Virus Cryptolocker: cos’è, come evitarlo e decriptare i file

Un potente virus si sta diffondendo via email. Il suo nome è Criptolocker e cripta file e documenti. Ecco i dettagli.

cryptolocker virus

 

Indice dell’articolo

 

 

Che cos’è Cryptolocker

ATTENZIONE! Leggi fino alla fine per consultare tutti gli ultimi aggiornamenti.

Già in passato ci siamo occupati di virus e finte email. Negli ultimi mesi c’è un virus che sta facendo parlare molto di se, si chiama Criptolocker. Appartiene ad una categoria di virus detti “ransomware“, ovvero chiedono un riscatto per poter essere rimossi. Si diffonde per email e basta aprire un allegato per contrarre l’infezione.

In rete circolano varie versioni di Criptolocker. Le ultime tipologie sono molto potenti e sconosciute agli antivirus, perciò davvero pericolose. Infatti una volta scaricato l’allegato ed aperto il file, non c’è più via di scampo. Siccome anche a me è arrivata l’email contenente questo virus, ti mostro come si presenta.

Cryptolocker

Ovviamente potresti ricevere differenti tipi di messaggi, nomi ed indirizzi del mittente, tuttavia la tipologia del testo non dovrebbe essere molto differente da questo.

email infetta

Come puoi vedere, a differenza di altre email pericolose, questo particolare tipo di messaggio è scritto in modo corretto senza errori grammaticali. Inoltre ci informa di un ingente rimborso, in particolare questa email elenca il prezzo di numerosi prodotti utilizzati per l’ufficio, che ci devono essere rimborsati. Viene indicato di aprire il file allegato per leggere ulteriori dettagli. Si vede chiaramente che il file ha un’estensione sospetta, infatti è in formato .cab. Questa particolare estensione è utilizzata da alcuni file compressi, utilizzati in Windows.

Addirittura viene indicato un numero di telefono con prefisso italiano “+39”. In definitiva si tratta di un’email molto ben realizzata, che attira facilmente l’attenzione delle segretarie di ufficio. Infatti è proprio in questi ambienti dove Criptolocker sta arrecando numerosi danni. Tuttavia chiunque può essere incuriosito dallo scaricare ed aprire il file allegato.

Se hai ricevuto un’email simile, basta che la elimini semplicemente. Senza aver aperto l’allegato, non avrai nessun problema con il virus Criptolocker.

Se invece hai già ricevuto questo messaggio ed hai aperto l’allegato, puoi ricorrere ad alcuni strumenti per cercare di decriptare i file. Continua a leggere l’articolo.

 

 

Come funziona il virus

Cryptolocker, come dice stesso il nome, cripta tutti i file disponibili sull’hard disk con una chiave RSA-2048. Documenti, PDF, immagini, file zip non possono essere più aperti, e vengono cancellati allo scadere del tempo indicato. Per poter decriptare i file, il virus propone di pagare una certa somma di denaro. Ovviamente si sconsiglia di effettuare questo pagamento, anche perchè non è sicuro che successivamente i file vengano decriptati.

Nel seguente filmato viene mostrato come funziona il virus, in un test dimostrativo. Inizialmente il sistema non è compromesso, infatti i file vengono aperti normalmente senza alcun problema. Appena il virus viene installato, al riavvio del PC si nota subito lo sfondo differente ed un messaggio che indica la presenza del virus. Adesso i file non sono più leggibili, infatti Windows non li riconosce perchè sono stati criptati.

 

 

Come prevenire ed evitare Cryptolocker

Eliminando l’email sospetta, non avrai niente da temere.
Se vuoi prevenire ed evitare Cryptolocker, è possibile installare un programma chiamato “CryptoPrevent” disponibile cliccando qui. La versione gratuita si trova alla fine del sito indicato.

Questo programma permette di attivare delle regole di restrizione su alcuni tipi di file, impedendo di eseguire dei software potenzialmente dannosi per il sistema. Anche in questo caso non si ha la totale garanzia di non contrarre il virus. Gli inventori del virus possono sempre creare delle varianti per eludere queste restrizioni, ma comunque è pur sempre una protezione in più.

Ecco un filmato che mostra come funziona il software CryptoPrevent. Inizialmente puoi vedere che l’utente attiva la protezione ed avvia il virus. L’esecuzione del file maligno viene immediatamente bloccata, anche se viene avviato con i diritti di amministratore. Ricorda che CryptoPrevent è efficace solo per alcune varianti del virus, non è detto che ti protegga dalle ultime tipologie.

 

 

Recuperare file criptati da Cryptolocker

Come detto prima, esistono diverse varianti del virus. I consigli che trovi di seguito non garantiscono al 100% il recupero dei file. Tentare è l’unica soluzione.

La prima cosa da fare è creare una lista dei file criptati. Utilizza questo tool gratuito, che crea un file con all’interno tutti i documenti e le immagini che sono state criptate. Successivamente raccogli tutti questi file in un’unica cartella.

Adesso collegati al sito decryptcryptolocker.com (scorri la pagina e leggi l’aggiornamento Dicembre 2015). Esso è un servizio gratuito offerto da FireEye e Fox-IT, due società attive nel settore della sicurezza informatica. Dal sito, inserisci la tua email ed effettua l’upload di un file criptato. Infine, dopo aver inserito il codice di sicurezza, premi il tasto “Decrypt it“. Riceverai per email la chiave di sblocco del tuo file, con un link diretto per scaricare un software. Viene spiegato nei dettagli come decriptare il file.

Per avere maggiori approfondimenti su come utilizzare la chiave di sblocco che hai ricevuto, ti consiglio di seguire la guida dettagliata.

Nota: la chiave con cui sono stati criptati i file, è unica per ogni sistema. Ciò significa che se scopri la chiave utilizzata per un solo file, potrai decriptare anche tutti gli altri documenti.

Questo procedimento funziona solo con alcune varianti del virus Cryptolocker. Comunque è un tentativo che puoi fare per recuperare i file più importanti.

 

 

Aggiornamento Dicembre 2015

Il servizio decryptcryptolocker.com non è più disponibile. I creatori del sito hanno comunicato che il virus cryptolocker ha “ispirato” tanti altri malintenzionati in tutto il mondo, che hanno creato numerose varianti. Devi sapere che ad oggi si contano più di 20 diverse varianti. Ogni versione è stata migliorata con una chiave di cifratura sempre più ostile da decifrare e non esiste una soluzione universale a questo virus.

Negli ultimi giorni si sta diffondendo una nuova variante del virus. E’ molto più potente ed al momento non ci sono rimedi. Si diffonde sempre tramite allegato nelle email. E’ fondamentale fare un backup dei tuoi documenti, ci sono persone che hanno perso praticamente tutti i loro file. Questa nuova tipologia del virus cryptolocker funziona con la stessa modalità della precedente versione, in pratica ti chiede un riscatto per poter ottenere la chiave di decodifica.

Il denaro è richiesto tramite bitcoin, ma attenzione! Se procedi con il pagamento del riscatto inserendo gli estremi indicati dal virus, vieni immediatamente avvisato che il pagamento della somma di denaro potrebbe essere pericoloso, poichè andresti ad avvantaggiare questo crimine informatico. Inoltre non è detto che al termine del pagamento riceverai la chiave di decodifica.

Nella seguente immagine puoi vedere come si presenta la pagina per il pagamento. E’ richiesto un riscatto di 500 USD, ed inoltre viene indicato che se tale importo non viene versato entro una certa data, il costo raddoppia.

virus bitcoin cryptolocker

 

 

Tentare di recuperare i file tramite software

Alcune varianti meno potenti del virus, lasciano intatte le copie shadow dei file. Devi sapere che Windows esegue in modo automatico delle copie di backup dei tuoi dati. Per poter accedere a queste copie, puoi utilizzare un software molto semplice chiamato Shadow Explorer. Clicca il link a fine articolo per scaricarlo, è disponibile anche la versione portatile che non richiede l’installazione.

Una volta lanciato il programma, seleziona dal menù in alto il disco C: e scegli una data precedente all’infezione del virus. Cerca i file che ti interessano, potrai vedere le versioni dei file precedenti all’accaduto. A questo punto premi con il tasto destro del mouse sul file che vuoi ripristinare, seleziona in quale cartella vuoi ripristinarlo (meglio su una chiavetta usb) e procedi premendo su “OK”. Controlla se il file ripristinato funziona correttamente. Ecco una guida per questo software

 

Purtroppo le varianti più potenti del virus possono cancellare completamente le copie shadow, impedendo questa operazione. Shadow Explorer può essere molto utile anche quando si cancella un file dal cestino e lo si vuole recuperare. Se hai altre informazioni scrivi nei commenti.

 

 

Aggiornamento Febbraio 2016

Le email contenenti il virus possono essere spedite anche da un tuo contatto familiare, un amico o un conoscente. Addirittura in alcuni casi possono essere camuffate come email inviate da importanti corrieri. Ogni volta che ricevi un’email con allegato, anche se conosci la persona che te lo ha mandato, se puoi ti consiglio di chiamarla chiedendo se effettivamente ti ha spedito un allegato. Il virus cripta i file con una chiave univoca, generata esclusivamente per ogni PC. La chiave necessaria a decriptare i documenti si trova in chissà quale parte del mondo, in un server (sempre se esiste).

Prima di leggere questo aggiornamento, prova ad utilizzare il metodo che ti ho indicato nel paragrafo precedente. Se non sei riuscito a risolvere, ti mostro due tool da testare. Il primo tool si chiama Malwarebytes Anti-Ransomware e serve a prevenire il virus. In pratica è una programma che blocca l’esecuzione del virus sul nascere. Se numerosi file presenti sul PC iniziano ad essere criptati, questo software reagisce prontamente segnalandoti la minaccia, bloccando tutte le modifiche ai file. E’ ancora in fase BETA ed è stato sviluppato basandosi sul meno recente CryptoMonitor.

Sulla pagina ufficiale del software, trovi tutti i dettagli ed un video del suo funzionamento. Può essere utilizzato per bloccare numerose varianti del virus, tra cui: CryptoWall, CryptoLocker, CTB Locker, CryptorBit, KeyHolder, TELSA, Operation Global, TorrentLocker, CryptoDefense, ZeroLocker.

Se i tuoi file sono già stati criptati, avranno sicuramente un’estensione strana. Ad esempio possono essere stati rinominati con le seguenti estensioni: .xxx .ttt .micro .vvv .ccc .abc .aaa .ecc .exx .ezz .zzz. Se sei stato colpito dalle varianti del virus chiamate Coinvault oppure Bitcryptor, puoi provare il programma gratuito Kaspersky Ransomware Decryptor. Permette di decriptare i file modificati dal ransomware, inoltre non richiede neanche l’installazione. E’ sufficiente indicare al software la cartella dove si trovano i file criptati ed attendere la scansione. Anche in questo caso il risultato non è garantito!

 

 

Tentare di recuperare i file tramite servizi professionali

Se stai leggendo questo articolo, molto probabilmente sei stato infettato dal virus ed avrai già tutti i file criptati. Le soluzioni che ti ho indicato fin qui, potrebbero non essere aggiornate alle ultime varianti di cryptolocker e quindi di scarsa efficacia. Se per te i documenti criptati hanno un valore davvero importante, sicuramente farai di tutto per tentare di recuperarli. Per questo motivo ti consiglio di affidarti solo ad esperti del settore, che possono accedere ai più moderni sistemi di recupero dati.

recupero file cryptoloker

iRecovery è una rinomata azienda che opera a livello europeo, pure in Italia. Sono leader nel settore dell’analisi forense e nel recupero dati. Grazie al loro lavoro, è stato possibile recuperare numerosi dati importanti per aziende e privati. Ovviamente non possono garantirti la riuscita del recupero, ma stai sicuro che utilizzeranno sempre le più avanzate tecniche e faranno tutto il possibile per ridarti i tuoi file decriptati.

Ti spiego come funziona il servizio offerto dalla iRecovery, perchè ritengo che ad oggi sia il modo più sicuro ed offra le maggiori probabilità di successo per recuperare i dati. Una volta che ti sei collegato al loro sito ufficiale disponibile a questo link, puoi contattarli immediatamente per indicare i tuoi problemi. Dopo il primo contatto, puoi richiedere il ritiro del supporto contenente i file infetti tramite corriere espresso entro 24 ore. Appena ricevono il supporto nel loro laboratorio, un team di ingegneri esperti eseguono un’analisi della tipologia di virus e valutano se è possibile recuperare i file, emettendo quindi un preventivo.

Ritiro, spedizione ed analisi sono totalmente gratuiti, è tutto a carico loro e non pagherai nulla. Appena ti viene indicato il preventivo, puoi decidere liberamente se accettare o no di procedere con il recupero. La iRecovery opera su tutto il territorio italiano e riceve tantissime segnalazioni ogni giorno. Per questo motivo, se vuoi avere un’analisi gratuita dei tuoi file, ti consiglio di contattarli al più presto. Clicca qui per collegarti al loro sito ufficiale.

Ho impiegato ore a scrivere questo post, ti chiedo solo un piccolo favore. Condividi l’articolo sui social network per evitare che il virus infetti tanti altri PC. Non ti costa nulla, il modo più sicuro per evitare il virus è PREVENIRE. Ci sono tante persone come te, anche avvocati, notai, commercialisti che hanno praticamente perso tantissimi file importanti per il loro lavoro.

Spesso su Facebook si vedono tante notizie praticamente inutili. Almeno ora che si tratta di una cosa seria, proviamo a DIFFONDERE LA NOTIZIA il più possibile, magari taggando anche qualche tuo amico. Grazie!

In passato abbiamo visto anche:

Falsa email dell’Agenzia delle Entrate

Violati 5 milioni di account Gmail

Falso aggiornamento JAVA con virus

 

Link Shadow Explorer

Condividi

FacebookTwitter