Quando un virus del genere cryptolocker attacca il vostro computer, oltre a criptare tutti i vostri file personali, lascia in giro per il disco fisso un numero imprecisato di richieste di riscatto in file di testo, immagini e file Html. Ricercare tutti questi file non è sempre semplicissimo, oltre che veloce e comodo. RansomNoteCleaner lo può fare al vostro posto (o almeno ci prova).
Avvertenza: RansomNoteCleaner non serve a decriptare i file che sono stati criptati e non cerca tracce del malware, si limita a trovare tutti i file delle richieste di riscatto sparsi nel disco fisso e vi permette di eliminarli.
Funzionamento
Il programma è ancora in fase Beta, quindi possiamo perdonargli una certa imprecisione, perché, dalle prove fatte, rileva una buona quantità di falsi positivi, va quindi utilizzato prestando molta attenzione su cosa è stato trovato prima di procedere all'eliminazione.
Il programma è portable, una volta scaricato basta avviarlo, attualmente è in grado di rilevare le tracce di 126 tipi di ransomware.
Con Search for Ransom Notes possiamo andare a scegliere il disco fisso da controllare.
E si avvia la ricerca che impiegherà alcuni minuti, a seconda di quanti file sono presenti nel disco fisso. Al termine con View Ransom Notes potete vedere cosa è stato trovato.
Se avete dei dubbi sui file trovati potete salvare la lista in un file di testo e farlo consultare da persone più esperte.
In caso di rilevazione errata basta togliere il flag dalla casella corrispondente e premere Confirm for Deletion per cancellare tutti i file selezionati.
Il controllo del disco D è andato bene senza falsi positivi.
Quando si passa al controllo del disco C saltano fuori i problemi e le rilevazioni errate, sembra che il sistema sia stato infettato, contemporaneamente, da numerose varianti del virus.
Le false rilevazioni sono numerose, tutti i readme.txt vengono scambiati per tracce lasciate dal virus.
Visto si trattava, in ogni caso, di file di testo, o poco rilevanti, lancio lo stesso la rimozione di quello che aveva trovato, in alcune cartelle di sistema non riesce a cancellare i file.
Identificare il ransomware
Dello stesso autore del programma è anche il sito id-ransomware.malwarehunterteam.com che permette di identificare il tipo di ransomware dai file criptati o delle richieste di riscatto.
Dopo pochi secondi potrete sapere di che tipo di ransomware si tratta e se è possibile recuperare i file criptati.
Conclusioni
RansomNoteCleaner è un programma che può essere utile per fare pulizia, ma al momento è abbastanza impreciso, per cercare i file delle richieste di riscatto forse è meglio inserire il loro nome, o almeno parte di esso, in Everything e affidarsi alla sua velocità per la ricerca.
