Come installare Windows 10
2 settembre 2015
Android Marshmallow
Google porta una nuova statua nel Googleplex
2 settembre 2015
Mostra tutti

Crypto-Ransomware Ctb locker Malware? Ecco come recuperare i file

Ctb-locker - Malware Crypto Ransomware angosciano e terrorizzano il Web

Your Computer has been Locked

Notizia di questi giorni di un massiccio attacco Ransomware di una nuova variante chiamata CTB-locker. Il ransomware è un malware (famiglia di software dannosi che si installano senza autorizzazione dell’utente) creato per bloccare il computer da remoto e criptare i dati dell’utente tenendoli virtualmente in ostaggio fin quando non viene pagato un riscatto entro un termine di alcune ore. Se l’utente non paga i dati verranno cancellati o resi del tutto inaccessibili. Prende il nome dal termine inglese “ransom” che significa appunto prendere in ostaggio. Molto diffuso inizialmente in Russia, dal 2013 colpisce con molte varianti in tutto il mondo. In particolare il Crypto-Ransomware una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi immediatamente tutti i dati dell’utente.

tb-locker-malware-crypto-ransomware-come-rimuovere-recuperare-file

 

ATTENZIONE le informazione di seguito fornite sono a soli fini didattici, non ci assumiamo alcuna responsabilità sull’efficacia e validità . Ogni situazione è diversa e anche le versioni di virussono molte in circolazione quindi non c’è alcuna sicurezza di recuperare i dati e anzi se avete dati vitali rimuovendo il virus rischiate di non poter più accedere alla pagina in cui pagare il riscatto e procedere con la decrittazione.  D’altra parte anche il pagamento non è necessariamente garanzia di recupero!

 

Tipi di Ransomware

Ci sono migliaia di varianti e ne usciranno sempre di nuove e più sofisticate visto che il codice sorgente del virus è in vendita su diversi siti pirata. Sostanzialmente ci sono due principali tipi di infezioni ransomware:

  • Alcuni sfruttano i nomi delle autorità come FBI MoneyPak Ransomware (Polizia Postale, FBI e via dicendo) e utilizzano accuse false di varie violazioni di legge per ingannare gli utenti di computer a pagare una falsa multa per violazioni di legge presumibilmente fatte. In questa tipologia normalmente i dati dell’utente non vengono criptati. Di seguito video illustrativo sulla rimozione

  • altri infettano solo l’uso del browser Internet (Internet Explorer, Mozilla Firefox, Google Chrome e Safari), essi sono noti come Browlock. Questo tipo di ransomware utilizza Java script per bloccare il tentativo dell’utente di chiudere il proprio browser Internet.

 

 

CTB-locker  Come si diffondono i ransomware?

Il ransomware si installa generalmente aprendo o facendo clic su allegati o collegamenti fraudolenti in un messaggio email, un messaggio istantaneo, un social network o un altro sito Web. Di solito il messaggio è semplice e immediato, tipicamente è una mail per il rimborso di una fattura e la restituzione di un oggetto acquistato tramite internet. Poi, subito dopo il virus manifesta con una schermata nera che blocca il Pc e non consente alcun accesso e inizia inesorabilmente a criptare i file del PC e di quelli eventualmente condivisi in rete. A questo punto se non avete un backup siete praticamente fregati, anche se come vedremo dopo qualcosa si può fare…

tb-locker-malware-crypto-ransomware-come-rimuovere-recuperare-file

Il ransomware può entrare nel computer persino durante la semplice visita di un sito Web fraudolento opportunamente predisposto.  In particolare, CTB-locker di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di ingegneria sociale e che solitamente proviene da fonti legittime oppure tramite una botnet. Adotta un metodo di camuffamento e si presenta tramite un allegato di tipo ZIP che di solito contiene un file eseguibile . Il file non è visibile come “<nomefile>.exe” ma in realtà come <nomefile>.<pdf><docx><ecc.>.exe” perchè l’attaccante si avvale del fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come “<nomefile>.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo, o come un semplice file .zip.

Quando viene eseguito per la prima volta, il software si installa nella cartella “Documents and Settings” (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico. A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.

Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento con un voucher anonimo e prepagato (es. Bitcoin, MoneyPak o Ukash), per decifrare i file. Il pagamento deve essere eseguito spesso entro 48, 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Se CTB-locker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l’unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware. Il malware è conosciuto anche come: TROJ_CRYPCTB.SMD o  TROJ_CRYPCTB.SME

 

CTB-locker  Come posso evitare il ransomware?

La protezione migliore è sempre la prevenzione, esistono diversi modi gratuiti per contribuire a proteggere il computer dal ransomware e da altri tipi di malware:

  • mantenere aggiornati tutti i software presenti sul computer, assicurandosi anche che l’aggiornamento automatico sia attivato per ottenere tutti gli ultimi aggiornamenti di Windows Update.
  • Mantenere sempre attivo il firewall di Windows e ove necessario installare un prodotto con maggiore protezione
  • Non aprire messaggi email spam e non fare clic su collegamenti a siti sospetti.

 

CTB-locker  Che fare se il ransomware è già sul mio computer?

Per individuare e rimuovere il ransomware e altri malware che potrebbero essere presenti sul computer, esegui una scansione completa del sistema con una soluzione di sicurezza adeguata e aggiornata. Tuttavia, anche se i prodotti di sicurezza sono progettati per trovare questa minaccia, può capitare che CTB-locker non venga individuato, o magari venga individuato solo dopo che la cifratura è iniziata o addirittura è stata completata. Se si sospetta un attacco o è ancora al primo stadio, poiché è necessario un po’ di tempo perché sia completata la cifratura, la rimozione immediata del malware prima del completamento della cifratura può almeno ridurre la perdita di dati ma ovviamente non risolve completamente il problema.

Rivolgersi a un tecnico qualificato e con la necessaria esperienza ad affrontare questa tipologia di malware è sempre la soluzione migliore, tuttavia nel caso vogliate procedere da soli potete provare a seguire i seguenti passaggi senza garanzia di successo, perché come detto in precedenza ci sono varie versioni con caratteristiche diverse. Per chi invece decidesse di cedere al ricatto, se la procedura va bene una volta pagato l’importo richiesto, riceverà un file chiamato unlocker.exe che in teoria dovrebbe decifrare e ripristinare i file a come erano prima dell’intervento del virus, ma qualcosa potrebbe anche andare storto e perdereste oltre a tutti i file anche i vostri soldi. Quindi ancora una volta il consiglio è sempre quello di fare diverse copie di backup su dispositivi esterni e recuperare tutto in casi di questo genere dopo aver ripulito il PC.

 

CTB-locker  Come rimuovere il ransomware?

Tipicamente se il PC contiene file con estensione “.encrypted”. Le procedure di rimozione sono diverse in base al tipo e versione di virus. Ci sono varie procedure per eliminare il virus di seguito una particolarmente semplice, seguita da alternativa video che prevede anche il recupero dei dati

  • Isolare immediatamente il computer infetto togliendolo dalla rete scollegandolo da internet.
  • Scaricare da altro PC e copiare su chiavetta USB da http://www.combofix.org/ il programma gratuito per la rimozione del virus e da http://www.piriform.com/ccleaner quello per la pulizia dei file temporanei e delle voci di registro dopo la rimozione.
  • Riavviare il Pc infetto in modalità provvisoria tenendo premuto più volte il tasto F8 in fase di avvio
  • Appena appare la schermata nera con varie possibilità di intervento, scegliere l’attivazione della modalità provvisoria
  • Avviata la modalità provvisoria, lanciare Combofix dopo averlo installato dalla chiavetta e lasciarlo “lavorare” fino a che non finisce il suo percorso;
  • Ripulito il pc con l’antimalware, eliminare tutti i file temporanei con l’aiuto di Ccleaner
  • Riavviare il pc in modalità normale.
  • Rifate una scansione e per sicurezza installate e lanciate anche altro anti malware http://it.malwarebytes.org/ di cui parliamo in altro articolo.

Nel seguente video, troverete invece una procedura manuale non molto differente, ma che prevede l’uso di http://www.shadowexplorer.com/ per il recupero dei dati come vi spiegheremo dopo il video

Sempre nel video troverete utili informazioni sulla prevenzione e l’uso di un apposito software che trovate qui http://www.foolishit.com/vb6-projects/cryptoprevent/ che non abbiamo provato ne conosciamo affidabilità. Internet è pieno di articoli con soluzioni e software che poi si rivelano altre trappole e ulteriori virus!!! Quindi fate molta attenzione a cosa installate e da dove scaricate.

 

CTB-Locker  come recuperare gratis i file criptati?

Come video nel video precedente è possibile recuperare buona parte dei file se si è fortunati utilizzando le copie fatte in automatico dal sistema con ShadowExplorer è possibile recuperare buona parte dei dati. Tuttavia a volte questa soluzione non è possibile e quindi si usa altra tecnica. In pratica normalmente il virus creato una copia crittata di ogni file e poi cancella gli originali, quindi se non si sono fatte altre operazioni invasive è possibile utilizzare un software per il recupero dei file cancellati per recuperare buona parte dei propri dati con questo procedentimento

  • Eliminare il virus come visto sopra
  • Cercare di recuperare i dati con ShadowExplorer salvandoli in altra unità
  • Per i file non recuperabili usare un programma di undelete come https://www.piriform.com/recuva  o altri equivalenti, quasi tutti gratuiti o prefessionale come TestdiskPhotoRec

Dalle ultime analisi pare che le nuove versioni del virus si premurino di rimuovere tutti i punti di riprestino precedenti e quindi gli shadow file oltre che a rendere impossibile l’undelete, quindi essendo al chiave a 2048bit è praticamente impossibile recuperare i file!

 

Cosa sono le versioni precedenti dei file (shadow file) e come vengono creati e ripristinati?

Non molti sanno che andando sulle proprietà di un file o una cartella a partire da Windows XP SP1 è possibile risalire a una versione precedente salvata automaticamente da Windows come parte di un punto di ripristino. Le versioni precedenti possono essere utilizzate per ripristinare le cartelle e i file danneggiati, modificati o eliminati accidentalmente. I punti di ripristino in genere vengono creati una volta al giorno. Se il disco è partizionato o se nel computer sono installati più dischi rigidi, sarà necessario attivare la protezione del sistema per le altre partizioni o gli altri dischi.

Le versioni precedenti vengono inoltre create da Windows quando si esegue il backup dei file. A seconda del tipo di file o cartella, è possibile aprire, salvare in un percorso diverso o ripristinare una versione precedente. Nel caso di PC con CTB-Locker  è meglio ripristinare prima su altra unità in modo da poter provare a usare l’undelete di eventuali file non ripristinabili come scritto sopra.

La protezione del sistema è attivata automaticamente per l’unità in cui è installato Windows. È tuttavia possibile attivarla per altre unità eseguendo la procedura seguente:

  • Dal pannello di controllo fare clic per aprire Sistema.
  • Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Qualora venisse richiesto, fornire una password amministratore o una conferma.
  • Fare clic sull’unità e quindi su Configura.
  • Eseguire una delle operazioni seguenti:
    • Per consentire il ripristino delle impostazioni di sistema e delle versioni precedenti dei file, fare clic su Ripristina impostazioni del sistema e versioni precedenti dei file.
    • Per consentire il ripristino delle versioni precedenti dei file, fare clic su Ripristina solo versioni precedenti dei file.
  • Fare clic su OK.

Via

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer
Translate »