crypto
Cryptolocker, cosa fare se si resta infettati.
Mauri e Nicolò La Ferla  su nicofranca,dal  11\10\2015, h. 19.33.

 
Cryptolocker è uno dei virus più pericolosi degli
ultimi anni. Quando infetta il tuo PC, sequestra i documenti in esso
contenuti e ti chiede un riscatto.
Cryptolocker è un virus sequestratore che infetta Windows XP, Vista, 7 e
8. Si presenta come un allegato ZIP o PDF, ma può anche essere trasmesso
da remoto se un PC è stato precedentemente infettato da un Trojan di
tipo "botnet", che lascia la porta aperta per il controllo remoto e le
infezioni esterne.
Cryptolocker sequestra i documenti con una chiave segreta
Cryptolocker viene installato nella cartella dei programmi e inizia a
cifrare i documenti contenuti nel tuo PC (Office e Open Office, file PDF
e foto), facendoli diventare inaccessibili. I file vengono crittografati
con una chiave conosciuta solo dai creatori di Cryptolocker, cosa che ne
impedisce il recupero.
I file infettati da Cryptolocker diventano illeggibili a causa della
crittografia
Allo stesso tempo, CryptoLocker lancia una minaccia: se il proprietario
non paga una certa somma di denaro entro tre o quattro giorni, la chiave
segreta verrà eliminata per sempre e i file non potranno essere
recuperati. È come rinchiudere qualcuno in una cella indistruttibile e
buttare via la chiave.
I file possono essere recuperati solo pagando
Se il povero utente decide di pagare la somma richiesta, che può
raggiungere i trecento dollari, Cryptolocker decodifica i file, ma non
sempre obbedisce. Il pagamento può essere effettuato tramite MoneyPak,
Ukash e Bitcoin, una moneta virtuale le cui operazioni non sono
sottoposte a controlli.
I metodi di pagamento accettati da Cryptolocker rendono difficile
l?identificazione degli autori
Qualsiasi tentativo di pagamento errato riduce il tempo a disposizione
per salvare i file. Per "aiutare" gli interessati, gli autori hanno
messo a loro disposizione un indirizzo di "supporto tecnico", situato in
fondo allo schermo. Questo indirizzo web contiene la versione dello
strumento di decodificazione.
La pagina di "supporto" di Cryptolocker
Il sistema messo a punto dai criminali è perfetto: se l'utente non paga,
i file non possono essere recuperati. La codifica utilizzata è troppo
forte e anche un sofisticato attacco crittografico impiegherebbe troppo
tempo per decifrare i file. Quindi, se l?utente non ha un backup dei
documenti, dovrà pagare i malfattori.
Cosa fare in caso di infezione da Cryptolocker
Se vedi comparire la schermata di Cryptolocker, scollega il dispositivo
dalla rete per impedire al virus di cifrare più file e di comunicare con
i criminali. Bloccare il collegamento internet evita che i file in
Dropbox o Google Drive vengano sovrascritti con le copie infette.
Un modo veloce per disabilitare la connessione è andare al pannello di
rete e disattivare i dispositivi
Ora devi chiederti che cosa vuoi fare: pagare il riscatto o rimuovere il
virus e tentare il recupero dei file? Se opti per il pagamento, sarai
nelle mani dei criminali e il recupero dei file non è garantito. Sebbene
ci siano molti rapporti che testimoniano che la decodifica avviene entro
poche ore dal pagamento, altri dicono che il processo di recupero è
pieno di bug. Io ti consiglio di non pagare.
Lo strumento di decodifica di Cryptolocker funziona solo se hai pagato
il riscatto
Qualunque sia la tua scelta, la cosa migliore è ottenere un elenco dei
file infetti. Per fare ciò, puoi eseguire ListCrilock, uno strumento che
crea un file TXT con tutti i documenti criptati dal virus. Puoi anche
usare CryptoLocker Scan Tool, un programma che cerca i file infettati
dal virus e che ti dice se hanno bisogno di essere recuperati.Ecco i
links ai 2 programmi, non ne conosco l'accessibilità perchè per fortuna
non mi sono mai beccato Kryptolocker, ma li ho consigliati e mi
risultano assai efficaci, anche in rete in generale se ne parla bene,
ecco il link al primo, direttamente all'eseguibile
download.bleepingcomputer.com/grinler/ListCrilock.exe
 Mentre questo è o zip caricato su Dropbox di cui ecco il link

https://dl.dropboxusercontent.com/content_link/XICl71QzijffvtviBc0gRBPQFDYXBQT27itSnnDjxfcNeTdTLfW5yWlSK6C6xiKa?dl=1
CryptoFinder cerca i file infetti e ti dice se puoi recuperarli o no
Se vuoi provarci manualmente, devi aprire il Registro di sistema (Start simbolo di maggiore 
Esegui  simbolo di maggiore  Regedit) e andare fino alla chiave HKEY_CURRENT_USER\Software.
Lì troverai una cartella con un numero e una sottocartella che contiene
i nomi dei file: è quella di Cryptolocker. Probabilmente, alcuni di
questi documenti non sono ancora stati cifrati e quindi potranno essere
recuperati. Per tutti gli altri, puoi solo cercare la copia di backup.
Come rimuovere Cryptolocker dal tuo PC
Rimuovere Cryptolocker è abbastanza semplice, in parte perché gli autori
del virus contano sul fatto che la vittima sia così terrorizzata da non
voler eliminare l'unico modo per recuperare i file. Per fortuna, ci sono
diversi modi per recuperare i tuoi documenti, ma devi prima rimuovere il
virus dal sistema. Anche se, anche in questo caso, non ne ho testato
l'accessibilità, comunque di fronte a a queste cose, è necessario
trovare gli antidoti e piuttosto ci si farà aiutare, se non si riesce,
ma è importante innanzitutto debellare il virus. Si può dunque usare
Norton Power Eraser, un potente anti-trojan che Symantec distribuisce
gratuitamente sulla sua pagina. Questo il link diretto per scaricarlo:
liveupdate.symantec.com/upgrade/NMR/Italian/NPE.exe
 Sarebbe bene scaricarlo su una memoria esterna per averlo lì al di fuori del PC e
quindi copiarlo dallamemoria esterna sul proprio PC infettato. Quindi
necessita avviarlo e fargli fare la Scansione. ed alla fine di essa, è
necessario eliminare gli elementi sospetti. Quindi riavviare il sistema
e se tutto è andato a buon fine, Kryptolocker dovrebbe scomparire,
lasciando solo lo sfondo della schermata del virus, che di per sè, è
completamente innocua e può essere modificata senza particolari noie.
Devo però dire che anche Malware bytes anti-malware si è rivelato
efficace e questo programma ben lo si conosce in lista. Altri programmi
sono RogueKiller e ComboFix. Gli antivirus tradizionali hanno
difficoltà a individuare Cryptolocker, soprattutto per la velocità con
cui vengono pubblicate le nuove varianti, ma si stanno aggiornando.
Come recuperare di file infettati da Cryptolocker
Cryptolocker attacca solo i file presenti sul PC e sulle unità di rete.
Non colpisce i documenti salvati nelle unità non connesse o nei server
che si trovano su internet. Non infetta nemmeno i file compressi. Il suo
obiettivo sono i documenti contenuti nei PC aziendali.
Estensioni colpite da Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb,
.doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx,
.pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf,
.dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng,
.3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw,
.nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f,
.der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.
?
Dopo aver ripulito il PC, dovrai ricorrere a uno dei ?segreti? più
interessanti di Windows: le copie shadow. Si tratta delle versioni
precedenti che Windows memorizza ogni volta che un file viene
modificato. Per accedere a questa funzione fai click con il tasto tasto
destro su un file e apri le proprietà.
Nella scheda Versioni precedenti vedrai le diverse copie che Windows ha
memorizzato. Seleziona la versione più recente, precedente
all'infezione, e fai click per ripristinarla. Puoi anche accedere a
tutte le copie shadow presenti sul disco rigido attraverso lo strumento
gratuito ShadowExplorer.
Shadow Explorer è molto facile da usare. Basta scegliere l'unità , la
data delle copie, situata nel menù a discesa accanto alle unità, e
navigare attraverso le cartelle e i file disponibili. Le copie vengono
estratte con un click destro sul file e poi su "Esporta". Il link
diretto per scaricarne la versione installer è questo
www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe ed ho
trovato anche il link alla versione portable è un file zippato
scaricabile da qui
www.shadowexplorer.com/uploads/ShadowExplorer-0.9-portable.zip
 il tutto comunque reperibile alla pagina ufficiale del distributore di
Shadowexplorer
 www.shadowexplorer.com/downloads.html
 Un'altra opzione per recuperare i documenti è quella di usare un backup
precedente che avevi memorizzato su un disco rigido esterno, un server
remoto o un DVD. I file archiviati su Dropbox, SkyDrive o Drive sono dei
buoni candidati per il ripristino.
Quando recuperi una copia da Dropbox o Google Drive, assicurati che non
sia una di quelle infettate dal virus. Entrambe le applicazioni hanno
una cronologia delle versioni per ogni documento. Quella di Drive, per
esempio, la puoi trovare su File  simbolo di maggiore  Consulta cronologia delle revisioni.
Da lì puoi recuperare il file desiderato.
Come prevenire gli attacchi di Cryptolocker
Gli autori di Cryptolocker hanno progettato il virus secondo due
principi: tutti apriamo gli allegati e nessuno ha delle copie di backup
recenti dei propri documenti.
Per prevenire dei possibili attacchi, è necessario rinforzare la tua
politica di sicurezza. Innanzitutto, diffida delle email sospette. Se
non stai aspettando quel messaggio, non aprire gli allegati in esso
contenuti. Lo stesso vale per le webmail: se non hai chiesto nulla, non
fare click. Questa è la regola d?oro per evitare le infezioni
opportunistiche, il principale mezzo di diffusione dei virus.
Un virus rilevato da Gmail, che ne impedisce il download (immagine di?
AskDaveTaylor)
Potresti anche usare CryptoPrevent, uno strumento che disabilita le
autorizzazioni che il virus sfrutta per installarsi. Lo strumento
modifica le politiche di sicurezza di Windows per impedire che un
programma possa essere eseguito dalla cartella Dati Applicazioni (AppData).
Quando esegui CryptoPrevent, seleziona la prima, la seconda e la quarta
casella affinché i programmi già esistenti possano continuare a
funzionare. Il pulsante "Undo" ti permette di annullare l'operazione,
utile se devi aggiungere un nuovo programma e questa patch ti crea più
disagi che sicurezza.
Infine, se non lo hai già fatto, crea il tuo piano di backup. Secondo i
dati della società BackBlaze, oltre il 30% degli utenti lavora senza
delle copie di backup dei loro documenti di lavoro, mentre solo il 10 %
fa delle copie giornaliere. È necessario configurare un sistema di
backup, almeno per i tuoi documenti più importanti.
Le copie Shadow di Windows si attivano dal menù Proprietà del sistema, a
cui è possibile accedere facendo click destro sull'icona Risorse del
computer, o dal Pannello di controllo, nella sezione Sistema. Per
abilitare le copie shadow, vai nella sezione Protezione del sistema e
definisci la quantità di spazio da destinare a queste.
Cryptolocker è più pericoloso del virus della Polizia
Ricordiamo tutti il terribile virus della polizia, che ha seminato il
panico in milioni di case e uffici. Il virus visualizzava un messaggio
che sembrava essere stato redatto dalla polizia ed esortava le vittime a
pagare una multa a cambio di non essere perseguiti per crimini orribili.
Tuttavia questo malware non toccava i file.
Cryptolocker è più dannoso. Si è stimato che alla fine del 2013 aveva
già infettato un quarto di milione di PC. Dal momento che le transazioni
con i Bitcoin possono essere analizzate, gli esperti hanno scoperto che
i criminali informatici stanno guadagnando decine di milioni di dollari
grazie a questo virus.
Il modo in cui Cryptolocker infetta i PC è molto comune e, se prendi le
precauzioni spiegate in questo articolo, potrai respingere un suo
attacco. Inoltre, devi tenere sempre a mente che le copie di backup sono
uno strumento prezioso perché possono salvarti dalle grinfie di
criminali che mirano ai tuoi dati per estorcerti del denaro. é tutto,
Nicolò La Ferla:
a quanto ha già indicato maurizio, mi permetto di integrare quanto segue:
in primis, di non pagare assolutamente, nessuno! poi, utilizzare malwareBites, per eliminare tutte 
le minacce di malware, ed altro.
successivamente, procedere con l'antivirus, approfondito, e verificare quanto verrà trovato, ed 
eliminare.
nota:  se il sistema in codestwe condizioni, non dovesse permettere alcuna esecuzione, di quanto 
spiegato sopra,
è necessario far partire lo stesso sistema in modalità provvisoria! e procedere con quanto detto.
attenzione, in questa circostanza, occorre un occhio, affinchè si possa portare a termine le 
suddette operazioni.