Cryptolocker: cosa fare e come rimuovere

Partiamo da un presupposto:

Se siete caduti nelle grinfie di questo virus, beh purtroppo devo avvertirvi che non poteva capitarvi di peggio.

Cryptolocker è una nuova generazione di virus tra i peggiori in assoluto perché, non solo vi infastidirà parecchio ma agirà direttamente sui vostri affetti, sul vostro lavoro e sulla vostra vita personale.

Cosa fa Cryptolocker e perché è così pericoloso

Cryptolocker è un virus residente sul vostro pc e rende completamente illeggibili tutti i file presenti sul computer. Agisce nelle cartelle Documenti, Desktop, Musica, Video, chiavette usb, hard disk esterni, rete e altre cartelle dove solitamente si trovano i vostri documenti importanti.

Quando infetta il vostro computer inizia a codificare i vostri file e, per renderli nuovamente leggibili, chiede un riscatto.

Cosa fare appena infettati da Cryptolocker

La prima cosa da fare appena si percepisce che si è stati infettati da Cryptolocker è spegnere in modo forzato (pigiando proprio il bottone di spegnimento) immediatamente il computer e portarlo da un tecnico per recuperare il salvabile che non è stato ancora reso illeggibile (criptato).

Più passa il tempo in cui il computer resta acceso e più il virus andrà avanti a compiere il suo lavoro. Renderà pian piano illeggibile tutto e, se siete collegati ad una rete aziendale, tramite il vostro computer renderà illeggibili anche i file nei dischi di rete.

I file già criptati (resi illeggibili) non possono più essere recuperati se non nelle modalità che elencherò di seguito. Tenete conto che le probabilità di recuperare i vostri file sono molto scarse e molto spesso conviene farsene una ragione.

Cosa NON fare quando si sa di essere stati infettati da Cryptolocker?

Se avete fatto un backup dei vostri dati su chiavetta o su un hard disk esterno, non collegatelo al vostro computer. Se il virus è ancora attivo (e se non avete ancora fatto niente al vostro computer lo è), cripterà anche il vostro backup.

Ma io ho l'antivirus, sicuramente potrò riavere i miei file

Una volta criptati i file, nessun antivirus è in grado di ridarvi indietro i vostri file; viene utilizzata una "password" che solo il creatore del virus conosce. I software antivirus possono non essere sufficientemente aggiornati per le nuove versioni di questo virus, potreste essere infettati anche con un antivirus attivo, soprattutto se l'antivirus è in versione gratuita.

Come faccio a riavere i miei file dopo una infezione di Cryptolocker?

Questa è la parte più difficile. I file vengono codificati in modo tale che non si possano riportare al loro stato originario senza conoscere una specifica "password". L'unico modo per poter ottenere i vostri file sarebbe quello di pagare il truffatore; peccato che, in gran parte dei casi, il truffatore non è sufficientemente "corretto" da darvi la password per riavere indietro i file. Qualcuno paga anche due volte per sicurezza senza ottenere nulla e non si tratta di cifre basse: attualmente si va da un minimo di 100€ ad un massimo di 600€ ma le cifre sono in costante aumento.

Se avete soldi da buttare potete fare un tentativo ma il mio consiglio è di mettervi il cuore in pace anche perchè, per principio, io non darei un centesimo a chi mi ha fatto un danno così grande.

Se invece non volete dare soddisfazioni all'infame, esistono alcune possibilità tecniche di riavere i vostri file ma dovete agire in fretta:

  • Se usate il servizio on line "Dropbox" e avete messo on-line i vostri file, avete 30 giorni per riottenere i vostri dati. Per una procedura dettagliata potere fare riferimento all'articolo Come recuperare da Dropbox file vecchi o cancellati
  • Se avete abilità tecniche potete avviare il sistema usando una live Linux contenente il software PhotoRec. In questo modo sarete in grado di tentare un recupero dati con la certezza che il virus non risulti attivo durante il recupero.
  • Windows salva automaticamente delle copie precedenti dei nostri file. Shadow Explorer è un software che permette di visualizzare queste copie e ripristinarle. I virus più recenti sono in grado di rimuovere completamente queste shadow copy ma alcune versioni datate le mantengono permettendo di ripristinare i dati. Consiglio questa procedura alle persone più tecniche in quanto devono valere le seguenti condizioni:
    • Il virus non deve essere più attivo sul computer (dovete averne rimosso l'avvio oppure averlo rilevato e rimosso con MalwareBytes o simili), altrimenti ricripterà subito il file appena ripristinato;
    • I file da ripristinare devono essere sul disco C, le copie shadow vengono create solo su tale disco e non su chiavette o dischi secondari;
    • Come già detto, il virus non deve aver rimosso tali copie.
  • Sembra esista un sito che inoltra agli esperti di Dr.Web (un famoso software antivirus) una coppia di vostri file per cercare di decriptarli. Se riescono a trovare la "password" utilizzata dai ricattatori per quei due file, potrete recuperare tutti i file del computer. Non ho mai provato il servizio, non conosco ne tempi ne costi e non posso dire se è affidabile. il sito si chiama Decryptolocker

Come faccio a rimuovere Cryptolocker e utilizzare in sicurezza ancora il mio computer?

Questo genere di virus è talmente pericoloso che sconsiglio di utilizzare software per pulire il pc ma consiglio invece di formattarlo direttamente. Solo così avrete la garanzia che il pc è completamente pulito ed esente da ulteriori pericoli che si possono presentare. Anche se avete deciso di pagare il riscatto e siete stati fortunati riavendo indietro i vostri file, dovete farne un backup e formattare il computer. Senza la formattazione il problema tra un po' di tempo potrebbe tranquillamente ripresentarsi. Se non siete capaci voi di formattare il computer, vi consiglio di richiedere l'aiuto di un tecnico di fiducia.

Come ho fatto a prendere Cryptolocker?

Probabilmente avete visitato delle pagine web create appositamente dal malfattore o avete aperto qualche allegato e-mail che non dovevate aprire.

Come prevenire l'installazione di Cryptolocker?

Per prevenire l'installazione di questo problematico virus ricordatevi di seguire queste indicazioni:

  • Fare i backup dei vostri file su Hard Disk esterno di tanto in tanto. Dopo aver fatto il backup, staccare l'hard disk dal pc e tenerlo in un posto sicuro.
  • Fare sempre gli aggiornamenti di Windows, dei vostri navigatori internet e dei plugin come Flash Player. Il virus sfrutta delle vulnerabilità dei vostri software per installarsi e questi problemi vengono corretti con gli aggiornamenti.
  • Utilizzare un antivirus di qualità e tenerlo sempre aggiornato. Gli antivirus a pagamento potrebbero avere dei sistemi che verificano la modifica di estensione dei vostri file e potrebbero capire l'infezione anche senza conoscere la definizione del virus residente in memoria.
  • Fate molta attenzione alle e-mail che vi arrivano soprattutto se riguardano fatture, banche, posta, ecc... e non aprite allegati sospetti.
  • Evitare di visitare, il più possibile: siti web di streaming video, film in streaming, download di programmi craccati, recupero serial, scambio torrent, ecc... il rischio di incorrere in pagine infette su questi siti web aumenta.

Ma non si possono trovare gli infami che mettono in giro queste cose? Dopo tutto ci sono le informazioni di pagamento!

I siti che utilizzano sono su una rete anonima chiamata TOR. Le informazioni rimbalzano su diversi computer, in nazioni del mondo diverse, rendendo di fatto difficilissime le operazioni sia legali, in termini di permessi, che tecniche di tracciamento. Il pagamento avviene con moneta virtuale, anonima e non tracciabile da un punto di vista del proprietario fisico. Di fatto quindi le operazioni per trovare i responsabili sono complicatissime e richiedono una collaborazione internazionale.

Cosa succede se clicco sul sito del truffatore?

Vi compariranno i dettagli per pagare il riscatto. Potrebbero essere presenti codici che permettono al malfattore di verificare lo stato del virus sul vostro computer. Appena visiterete il sito, partirà un timer legato al tempo che avete per pagare. Al termine del conto alla rovescia Ci potrebbe essere un secondo step con un prezzo aumentato, successivamente il truffatore rimuoverà la vostra "chiave di decodifica" per decriptare i file dal suo sistema. Ripeto che spesso capita che non vi verrà ridata nessuna chiave per decifrare i vostri file anche dopo il pagamento, ricordatevi che state facendo affari con dei criminali; io eviterei di pagare. Per i curiosi che vogliono evitare di cliccare sul sito, ho inserito qui sotto degli screenshot del sito e il file che compare in ogni directory criptata da Cryptolocker.

Le immagini qui sotto sono semplici foto di schermate scattate da un vero sito per il pagamento con Cryptolocker. Potete visionarle senza pericoli, non sono rimandi al vero link!

  

Dettagli tecnici: come funziona Cryptolocker

Cryptolocker è un ransomware cioè un virus che chiede il riscatto. Non è l'unico ransomware in giro per la rete, se ne stanno diffondendo in gran quantità e di diverse tipologie. Per criptare i file utilizza una coppia di chiavi RSA pubblica/privata. La chiave pubblica viene utilizzata per identificare il computer attaccato mentre la chiave privata, nelle mani del creatore del ransomware, viene utilizzata per decriptare i file. Viene utilizzata una cifratura molto potente, che richiederebbe anni per essere violata senza una vasta rete di calcolatori.

Il ransomware si installa sfruttando principalmente vulnerabilità del sistema operativo, del browser, di plugin oppure sfruttando l'ingenuità degli utenti.

Per finire

Spero di avervi chiarito le idee e di avervi fatto capire meglio cos'è Cryptolocker e come agire se foste malauguratamente incappati in questo temibile virus.

Il consiglio è sempre lo stesso; se ci tenete ai vostri file, soprattutto da quando sono in circolazione minacce come Cryptolocker, prendetevi un po' di tempo per fare i backup.

Ne varrà sicuramente la pena.

Tags: 


Scrivi un commento

Aggiungi un commento

To prevent automated spam submissions leave this field empty.

Plain text

  • Nessun tag HTML consentito.
  • Indirizzi web o e-mail vengono trasformati in link automaticamente
  • Linee e paragrafi vanno a capo automaticamente.
Copyright © 2018 Marco Brenna - marcobrenna.net - Tutti i diritti riservati.
Politica sulla privacy e uso dei cookie
P.IVA 08149280961