CryptoLocker e CTB-Locker: come rimuovere i virus che rubano i file

CryptoLocker e CTB-Locker: come rimuovere i virus che rubano i file

In questa guida vi spiegheremo cos’è CryptoLocker, perchè rappresenta un serio pericolo per la sicurezza e come rimuoverlo su Windows 8, 7, Vista e XP


[Aggiornamento Febbraio 2015] Negli ultimi giorni è comparso CTB-Locker, una nuova variante di CryptoLocker che sembra affliggere soprattutto gli utenti italiani. Per rimuovere CTB-Locker potete seguire la guida presente in questo articolo; se non dovesse funzionare, a questo indirizzo è disponibile una procedura alternativa. Per scoprire come recuperare i file infetti, invece, cliccate qui.

Nei primi giorni di ottobre ha fatto la sua comparsa uno dei virus più pericolosi degli ultimi mesi, il CryptoLocker, un ransomware programmato per criptare i file presenti sull’hard disk e impedire agli utenti di accedervi. Noto anche come “Trojan: Win32/Crilock.A”, il CryptoLocker costituisce una seria minaccia per i database aziendali perchè non c’è modo di decriptare i file infetti. Una volta completato il processo di criptazione, di norma il software maligno richiede il pagamento di un “riscatto” monetario per riabilitare l’accesso ai dati.

Il messaggio generato da CryptoLocker è il seguente:
“I tuoi file personali sono stati criptati!
Il criptaggio dei file importanti su questo computer: foto, video, documenti,ecc.
Per decodificare i file devi ottenere una chiave privata.
Per ottenere la chiave privata per questo computer, devi pagare 100 USD/100EUR/somma simile in altre valute.”

Il messaggio non è una bufala, ma fotografa la reale situazione del sistema nel momento in cui la cifratura è stata ultimata. CryptoLocker può corrompere qualsiasi tipo di file, e l’unico modo per ripristinarli è possedere una copia di backup del SO.

L’infezione si diffonde tramite tecniche di ingegneria sociale e utilizza come canale di propagazione privilegiato il protocollo SMTP, generando una catena di email spamming: ciascuno dei messaggi si presenta in veste di reclamo da parte di un cliente e include, come allegato, un malware downloader. Una volta aperto il file non c’è più nulla da fare: il downloader scarica CryptoLocker sul pc e lo installa.

Insediatosi sul computer il trojan si aggiunge all’avvio automatico, modifica il Registro di Sistema e avvia una connessione remota con i server che contengono le chiavi di criptazione. Se per qualsiasi motivo la procedura non ha buon esito, il malware utilizza l’algoritmo di generazione dei domini per creare un server bot, generando una stringa random che successivamente completa con un dominio scelto tra sette possibili: “.com”, “.net”, .”biz”, “.ru”, “.co.uk” e “.info”.

I dati bersaglio presenti sul computer infetto vengono criptati tramite RSA: così facendo, la chiave pubblica utilizzata per la cifratura viene automaticamente incorporata all’interno del codice del malware, in modo tale da rendere impossibile il tracciamento della conversazione tra il virus e il server bot.

Una volta stabilito un canale di comunicazione sicuro CryptoLocker avvia il processo di cifratura richiedendo una chiave che viene elaborata in automatico sulla base della versione del malware, del nome di rete del sistema, della lingua e di due identificativi numerici: al termine delle operazioni, la decriptazione non è più possibile e per accedere ai dati infetti occorre conoscere la chiave.

COME RIMUOVERE CRYPTOLOCKER
Come già detto se il pc è stato infettato il recupero dei dati è impossibile, ma è comunque opportuno rimuovere il malware dal sistema per evitare ulteriori infezioni.

Safe ModeEcco come procedere (Fonte: PcThreat):

Windows 8:
-Premi la chiave di Windows e apparirà la schermata metro Start.
-Muovi il tuo cursore del mouse sull’angolo in basso a destra dello schermo.
-Clicca su Impostazioni sulla barra charm.
-Clicca su Modifica Impostazioni PC.
-Seleziona Generale in un’altra finestra.
-Scrolla le opzioni verso il basso e clicca su Riavvia Ora in Avvio Avanzato.
-Seleziona Risoluzione dei Problemi e poi clicca su Opzioni Avanzate.
-Clicca su Impostazioni di Avvio e poi clicca il pulsante Riavvia.
-Aspetta che il BIOS abbia caricato.
-Premi F5 per selezionare Modalità Provvisoria con Rete.
-Aspetta che il sistema abbia caricato.
-Accedi a http://it.pcthreat.com/download-sph e scarica SpyHunter.
-Installa il programma ed esegui una scansione completa del sistema.

Windows 7, Windows Vista:
-Riavvia il computer e premi F8 prima che il sistema abbia caricato.
-Seleziona Modalità Provvisoria con Rete e premi Invio.
-Accedi a Internet e vai su http://it.pcthreat.com/download-sph per scaricare lo strumento di rimozione SpyHunter
-Installalo e rimuovi l’infezione.

Windows XP:
-Riavvia il tuo computer e premi F8 prima che appaia il logo di Windows.
-Seleziona Modalità Provvisoria con Rete dal menu di avvio del Sistema e premi Invio.
-Clicca Sì nella finestra di dialogo di conferma.
-Apri il tuo browser Internet e scarica SpyHunter da http://it.pcthreat.com/download-sph .
-Ora clicca sul Menu Start e lancia Esegui.
-Digita msconfig nella casella Esegui e premi Invio.
-Quando appare il menu Configurazione di Sistema, clicca sulla linguetta Avvio e clicca sul pulsante Disabilita tutto.Poi -clicca OK per salvare le modifiche ed esci dal menu.
-Riavvia il computer di nuovo in Modalità Normale e installa SpyHunter.
-Esegui una scansione completa del sistema e rimuovi le infezioni dal tuo computer.

Video guida per la rimozione di Cryptolocker:

(St.S.)





COMMENTI
    Lascia una risposta

    Vedi tutto