Migliaia Di Dipendenti Colpiti Dall'attacco Ransomware A Puma [CASE STUDY].pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
1. Dodici Versioni Di CryptoLocker E
Strumenti Per La Loro Eliminazione
Consulta la lista di HelpRansomware aggiornata al 2022: scopri le dodici
versioni di cryptoLocker e gli strumenti per la loro eliminazione.
Cos’è Cryptolocker
Come si diffonde il ransomware
Versioni del virus ransomware Cryptolocker
Virus Crypt0L0cker
CryptoLocker-v3
Cryptographic Locker
PCLock ransomware
CryptoTorLocker2015
Crypt0 ransomware
Il tuo computer e stato infettato da Cryptolocker! ransomware
CryptoLocker 5.1 ransomware virus
Cryptolocker3 ransomware virus
2. MNS Cryptolocker
CryptoLockerEU ransomware virus
CryptON
Suggerimenti su come proteggere i tuoi file dal cripto-virus
Come rimuovere CryptoLocker
Metodo 1: utilizzare la modalità provvisoria con rete
Metodo 2: ripristino configurazione di sistema
Come recuperare i tuoi dati
Conclusioni
Cos’è Cryptolocker
CryptoLocker è un ransomware attivo da settembre 2013.
Non appena i dati vengono criptati, gli hacker chiedono un riscatto per
recuperare il decryptor per i file inutilizzabili.
La richiesta di riscatto viene visualizzata in un programma “CryptoLocker”
che dà alla vittima 72 ore per recuperare i file.
Se il riscatto non viene pagato tramite MoneyPak o Bitcoin Transfer
nell’arco di tempo prestabilito, la chiave viene distrutta e l'accesso ai dati
viene perso in modo permanente.
Il virus CryptoLocker è stato bloccato il 2 giugno 2014, quando Operation
Tovar ha intercettato la botnet Gameover Zeus.
L'azienda di sicurezza ha ottenuto l'accesso al database utilizzato dagli
hacker per archiviare tutte le chiavi di decrittazione.
Da allora sono emerse molte altre versioni del virus, ma non sono
correlate a quella originale.
3. Il malware usa come mezzo di diffusione mail apparentemente innocue:
questi messaggi in genere contengono allegati dannosi nei quali è inserito
il ransomware.
Il virus si infiltra nel sistema, crittografa i file e mostra una richiesta di
riscatto.
CryptoLocker, quindi, utilizza la crittografia a chiave pubblica RSA per
bloccare i seguenti tipi di file sul PC della vittima:
3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm,
docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef,
nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt,
pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps,
xlk, xls, xlsb, xlsm, xlsx.
Come puoi vedere, questo elenco è pieno di nomi di file ampiamente
utilizzati, come doc, xls e simili.
Per ripristinarli, Cryptolocker ti chiede di pagare un riscatto tramite
Moneypak, Ukash, cashU o Bitcoin.
Talvolta il malware si avvale di messaggi che rimandano ad un illecito
commesso, nascondendo gli allegati pericolosi in multe da pagare alle
forze dell’ordine.
In ogni caso, quello che fa il malware è cercare di convincere le sue
vittime che devono pagare un riscatto in cambio dei loro file personali
ormai crittografati.
4. HelpRansomware raccomanda di non pagare assolutamente il
riscatto.
Pagare non assicura la decrittazione dei file.
Secondo Data Center Knowledge, il 42% delle organizzazioni che ha
pagato il riscatto non ha ottenuto la decrittazione dei dati.
In questi casi, la cosa migliore da fare è ricorrere alle conoscenze degli
esperti: HelpRansomware decripta i file e li rende di nuovo utilizzabili,
puliti e verificati.
Come si diffonde il ransomware
CryptoLocker è considerato uno dei virus crypto-ransomware più
efficientemente distribuiti.
Gli autori di questo virus combinano diverse tecniche per diffonderlo.
5. Secondo gli esperti, il virus Cryptolocker si diffonde utilizzando e-mail
dall'aspetto ufficiale, falsi pop-up e tecniche simili.
In precedenza, il ransomware è stato distribuito tramite lettere di posta
elettronica che contenevano allegati dannosi; annunci carichi di
malware, che pubblicizzano programmi o aggiornamenti con il file
esecutivo del virus;, o kit di exploit.
Fai attenzione perché questa minaccia può infiltrarsi nel tuo computer
tramite falsi pop-up che affermano che devi aggiornare Java, Flash Player
o programmi simili.
Assicurati di installare questi programmi dai siti dei loro sviluppatori
verificati, non da terze parti sospette.
A settembre 2016 sono state individuate nuove tecniche di distribuzione
del ransomware e, nel corso del 2020 si sono affinati ulteriori metodi.
Siccome il virus tenta di sfruttare le debolezze umane, gli sviluppatori
seguono molto gli avvenimenti legati all’attualità.
Per questo, soprattutto quest’anno, si è puntato molto sul mascherare il
malware in e-mail provenienti da aziende sanitarie.
Il contenuto può rimandare a risultati di analisi false che comunicano alla
vittima una malattia o la positività al Covid-19.
Il messaggio chiede di stampare i risultati delle analisi del sangue che si
trovano in un documento allegato e di portarli al medico di famiglia al più
presto.
6. Come abbiamo detto, facendo leva sul panico delle vittime, i malfattori
riescono facilmente ad entrare nei loro dispositivi.
Quando la vittima apre l'allegato, il ransomware prende il controllo del
sistema e crittografa tutti i file senza alcun rimorso.
Un interessante report redatto da Bitdefender mostra le terribili connessioni
tra la pandemia e l’aumento di attacchi ransomware.
D’altronde si tratta di criminali, il cui unico scopo è quello di guadagnare
denaro.
Versioni del virus ransomware Cryptolocker
Di seguito ti proponiamo alcune delle versioni note di questo ransomware.
7. Virus Crypt0L0cker
Il virus Crypt0L0cker è uno dei virus che crittografano i file in grado di
infiltrarsi nei computer tramite falsi aggiornamenti Java o tramite allegati
di posta elettronica infetti.
Dopo aver crittografato i file della vittima, questo virus aggiunge
l’estensione .encrypted o .enc a ciascuno di essi e inizia a mostrare un
messaggio di avviso che chiede alla vittima di pagare il riscatto.
Questo virus è stato individuato per la prima volta nel 2015.
Tuttavia, diversi anni dopo è ancora attivo nell’infettare gli utenti.
CryptoLocker-v3
Si può scaricare cliccando sul falso popup che dice che devi aggiornare
Java o Flash Player.
Per crittografare i file, questa minaccia utilizza RSA-2048 (una chiave
pubblica univoca) e chiede un riscatto.
Questo malware utilizza l'estensione di file .crypted che viene aggiunta a
ogni file che crittografa.
Cryptographic Locker
Cryptographic Locker è molto simile al ransomware CryptoLocker.
Consente alla vittima di sapere quali file ha crittografato perché aggiunge
l’estensione .clf a ogni file.
8. Subito dopo essere apparso su Internet, questo ransomware chiedeva un
riscatto di 0,2 BTC in cambio della chiave di decrittazione necessaria per
ripristinare i file criptati.
Se ti capita di essere infettato da questo malware, non pagare il riscatto
perché non c'è alcuna garanzia che il pagamento ti aiuterà a recuperare
l’accesso ai tuoi file.
PCLock ransomware
PCLock è un altro ransomware che cerca di spaventare le sue vittime
crittografando i loro file.
Questa procedura viene in genere avviata con l'aiuto della crittografia XOR.
Non è aggressivo come la versione originale di CryptoLocker, quindi
dovresti essere in grado di eliminarlo rimuovendo il suo file principale
WinCL.exe e altri file con l'aiuto del software di sicurezza.
La richiesta di riscatto viene nominata last_chance.txt: non pagarla.
CryptoTorLocker2015
CryptoTorLocker2015 è in grado di infettare il sistema operativo Windows e
il sistema operativo Android.
Una volta fatto, utilizza la crittografia XOR per bloccare i file della vittima.
Se il tuo sistema è pieno di foto preziose o documenti aziendali, considera
che potresti perderli.
9. I file infetti sono generalmente contrassegnati dall'estensione
.CryptoTorLocker2015 e dovresti anche trovare la richiesta di riscatto
chiamata AS DECRYPT FILES.txt sul tuo desktop.
Per rimuovere questo virus dai loro dispositivi, gli utenti Android devono
solo disinstallare l'applicazione interessata, quella utilizzata per scaricare il
virus CryptoTorLocker sui loro computer.
Agli utenti del sistema operativo Windows si consiglia di utilizzare un
software antivirus o antispyware affidabile per la rimozione di
CryptoTorLocker2015.
Crypt0 ransomware
Il ransomware Crypt0 è stato scoperto nel settembre 2016.
Questo ransomware lascia una richiesta di riscatto HELP_DECRYPT.TXT,
che informa la vittima dell'attacco e chiede di utilizzare
contactfndimaf@gmail.com per le istruzioni di decrittografia dei dati.
Il tuo computer e stato infettato da Cryptolocker!
ransomware
Il tuo computer è stato infettato da Cryptolocker! ransomware è un'altra
versione di CryptoLocker che si rivolge agli utenti di lingua italiana.
Proprio come il suo predecessore, questo ransomware modifica le
estensioni dei file (utilizza l’estensione .locked) e concede alla vittima un
certo periodo di tempo per pagare.
Attualmente, i ricercatori di malware non conoscono uno strumento di
decrittazione gratuito.
10. CryptoLocker 5.1 ransomware virus
CryptoLocker 5.1 ransomware virus è stato rilasciato nel 2016.
Fin dalla sua prima apparizione, ha lavorato per infettare gli utenti italiani.
In alternativa, si è reso noto anche come “Il tuo computer è stato infettato
da Cryptolocker!”.
Sebbene tenti di mascherarsi sotto il nome di famigerata minaccia
informatica, gli esperti IT sospettano che non sia ancora potente quanto
l’originale.
Cryptolocker3 ransomware virus
Cryptolocker3 è un malware che può anche essere chiamato ransomware
della schermata di blocco.
Tali virus non crittografano effettivamente i file del computer, ma
impediscono alle loro vittime di accedervi e di utilizzare le normali funzioni
del computer.
Tuttavia, dopo diversi mesi di funzionalità, Cryptolocker3 è entrato in
un’altra sottosezione in cui il malware si comporta come il virus
ransomware originale.
Questo parassita utilizza l'algoritmo di crittografia XOR e aggiunge
l’estensione del file .cryptolocker.
MNS Cryptolocker
MNS Cryptolocker è un altro virus ransomware che utilizza il nome di
Cryptolocker.
11. Dopo aver crittografato i file personali della vittima, il ransomware rilascia la
sua richiesta di riscatto chiedendo alla vittima di inviare 0,2 BTC tramite Tor
o altre reti anonime.
Il virus non aggiunge nuove estensioni ai file di destinazione, quindi ti
accorgi dell'infezione solo quando provi ad aprirne uno.
CryptoLockerEU ransomware virus
Il virus ransomware CryptoLockerEU è stato rilevato nel gennaio 2017.
Sembra essere una copia modificata del virus CryptoLocker iniziale.
Il virus si chiama CryptoLockerEU 2016 rusia, il che dà l'idea che sia stato
sviluppato nel 2016 da hacker russi.
Durante la procedura di crittografia dei dati, il virus codifica i file utilizzando
un algoritmo RSA-2048.
Il nome della richiesta di riscatto dovrebbe assomigliare a questo:
РАСШИФРОВАТЬ ФАЙЛЫ.txt.
Tuttavia, a causa di un errore nel codice sorgente del virus, appare come
ĐŔŃŘČÔĐÎ ŔŇÜ ÔŔÉËŰ.txt.
CryptON
Il ransomware portoghese Cryptolocker o CryptON è l’ultima variante del
ransomware correlato a CryptoLocker.
Alcuni credono che possa essere stato rilasciato dallo stesso gruppo di
hacker perché utilizza un codice sorgente simile e visualizza la natura
tipica di CyptoLocker sul computer infetto.
12. Il fatto più interessante è che questo virus è rivolto agli utenti di lingua
portoghese poiché la richiesta di riscatto e l'interfaccia di pagamento del
riscatto sono presentate in questa lingua.
I file crittografati vengono rinominati come segue: [nome_file] .id- [ID
vittima] _steaveiwalker@india.com_.
Per recuperare l'accesso ai file, alle vittime viene richiesto di pagare il solito
riscatto.
Suggerimenti su come proteggere i tuoi file dal
cripto-virus
Di seguito ti diamo alcuni consigli per prevenire un attacco ransomware:
● Non fidarti degli annunci fuorvianti perché diffondono il virus;
● Assicurati di eliminare lo spam e ricontrolla ogni email che ti è stata
inviata da mittenti sconosciuti;
● Ricorda di disabilitare le estensioni nascoste (se utilizzi il sistema
operativo Windows);
● Scarica un antivirus affidabile sul tuo computer;
● Esegui i backup il più frequentemente possibile perché potrebbero
aiutarti a recuperare file crittografati;
● Utilizza Google Drive, Dropbox, Flickr, ecc.
Tuttavia, tieni presente che questo potente virus potrebbe accedere a
questi luoghi di archiviazione online tramite la tua connessione
Internet e crittografare anche questi file
13. Pertanto, ti consiglio di archiviare i backup dei dati su dispositivi di
archiviazione rimovibili come dischi rigidi o USB.
Come rimuovere CryptoLocker
Qui di seguito ti propongo due metodi per rimuovere CryptoLocker dai tuoi
sistemi infettati e come fare per recuperare i tuoi dati in maniera autonoma.
Ricorda, però, che la migliore idea è contattare un’azienda specializzata
come HelpRansomware.
Metodo 1: utilizzare la modalità provvisoria con rete
Per rimuovere questo ransomware con la modalità provvisoria con rete,
segui i seguenti passaggi.
Tieni presente che, come abbiamo visto prima, questo ransomware si
presenta in una varietà di forme diverse.
È probabile che alcune di queste versioni tenteranno di impedirti di
eseguire il software di sicurezza e di rimuoverlo dal computer.
Se ti trovi in una situazione del genere, salta al prossimo paragrafo per
sapere come fare.
Il primo passaggio è riavviare il computer in modalità provvisoria con rete.
Per Windows 7 / Vista / XP:
● Clicca su “Start”;
● Seleziona “Arresto”;
● Clicca su “Riavvia”;
14. ● Seleziona “OK” ;
● Quando il computer sarà attivo, inizia a premere F8 più volte fino a
visualizzare la finestra “Opzioni di avvio avanzate”;
● Seleziona “Modalità provvisoria con rete” dall'elenco.
Per rimuovere ransomware da Windows 10 / Windows 8:
● Premi il pulsante di accensione di Windows nella schermata di login;
● Tieni premuto il tasto “Maiusc” sulla tastiera, e fai clic su “Riavvia”;
● Seleziona “Risoluzione dei problemi”;
● Clicca su “Opzioni avanzate”;
● Seleziona “Impostazioni di avvio”;
● Premi “Riavvia”;
15. ● Una volta che il computer sarà attivo, seleziona “Abilita modalità
provvisoria con rete” nella finestra “Impostazioni di avvio”;
● Seleziona “Abilita modalità provvisoria con rete”.
Il secondo passaggio è rimuovere CryptoLocker:
● Accedi al tuo account infetto e avvia il browser;
● Scarica un programma anti-spyware e aggiornalo prima di una
scansione completa del sistema;
● Rimuovi i file dannosi che appartengono al tuo ransomware.
Metodo 2: ripristino configurazione di sistema
Se il tuo ransomware sta bloccando la modalità provvisoria con rete, prova
con quest’altro metodo.
16. Il primo passaggio è riavviare il computer in modalità provvisoria con il
prompt dei comandi, come abbiamo visto nel metodo 1.
Il secondo passaggio è ripristinare i file e le impostazioni di sistema:
● Una volta visualizzata la finestra del prompt dei comandi, inserisci cd
restore e fai clic su “Invio”;
● Ora digita rstrui.exe e premi nuovamente “Invio”;
● Nella finestra successiva, clicca su “Avanti” e seleziona il punto di
ripristino precedente all'infiltrazione di CryptoLocker;
● Clicca su “Avanti”;
● Quando viene visualizzata la finestra “Ripristino configurazione di
sistema”, seleziona “Avanti”;
● Fai clic su “Sì” per avviare il ripristino del sistema;
● Scarica un anti-malware e scansiona il tuo computer per assicurati
che la rimozione di CryptoLocker sia stata eseguita correttamente.
Come recuperare i tuoi dati
La guida presentata sopra dovrebbe aiutarti a rimuovere CryptoLocker dal
tuo computer.
Aprire i file crittografati e renderli di nuovo utilizzabili è più complicato.
Non pagare il riscatto, perché non hai nessuna garanzia di ricevere la
chiave di decrittazione.
17. Se pensi di essere stato infettato da CryptoLocker, c'è una grande
probabilità che non sia così.
Il virus originale è stato sconfitto diversi anni fa e non è più distribuito.
Se la richiesta di riscatto dice che sei stato infettato da questo virus
specifico, potrebbe non essere vero.
Alcuni virus fingono di essere questo temibile ransomware solo per
spaventare la vittima.
Il vantaggio è che diverse versioni false di questo malware possono essere
decrittate.
Ti consigliamo di eseguire una scansione del sistema per scoprire qual è il
nome effettivo del virus.
In alternativa, contatta Help Ransomware fornendo il nome della richiesta
di riscatto, le estensioni di file aggiunte ai file crittografati, l’immagine che
appare sul desktop e alcune informazioni.
Conclusioni
Con questa guida hai scoperto quali sono le dodici versioni di
CryptoLocker e gli strumenti per eliminarle.
Dall’articolo, puoi trarre le seguenti conclusioni:
● CryptoLocker è un virus attivo da settembre 2013;
● Il virus è stato sconfitto a giugno del 2014;
● Sono nate nuove versioni, non necessariamente relazionate con
l’originale;
18. ● I creatori di malware combinano diverse tecniche per propagare
questo tipo di ransomware.
HelpRansomware consiglia di non pagare mai il riscatto; mettiti in
contatto con gli esperti per risolvere la decriptazione dei file.