Cryptolocker-Virus-pic


 In seguito alle numerose chiamate ricevute da scuole e clienti privati, vogliamo segnalare che recentemente si stà riproponento la diffusione del Virus Cryptolocker.

Appartiene ad una categoria di virus detti “ransomware“, ovvero chiedono un riscatto per poter essere rimossi. Si diffonde per email e basta aprire l'allegato per contrarre l’infezione. In rete circolano varie versioni di Criptolocker. Le ultime tipologie sono molto potenti e sconosciute agli antivirus, perciò davvero pericolose. CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.

cryptoloker-virus

 Al primo avvio, il software si installa nella cartella Documents and Settings (o "Users", nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata.

Di seguito un'esempio di email:

crypto-email

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Come si nota  a differenza di altre email pericolose, questo particolare tipo di messaggio è scritto in modo corretto senza errori grammaticali / ortografici. Informa di un ingente rimborso, in particolare questa email elenca il prezzo di numerosi prodotti utilizzati per l’ufficio, che ci devono essere rimborsati. Viene indicato di aprire il file allegato per leggere ulteriori dettagli. Esistono varianti anche più subdole provenienti a Telecom, Enel, Enel Energia, Poste Italiane e in tutti i casi invitano ad aprire l'allegato in modo più o meno esplicito.

Come tentare di recuperare i file criptati

l primo tool si chiama Malwarebytes Anti-Ransomware e serve a prevenire il virus. In pratica è una programma che blocca l’esecuzione del virus sul nascere. Se numerosi file presenti sul PC iniziano ad essere criptati, questo software reagisce prontamente segnalandoti la minaccia, bloccando tutte le modifiche ai file. E’ ancora in fase BETA ed è stato sviluppato basandosi sul meno recente CryptoMonitor. Sulla pagina ufficiale del software, si trovano tutti i dettagli ed un video del suo funzionamento. Può essere utilizzato per bloccare numerose varianti del virus, tra cui: CryptoWall, CryptoLocker, CTB Locker, CryptorBit, KeyHolder, TELSA, Operation Global, TorrentLocker, CryptoDefense, ZeroLocker.

 Se i file sono già stati criptati, avranno sicuramente un’estensione anomala. Ad esempio possono essere stati rinominati con le seguenti estensioni: .xxx .ttt .micro .vvv .ccc .abc .aaa .ecc .exx .ezz .zzz.  Se sei stato colpito dalle varianti del virus chiamate Coinvault oppure Bitcryptor, è possibile provare il programma gratuito Kaspersky Ransomware Decryptor. Permette di decriptare i file modificati dal ransomware e non richiede installazione. E’ sufficiente indicare al software la cartella dove si trovano i file criptati ed attendere la scansione. Anche in questo caso il risultato non è garantito!

Al momento questi sono gli strumenti più aggiornati per tentare di recuperare i file.

Ricordiamo che la migliore cosa è sempre la prevenzione:

  • Effettuare regolarmente il backup dei dati
  • Aggiornare regolarmente Antivirus e Sistema Operativo
  • Non aprire allegati a messaggi e-mail se non sicuri del messagggio
  • Se si ha il sospetto dell'avvenuta infezione spegnere subito il PC e contattare l'assistenza

Per Informazioni contattateci su:

Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.

Tel. 070.729599   -  mob. 328.9678105

 

 

 

StampaEmail

Poker bonus at bet365.com