L’innato desiderio umano di mantenere intatte le cose personali e il fatto che il ransomware CryptoWall 3.0 manipola ciò a suo vantaggio. La sua tattica, altamente disturbatrice, influisce sui file conservati sul computer della persona.
Il virus cripta i dati della vittima con lo standard RSA-2048, cosa che rende i lavori di decriptazione quasi impossibili, almeno entro lo spazio di tempo fornito dall’infezione, ossia 168 ore (7 giorni).
Come metodo di recupero file applicabile all’interno della struttura di questo algoritmo implica la disponibilità della chiave privata, che sfortunatamente è mantenuta su un server gestito dai criminali e può essere fornita solo dopo il pagamento di un riscatto di $ 500. Si tratta approssimativamente di 2,17 Bitcoins, che è il metodo di pagamento indicato dai malfattori che propongono questo caso.
Questa è la storia in poche parole, quindi andiamo più sul pratico e analizzano le specifiche di questa fastidiosa minaccia.
CryptoWall 3.0, preceduto dalla versione 2.0, è uscito circa verso la metà di gennaio 2015, ed è una variante di ransomware raffinata in molti modi. Per prima cosa, i suoi autori hanno rinunciato alla tecnica precedentemente sfruttata di incorporare degli exploits nel dropper – invece, la proliferazione adesso si affida agli exploit kit.
Questo significa maggiori opportunità di diffusione e più privilegi che possono potenzialmente essere acquisiti sulla macchina presa di mira. Tradizionalmente, la versione 3.0 ha ricevuto una lista espansa di gateway Tor utilizzati per comunicare con i server di comando e quello di controllo.
L’ultima funzionalità relativa a Tor è la mossa intelligente dei cattivi verso l’anonimato. Per la vittima, significa che dovranno installare il browser Tor prima di poter iniziare a seguire le istruzioni.
Una volta che questo ransomware entra senza bussare, inizia a fare uno scan del background per trovare i file con estensioni popolari su tutti i drive del PC. Tutto quello che ha trovato viene criptato con la chiave pubblica che è parte dell’algoritmo RSA-2048.
Nel frattempo, nuovamente, la chiave privata viene generata e conservata all’esterno del computer, e il suo recupero richiede l’invio della quantità di denaro che viene estorta.
Dopo essersi occupato della criptazione dei dati, il virus visualizza un file di nome HELP_DECRYPT (.TXT and .HTML) che contiene le istruzioni di base e dei passi successivi da seguire.
Il file inoltre possiede diversi link verso “your personal home page” al suo interno, dove vengono indicati dettagli più specifici. Si tratta di gateway it Web2Tor di cui URL seguono lo schema di ‘paytoc4gtpn5cz12.torforall.com/’, con altre possibili varianti che puntano a torman2.com, torwoman.com, e torroadsters.com. Si procederà ai, la schermata CryptoWall Decrypt Service ti accompagnerà attraverso il pagamento e il recupero della chiave privata.
l’importo del ricatto raddoppia a meno che non venga pagato entro 7 giorni diventando quindi uguale a $ 1000. Ovviamente, nessuna di queste somme è adatta per chiunque venga infettato, ma che cosa si può fare? Alcuni dei file criptati possono essere molto importanti per l’utente. Se vi sembra che CryptoWall 3.0 abbia contaminato il vostro computer, visualizza delle informazioni sotto per scoprire le vostre opzioni per recuperare i file e rimuovere il ransomware.
Rimuovere il virus CryptoWall 3.0 con un cleaner automatico
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura una rilevazione scrupolosa di tutti i componenti del virus e una rimozione completa degli stessi con un singolo clic. Attenti, però, poiché la disperazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere il virus è innegabile ed è stato segnalato che promuove altri Trojan mentre funziona.
- Scaricare e installare il software di rimozione CryptoWall 3.0 dopo aver lanciato la soluzione, fare clic sul pulsante Esegui la Scansione del Computer Adesso!
- Lo strumento presenterà i risultati dell’analisi, riportando il malware rilevato. Selezionate l’opzione Ripara le Minacce per rimuovere tutte le infezioni trovate. Questo condurrà alla completa sperimentazione del ransomware considerato.
Riprendersi i file criptati
È stato menzionato CryptoWall 3.0 applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che ripristina tutti i dati criptati in un batter d’occhio, eccetto naturalmente cedere all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel ripristinare le cose più importanti – scopriamo quali sono.
Software di recupero file automatico
È piuttosto interessante sapere che Crypto Wall cancella i file originali in forma non criptata. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Data Recovery Pro possono ripristinare gli oggetti eliminati anche se questi vengono rimossi in maniera sicura. Questa scorciatoia vale decisamente la pena di essere provata poiché si dimostra piuttosto efficace.
Copie Shadow Volume
Questo approccio si affida al backup nativo di Windows dei file sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzione di Ripristino di Sistema è stata attivata prima della contaminazione. Inoltre, se sono state fatte delle modifiche ad un file da dopo il più recente. Di ripristino, queste dovranno essere nella versione del file recuperata.
- Usare la funzionalità Versione PrecedenteLa finestra di dialogo per i file presenta una scheda chiamata Versione Precedente. È lì che le versioni di backup vengono visualizzate e possono essere ripristinate. Quindi fate clic con il tasto destro su un file, andate su Proprietà, recatevi sulla scheda di cui sopra e selezionate l’opzione Copia o Ripristina, a seconda della posizione in cui volete ripristinare il file.
Applicare ShadowExplorer
Il processo sopra può essere automatizzato con uno strumento chiamato Shadow Explorer. Fa essenzialmente la stessa cosa (recuperare le Copie Shadow Volume), ma in modo più comodo. Quindi effettuate il download e installate l’applicazione, eseguitela ed esplorate i file e le cartelle per cui volete ripristinare le versioni precedenti, Per finire il lavoro, fate clic con il tasto destro su una qualsiasi delle voci e selezionate la funzione Esplora.
Backups
Fra tutte le opzioni non collegate al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup della vostre informazioni su un server esterno prima che il ransomware colpisse il vostro PC, ripristinare i file criptati da CryptoWall 3.0 sarà semplice come accedere all’interfaccia rispettiva, selezionare i file giusti e ripristinarli. Prima di farlo, tuttavia, assicuratevi di aver completamente rimosso il ransomware dal vostro computer.
Cercare possibili resti dell’infezione CryptoWall 3.0
In caso decidiate di attenervi alle tecniche manuali di pulizia, alcuni frammenti del ransomware potrebbero essere rimasti come oggetti offuscati nelle voci di registro del sistema operativo. Per assicurarvi che non ci siano componenti nocivi del virus Crypto Wall 3.0 rimasti, analizzate il vostro computer con una suite di sicurezza malware affidabile.