Decriptare e rimuovere il virus CryptoLocker

Sembra che i fautori delle minacce che gestiscono le campagne ransomware stiano continuamente scrivendo codice de-costruttivo lanciando nuovi virus per cui l’industria della sicurezza non ha ancora trovato un rimedio completamente affidabile.

È un vero peccato che il talento di queste persone si è rivolto nella direzione dei black hat, ma la possibilità di fare soldi facili, ovviamente, invece che questa persona. Uno dei programmi ransomware più noti al giorno d’oggi è CryptoLocker 2015, ed ha una bella storia alle spalle.

Il virus originale è stato lanciato nel settembre 2013 ed è stato ritirato nel giugno 2014. L’infezione al momento attiva che viene analizzata in questo post è difatti un successore, probabilmente creato da una diversa gang do cyber criminali. L’operatività generale di questo malware è simile a quella del predecessore, ma ci sono alcune differenze.

Schermata di avviso di CryptoLocker

Una delle differenze è la schermata di avviso visualizzata da CryptoLocker. Non è più in rosso ed è più sfrontata per quanto riguarda l’ego degli hacker. Mentre la versione precedente recitava “i tuoi file personali sono criptati”, quest’ultima recita “Attenzione, abbiamo criptato i tuoi file con il virus CryptoLocker.”

La componente “noi” probabilmente testimonia la maggior ambizione e sfrontatezza dei criminali, ma lasciamo questo tipo di considerazioni sul profilo agli psicologi. Il flusso tecnico del compromesso inizia con la contaminazione del pc, il quale tende ad essere tentata dalla ingegneria sociale.

Uno dei vettori coinvolge delle e-mail fasulle dal titolo “rapporto paga” che contenga nell’allegato un file Microsoft Excel. I file corrotti possono essere anche camuffati come archivi ZIP con un Pdf al loro interno. Una volta cliccate, gli allegati scaricano sul computer.

E-mail fasulla con allegato contagioso

Il virus realizza i drive del computer alla ricerca di qualche espressione file e dei rispettivi file, e una volta trovati, questi vengono criptati utilizzando un algoritmo AES. Poi visualizza messaggio di avviso che fornisce alcuni dettagli su quello che è successo:

“I tuoi file importanti (inclusi quelli sui dischi di rete, USB, ecc.): foto, video, documenti, ecc. Sono stati criptati con il nostro virus CryptoLocker. L’unico modo in cui potrai riavere poi file e pagandoci. Altrimenti, i tuoi file andranno perduti.”

Il pagamento menzionato nel messaggio qui sopra dovrebbe essere inviato in Bitcoins, con l’ammontare di circa $ 500 equivalenti. Ciascun utente infetto riceve un indirizzo Bitcoin unico assegnatogli. Ma si tratta di estorsione nella sua forma più pura, invece di arrendersi agli cattivi, è fortemente raccomandato di provare alcuni metodi forniti nella prossima parte di questo tutorial. Tenete presente che rimuovere CryptoLocker non risolverà il problema nel contesto del recupero fai, ma a una parte obbligatoria della pulizia generale del sistema operativo.

Rimuovere il virus CryptoLocker 2015 con un cleaner automatico

Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura una rilevazione scrupolosa di tutti i componenti del virus e una rimozione completa degli stessi con un singolo clic. Attenti, però, poiché la disperazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere il virus è innegabile ed è stato segnalato che promuove altri Trojan mentre funziona.

  • Scaricare e installare il software di rimozione CryptoLocker dopo aver lanciato la soluzione, fare clic sul pulsante Esegui la Scansione del Computer Adesso!

  • Lo strumento presenterà i risultati dell’analisi, riportando il malware rilevato. Selezionate l’opzione Ripara le Minacce per rimuovere tutte le infezioni trovate. Questo condurrà alla completa sperimentazione del ransomware considerato.

Riprendersi i file criptati

È stato menzionato che CryptoLocker applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che ripristina tutti i dati criptati in un batter d’occhio, eccetera attualmente cedere all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel ripristinare le cose più importanti – scopriamo quali sono.

Software di recupero file automatico

È piuttosto interessante sapere che CryptoLocker cancella i file originali in forma non criptata. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Data Recovery Pro possono ripristinare gli oggetti eliminati anche se questi vengono rimossi in maniera sicura. Questa scorciatoia vale decisamente la pena di essere provata poiché si dimostra piuttosto efficace.

Scarica Data Recovery Pro

Copie Shadow Volume

Questo approccio si affida al backup nativo di Windows dei file sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzione di Ripristino di Sistema è stata attivata prima della contaminazione. Inoltre, se sono state fatte delle modifiche ad un file da dopo il più recente. Di ripristino, queste dovranno essere nella versione del file recuperata.

  • Usare la funzionalità Versione PrecedenteLa finestra di dialogo per i file poresenta una scheda chiamata Versione Precedente. È lì che le versioni di backup vengono visualizzate e possono essere ripristinate. Quindi fate clic con il tasto destro su un file, andate su Proprietà, recatevi sulla shceda di cuio sopra e selezionate l’opzione Copia o Ripristina, a seconda della posizione in cui volet eripristianre il file.
  • Applicare ShadowExplorerIl rocesso sopra può essere automatizzato con uno strumento chiamato Shadow Explorer. Fa essenzialmente Ia stessa cosa (recuperare le Copie Shadow Volume), ma in modo più comodo. Quindi effettuate il download e installate l’applicazione, eseguitela ed esplorate i file e le cartelle per cui volete ripristinare le versioni precedenti, Per finire il lavoro, fate clic con il tasto destro su una qualsiasi delle voci e selezionate la funzione Esplora.

Backups

Fra tutte le opzioni non collegate al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup della vostre informazioni su un server esterno prima che il ransomware colpisse il vostro PC, ripristinare i file criptati da CryptoLocker sarà semplice come accedere all’interfaccia rispettiva, selezionare i file giusti e ripristinarli. Prima di farlo, tuttavia, assicuratevi di aver completamente rimosso il ransomware dal vostro computer.

Cercare possibili resti dell’infezione CryptoLocker

In caso decidiate di attenervi alle tecniche manuali di pulizia, alcuni frammenti del ransomware potrebber essere rimasti come oggetti offuscati nelle voci di registro del sistema operativo. Per assiurarvi che non ci siano componenti nocivi del virus CryptoLocker rimasti, analizzate il vostro computer con una suite di sicurezza malware affidabile.