Attenti Al Nuovo Ransomware CryptoLocker

imagesIWZ22GRUUna nuova minaccia informatica all’orizzonte sta mettendo in ginocchio milioni di persone e aziende si tratta del Trojan Ransom CryptoLocker con le sue varianti Ransom cryptor, CriptoWall,Onion, coinvault ransomware ,CTB-Locker o Citroni.
Il Trojan- CryptoLocker, è in pratica un malware in rapida diffusione in Italia un ransomware che attacca i sistemi Windows criptando i file sul computer chiedendo poi un riscatto per poterli ripristinare. Il ransom cripta i dati del  vostro computer,server,chiavette USB, hard disk esterni, network per la condivisione di file e cloud storage,Dropbox ecc..
Cripta immagini,documenti pdf,word,rar,zip,video ect…  usando una crittografia RSA-2048 protetta con chiave privata
Questo Trojan richiede un riscatto economico dai 399 ai 799 euro per sbloccarvi i dati, usa servizi come Bitcoin servizi di pagamento online Ukash, MoneyPak, e CashU
In molti casi il Ramson non vi garantisce lo sblocco dei file anche una volta pagato il riscatto.
Molte persone non hanno ricevuto un bel niente una volta pagato il riscatto…ma fotunatamente arriva una buona notizia fondata o infondata che sia,molte voci affermano che il gruppo di criminali informatici responsabili dell’attacco abbia iniziato a distribuire le chiavi per decriptare i file .
Questa sarebbe una buona notizia perché al momento non esiste nessuna procedura o software che possa sbloccare i file,se non quella di pagare..e che comunque non assicura la decriptazione dei propri file anche una volta pagato il riscatto.
Alcune vittime affermano che CryptoLocker è apparso dopo un’infezione botnet separata quindi essendo già infetti da altro malware.
HackerConPassamontagna

Come agisce il Ransomware

Arriva un email da parte di SDA (OVVIAMENTE FINTA).

Che vi invita a scaricare un allegato in file ZIP pacchetto  pacchetto
sda
ma in realtà è un finto pdf un .exe un applicazione contentente il trojan
exe
una volta eseguita l’applicazione il pc viene infettato e vengono criptati/bloccati tutti i file sul vostro computer,server,chiavette USB, hard disk esterni, network per la condivisione di file e cloud storage
con l’estensione dicitura locked o .encrypted dipende dalla variante del virus
viruses_10556_0413-214768
una finestra che resta aperta vi spiega come fare per sbloccare i vostri dati
CRIPTO1
CRIPTO2
vi chiede un riscatto da pagare 399 euro entro un lasso di tempo stabilito,mostrando anche un conto alla rovescia..altrimenti il prezzo aumenterà a 798 euro (mortacci loro aggiungo io) 😀 per ricevere il software per sbloccare i vostri file e se non pagate entro il tempo stabilito tutti i vostri dati saranno cancellati automaticamente la chiave privata verrà eliminata per sempre e non sarà più possibile recuperare i file crittografati.
cripto3

Come rimuovere il trojan

Fortunatamente il trojan si rimuove facilmente con la maggior parte degli antivirus in circolazione o programmi per rimuovere virus tipo: HitmanPro,Malwarebytes,Kaspersky virus removal tool, RogueKiller,Bitdefender
pacchetto2
pacchetto3

Tentare di sbloccare i file

sfortunatamente almeno per ora non è possibile sbloccare i propri file,non c’è al momento nessuna soluzione se si è stati colpiti dall’ultima variante del criptolocker

mentre se si è stati colpiti da varianti precedenti è possibile provare a sbloccare i file in questo modo:
Aggiornamento 14/10/2015 Kaspersky rilascia il tool per decriptare i file colpiti dal coinvault ransomware
https://noransom.kaspersky.com/?utm_source=KD&utm_medium=text&utm_campaign=kd-com
Metodo 1: backup
Il primo è sicuramente il metodo migliore e il più veloce se avete creato una copia di backup dei vostri file prima di essere stati infettati da CriptoLocker,potete far ritornare tutto alla normalità velocemente con il backup che avete.
Metodo 2: Recuperare file cancellati
Questo trojan quando cripta i file esegue prima una copia dell’originale ,e poi la cancella.  NOTA L’ultima variante non permette di eseguire tale operazione.
A questo punto quindi è possibile utilizzare un software di recupero file, come Abyssal Recovery , Photorec , Easy Drive Data Recovery , Power Data Recovery  GetDataBack , Recuva  in modo da recuperare dei file originali.
NOTA E ‘importante sottolineare che più si utilizza il computer piu’ difficile sarà il loro recupero quindi è un operazione da fare quanto prima.
Metodo 3: sbloccare i file tramite decriptolocker
Provare a sbloccare i file tramite il sito www.decryptcryptolocker.com fornisce aiuto per decrittare file criptati da CryptoLocker
Metodo 4: Visualizza cartelle e file nascosti per ripristinare parzialmente i file
NOTA: Si possono recuperare solo i file Microsoft Word e Microsoft Excel
Visualizzare i file e cartelle nascosti del sistema
Procedura per  Windows XP-Vista-Windows 7 e Windows 8
Pannello di controllo
Opzioni cartella
Visualizzazione
metti la spunta alla voce  visualizza cartelle,file e unità nascostie fai click  su Applica e poi su OK per salvare i cambiamenti.
Cattura
Cliccare sul pulsante start e in Cerca scrivere  o copia\incolla * .tmp
per Windows 8 tasto destro del mouse su Start poi cliccare su cerca e scrivere o copia\incolla * .tmp Verrà presentato un elenco di tutti i file temporanei si trovano nel computer.
tmp
Il passo successivo è di aprire questi file con Microsoft Word / Excel e recuperare le informazioni perse, salvandolo in un altro luogo. Si può fare, con l’apertura di una nuova istanza di MS Word / Excel, attraverso il menù file selezionare Apri e quindi passare alla posizione del file TMP
cript
Metodo 5: copie shadow del volume
si può provare a ripristinare i file con copie di shadow Versioni precedenti dei file . Le versioni precedenti sono copie di cartelle e file create da Windows Backup oppure copie di cartelle e file salvate automaticamente da Windows come parte di un punto di ripristino. Le versioni precedenti possono essere utilizzate per ripristinare le cartelle e i file danneggiati, modificati o eliminati accidentalmente. A seconda del tipo di file o cartella, è possibile aprire, salvare in un percorso diverso o ripristinare una versione precedente. Le versioni precedenti vengono salvate automaticamente come parte di un punto di ripristino. Se è attiva la protezione del sistema, Windows crea automaticamente le versioni precedenti delle cartelle e dei file che sono stati modificati dopo la creazione dell’ultimo punto di ripristino vedere qui per usare Versioni precedenti dei file
Purtroppo, questa infezione (le ultime varianti) tenterà di eliminare eventuali copie shadow del volume salvate sul computer, ma a volte non riesce a farlo e si può utilizzare per ripristinare i file.   
pacchetto5

Prevenire è meglio che curare

Il modo migliore per difendersi da questa e da altre minacce è effettuare il backup dei dati il prima possibile.
Un altro metodo che si è dimostrato molto efficace nel proteggere i vostri file è con Bitlocker o con TrueCrypt  abbiamo riscontrato che proteggendo criptando i nostri file con una password il virus non è riuscito a bloccarli-criptarli
Per non essere infettati dal virus bisogna fare attenzione a ciò che si scarica,usare il buon senso:
non aprire nessuna email sospetta o di un corriere espresso  se non avete fatto nessun ordine
Utilizzare Account utente con privilegi limitati di Windows
Questo metodo dovrebbe impedire al virus di cancellare le copie shadow dei file e quindi permettervi di recuperare qualche versione precedente dei vostri file
Windows concede un determinato livello di diritti e privilegi a seconda del tipo di account utente con cui si accede al computer. Esistono tre tipi di account utente diversi: standard, amministratore e guest.Sebbene l’account amministratore offra il controllo completo del computer, l’utilizzo di un account standard può contribuire a una maggiore sicurezza del PC
Un account amministratore e un tipo di account che consente di configurare il computer e installare tutti i programmi che si desidera utilizzare.
è consigliabile creare un account standard da utilizzare per le normali attività sul computer,e per navigare su Internet L’utilizzo di un account standard contribuisce infatti a migliorare la protezione del computer.
L’account standard consente di proteggere il computer impedendo agli utenti di apportare modifiche che hanno effetto su tutti gli utenti del computer, ad esempio l’eliminazione di file necessari per il funzionamento del computer.
Quando si è connessi a Windows con un account standard, è possibile eseguire le stesse operazioni di un account amministratore, ma se si desidera eseguire un’operazione che ha effetto su altri utenti del computer, ad esempio l’installazione di software o la modifica di impostazioni di sicurezza, Windows potrebbe richiedere di inserire una password di un account amministratore.
L’utilizzo di un account dotato di privilegi utente limitati consente di ridurre, in modo drastico, il pericolo di vedere il proprio sistema infetto da malware.
Nota:
Windows richiede almeno la presenza di un account amministratore sul
computer. Se sul computer è presente un solo account, non è possibile modificarlo in un account standard.
Fare clic
Start
Pannello di Controllo e cliccare su
Account utente.
Fare clic su Gestisci un altro account.
Fare clic su Crea nuovo account
Assegnare un nome schegliere Utente standard
e cliccare su Crea account
installate un buon antivirus sul pc (sempre aggiornato) che blocca siti e programmi malevoli e che controlli la posta e lo spam con eventuale filtro antispam.Kaspersky Internet Security  per esempio ha introdotto un sistema per combattere criptolocker , crea automaticamente una copia di backup di questo file prima che venga crittografato da un cryptor dannoso. Le copie di backup vengono memorizzati nella cartella di sistema per i file temporanei. Se un cryptor ha crittografato un file, Kaspersky Internet Security ripristina automaticamente dalla copia di backup

Usare una macchina virtuale,il virus non riesce ad installarsi su macchina virtuale

Assicurarsi di non avere il pc infetto da altri malware,in modo da non farvi arrivare via email lo spam e email pericoolose
seguire questa guida per ripulire il computer

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *