Come recuperare file criptati da CTB Locker 5/5 (4)

Vedrai in questa guida come recuperare i file criptati dal virus CTB Locker. Questo perché anche se sei riuscito ad eliminarlo dal computer, quasi tutti i tuoi file personali (.doc .docx .odt .jpg) sono stati criptati e non riesci più ad aprirli. Purtroppo esistono molte varianti di questo virus e quindi dovrai provare diverse soluzioni.

CTB Locker è uno dei peggiori virus nel suo genere, ma comunque prima di cadere nella tentazione di pagare il “riscatto” ai produttori del virus per poter avere la chiave che permetta di decriptare i propri file personali, vale la pena fare qualche tentativo con le soluzioni che sto per proporti.

Ti mostrerò due strade possibili per recuperare i file criptati da CTB-Locker:

  • una usando un comune programmino di recupero file cancellati, perché molto probabilmente CTB Locker non ha criptato direttamente i file, ma ha creato copie criptate di essi, cancellando gli originali;
  • l’altra utilizzando gli Shadow files di Windows, cioè copie di backup create da windows.

Ovviamente per procedere con le indicazioni che sto per darti, devi aver già eliminato completamente il virus dal PC, se così non fosse, ti consiglio di seguire la mia guida per eliminare CTB Locker dal computer.

Cominciamo col primo tentativo, quello che permette di recuperare i file cancellati, questo perché se tu andassi a fare altre operazioni sul computer, rischieresti di sovrascrivere i file eliminati perdendoli per sempre. Il programma che consiglio di utilizzare per eseguire il recupero è Recuva, esiste in versione gratuita e a pagamento, ma al tuo scopo sarà sufficiente quella gratis!

Quindi per scaricare il software clicca su Download from: FileHippo.com oppure, se il collegamento non fosse funzionante, prova il link Piriform.com sotto di esso. Nella pagina che si aprirà, dovrai fare click su Scarica Ultima versione. Comparirà una finestra con un video che mostrerà come utilizzare Recuva. Se non sei interessato a vedere il video,  clicca sulla freccia accanto alla scritta Download del programma in corso.

Installa il software selezionando la lingua Italiano, togli la spunta accanto alla scritta Installa Google Toolbar gratuitamente insieme a Recuva (se non sei interessato) e dopo qualche attimo clicca su Fine. Si aprirà automaticamente il Wizard del programma, cioè una modalità guidata che indica come muoverti. Vai sempre avanti senza cambiare niente, poi fai click su Avvia. Dovrai aspettare qualche minuto e alla fine verrà mostrato un elenco di file che erano stati cancellati, ma che sono ancora presenti in forma “nascosta” sul tuo PC.

Troverai quelli eliminati da CTB Locker, ma anche i file che avevi cancellato tu nel passato. Se Recuva non dovesse trovarne tanti o addirittura per niente, chiudi il programma e riavvialo, questa volta però prima di cliccare Avvia, metti il segno di spunta accanto alla voce Avvia scansione approfondita.

Per recuperare i file trovati e che erano stati criptati da CTB Locker, basta mettere la spunta accanto a tutti quelli che t’interessano e poi fare click su Recupera. Si aprirà una piccola finestra dove dovrai scegliere in quale dispositivo salvare i documenti recuperati. Ti consiglio di scegliere un hard disk esterno o una chiavetta, perché se dovessi scegliere lo stesso volume da cui stai tentando di recuperare i file, andresti a sovrascriverli rendendoli irrecuperabili.

Guarda la mia Video-Guida per Recuperare i File criptati da CTB Locker

Se la prima soluzione che ti ho mostrato non dovesse aver portato il risultato sperato, puoi provare un’altra strada: recuperare i file criptati da CTB Locker usando Shadow Explorer. Si tratta di un software in grado di aprire gli Shadow Files di Windows (Cioè le copie di backup del tuo sistema e dei file personali, fatte automaticamente da Windows) e di estrarne il contenuto.
Una volta scaricato il programma aprilo, seleziona la lingua e premi Ok per proseguire, poi click su Avanti nella schermata successiva. Accetta i Termini di utilizzo, prosegui cliccando sempre avanti e infine Installa. Conclusa l’installazione clicca il tasto Fine e partirà in automatico il programma con cui potrai tentare di recuperare le copie dei tuoi file criptati da CTB Locker.

shadowexplorer1

La schermata principale del software è molto simile a Esplora Risorse di Windows. In alto a sinistra seleziona la lettera dell’hard disk in cui erano presenti i file che t’interessa recuperare e sulla destra vedrai immediatamente tutto il contenuto. Non ti resta che selezionare ogni singolo documento (Tieni premuto il tasto CTRL della tastiera se vuoi selezionare più file contemporaneamente), poi tasto destro del mouse e fai click su Export… Nella finestra che si apre, seleziona l’hard disk o la chiavetta in cui vuoi andare a salvare i documenti da recuperare.

Purtroppo a volte CTB Locker quando colpisce, riesce a cancellare gli Shadow Files, rendendo impossibile il recupero dei file criptati. Se fosse questo il tuo caso, allora per adesso non ti resta molto altro da fare. Al momento non esistono altre soluzioni.

Se qualcuno avesse trovato soluzioni funzionanti per recuperare file criptati da CTB Locker, diverse da quelle mostrate in questa guida, le scriva sotto nei commenti, potrebbero essere utili anche ad altri!

Vota l'articolo

Mario Pet

Mario Pet

Mario Petriccione è un Tecnico Informatico e WebDesigner. Per 10 anni è stato a capo di un negozio di informatica dove si svolgevano riparazioni hardware e software, assemblaggio PC, rimozione virus, formattazioni di sistema, configurazioni di rete. Ora crea, gestisce e cura diversi siti internet. Nel tempo libero scrive guide sul Blog

30 pensieri riguardo “Come recuperare file criptati da CTB Locker

  • 6 gennaio 2016 in 1:09
    Permalink

    GRAZIE SUPERMARIO SONO RIUSCITA A RECUPERARE TUTTO. DA ORA IN POI SEMPRE DOPPI – TRIPLI BACKUP

    Risposta
  • 10 gennaio 2016 in 14:24
    Permalink

    CI SONO ALTRI PROGRAMMI COME RECUVA CHE DESCRIVONO L ALBERO GENEALOGICO DELLE CARTELLE?
    HO PROVATO MA IL RISULTATO è SEMPRE LO STESSO, CRIPTITATI

    Risposta
  • 10 gennaio 2016 in 19:25
    Permalink

    Recuva è uno dei migliori programmi nel suo genere e molto potente. Se non sei riuscito a recuperare i tuoi file anche dopo aver messo la spunta alla voce "Avvia scansione approfondita", allora non credo che riuscirai con altri programmi. Ricorda che con Recuva devi cercare i file originali…

    Risposta
  • 20 gennaio 2016 in 9:58
    Permalink

    Ciao Mario,
    ho preso il virus ma ho formattato il tutto, tenendo tutti i file criptati.
    Hai delle soluzioni? Posso provare anche se ho formattato ad utilizzare Recuva? Conosci altre soluzioni? E' una situazione veramente tragica! Attendo tue gentili notizie

    Risposta
  • 20 gennaio 2016 in 12:34
    Permalink

    Ciao, anche se hai formattato puoi fare un tentativo con Recuva. Se però non trova niente, non puoi fare altro.

    Risposta
  • 24 febbraio 2016 in 22:10
    Permalink

    fra recuva e shadow ho recuperato un bel po' di files GRAZIEEEEE!!!!

    Risposta
  • 24 febbraio 2016 in 22:28
    Permalink

    ops… i files ci sono ma non si possono aprire/visualizzare
    suggerimenti?

    Risposta
  • 24 febbraio 2016 in 22:59
    Permalink

    Ciao, Recuva trova di solito tanti file, alcuni non apribili ma molti apribili. Comunque quando finisce la scansione ti mostra le anteprime dei file trovati. Trovi l'indicazione accanto ad ogni file sullo stato di salute

    Risposta
  • 25 febbraio 2016 in 9:30
    Permalink

    ciao mario grazie per la risposta; i files che non riesco ad aprire sono quelli recuperati con shadow, jpg, docx e pdf; sembrano ok ma quando provo ad aprirli mi dice che non si aprono, hai qualche suggerimento? grazie ancora

    Risposta
  • 29 marzo 2016 in 11:13
    Permalink

    Ciao Recuva mi ha aperto una lista di file ma in tutti c’è la dicitura “irrecuperabile”

    Risposta
    • 29 marzo 2016 in 14:33
      Permalink

      Ciao, hai fatto la scansione approfondita?

      Risposta
  • 9 aprile 2016 in 18:14
    Permalink

    Salve, i file, in parte li ha recuperati, e, come suggerito, salvati in una pendrive esterna. Solo che si verifica un grave problema: i nomi dei file non più gli stessi e, sopratutto non li apre. Le foto, i file word ecc mi dice, aprendoli con le rispettive applicazioni, che sono danneggiati o non leggibili…mi sapete dare una soluzione a questo problema? Ringrazio vivamente per i suggerimenti

    Risposta
  • 9 aprile 2016 in 20:14
    Permalink

    Ho riprovato con RECUVA e mih ha recuperato TUTTI i files….però persiste il problema che non me li apre perchè, a seconda del file (jpg, pdf, ecc ecc) il programma adibito all’apertura, mi dice che il formato del file non è supportato (visualizzatore foto di windows e paint ad esempio con file JPG)…i files ci sono, recuperati, hanno il nome originale, non hanno più l’estensione che ctb locker gli affibiava, ma non riesco ad aprirli….CONSIGLI??? GRAZIEEEEEEE

    Risposta
    • 10 aprile 2016 in 12:14
      Permalink

      Ciao Mattia, purtroppo per quei file che non riesci ad aprire non puoi fare niente. Controlla bene però tra i file che Recuva ha recuperato, dovresti trovare più versioni dello stesso file. Cioè per esempio di una determinata foto, trovi lo stesso file ripetuto più volte, con lo stesso nome ma con aggiunto un numero progressivo: Vacanze_Roma1.jpg Vacanze_Roma2.jpg

      Risposta
  • 18 aprile 2016 in 17:55
    Permalink

    ho installato shadow ma non riesco a inserire la lettera hard disk é vuoto

    Risposta
  • 23 aprile 2016 in 3:37
    Permalink

    Salve Signor Mario Pet , sono un imprenditore di Palermo , sono stato attaccato dal CTB LOCKER in data 21 Aprile , ho molti documenti dentro , foto di perizie collaudi , fatture vendita ecc. Non avevo Backup , Oggi mi sono recato dal mio solito tecnico nonché mio fornitore di PC e materiali informatica , ma mi ha detto che i file sono tutti danneggiati , nin si aprono c’è scritto una parola accanto che non ricordo , quindi immagini la mia disperazione , lui sta facendo la pulizia e mettermelo apposto,il PC , ama penso non voglia perdere tempo dicendomi che alcuni professionisti avvocati ingegneri ecc. hanno perso anke loro tutto . Mi sono detto ma davvero non c’è rimedio o almeno a 50% X potere recuperare ? Mi sono messo in rete e ho visto che Lei ha suggerito a tante persone come fare , oltre che Le scrivono che hanno risolto quasi tutti il problema è anke in percentuale i casi di recupero File ….premesso che io so solo accendere il PC. appena , e scrivere alla tastiera . Vole chiederle , se mi può risolvere il problema , naturalmente a pagamento , se mi può aiutare , sono un’impresa di tipo familiare , e non siamo in grado di fare operazioni tecniche informatiche ….il mio tecnico mi ha detto che mi metterà tutti i file in una penna , in modo da poter averli fuori , e ricominciare daccapo tutto , immagini che non apro più il file della carta intestata della ditta , mi fa sapere gentilmente se può aiutarmi e se può come poter farle avere il tutto . In attesa di un Suo riscontro , le porgo Cordiali Saluti

    Risposta
    • Mario Pet
      28 aprile 2016 in 20:25
      Permalink

      Salve signor Giuseppe, se il suo tecnico ha messo in una chiavetta i file criptati e poi ha formattato il pc, purtroppo al suo caso non c’è rimedio perchè da quei file non si può recuperare nulla. Per recuperare i suoi documenti il suo tecnico avrebbe dovuto utilizzare uno dei 2 programmi che vede indicati nella mia guida.

      Risposta
  • 1 giugno 2016 in 19:11
    Permalink

    non capisco dove cercare su shadows, dove si trova la cartella documenti e immagini? con recuva ho recuperato qualcosa ma sono poco soddisfatto, anche perchè avevo un casino di immagini e ne sono uscite poche, alcune senza anteprima
    le ho scritto anche su facebook

    Risposta
    • Mario Pet
      2 giugno 2016 in 18:24
      Permalink

      Ciao Phil, dentro la cartella Utenti trovi il tuo utente e all’interno di esso sono presenti le cartelle Documenti e Immagini

      Risposta
  • 2 giugno 2016 in 19:05
    Permalink

    ma dentro di quelle ci sarebbero i file jpg, doc originali? perchè in pratica questo virus ha solo fatto una copia criptata se ho capito bene, cmq mi sembrava di aver capito bene, adesso ti dico. provo un’altra volta, al limite hai un riferimento, che ne so una mail dove poterti chiedere aiuto passo per passo?
    sto impazzendo, ho perso tutte o parte delle pictures nella cartella IMMAGINI e molti file doc e pdf (importanti!). Fortuna che ho cambiato il pc case con win10 solo da una settimana e in quello precedente (con xp sp3) ho si, cestinato tutto e ripulito, ma ho letto in giro che in realtà i file non si cancellano svuotando il cestino! si possono recuperare con dei programmi solo che mi hanno chiesto un pò troppo quelli dell’assistenza di una nota catena di prodotti elettronici ….

    Risposta
  • 2 giugno 2016 in 19:09
    Permalink

    mi spiego meglio, si è infettato il pc comprato da una settimana, così anche l’hard disk esterno con all’interno i back up dati che a sto punto posso buttare anche quelli.
    Un’altra mia speranza sarebbe scovare a fondo nell’ hd del vecchio pc dato che da qui a una settimana ho aggiornato con pochi dati…..
    lavorare sul pc infetto ci provo ancora su shadow, ma più o meno avevo capito….solo che apro la cartella hp_proprietario ed è vuota….oppure si deve caricare ….boh

    Risposta
  • 2 giugno 2016 in 19:12
    Permalink

    e comunque confermo, ho preso il virus inavvertitamente aprendo una mail con allegato una presunta fattura di una nota compagnia telefonica, state attenti!!! per una distrazione succede di tutto!! un virus molto potente, non mi è mai capitato in anni e anni di lavoro!

    Risposta
  • 6 giugno 2016 in 20:47
    Permalink

    Confermo! Sono sicuro che l’ho preso dalla bolletta telefonica (uguale identica a quella originale con un numero di telefono inventato. Questo mi aveva fatto insospettire ma non ho avuto tanto tempo per pensarci sopra che quel virus maledetto ha fatto il disastro). L’ho debellato gratis con Norton e con Combofix (Malwarebytes e SpyHunter ti fanno una scansione di due ore e poi ti chiedono soldi per toglierlo). Sono sicuro che l’ho levato perché aveva anche un’altro vizietto: quello di metterti a tutto Desktop le foto che voleva lui). Mi ha rovinato anche i dati che erano in chiavetta ma quelli, stranamente, si lasciano recuperare con RECUVA, cosa che non è possibile per il computer. Fortuna che ho fatto un salvataggio esterno abbastanza recente, Con il “ripristino configurazione di sistema non si combina niente”, di copie Shadow non ne ho e mi manca da provare il suggerimento di Mario Pet con “Shadow Explorer. Comunque ho notato che sullo SCREEN Saver le foto continuano a passare come se niente fosse, per cui dico: secondo me, se windows riesce ad andarle a prendere anche se sono criptate significa che una strada per farlo anche noi ci deve essere.

    Risposta
  • 7 giugno 2016 in 16:41
    Permalink

    Ho provato con Shadow explorer. Il problema è che non ci sono copie shadow anteriori a qualche giorno fa e quindi prima del virus. Pertanto i dati vengono recuperati già corrotti e non visibili. Però ho una buona notizia: tutti i dati del disco D sono recuperabili anche se nel computer sono criptati, mentre lo stesso non vale per il disco C per il quale non si recupera niente.

    Risposta
    • 27 marzo 2017 in 11:32
      Permalink

      ciao

      non ho capito

      se il disco C è irrecuperabile non lo è invece il D?

      ho un caso di un pc infettatosi che ha contagiato il disco D di un altro pc condiviso in rete, ma non il C

      pensi sia possibile il recupero dei dati su d:

      Risposta
      • 24 aprile 2017 in 17:30
        Permalink

        Ciao, il recupero dei dati criptati potrebbe essere possibile. Tenta le 2 soluzioni che ho pubblicato nel post.

        Risposta
  • 20 febbraio 2017 in 18:59
    Permalink

    Ciao Mario,
    come posso recuperare file criptati da CTB Locker?

    Risposta
    • 21 febbraio 2017 in 16:10
      Permalink

      Ciao Angelo dovresti provare con i 2 sistemi che ho pubblicato nell’articolo. C’è anche un video che mostra come fare.

      Risposta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *