Mostra tutti

Crypto-Ransomware Ctb locker Malware? Ecco come recuperare i file

Ctb-locker - Malware Crypto Ransomware angosciano e terrorizzano il Web

Your Computer has been Locked

Notizia di questi giorni di un massiccio attacco Ransomware di una nuova variante chiamata CTB-locker. Il ransomware è un malware (famiglia di software dannosi che si installano senza autorizzazione dell’utente) creato per bloccare il computer da remoto e criptare i dati dell’utente tenendoli virtualmente in ostaggio fin quando non viene pagato un riscatto entro un termine di alcune ore. Se l’utente non paga i dati verranno cancellati o resi del tutto inaccessibili. Prende il nome dal termine inglese “ransom” che significa appunto prendere in ostaggio. Molto diffuso inizialmente in Russia, dal 2013 colpisce con molte varianti in tutto il mondo. In particolare il Crypto-Ransomware una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi immediatamente tutti i dati dell’utente.

tb-locker-malware-crypto-ransomware-come-rimuovere-recuperare-file

 

ATTENZIONE le informazione di seguito fornite sono a soli fini didattici, non ci assumiamo alcuna responsabilità sull’efficacia e validità . Ogni situazione è diversa e anche le versioni di virussono molte in circolazione quindi non c’è alcuna sicurezza di recuperare i dati e anzi se avete dati vitali rimuovendo il virus rischiate di non poter più accedere alla pagina in cui pagare il riscatto e procedere con la decrittazione.  D’altra parte anche il pagamento non è necessariamente garanzia di recupero!

 

Tipi di Ransomware

Ci sono migliaia di varianti e ne usciranno sempre di nuove e più sofisticate visto che il codice sorgente del virus è in vendita su diversi siti pirata. Sostanzialmente ci sono due principali tipi di infezioni ransomware:

  • Alcuni sfruttano i nomi delle autorità come FBI MoneyPak Ransomware (Polizia Postale, FBI e via dicendo) e utilizzano accuse false di varie violazioni di legge per ingannare gli utenti di computer a pagare una falsa multa per violazioni di legge presumibilmente fatte. In questa tipologia normalmente i dati dell’utente non vengono criptati. Di seguito video illustrativo sulla rimozione

  • altri infettano solo l’uso del browser Internet (Internet Explorer, Mozilla Firefox, Google Chrome e Safari), essi sono noti come Browlock. Questo tipo di ransomware utilizza Java script per bloccare il tentativo dell’utente di chiudere il proprio browser Internet.

 

 

CTB-locker  Come si diffondono i ransomware?

Il ransomware si installa generalmente aprendo o facendo clic su allegati o collegamenti fraudolenti in un messaggio email, un messaggio istantaneo, un social network o un altro sito Web. Di solito il messaggio è semplice e immediato, tipicamente è una mail per il rimborso di una fattura e la restituzione di un oggetto acquistato tramite internet. Poi, subito dopo il virus manifesta con una schermata nera che blocca il Pc e non consente alcun accesso e inizia inesorabilmente a criptare i file del PC e di quelli eventualmente condivisi in rete. A questo punto se non avete un backup siete praticamente fregati, anche se come vedremo dopo qualcosa si può fare…

tb-locker-malware-crypto-ransomware-come-rimuovere-recuperare-file

Il ransomware può entrare nel computer persino durante la semplice visita di un sito Web fraudolento opportunamente predisposto.  In particolare, CTB-locker di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di ingegneria sociale e che solitamente proviene da fonti legittime oppure tramite una botnet. Adotta un metodo di camuffamento e si presenta tramite un allegato di tipo ZIP che di solito contiene un file eseguibile . Il file non è visibile come “<nomefile>.exe” ma in realtà come <nomefile>.<pdf><docx><ecc.>.exe” perchè l’attaccante si avvale del fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come “<nomefile>.pdf” nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo, o come un semplice file .zip.

Quando viene eseguito per la prima volta, il software si installa nella cartella “Documents and Settings” (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico. A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.

Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento con un voucher anonimo e prepagato (es. Bitcoin, MoneyPak o Ukash), per decifrare i file. Il pagamento deve essere eseguito spesso entro 48, 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.

Se CTB-locker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l’unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware. Il malware è conosciuto anche come: TROJ_CRYPCTB.SMD o  TROJ_CRYPCTB.SME

 

CTB-locker  Come posso evitare il ransomware?

La protezione migliore è sempre la prevenzione, esistono diversi modi gratuiti per contribuire a proteggere il computer dal ransomware e da altri tipi di malware:

  • mantenere aggiornati tutti i software presenti sul computer, assicurandosi anche che l’aggiornamento automatico sia attivato per ottenere tutti gli ultimi aggiornamenti di Windows Update.
  • Mantenere sempre attivo il firewall di Windows e ove necessario installare un prodotto con maggiore protezione
  • Non aprire messaggi email spam e non fare clic su collegamenti a siti sospetti.

 

CTB-locker  Che fare se il ransomware è già sul mio computer?

Per individuare e rimuovere il ransomware e altri malware che potrebbero essere presenti sul computer, esegui una scansione completa del sistema con una soluzione di sicurezza adeguata e aggiornata. Tuttavia, anche se i prodotti di sicurezza sono progettati per trovare questa minaccia, può capitare che CTB-locker non venga individuato, o magari venga individuato solo dopo che la cifratura è iniziata o addirittura è stata completata. Se si sospetta un attacco o è ancora al primo stadio, poiché è necessario un po’ di tempo perché sia completata la cifratura, la rimozione immediata del malware prima del completamento della cifratura può almeno ridurre la perdita di dati ma ovviamente non risolve completamente il problema.

Rivolgersi a un tecnico qualificato e con la necessaria esperienza ad affrontare questa tipologia di malware è sempre la soluzione migliore, tuttavia nel caso vogliate procedere da soli potete provare a seguire i seguenti passaggi senza garanzia di successo, perché come detto in precedenza ci sono varie versioni con caratteristiche diverse. Per chi invece decidesse di cedere al ricatto, se la procedura va bene una volta pagato l’importo richiesto, riceverà un file chiamato unlocker.exe che in teoria dovrebbe decifrare e ripristinare i file a come erano prima dell’intervento del virus, ma qualcosa potrebbe anche andare storto e perdereste oltre a tutti i file anche i vostri soldi. Quindi ancora una volta il consiglio è sempre quello di fare diverse copie di backup su dispositivi esterni e recuperare tutto in casi di questo genere dopo aver ripulito il PC.

 

CTB-locker  Come rimuovere il ransomware?

Tipicamente se il PC contiene file con estensione “.encrypted”. Le procedure di rimozione sono diverse in base al tipo e versione di virus. Ci sono varie procedure per eliminare il virus di seguito una particolarmente semplice, seguita da alternativa video che prevede anche il recupero dei dati

  • Isolare immediatamente il computer infetto togliendolo dalla rete scollegandolo da internet.
  • Scaricare da altro PC e copiare su chiavetta USB da http://www.combofix.org/ il programma gratuito per la rimozione del virus e da http://www.piriform.com/ccleaner quello per la pulizia dei file temporanei e delle voci di registro dopo la rimozione.
  • Riavviare il Pc infetto in modalità provvisoria tenendo premuto più volte il tasto F8 in fase di avvio
  • Appena appare la schermata nera con varie possibilità di intervento, scegliere l’attivazione della modalità provvisoria
  • Avviata la modalità provvisoria, lanciare Combofix dopo averlo installato dalla chiavetta e lasciarlo “lavorare” fino a che non finisce il suo percorso;
  • Ripulito il pc con l’antimalware, eliminare tutti i file temporanei con l’aiuto di Ccleaner
  • Riavviare il pc in modalità normale.
  • Rifate una scansione e per sicurezza installate e lanciate anche altro anti malware http://it.malwarebytes.org/ di cui parliamo in altro articolo.

Nel seguente video, troverete invece una procedura manuale non molto differente, ma che prevede l’uso di http://www.shadowexplorer.com/ per il recupero dei dati come vi spiegheremo dopo il video

Sempre nel video troverete utili informazioni sulla prevenzione e l’uso di un apposito software che trovate qui http://www.foolishit.com/vb6-projects/cryptoprevent/ che non abbiamo provato ne conosciamo affidabilità. Internet è pieno di articoli con soluzioni e software che poi si rivelano altre trappole e ulteriori virus!!! Quindi fate molta attenzione a cosa installate e da dove scaricate.

 

CTB-Locker  come recuperare gratis i file criptati?

Come video nel video precedente è possibile recuperare buona parte dei file se si è fortunati utilizzando le copie fatte in automatico dal sistema con ShadowExplorer è possibile recuperare buona parte dei dati. Tuttavia a volte questa soluzione non è possibile e quindi si usa altra tecnica. In pratica normalmente il virus creato una copia crittata di ogni file e poi cancella gli originali, quindi se non si sono fatte altre operazioni invasive è possibile utilizzare un software per il recupero dei file cancellati per recuperare buona parte dei propri dati con questo procedentimento

  • Eliminare il virus come visto sopra
  • Cercare di recuperare i dati con ShadowExplorer salvandoli in altra unità
  • Per i file non recuperabili usare un programma di undelete come https://www.piriform.com/recuva  o altri equivalenti, quasi tutti gratuiti o prefessionale come TestdiskPhotoRec

Dalle ultime analisi pare che le nuove versioni del virus si premurino di rimuovere tutti i punti di riprestino precedenti e quindi gli shadow file oltre che a rendere impossibile l’undelete, quindi essendo al chiave a 2048bit è praticamente impossibile recuperare i file!

 

Cosa sono le versioni precedenti dei file (shadow file) e come vengono creati e ripristinati?

Non molti sanno che andando sulle proprietà di un file o una cartella a partire da Windows XP SP1 è possibile risalire a una versione precedente salvata automaticamente da Windows come parte di un punto di ripristino. Le versioni precedenti possono essere utilizzate per ripristinare le cartelle e i file danneggiati, modificati o eliminati accidentalmente. I punti di ripristino in genere vengono creati una volta al giorno. Se il disco è partizionato o se nel computer sono installati più dischi rigidi, sarà necessario attivare la protezione del sistema per le altre partizioni o gli altri dischi.

Le versioni precedenti vengono inoltre create da Windows quando si esegue il backup dei file. A seconda del tipo di file o cartella, è possibile aprire, salvare in un percorso diverso o ripristinare una versione precedente. Nel caso di PC con CTB-Locker  è meglio ripristinare prima su altra unità in modo da poter provare a usare l’undelete di eventuali file non ripristinabili come scritto sopra.

La protezione del sistema è attivata automaticamente per l’unità in cui è installato Windows. È tuttavia possibile attivarla per altre unità eseguendo la procedura seguente:

  • Dal pannello di controllo fare clic per aprire Sistema.
  • Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Qualora venisse richiesto, fornire una password amministratore o una conferma.
  • Fare clic sull’unità e quindi su Configura.
  • Eseguire una delle operazioni seguenti:
    • Per consentire il ripristino delle impostazioni di sistema e delle versioni precedenti dei file, fare clic su Ripristina impostazioni del sistema e versioni precedenti dei file.
    • Per consentire il ripristino delle versioni precedenti dei file, fare clic su Ripristina solo versioni precedenti dei file.
  • Fare clic su OK.

Via

libro vita da hacker

Ti potrebbero interessare

5 Febbraio 2024

EU AI ACT: la nuova normativa Europea sull’Intelligenza Artificiale

Continua
29 Gennaio 2024

Essere un imprenditore digitale nel 2024: strategie e sfide

Continua
5 Gennaio 2024

Tesla Optimus Gen 2: un nuovo capitolo nell’Innovazione dei robot umanoidi

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
24 Agosto 2019

Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
21 Gennaio 2019

Mac lento? Come Riparare il disco tramite Utility Disco sul Mac

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
31 Dicembre 2018

Cybersecurity: ecco i passi avanti dell’Italia

Continua
10 Dicembre 2018

#OpPaperstorm.it – Come diventare un attivista di Anonymous Italia

Continua
29 Novembre 2018

GDPR data breach notification – Notifica della violazione dei dati GDPR

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
14 Novembre 2018

#saveyourinternet – La campagna contro l’articolo 13

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 Novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
2 Novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 Ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 Ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 Ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
15 Ottobre 2018

Anonymous Million Mask March 2018

Continua
13 Ottobre 2018

Cyber Security Guidelines – Linee guida sulla sicurezza informatica per gli studi legali

Continua
11 Ottobre 2018

WordPress security – Come creare un registro delle attività per i siti usando WP Security Audit Log

Continua