi, questa versione dello strumento di decriptaggio consente di decriptare i file gratuitamente.

Modifiche ai nomi dei file:

Il ransomware aggiunge diverse possibili estensioni:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (caratteri disposti in modo casuale)

Messaggio di richiesta del riscatto:

Il ransomware crea inoltre un file di testo denominato "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" o "%RandomLetters%-MANUAL.txt" in ogni cartella. Il contenuto del file è il seguente.

+ +

Le versioni più recenti del ransomware possono inoltre impostare la seguente immagine sul desktop dell'utente:

+

Correzione per GandCrab

Globe

Globe è una forma di ransomware rilevata per la prima volta ad agosto 2016. A seconda della variante, sfrutta il metodo di criptaggio RC4 o Blowfish. Ecco i sintomi dell'infezione:

Modifiche ai nomi dei file:

Globe aggiunge al nome dei file una delle seguenti estensioni: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" o ".hnyear". Inoltre, alcune delle varianti di questo ransomware criptano anche i nomi dei file.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "How to restore files.hta" o "Read Me Please.hta"):

+ + +

Se i tuoi file sono stati criptati da Globe, fai clic qui per scaricare la correzione gratuita:

Correzione per Globe

HiddenTear

HiddenTear è uno dei primi codici ransomware open source ospitati in GitHub e risale ad agosto 2015. Da quel momento, centinaia di varianti di HiddenTear sono state prodotte a partire dal codice sorgente originale. HiddenTear utilizza il criptaggio AES.

Modifiche ai nomi dei file:

I file criptati presentano un'estensione simile alle seguenti: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, sul desktop viene visualizzato un file di testo (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Alcune varianti possono inoltre visualizzare un messaggio di richiesta del riscatto:

+ + + +

Se i tuoi file sono stati criptati da HiddenTear, fai clic qui per scaricare la correzione gratuita:

Correzione per HiddenTear

Jigsaw

Jigsaw è una forma di ransomware rilevata per la prima volta a marzo 2016. Il nome deriva dal personaggio cinematografico "The Jigsaw Killer" (L'enigmista). Diverse varianti di questo ransomware utilizzano l'immagine dell'enigmista nella schermata di riscatto.

Modifiche ai nomi dei file:

I file criptati possono presentare una delle seguenti estensioni: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org o .gefickt.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzata una delle seguenti schermate:

+ + + + + +

Se i tuoi file sono stati criptati da Jigsaw, fai clic qui per scaricare la correzione gratuita:

Correzione per Jigsaw

LambdaLocker

LambdaLocker è una forma di ransomware rilevata per la prima volta a maggio 2017. È scritta nel linguaggio di programmazione Python e la variante prevalente oggi può essere decriptata.

Modifiche ai nomi dei file:

Il ransomware aggiunge l'estensione “.MyChemicalRomance4EVER” in coda al nome del file:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


Il ransomware crea inoltre un file di testo denominato "UNLOCK_guiDE.txt" sul desktop dell'utente. Il contenuto del file è il seguente.

+

Correzione per LambdaLocker

Legion

Legion è una forma di ransomware rilevata per la prima volta a giugno 2016. Sintomi dell'infezione:

Modifiche ai nomi dei file:

Legion aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Messaggio di richiesta del riscatto:

Dopo avere eseguito il criptaggio dei file, Legion sostituisce lo sfondo del desktop e mostra un messaggio simile al seguente:

+

Se i tuoi file sono stati criptati da Legion, fai clic qui per scaricare la correzione gratuita:

Correzione per Legion

NoobCrypt

Globe è una forma di ransomware rilevata per la prima volta a luglio 2016. Per criptare i file degli utenti, questo ransomware sfrutta il metodo di criptaggio AES a 256 bit.

Modifiche ai nomi dei file:

NoobCrypt non modifica i nomi dei file. Tuttavia una volta criptati, i file non possono essere aperti utilizzando le applicazioni associate.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "ransomed.html" sul desktop dell'utente):

+ +

Se i tuoi file sono stati criptati da NoobCrypt, fai clic qui per scaricare la correzione gratuita:

Correzione per NoobCrypt

Stampado

Stampado è una forma di ransomware realizzata utilizzando lo strumento di script AutoIt. È in circolazione da agosto 2016. Viene venduto nel dark Web, dove è via via possibile trovare varianti sempre nuove. Una delle varianti è anche denominata Philadelphia.

Modifiche ai nomi dei file:

Stampado aggiunge .locked in coda al nome dei file. Alcune varianti effettuano il criptaggio anche del nome del file, che pertanto può essere simile a: documento.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, viene mostrata la seguente schermata:

+ +

Se i tuoi file sono stati criptati da Stampado, fai clic qui per scaricare la correzione gratuita:

Correzione per Stampado

SZFLocker

SZFLocker è una forma di ransomware rilevata per la prima volta a maggio 2016. Sintomi dell'infezione:

Modifiche ai nomi dei file:

SZFLocker aggiunge .szf in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc.szf).

Messaggio di richiesta del riscatto:

Quando si tenta di aprire un file criptato, SZFLocker mostra il seguente messaggio (in polacco):

+

Se i tuoi file sono stati criptati da SZFLocker, fai clic qui per scaricare la correzione gratuita:

Correzione per SZFLocker

TeslaCrypt

TeslaCrypt è una forma di ransomware rilevata per la prima volta a febbraio 2015. Sintomi dell'infezione:

Modifiche ai nomi dei file:

L'ultima versione di TeslaCrypt non modifica il nome dei file.

Messaggio di richiesta del riscatto:

Dopo avere eseguito il criptaggio dei file, TeslaCrypt mostra un messaggio simile al seguente:

+

Se i tuoi file sono stati criptati da TeslaCrypt, fai clic qui per scaricare la correzione gratuita:

Correzione per TeslaCrypt

Troldesh / Shade

Troldesh, noto anche come Shade o Encoder.858 è una forma di ransomware rilevata per la prima volta nel 2016. Alla fine di aprile 2020, autori di questo ransomware hanno chiuso la loro attività e hanno pubblicato le chiavi che consentono di eseguire il decriptaggio dei file gratuitamente.
Per ulteriori informazioni:https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Modifiche ai nomi dei file:

I file criptati possono presentare una delle seguenti estensioni:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Messaggio di richiesta del riscatto:

Dopo che i file sono stati criptati, sul desktop dell'utente vengono creati diversi file denominati README1.txt, README2.txt ... fino a README10.txt. Questi file contengono il seguente testo, in diverse lingue:

+

Inoltre, lo sfondo del desktop viene sostituito con un'immagine simile alla seguente:

+

Se i tuoi file sono stati criptati da Troldesh, fai clic qui per scaricare la correzione gratuita:

Correzione per Troldesh

XData

XData è una forma di ransomware che deriva dal tipo AES_NI e, come WannaCry, utilizza l'exploit Eternal Blue per diffondersi in altri computer.

Modifiche ai nomi dei file:

Il ransomware aggiunge l'estensione ".~xdata~" ai file criptati.

In ciascuna cartella con almeno un file criptato, è possibile trovare il file "HOW_CAN_I_DECRYPT_MY_FILES.txt". Inoltre, il ransomware crea un file chiave con un nome simile a:

[NOME_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ nelle seguenti cartelle:

• C:\

• C:\ProgramData

• Desktop

Messaggio di richiesta del riscatto:

Il file "HOW_CAN_I_DECRYPT_MY_FILES.txt" contiene la seguente richiesta di riscatto:

+

Correzione per XData

Chrome browser logo

Avast consiglia l'utilizzo
del browser Internet GRATUITO Chrome™.