Rimuovere CTB Locker: come decriptare i file cifrati dal virus CTB Locker

L’obiettivo di questo articolo è quello di chiarire l’anatomia del virus ransomware CTB Locker. In particolare, si imparerà l’intero insieme di sintomi che accompagnano questa infezione, i pro ed i contro tecnici della sua attività, le opzioni che hanno le vittime per il recupero dei file illecitamente criptati, e i metodi applicabili per la rimozione completa del virus.

CTB Locker è una grave infezione del computer che supera i malware più diffusi in diversi modi critici. In primo luogo, rende i file delle vittime inaccessibili. Questo non è fatto per distruggere i dati o per il puro divertimento dei suoi creatori – c’è un obiettivo chiaramente commerciale alla base di questa attività. In realtà, il virus cifra i dati e quindi estorce denaro (0,2 BTC) in cambio del loro recupero.

Noto anche come Critroni, il ransomware in analisi è risultato essere disponibile per la vendita sulle risorse sotterranee per Black Hat, essendo una soluzione chiavi in mano che offre anche alcuni servizi di supporto e manutenzione come un extra. Questo è, a quanto pare, l’indicazione che l’infrastruttura di malware degli hacker ha raggiunto un nuovo livello evolutivo, che è un problema enorme ed una sfida per la comunità della sicurezza informatica.

Si infiltra in un computer attraverso l’uso di un exploit cosa che avviene principalmente sfruttando vulnerabilità in software obsoleti nel sistema di destinazione, CTB Locker ha il vantaggio di essere impercettibile alla vittima fino a quando la parte più sporca del suo lavoro è completata.

Esso analizza tutte le unità sulla macchina cercando i file con le estensioni più diffuse e quindi cifra tutto quello che ha trovato con la cosiddetta cifratura a curva ellittica. Sappiate che le condivisioni di rete o gli archivi di dati esterni collegati al PC sono soggetti a tale destino se sono visti come una lettera di unità stand alone. Inoltre il ransomware configura il sistema operativo per attivare l’eseguibile ad ogni avvio, facendo attenzione che rimanga attivo e funzionante.

Esso dirotta il desktop e cambia lo sfondo con una schermata che contiene le istruzioni preliminari di base su ciò che deve essere fatto per ripristinare le informazioni criptate.

CTB-Locker

Secondo il messaggio, l’utente ha 96 ore per presentare il pagamento del riscatto. Tra l’altro, l’intervallo di tempo è stato recentemente prolungato – era solo di 72 ore per le versioni precedenti del virus. Il messaggio dice anche:

“I tuoi file personali vengono cifrati da CTB-Locker. I documenti, le foto, i database e altri file importanti sono stati cifrati con una cifratura forte a chiave univoca, generata per questo computer.”

Purtroppo, il messaggio è vero. A tutti i file rubati vengono assegnate strane estensioni che non possono essere aperte con alcun software. Neanche la modifica delle estensioni fatta manualmente è utile. Per il momento, l’unico modo affidabile per ottenere i file è quello di pagare il riscatto. Una volta premuto il pulsante Avanti sullo schermo CTB Locker, il malware presenta con un documento contenente ulteriori istruzioni. Dice di visitare un determinato sito attraverso Tor piuttosto che un canale standard aperto di Internet – i criminali stanno ovviamente facendo del loro meglio per mantenere l’anonimato. Quindi, in ultima analisi, le vittime finiscono su una pagina web la cui URL termina con “.onion”, dove si chiede di pagare 0,2 Bitcoin, che equivalgono attualmente a circa 51,87 USD. Lo strumento per decifrare i file viene quindi reso disponibile.

Allora, quali sono le opzioni se sei stato infettato? Prima di tutto, non c’è attualmente un modo efficiente al 100% per decifrare i file diverso dal fare quello che vogliono i truffatori, cioè, presentando il riscatto. È possibile rimuovere CTB Locker dal sistema, ma non si riprenderanno automaticamente i dati. La pulizia è consigliata, però. Per fortuna, ci sono diverse soluzioni attuabili e si può provare a riottenere le informazioni criptate. Leggete le istruzioni qui sotto per saperne di più.

CTB Locker rimozione automatica

L’eliminazione di CTB Locker ransomware può essere efficacemente realizzata con un software di sicurezza affidabile. Utilizzando la tecnica di pulizia automatica assicura che tutti i componenti della infezione vengano completamente spazzati via dal vostro sistema.

  • Scaricare l’utility di sicurezza consigliata ed fate si che il vostro PC sia controllato per oggetti dannosi selezionando l’opzione Esegui la Scansione del Computer Adesso! (Start Computer Scan)

  • La scansione mostrerà un elenco di elementi rilevati. Cliccare su Ripara le Minacce (Fix Threats) per far si che il virus e le infezioni correlate siano rimosse dal sistema. Il completamento di questa fase del processo di pulitura porterà alla completa e corretta eradicazione del CTB Locker. Ora ci troviamo ad affrontare una sfida più grande – cercare di ottenere i vostri dati.

Metodi per ripristinare i file crittografati da CTB Locker

Soluzione 1: Utilizzare software di recupero file

È importante sapere che CTB Locker crea copie dei file e li cifra. Nel frattempo, i file originali vengono eliminati. Ci sono applicazioni che possono ripristinare i dati rimossi. È possibile utilizzare Data Recovery per questo scopo. La versione più recente del ransomware in esame tende ad applicare la cancellazione sicura con diverse sovrascritture, ma in ogni caso vale la pena di provare questo metodo.

scarica

Scarica ParetoLogic Data Recovery

Soluzione 2: Sfruttate il backup

In primo luogo, questo è un ottimo modo di recuperare i vostri file. E’ applicabile solo, però, se si ha il backup delle informazioni memorizzate sul computer. Se è così, non mancate di beneficiare della vostra previdenza.

Soluzione 3: Usare le Copia Shadow del Volume

In caso non lo sappiate, il sistema operativo crea cosiddette copie shadow del volume di ogni file se il Ripristino della configurazione di sistema è attivato sul computer. In questo modo i punti di ripristino vengono creati a intervalli specifici, con istantanee dei file come appaiono in quel momento generati nello stesso momento. Questo metodo non garantisce il recupero delle ultime versioni dei file. E’ certamente il caso di fare una prova comunque. Questo flusso di lavoro è fattibile in due modi: manualmente e attraverso l’uso di una soluzione automatica. Diamo prima un’occhiata al processo manuale.

  • Utilizzare la funzione Versioni precedenti
    Il sistema operativo Windows fornisce un’opzione integrata per recuperare versioni precedenti dei file. Può anche essere applicata alle cartelle. Basta fare clic con il tasto destro su un file o una cartella, selezionare Proprietà e scegliere la scheda denominata Versioni precedenti. All’interno dell’area versioni, verrà visualizzato l’elenco delle copie di backup del file/cartella, con la rispettiva ora e indicazione della data. Selezionare la voce più recente e scegliere Copia se si desidera ripristinare l’oggetto in una nuova posizione che è possibile specificare. Se si fa clic sul pulsante Ripristina, l’oggetto sarà rimesso nella sua posizione originale.

Versioni-precedenti-dei-file

  • Usare lo strumento Shadow Explorer
    Questo flusso di lavoro consente di ripristinare le versioni precedenti di file e cartelle in modo automatico, piuttosto che manualmente. Per fare questo, scaricare e installare l’applicazione Shadow Explorer. Dopo l’esecuzione, selezionare il nome del drive e la data in cui le versioni dei file sono stati create. Fare clic con il tasto destro sulla cartella o il file di interesse e selezionare l’opzione di esportazione. Poi basta specificare la posizione in cui i dati devono essere ripristinati.

shadow-explorer-esportazione

Verificare se CTB Locker ransomware è stato completamente rimosso

Anche in questo caso, la rimozione di CTB Locker non porta alla decifratura dei file personali. I metodi per ripristinare evidenziati sopra possono o meno risolvere, ma il ransomware in sé non appartiene all’interno del computer. Per inciso, viene spesso con altri malware, è per questo che ha sicuramente senso eseguire la scansione ripetutamente del sistema con il software automatico di sicurezza, al fine di assicurarsi che nessun resto nocivo di questo virus e le minacce associate vengono lasciate all’interno del Registro di Windows e in altri punti.