Cryptolocker Virus: Della famiglia Ramsomware

Virus ransomware cryptolocker e CTB-Locker

Cosa sono e soprattutto chi sono?

Dopo essere stati tartassati dai virus ransomware della polizia di stato, arma dei carabinieri ecc., ecco un paio di virus veramente micidiali e molto simili tra di loro. Cryptolocker e CTB-Locker, sono anche questi dei virus della famiglia dei ransomware (ransom in inglese significa riscatto), non è altro che un programmino maligno il cui scopo è quello di sequestrarci molti tipi di file contenuti in un computer, crittografarli (e quindi rendendoli illeggibili utilizzando una chiave molto complessa ed unica da computer a computer) per poi chiedere il pagamento di un riscatto dove viene promesso al malcapitato, la fornitura della chiave per decriptare i propri files, in modo da renderli di nuovo leggibili.

La somma di denaro che chiedono questi cybercriminali (con cifre che partono da 100 dollari o euro ma ne ho vista anche una di 300 dollari non solo anche in Bitcoin una sorta di moneta virtuale molto in voga nel “cyberspazio”). Nel messaggio di alcuni di questi troviamo una sorta di conto alla rovescia, dove dicono che se non si effettua il pagamento entro i termini, loro cancelleranno ogni possibilità di recuperare i dati.

Tra i miei clienti colpiti, solo 2 hanno voluto pagare il riscatto, al primo fortunatamente gli è stata data la chiave di sblocco, (ha pagato quasi 300€ per recuperare i dati) al secondo invece non è stata fornita, quindi c’è anche il rischio di pagare e non risolvere il problema (oltre il danno anche la beffa). Sottostare a questa specie di estorsione, ci fa pensare anche avremmo potuto tutelare meglio i nostri dati, tra l’altro spendendo anche meno della cifra da loro richiesta. Questo è il risultato di un atteggiamento molto comune, superficiale e sbagliato che abbiamo di fronte ai rischi legati al mondo dell’informatica.

Prevenzione dai virus ransomware

Nella maggior parte dei casi un semplice antivirus e/o antimalware, non possono essere sufficienti per proteggersi dalle più recenti versioni dei ransomware. Quindi i miei consigli sono:

1. Un antivirus o meglio un internet security (con la funzione di firewall) sempre aggiornato
2. Un antimalware sempre aggiornato
3. Effettuare una copia di backup dei dati periodicamente  su supporti esterni normalmente spenti e li accendiamo solamente per il tempo strettamente necessario all’aggiornamento del backup.
4. Se si utilizza un sistema di backup e sincronizzazione in cloud disconnettersi da internet perchè potrebbe copiare i file infetti nel server cloud.
5. Tenete sempre aggiornato il browser che usate;
6. Attivate la visualizzazione dell’estensione di un file (vedi come si fa in questo argomento)
7. Prestare attenzione quando riceviamo un e-mail soprattutto poi se contengono allegati del tipo .exe .cab .js .bat
8. Astenersi dal download incondizionato da portali e siti a rischio o potenzialmente pericolosi;
9. Evitate l’installazione di toolbar (software praticamente inutile)
10. Prestate attenzione quando compare la finestra UAC (User Account Control ovvero controllo account utente) a concedere l’autorizzazione ai file eseguibili. Questi messaggi UAC hanno l’intestazione di colore giallo (quindi possibile pericolo) e che hanno come messaggio “Consentire al programma seguente… di apportare modifiche al computer?” sono proprio questi i messaggi che devono essere trattati con maggiore attenzione. Se non siamo sicuri della legittimità della fonte o del file e meglio rispondere NO

Ho trovato un tool gratis di nome CryptoPrevent che permette di prevenire quest’infezione. Questo software non fa altro che configurare delle regole di restrizione ai file per i software eseguiti sul sistema. Una volta avviata l’applicazione, sarà sufficiente applicare l’impostazione Default e cliccare.

Come ci infettiamo con il virus cryptolocker?

Normalmente questi virus vengono mandati via email e facendo leva sulle scarse cautele e conoscenze informatiche degli utenti e sono proprio questi ultimi che aprendo l’allegato nell’email attivano il virus. L’email può avere contenuti diversi, da quella di un rimborso di una fattura in tuo favore o la spedizione di un pacco da parte di un corriere o ancora un ordine da saldare ecc. Tutti con un italiano corretto e molto convincente che non desta sospetti, quindi è diventato più complicato che in passato, distinguere l’email di phishing da una reale.

L’utente, ingenuamente, apre l’allegato ed è proprio in quel momento inizia l’infezione. A titolo informativo nei casi che mi sono capitati sia a me (ci hanno provato ma ho sentito subito la puzza) che ai miei clienti il file allegato aveva come nome fatturaxxxxxx.pdf.cab. Una volta che il virus è stato attivato, comincia già da subito a criptare i file, e sono proprio quelli di uso più comune (i file di word, excel, powerpoint, pdf, foto, immagini ecc.) e quando l’utente tenterà di aprirne uno, uscirà il messaggio di questo tipo:

La novità di questo malware è legata alla chiave univoca di crittografia. Essendo univoca, è altamente improbabile riuscire a ripristinare i files. Inoltre, se l’utente elimina il virus dal computer (con un antivirus o un anti malware), non ripristina i files danneggiati, ma perde per sempre la possibilità di recuperarli, in quanto la chiave privata di decrittografia viene rimossa dal server del cybercriminale. La rimozione di questo virus elimina esclusivamente la richiesta di pagamento. Non ripristina in alcun modo i files.

Per riavere i files bisogna per forza pagare. Però… se siete fortunati ho trovato nella rete un sito dove molte persone di questo campo, si sono scambiati informazioni ed hanno creato un programma dove hanno raccolto diversi codici per decriptare gratuitamente il codice maligno, il sito è www.decryptcryptolocker.com.

Io l’ho provato ad alcuni clienti e non è mai andato a buon fine, forse perchè hanno recuperato il codice solo dei primi ransomware. Inoltre state attenti a siti che decantano la soluzione con dei programmi perchè possono essere anche questi dei malware. Comunqu sia se volete sparare il primo tentativo di recupero, potete provare a scaricare il programma in questione il suo nome è LockerUnlocker e lo trovate qui https://easysyncbackup.com/Downloads/LockerUnlocker.exe

Se non avete ancora risolto e la vostra intenzione è di pagare il riscatto, allora potete anche evitare di proseguire, mentre per tutti gli altri che non vogliono pagare, ma vogliono rimuovere il virus allora proseguiamo. Quindi muniamoci di pazienza perchè la prima cosa da fare adesso è quella proprio di eliminare la bestiaccia, questo perchè potrebbe infettare tutto ciò che andremo a collegare nel computer (come ad esempio le chiavette usb e l’hard disk esterni).

Come arma per eliminare il malware ho deciso di usare Norton power Eraser scaricandolo da qui download. Ultimato il download dobbiamo avviare il computer in modalità provvisoria con rete. Questa procedura cambia in base al sistema operativo che usiamo

Procedura di rimozione virus cryptolocker con Microsoft Windows 8/8.1/10

1. Posizionate il cursore del mouse nell’angolo del desktop in basso a destra, dovrebbe comparire la Barra Charm.
2. Selezionate Impostazioni (simbolo della ruota dentata)
3. Cliccate su Arresta –> Riavvia il Pc tenendo premuto il tasto SHIFT.
4. Sulla schermata che compare dopo qualche secondo scegliete Risoluzione dei problemi
5. Ora cliccate Opzioni Avanzate
6. Selezionate poi Impostazioni di Avvio
7. Infine Riavvia in basso sulla destra.
8. Successivamente al riavvio del Pc, comparirà la schermata blu delle “Impostazioni di avvio”, premete il tasto funzione F5 per selezionare Abilita modalità provvisoria con rete
9. Ora il Pc si riavvierà in Modalità Provvisoria e vi darà quindi la possibilità di effettuare l’accesso ad Internet in quanto risulta abilitata la scheda di rete. Aprite quindi il Browser Internet.
10. Adesso eseguite pure Norton Power Eraser che avete già scaricato precedentemente.
11. Terminata l’installazione di Norton Power Eraser cliccate sul pulsante Scan
12. Attenetevi alle direttive a monitor per rimuovere l’infezione.
13. Riavviate il PC

Procedura di rimozione virus cryptolocker con Microsoft Windows 7 – Vista e XP

1. Riavviate il Pc e, prima che compaia il logo di Windows premete ripetutamente il tasto funzione F8
2. Con le frecce direzionali ↑ e ↓ selezionate Modalità Provvisoria con Rete e premete Invio
3. Attendete l’avvio del Pc in Modalità Provvisoria
4. Adesso eseguite pure Norton Power Eraser che avete già scaricato precedentemente.
5. Terminata l’installazione di Norton Power Eraser cliccate sul pulsante Scan
6. Attenetevi alle direttive a monitor per rimuovere l’infezione.
7. Riavviate il PC

• Una volta eliminato il virus siamo a cavallo basta ripristinare i dati dalla copia di backup ed abbiamo finito… ma io la risposta già la so, non avete la copia di backup, malissimo!
• Vediamo che ci possiamo inventare adesso, questo genere di virus prende il file originale lo cripta e cancella l’originale quindi in teoria possiamo provare ad usare un programma di recupero file cancellati. IMPORTANTE cercate di usare programmi portable, perchè più usate il computer ed installate programmi è più sarà difficile il recupero dei dati perchè si possono sovrascrivere sui file cancellati. Quindi procuratevi un hard disk esterno per salvarci i dati che andrete a recuperare, ora vi trascrivo i programmi di recupero file gratuiti che conosco: Recuva portable, Wise Data Recovery portable, Puran File Recovery portable e Glary Utilities portable e che dio ve la mandi buona.
• Ultima chance è la  Shadow Copy di Windows. La Shadow Copy, di solito è abilitata di default in tutte le versioni di Windows da XP in poi, consente di recuperare copie di backup dei file salvate automaticamente dal sistema operativo. Per recuperare i file dalla Shadow Copy potete utilizzare un programma gratuito di nome Shadow Explorer, scaricabile qui.
• Una volta scaricato il file, eseguitelo, selezionate la lingua italiana e premete su Ok per proseguire, avanti sulla finestra successiva, accettate quindi i Termini del contratto, cliccate Avanti e poi su Installa e poi cliccare su Fine. Ora siete finalmente pronti per esplorare le cartelle, in alto a sinistra possiamo scegliere la data precedente alla catastrofe cercate i file che vi servono, cliccateci su con il tasto destro uscirà il comando export si aprirà una finestra che ci chiederà dove andare a salvare il file da esportare scegliete la lettera dell’hard disk esterno.

Ora che sapete come comportarvi con il virus cryptolocker, vi auguro buon proseguimento su SOSdoc e vi ricordo che un commento in basso è sempre molto gradito.