Login



Utenti : 326
Contenuti : 574
Link web : 6
Tot. visite contenuti : 608663
 38 visitatori online
Ricerca Google
Gennaio 2020
Lun Mar Mer Gio Ven Sab Dom

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

  • images/stories/sede/collegiomarconi.jpg
  • images/stories/sede/collegioprato.jpg
  • images/stories/sede/facciataesterna.jpg
  • images/stories/sede/ilcolonnato.jpg
  • images/stories/sede/ilprato.jpg
  • images/stories/sede/internocollegio.jpg
  • images/stories/sede/internoinnevato.jpg
  • images/stories/sede/marconiaerea.jpg
  • images/stories/sede/notturna.jpg
  • images/stories/sede/particolaremeridiana.jpg
  • images/stories/sede/salacolonne.jpg
  • images/stories/sede/santaMessa.jpg
  • images/stories/sede/vistainterna.jpg
Sostieni anche tu il Marconi con una donazione

Home Attività Tecnologia CryptoLocker
Ricerca personalizzata
Attività

Virus CryptoLocker

In questi giorni moltissimi utenti sono stati colpiti dal virus CryptoLocker, in particolare tramite una mail che ha come mittente Enel, SDA, Equitalia, (vedi articolo dedicato alle Mail Truffa)

Cos’è CryptoLocker?
CryptoLocker è un virus messo in circolazione a settembre 2013 che si è diffuso a macchia d’olio e in questo periodo ha una fase di elevata virulenza.
Quando il virus entra in funzione, inizia a crittografare i file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.
Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin.
Dopo il pagamento del riscatto inizia il processo di decriptazione dei file. (Forse.......)

Come si prende il virus CryptoLocker?

Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.

Capita di ricevere un’email apparentemente innocua, che magari riguarda una fattura o un ordine che sono stati realmente effettuati, e quindi si è portati a credere che la comunicazione sia autentica.
Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft ( attualmente i Mac sono immuni ) di default nascondono l’estensione del file, a un utente non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
Una volta cliccato, i file verranno criptati all’istante.
Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati.
Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.

 

CryptoLocker Che danni provoca?
Crittografa i file e li rende illeggibili, a meno che si paghi un “riscatto”.

Cosa posso fare se ho preso il virus?

Ci si accorge che si è preso il virus perché CryptoLocker mostra una bella finestra in cui spiega cosa ha combinato e chiede di pagare.

La prima cosa da fare è scollegare il sistema infetto dal resto della rete, perché CryptoLocker si propaga attraverso le unità mappate (sono salve le share UNC, del tipo \\nome_server\condivisione).
Non è invece una buona idea lanciare la scansione antivirus dopo l’infezione con CryptoLocker, perché spesso gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati.

In questo modo non è possibile recuperare i dati.

Dato il continuo mutare delle versioni del virus il sito non si assume responsabilità per i danni associati all'utilizzo dei programmi di rimozione di terzi ma questo articolo intende fornire un'informazione per prevenire l'attacco informatico da parte dei malware elencati.

Inoltre prima di intraprendere qualunque tipo di azione è vivamente consigliato verificare l'esistenza di una copia di salvataggio dei dati (Backup).


Come rimuovere CryptoLocker e recuperare i file criptati .enel-mail-truffa

Come prima cosa si consiglia vivamente, se per sbaglio avete cliccato su un link delle mail truffa, di spegnere assolutamente subito il pc e nel caso abbiate dei NAS o Hard Disk che effettuano il Backup scollegateli immediatamente dalla rete, nel caso la vostra rete sia aziendale e disponga di un server dovete spegnere anche in maniera forzata il server, solo così evitate che CryptoLocker continui a criptare i file.

 

Il passo successivo è quello di rimuovere CryptoLocker, per farlo e possibile utilizzare Norton Power Eraser, uno strumento gratuito distribuito da Symantec. Il suo utilizzo è davvero semplice, basta scaricarlo ed avviare l’installazione confermando le opzioni proposte e al termine dell’installazione avviare il programma.
Dalla schermata principale clicca su Cerca Rischi e attendi la scansione del sistema. Una volta terminata la scansione i virus rilevati verranno eliminati e si consiglia di riavviare il Pc, per rendere effettiva la rimozione dei Virus.


Ora andiamo a vedere come possiamo
recuperare i file Criptati; CryptoLocker colpisce i seguenti file : doc,xlsx,pdf,jpg, i file riguardanti documenti, immagini, musica, video, presentazioni di PowerPoint, ecc..

Se il file è stato criptato la nel nome file troverete la seguente dicitura : es.lavoro.doc.encrypted.

Se avete un backup dei file, non vi sono problemi, basta ripristinarli, ma se nel caso manchi un backup o il backup non è aggiornato, potete fare questo tentativo per recuperare i vostri preziosi file..
Per cercare di recuperare i file criptati, si deve installare Shadow Explorer (scaricabile da questo link)

Scaricato e terminata l’installazione avviare Shadow Explorerselezionare il backup più recente dalla casella combinata nella barra dei comandi ( vedi immagine successiva ).
Shadow Explorer recupero file
Scorrere poi le cartelle fino a trovare la cartella che contiene i dati da ripristinare.
Cliccare poi con il tasto destro sulla cartella o sul file da recuperare e selezionare Export… per salvare il file nella posizione voluta.

Prestate attenzione a come sono criptati i file, in particolare l’estensione finale del file, perché questo potrebbe cambiare le modalità di recupero dei file criptati

Di seguito sono evidenziate tutte le varie forme del Virus CriptoLocker attualmente note.

BitCryptor

BitCryptor

 

BitCryptor è una nuova versione di ransomware prodotta dagli stessi creatori di CoinVault, cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy ma la cosa curiosa è che il processo di cifratura consiste nel creare una copia criptata e eliminare l’originale del file, quindi utilizzando un tool per il recupero dei dati come photorecrecuva è possibile recuperare i files.

 

CoinVault

CoinVaultCoinVault cripta i files con una chiave a 256 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. A differenza di BitCryptor non cancella le shadow copy e anche qui si può utilizzare un tool per il recupero dei dati come photorecrecuva per recuperare i files. Inoltre Kasperskyquesto indirizzo ha creato un database con i codici di decriptazione, vi basterà visitare il sito, inserire l’indirizzo Bitcoin associato visibile in basso a destra e controllare se nel database è presente il codice di decriptazione. Se il codice è presente, lanciare kaspersky coinvault decryptor, selezionare i files o la lista di files, inserire i codici forniti dal sito e avviare il processo di decriptazione.

CryptoDefense

CryptoDefenseCryptoDefense cripta i files con una chiave a 2048 bit e richiede un riscatto iniziale di 500 Euro e dopo 4 giorni di 1000 Euro. Apparte le nuovissime versioni non cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft DECRYPTER prodotto da Emsisoft disponibile non risulta molto efficace ma tentar non nuoce. Una volta lanciato verificherà se nel registro è presente la key per la decriptazione e se la trova sarà possibile recuperare i files.

 

 

Cryptorbit

CryptorbitCryptorbit cripta solo una piccola porzione di codice dei vostri files rendendoli illegibili e possiede una componente attiva che utilizza la vostra cpu per produrre monete coin digitali. Non cancella le shadow copy. Nathan Scott, DecrypterFixer, ha prodotto il tool Anti-CryptorBit che è in grado di decriptare i files JPEG/JPG, .PDF, .WAV, .PST, .DOC, .XLS, .XLSX, .PPTX, .DOCX, e .MP3. Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.

 

 

CryptoWall

CryptoWall crea i file HELP_DECRYPT.HTMLHELP_DECRYPT.PNGHELP_DECRYPT.TXT, e HELP_DECRYPT.URL in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorecrecuva per recuperare i file criptati . Per il momento non esiste nessuna utility per decriptare.

CTB-Locker

CTB-Locker crea i file !Decrypt-All-Files.bmp!Decrypt-All-Files.txt in tutte le directory in cui cripta i files ache lui come gli altri cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorecrecuva per recuperare i files. Per il momento non esiste nessuna utility per decriptare.

Locker

Locker cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorecrecuva per recuperare i files. Il produttore del malware a inizio giugno ha deciso di rilasciare tutti i codici di decriptaggio e Nathan Scott, DecrypterFixer, ha prodotto il tool Locker Unlocker . Sarà sufficiente lanciarlo e seguire le istruzioni a schermo.

PClock

PClock cripta i files con una chiave a 2048 bit e richiede un riscatto di 1 Bitcoin circa 210 Euro. Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione Emsisoft Decryptor for PClock prodotto da Emsisoft, se la variante di Pclock è compatibile una volta lanciato, il tool importerà automaticamente i files criptati e sarà sufficiente cliccare su Decrypt per avviare il processo di recupero dei files.Il tool rinominerà i file criptati con l’estensione .decbak e creerà i files decriptati.

TeslaCrypt / Alpha Crypt

TeslaCrypt cripta i files con una chiave a 2048 bit. Una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorecrecuva per recuperare i files. Esiste un tool per la decapitazione TeslaDecoder prodotto da BloodDolly che è capace di decriptare i files con estensione .abc .aaa .ecc .exx .ezz .ccc .vvv .zzz . Una volta avviato si metterà alla ricerca dei files storage.binkey.dat necessari per ricavare il codice e se ci riuscirà sarà sufficiente cliccare su Decrypt folder o Decrypt All per decriptare i files.Se non trova alcuna key è possibile decriptare i files fattorizzando un numero presente nell’header dei file criptati e utilizzando i fattori per generare la chiave.

TorrentLocker

TorrentLocker una volta avviato cancella le shadow copy ma anche qui si può utilizzare un tool per il recupero dei dati come photorecrecuva per recuperare i files. Estensione file criptato .encrypted . Esiste un tool per la decriptazione TorrentUnlocker che è capace di decriptare i files delle prime varianti ma necessita di una copia non criptata e una copia criptata di un file di almeno 2 MB per vedere la struttura e estrapolare i codici necessari per decriptare. Una volta recuperati i files necessari sarà sufficiente lanciare il tool e seguire le istruzioni a schermo.

Rakhni

Rakhni una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione RakhniDecryptor, (link per il download) prodotto da Kaspersky che è in grado di decriptare i files. L’utility si basa su un sistema brute force con migliaia di chiavi ed è quindi molto lento e potrebbe impiegare diversi giorni. Questa variante rinomina i files in uno dei seguenti modi: .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, .helpdecrypt@ukr.net, .pizda@qq_com, .dyatel@qq_com, _crypt, .nalog@qq_com, .chifrator@qq_com , .gruzin@qq_com, .troyancoder@qq_com, .encrypted, .cry, .AES256, .enc, .coderksu@gmail_com_ID, .crypt@india.com.CARATTERIRANDOM, .hb15, ID_helpme@freespeechmail.org .

Filecoder

Filecoder è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 2.5 Bitcoins circa 1000 euro. Estensione file criptati.bleep , .him0m , .1999 , .33t , .0x0 . Cripta i primi 64 KB dei documenti e una volta avviato cancella le shadow copy. Per il momento non esiste alcun tool per la decriptazione.

Randamant

Randamant è una nuova versione di ransomware, cripta i files con una chiave AES a 256 bit e chiede un riscatto di 0.5 Bitcoins circa 250 euro. Estensione file criptati .RDM . Una volta avviato cancella le shadow copy. Esiste un tool per la decriptazione creato da Emsisoft scaricabile da qui. Una volta lanciato è sufficiente cliccare sul pulsante ‘Decrypt’ per iniziare la decriptazione dell’intero disco.

Fonte dell'articolo e per ulteriori informazioni  : www.brunopramaggiore.net