Overblog
Edit post Segui questo blog Administration + Create my blog
">

LOGO-SITO-19-gennaio

9 novembre 2013 6 09 /11 /novembre /2013 20:29

Virus CryptoLocker: la sua rimozione e la sua natura

 

Cos'è CryptoLocker?
 

CryptoLocker è un virus ransomware vcreato da Cyber criminali. Questo virus viene distribuito usando degli exploit kits che si infiltrano nei computer degli utenti usando le vulnerabilità in software non aggiornati. La maggiore fonte degli exploit kits sonod ei messaggi email infetti, siti internet maliziosi e drive-by downloads. Considera che dato che gli exploit kits si basano su programmi non aggiornati per infiltrarsi nei computer, mantenere il tuo sistema operativo e gli altri programmi aggiornati diminuisce le probabilità di essere infettati da questi programmi canaglia. 

 

CryptoLocker


 CryptoLocker è un virus messo in circolazione a settembre 2013 che si sta diffondendo a macchia d’olio.
Quando il virus entra in funzione, inizia a crittografare i tuoi file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.
Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin.
Dopo il pagamento del riscatto inizia il processo di decriptazione dei file.
Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi si peggiorano le cose perché CryptoLocker se ne accorge e butta via la chiave: a quel punto non c'è più nulla da fare.

Come si prende il virus CryptoLocker?

Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.
Ti capita di ricevere un'email apparentemente innocua, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a credere che la comunicazione sia autentica.
Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
Una volta cliccato, i tuoi file verranno criptati all'istante.
Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati.
Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.

Cosa posso fare se ho preso il virus?

Ci si accorge che si è preso il virus perché CryptoLocker mostra una bella finestra in cui spiega cosa ha combinato e chiede di pagare.
La prima cosa da fare è scollegare il sistema infetto dal resto della rete, perché CryptoLocker si propaga attraverso le unità mappate (sono salve le share UNC, del tipo \\nome_server\condivisione).
Non è invece una buona idea lanciare la scansione antivirus dopo l’infezione con CryptoLocker, perché spesso gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati. In questo modo non è possibile recuperare i dati.
Per fortuna alcune versioni di CryptoLocker hanno previsto questo e installano uno sfondo di Windows che invita a scaricare un file, il quale permette di decriptare i file anche se l’antivirus ha rimosso il tool originale.
Quindi non resta che pagare qualche centinaio di euro entro i tempi stabiliti dal programma stesso, altrimenti il costo diventa sempre più alto, fino a venti volte la cifra iniziale.
I sistemi di pagamento sono BitCoin e (meno frequentemente) MoneyPack che per definizione hanno transazioni sicure ma non rintracciabili, quindi tutti i tentativi di individuare gli autori di CryptoLocker sono vani.
Mi fa orrore dirvi che solo pagando i truffatori potete riavere i vostri file, ma è la cruda verità.

Ci si può difendere?

Ci sono delle azioni preventive che si possono adottare per minimizzare il rischio di prendere CryptoLocker.
Innanzi tutto fare il backup, anche fuori sede, perché il virus riesce a passare sui dischi di rete solo se sono mappati e non attraverso la rete in generale.
Avere un backup offsite vi permetterebbe di ripristinare i file nel caso non riusciste a decriptare i dati.
Inoltre, implementate le policy di ActiveDirectory affinché vengano mandati in esecuzione solo certi eseguibili (presenti su un sistema ”pulito”): in questo modo l’eventuale esecuzione di CryptoLocker verrebbe bloccata.
Esiste un programma per facilitare l’applicazione di queste policy (istruzioni per l’utilizzo).
Effettivamente dopo il pagamento del riscatto i file vengono decriptati, anche se ci vogliono alcune ore.

  Cryptolocker virus

 


Aspetti sociali di questo virus

Ci sono alcuni aspetti che secondo me esulano dal piano tecnico e meritano una riflessione di più ampio respiro, perché hanno un impatto sociale non indifferente.

  1. Innanzi tutto alcuni consulenti e alcuni produttori di software suggeriscono di non pagare il riscatto, perché siamo all’interno di un'attività illecita. Ineccepibile sul piano morale e deontologico, ma chi perde i soldi perché non può evadere ordini, non può ordinare la merce e non può lavorare perché tutti i propri documenti sono criptati? L’imprenditore che ha preso il virus. Egli sarà ben disponibile a spendere trecento euro per riprendere a lavorare subito. Chi ha ragione dunque? Il consulente che dice di non pagare o l’imprenditore che paga perché la propria azienda e i propri dipendenti devono lavorare?
  2. CryptoLocker si prende scaricando un allegato (sospetto) da un’email. Bene, ma il software scaricato, da solo non fa nulla, sono le istruzioni dei server craccati - in cui viene subdolamente installato il server che poi istruisce CryptoLocker - che rendono pericoloso questo software. E i server craccati in genere appartengono a società ignare di tutto ciò. L’azienda che ha il server craccato è responsabile? 
  3. Dal 1 novembre i creatori di CryptoLocker hanno aperto un sito dove si può comprare la chiave per decriptare i file e il programmino per eseguire la decriptazione. Premesso che questo sito è raggiungibile solo su una rete parallela, per accedere alla quale occorre scaricare un programma dalla legalità dubbia, è normale che un utente o un’azienda ordini un virus illegale per poter riavere i propri dati?

CryptoLocker virus rimozione

 

Passo 1

Utenti Windows XP and Windows 7: durante il processo di avvio del computer premere F8 sulla tastiera più volte fino al menu Opzioni avanzate di Windows si presenta, quindi selezionare la modalità provvisoria con rete dall'elenco e premere INVIO.

Modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":

 

Utenti Windows 8: Vai a Windows 8 schermata di avvio, di tipo avanzato, nei risultati di ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra aperta "Impostazioni generali del PC" selezionare Messa in servizio avanzata. Fare clic sul pulsante "Riavvia ora". Il computer verrà riavviato in "Advanced menu delle opzioni di avvio". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate fare clic su "Impostazioni di avvio". Fare clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere il tasto "5" per l'avvio in modalità provvisoria con prompt dei comandi.

Windows 8 Modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":

 

Passo 2

Accedere al profilo che è stato infettato con il virus CryptoLocker. Avviare il browser Internet e scaricare un legittimo programma anti-spyware. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci che rileva.

Rimozione del CryptoLocker virus

 

Scaricando qualsiasi software presente in questo sito accettate la nostra Politica sulla privacy e le Condizioni d’uso. Siamo affiliati con i software anti-virus e anti-spyware elencati su questo sito. Tutti i prodotti che consigliamo sono stati testati accuratamente e approvati dai nostri tecnici, risultando una delle soluzioni più efficaci per eliminare queste minacce.

 

Se non è possibile avviare il computer in modalità provvisoria con rete, prova a fare un ripristino di sistema.

Video che mostra come rimuovere virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema":

 

1. Avviare il computer in modalità provvisoria con prompt dei comandi - Durante il computer di partenza del processo premere F8 sulla tastiera più volte fino al menu Opzioni avanzate di Windows si presenta, quindi selezionare la modalità provvisoria con prompt dall'elenco e premere INVIO.

Modalità provvisoria con prompt dei comandi

2. Quando si carica la modalità prompt dei comandi immettere la seguente riga: cd restore e premere INVIO.

ripristino del sistema con il comando cd restore

3.Inserire la riga: rstrui.exe e premere INVIO.

ripristino del sistema con il comando rstrui.exe

4. Nella finestra che si apre premere AVANTI

ripristina i file e le impostazioni del sitema

5. Selezionare uno dei punti di ripristino disponibili e fare clic su "Avanti" (questo ripristinerà il sistema del computer a uno stato precedente e la data, prima che il questo virus ransomware infiltrato PC).

seleziona un punto di ripristino

6. Nella finestra aperta cliccare su "Si".

avvia ripristino sitema

7. Dopo aver ripristinato il computer ad una data precedente, il download e la scansione del PC con un software anti-spyware per eliminare eventuali residui del virus ransomware CryptoLocker.

Se non è possibile avviare il computer in modalità provvisoria con rete (o con il prompt dei comandi), si dovrebbe avviare il computer utilizzando un disco di ripristino. Alcune varianti di ransomware disabilita modalità sicura rendendo di rimozione più complicato. Per questo passaggio sarà necessario accedere a un altro computer. Dopo aver rimosso questo virus ransomware dal PC riavviare il computer ed eseguire la scansione con un software antispyware legittimo per rimuovere eventuali residui eventualmente sinistra di questa infezione sicurezza.

Altri strumenti noti per rimuovere questo virus ransomware:

 

fonte      fonte

 

 

Condividi post
Repost0
Published by il conte rovescio - in virus informatici
scrivi un commento

commenti

 FORUM

 

Cerca

Cerca

 

nuovo sito conte critico

https://contecritico.altervista.org/

 

Archivi

 

Testo Libero

 

Articoli Recenti

  • Il 2021 tra le incognite del Covid. Ecco cosa dicono le profezie del Ragno nero
    Profezia del Ragno Nero del 2021. Una profezia che ha già nel passato dimostrato di essere attendibile. Basti pensare che l’anno scorso la profezia parlava sia del Covid che del Recovery found. Quest’anno l’anno sarà caratterizzato dalla “Corona di San...
  • Una lunga attesa
    Ciao a tutti, miei cari lettori. Il tempo passa, inesorabile, con la pandemia, senza una pandemia, che fuorvia una vita o meglio la destabilizza, fino a mutarla, con stressanti perdite di tempo e di idee che mutano come le varianti covid. Da tempo non...
  • Covid 19: il fuoco greco
    Analogia di un comportamento simile. Mi spiego: Wuang (Cina), nell' anno 2019,nei laboratori speciali dove si manipolano i ceppi virali, con molta probabilità inizia, tramite laboratorio, una lavorazione su di un virus con fattezze simili all' influenza...
  • I segreti del penultimo manoscritto di Qumran
    Un panorama ormai noto: le pareti a strapiombo sul Mar Morto nella zona di Qumran. (foto Franco56 / Wikimedia Commons) Due ricercatori universitari di Haïfa (Israele) hanno ricostruito i contenuti di uno degli ultimi rotoli di Qumran ancora da interpretare....
  • Cosa c’è alla fine del buco più profondo della Terra?
    Per rispondere a questa domanda basterebbe affermare: “rimuovi questo tappo di metallo arrugginito che vedi nella foto e troverai il buco più profondo della Terra”. Tuttavia, ed è davvero singolare, sappiamo molto di più su alcune galassie lontane che...
  • Sensazioni fantasma: il mistero di come il cervello tocca il processo
    Hai mai pensato che qualcuno ti avesse toccato il braccio sinistro quando, in effetti, avevano raggiunto la tua destra? Gli scienziati conoscono questo fenomeno come una sensazione fantasma e può aiutare a far luce su come i processi del cervello umano...
  • Abhigya Anand e la sua teoria sulla prossima catastrofe
    Saturno e Giove il 21 dicembre che è il giorno del solstizio ci appariranno vicinissimi, un allineamento che è stato visibile solo 800 anni fa, tra il 4 e il 5 marzo del 1226. Ultimo aspetto da sottolineare: Abhigya Anand avrebbe pure previsto il ritorno...
  • Alla scoperta delle Grotte Alchemiche nella magica Torino sotterranea
    Torino: la città magica, la città esoterica, la città occulta. E la città alchemica. Tra le mille narrazioni, simbolismi, leggende che permeano il capoluogo più misterioso d’Italia, la possibilità che nel suo sottosuolo si celino dei passaggi interdimensionali....
  • Commemorazione dei defunti: il 1 novembre
    Il 1 Novembre si celebra la festa di Ognissanti, una festività religiosa dedicata appunto a tutti i santi, quindi idealmente è il giorno dell’onomastico di chiunque porti un nome legato alla figura di un martire beatificato. Ognissanti è una solennità...
  • L' insostenibile leggerezza dell' essere umano
    Covid19, ultima frontiera: nonostante sacrifici e privazioni, lockdown, in casa, privati delle libere uscite, fondamentalmente per il bene primario della vita stessa e per rispetto di chi lavora negli ospedali in maniera sempre più oltre il limite della...

 

 

statistiche accessi

 

Categorie

 

IL CONTE E IL DUCA

 

      thumbnail

 http://i.imgur.com/53qQJ.jpg

 

 

Crea un blog gratis su Overblog.com!