Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione

Consulta la lista di Help Ransomware aggiornata al 2021: scopri le dodici versioni di cryptoLocker e gli strumenti per la loro eliminazione.

Cos’è Cryptolocker

CryptoLocker è un ransomware attivo da settembre 2013.

Non appena i dati vengono criptati, gli hacker chiedono un riscatto per recuperare il decryptor per i file inutilizzabili.

La richiesta di riscatto viene visualizzata in un programma “CryptoLocker” che dà alla vittima 72 ore per recuperare i file.

Se il riscatto non viene pagato tramite MoneyPak o Bitcoin Transfer nell’arco di tempo prestabilito, la chiave viene distrutta e l’accesso ai dati viene perso in modo permanente.

Il virus CryptoLocker è stato bloccato il 2 giugno 2014, quando Operation Tovar ha intercettato la botnet Gameover Zeus.

L’azienda di sicurezza ha ottenuto l’accesso al database utilizzato dagli hacker per archiviare tutte le chiavi di decrittazione.

Da allora sono emerse molte altre versioni del virus, ma non sono correlate a quella originale.

Il malware usa come mezzo di diffusione mail apparentemente innocue: questi messaggi in genere contengono allegati dannosi nei quali è inserito il ransomware.

Il virus si infiltra nel sistema, crittografa i file e mostra una richiesta di riscatto.

CryptoLocker, quindi, utilizza la crittografia a chiave pubblica RSA per bloccare i seguenti tipi di file sul PC della vittima:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.

Come puoi vedere, questo elenco è pieno di nomi di file ampiamente utilizzati, come doc, xls e simili.

Per ripristinarli, Cryptolocker ti chiede di pagare un riscatto tramite Moneypak, Ukash, cashU o Bitcoin.

Talvolta il malware si avvale di messaggi che rimandano ad un illecito commesso, nascondendo gli allegati pericolosi in multe da pagare alle forze dell’ordine.

In ogni caso, quello che fa il malware è cercare di convincere le sue vittime che devono pagare un riscatto in cambio dei loro file personali ormai crittografati.

Help Ransomware raccomanda di non pagare assolutamente il riscatto.

Pagare non assicura la decrittazione dei file.

Secondo Data Center Knowledge, il 42% delle organizzazioni che ha pagato il riscatto non ha ottenuto la decrittazione dei dati.

In questi casi, la cosa migliore da fare è ricorrere alle conoscenze degli esperti: Help Ransomware decripta i file e li rende di nuovo utilizzabili, puliti e verificati.

Come si diffonde il ransomware

CryptoLocker è considerato uno dei virus crypto-ransomware più efficientemente distribuiti.

Gli autori di questo virus combinano diverse tecniche per diffonderlo.

Secondo gli esperti, il virus Cryptolocker si diffonde utilizzando e-mail dall’aspetto ufficiale, falsi pop-up e tecniche simili.

In precedenza, il ransomware è stato distribuito tramite lettere di posta elettronica che contenevano allegati dannosi; annunci carichi di malware, che pubblicizzano programmi o aggiornamenti con il file esecutivo del virus;, o kit di exploit.

Fai attenzione perché questa minaccia può infiltrarsi nel tuo computer tramite falsi pop-up che affermano che devi aggiornare Java, Flash Player o programmi simili.

Assicurati di installare questi programmi dai siti dei loro sviluppatori verificati, non da terze parti sospette.

A settembre 2016 sono state individuate nuove tecniche di distribuzione del ransomware e, nel corso del 2020 si sono affinati ulteriori metodi.

Siccome il virus tenta di sfruttare le debolezze umane, gli sviluppatori seguono molto gli avvenimenti legati all’attualità.

Per questo, soprattutto quest’anno, si è puntato molto sul mascherare il malware in e-mail provenienti da aziende sanitarie.

Il contenuto può rimandare a risultati di analisi false che comunicano alla vittima una malattia o la positività al Covid-19.

Il messaggio chiede di stampare i risultati delle analisi del sangue che si trovano in un documento allegato e di portarli al medico di famiglia al più presto.

Come abbiamo detto, facendo leva sul panico delle vittime, i malfattori riescono facilmente ad entrare nei loro dispositivi.

Quando la vittima apre l’allegato, il ransomware prende il controllo del sistema e crittografa tutti i file senza alcun rimorso.

Un interessante report redatto da Bitdefender mostra le terribili connessioni tra la pandemia e l’aumento di attacchi ransomware.

D’altronde si tratta di criminali, il cui unico scopo è quello di guadagnare denaro.

Versioni del virus ransomware Cryptolocker

Di seguito ti proponiamo alcune delle versioni note di questo ransomware.

Virus Crypt0L0cker

Il virus Crypt0L0cker è uno dei virus che crittografano i file in grado di infiltrarsi nei computertramite falsi aggiornamenti Java o tramite allegati di posta elettronica infetti.

Dopo aver crittografato i file della vittima, questo virus aggiunge l’estensione .encrypted o .enc a ciascuno di essi e inizia a mostrare un messaggio di avviso che chiede alla vittima di pagare il riscatto.

Questo virus è stato individuato per la prima volta nel 2015.

Tuttavia, diversi anni dopo è ancora attivo nell’infettare gli utenti.

CryptoLocker-v3

Si può scaricare cliccando sul falso popup che dice che devi aggiornare Java o Flash Player.

Per crittografare i file, questa minaccia utilizza RSA-2048 (una chiave pubblica univoca) e chiede un riscatto.

Questo malware utilizza l’estensione di file .crypted che viene aggiunta a ogni file che crittografa.

Cryptographic Locker

Cryptographic Locker è molto simile al ransomware CryptoLocker.

Consente alla vittima di sapere quali file ha crittografato perché aggiunge l’estensione .clf a ogni file.

Subito dopo essere apparso su Internet, questo ransomware chiedeva un riscatto di 0,2 BTC in cambio della chiave di decrittazione necessaria per ripristinare i file criptati.

Se ti capita di essere infettato da questo malware, non pagare il riscatto perché non c’è alcuna garanzia che il pagamento ti aiuterà a recuperare l’accesso ai tuoi file.

PCLock ransomware

PCLock è un altro ransomware che cerca di spaventare le sue vittime crittografando i loro file.

Questa procedura viene in genere avviata con l’aiuto della crittografia XOR.

Non è aggressivo come la versione originale di CryptoLocker, quindi dovresti essere in grado di eliminarlo rimuovendo il suo file principale WinCL.exe e altri file con l’aiuto del software di sicurezza.

La richiesta di riscatto viene nominata last_chance.txt: non pagarla.

CryptoTorLocker2015

CryptoTorLocker2015 è in grado di infettare il sistema operativo Windows e il sistema operativo Android.

Una volta fatto, utilizza la crittografia XOR per bloccare i file della vittima.

Se il tuo sistema è pieno di foto preziose o documenti aziendali, considera che potresti perderli.

I file infetti sono generalmente contrassegnati dall’estensione .CryptoTorLocker2015 e dovresti anche trovare la richiesta di riscatto chiamata AS DECRYPT FILES.txt sul tuo desktop.

Per rimuovere questo virus dai loro dispositivi, gli utenti Android devono solo disinstallare l’applicazione interessata, quella utilizzata per scaricare il virus CryptoTorLocker sui loro computer.

Agli utenti del sistema operativo Windows si consiglia di utilizzare un software antivirus o antispyware affidabile per la rimozione di CryptoTorLocker2015.

Crypt0 ransomware

Il ransomware Crypt0 è stato scoperto nel settembre 2016.

Questo ransomware lascia una richiesta di riscatto HELP_DECRYPT.TXT, che informa la vittima dell’attacco e chiede di utilizzare contactfndimaf@gmail.com per le istruzioni di decrittografia dei dati.

Il tuo computer e stato infettato da Cryptolocker! ransomware

Il tuo computer è stato infettato da Cryptolocker! ransomware è un’altra versione di CryptoLocker che si rivolge agli utenti di lingua italiana.

Proprio come il suo predecessore, questo ransomware modifica le estensioni dei file (utilizza l’estensione .locked) e concede alla vittima un certo periodo di tempo per pagare.

Attualmente, i ricercatori di malware non conoscono uno strumento di decrittazione gratuito.

CryptoLocker 5.1 ransomware virus

CryptoLocker 5.1 ransomware virus è stato rilasciato nel 2016.

Fin dalla sua prima apparizione, ha lavorato per infettare gli utenti italiani.

In alternativa, si è reso noto anche come “Il tuo computer è stato infettato da Cryptolocker!”.

Sebbene tenti di mascherarsi sotto il nome di famigerata minaccia informatica, gli esperti IT sospettano che non sia ancora potente quanto l’originale.

Cryptolocker3 ransomware virus

Cryptolocker3 è un malware che può anche essere chiamato ransomware della schermata di blocco.

Tali virus non crittografano effettivamente i file del computer, ma impediscono alle loro vittime di accedervi e di utilizzare le normali funzioni del computer.

Tuttavia, dopo diversi mesi di funzionalità, Cryptolocker3 è entrato in un’altra sottosezione in cui il malware si comporta come il virus ransomware originale.

Questo parassita utilizza l’algoritmo di crittografia XOR e aggiunge l’estensione del file .cryptolocker.

MNS Cryptolocker

MNS Cryptolocker è un altro virus ransomware che utilizza il nome di Cryptolocker.

Dopo aver crittografato i file personali della vittima, il ransomware rilascia la sua richiesta di riscatto chiedendo alla vittima di inviare 0,2 BTC tramite Tor o altre reti anonime.

Il virus non aggiunge nuove estensioni ai file di destinazione, quindi ti accorgi dell’infezione solo quando provi ad aprirne uno.

CryptoLockerEU ransomware virus

Il virus ransomware CryptoLockerEU è stato rilevato nel gennaio 2017.

Sembra essere una copia modificata del virus CryptoLocker iniziale.

Il virus si chiama CryptoLockerEU 2016 rusia, il che dà l’idea che sia stato sviluppato nel 2016 da hacker russi.

Durante la procedura di crittografia dei dati, il virus codifica i file utilizzando un algoritmo RSA-2048.

Il nome della richiesta di riscatto dovrebbe assomigliare a questo: РАСШИФРОВАТЬ ФАЙЛЫ.txt.

Tuttavia, a causa di un errore nel codice sorgente del virus, appare come ĐŔŃŘČÔĐÎ ŔŇÜ ÔŔÉËŰ.txt.

CryptON

Il ransomware portoghese Cryptolocker o CryptON è l’ultima variante del ransomware correlato a CryptoLocker.

Alcuni credono che possa essere stato rilasciato dallo stesso gruppo di hacker perché utilizza un codice sorgente simile e visualizza la natura tipica di CyptoLocker sul computer infetto.

Il fatto più interessante è che questo virus è rivolto agli utenti di lingua portoghese poiché la richiesta di riscatto e l’interfaccia di pagamento del riscatto sono presentate in questa lingua.

I file crittografati vengono rinominati come segue: [nome_file] .id- [ID vittima] _steaveiwalker@india.com_.

Per recuperare l’accesso ai file, alle vittime viene richiesto di pagare il solito riscatto.

Suggerimenti su come proteggere i tuoi file dal cripto-virus

Di seguito ti diamo alcuni consigli per prevenire un attacco ransomware:

  • Nonfidarti degli annunci fuorvianti perché diffondono il virus;
  • Assicurati di eliminare lo spam e ricontrolla ogni email che ti è stata inviata da mittenti sconosciuti;
  • Ricorda di disabilitare le estensioni nascoste (se utilizzi il sistema operativo Windows);
  • Scarica un antivirus affidabile sul tuo computer;
  • Esegui i backup il più frequentemente possibile perché potrebbero aiutarti a recuperare i tuoi file crittografati;
  • Utilizza Google Drive, Dropbox, Flickr, ecc.

Tuttavia, tieni presente che questo potente virus potrebbe accedere a questi luoghi di archiviazione online tramite la tua connessione Internet e crittografare anche questi file

Pertanto, ti consiglio di archiviare i backup dei dati su dispositivi di archiviazione rimovibili come dischi rigidi o USB.

Come rimuovere CryptoLocker

Qui di seguito ti propongo due metodi per rimuovere CryptoLocker dai tuoi sistemi infettati e come fare per recuperare i tuoi dati in maniera autonoma.

Ricorda, però, che la migliore idea è contattare un’azienda specializzata come Help Ransomware.

Metodo 1: utilizzare la modalità provvisoria con rete

Per rimuovere questo ransomware con la modalità provvisoria con rete, segui i seguenti passaggi.

Tieni presente che, come abbiamo visto prima, questo ransomware si presenta in una varietà di forme diverse.

È probabile che alcune di queste versioni tenteranno di impedirti di eseguire il software di sicurezza e di rimuoverlo dal computer.

Se ti trovi in una situazione del genere, salta al prossimo paragrafo per sapere come fare.

Il primo passaggio èriavviare il computer in modalità provvisoria con rete. Per Windows 7 / Vista / XP:

  • Clicca su “Start”;
  • Seleziona “Arresto”;
  • Clicca su “Riavvia”;
  • Seleziona “OK” ;
  • Quando il computer sarà attivo, inizia a premere F8 più volte fino a visualizzare la finestra “Opzioni di avvio avanzate”;
  • Seleziona “Modalità provvisoria con rete” dall’elenco.

Per eliminare ransomware da Windows 10 / Windows 8:

  • Premi il pulsante di accensione di Windows nella schermata di login;
  • Tieni premuto il tasto “Maiusc” sulla tastiera, e fai clic su “Riavvia”;
  • Seleziona “Risoluzione dei problemi”;
  • Clicca su “Opzioni avanzate”;
  • Seleziona “Impostazioni di avvio”;
  • Premi “Riavvia”;
  • Una volta che il computer sarà attivo, seleziona “Abilita modalità provvisoria con rete” nella finestra “Impostazioni di avvio”;
  • Seleziona “Abilita modalità provvisoria con rete”.

Il secondo passaggio è rimuovere CryptoLocker:

  • Accedi al tuo account infetto e avvia il browser;
  • Scarica un programma anti-spyware e aggiornalo prima di una scansione completa del sistema;
  • Rimuovi i file dannosi che appartengono al tuo ransomware.

Metodo 2: ripristino configurazione di sistema

Se il tuo ransomware sta bloccando la modalità provvisoria con rete, prova con quest’altro metodo.

Il primo passaggio è riavviare il computer in modalità provvisoria con il prompt dei comandi, come abbiamo visto nel metodo 1.

Il secondo passaggio è ripristinare i file e le impostazioni di sistema:

  • Una volta visualizzata la finestra del prompt dei comandi, inserisci cd restore e fai clic su “Invio”;
  • Ora digita rstrui.exe e premi nuovamente “Invio”;
  • Nella finestra successiva, clicca su “Avanti” e seleziona il punto di ripristino precedente all’infiltrazione di CryptoLocker;
  • Clicca su “Avanti”;
  • Quando viene visualizzata la finestra “Ripristino configurazione di sistema”, seleziona “Avanti”;
  • Fai clic su “Sì” per avviare il ripristino del sistema;
  • Scarica un anti-malware e scansiona il tuo computer per assicurati che la rimozione di CryptoLocker sia stata eseguita correttamente.

Come recuperare i tuoi dati

La guida presentata sopra dovrebbe aiutarti a rimuovere CryptoLocker dal tuo computer.

Aprire i file crittografati e renderli di nuovo utilizzabili è più complicato.

Non pagare il riscatto, perché non hai nessuna garanzia di ricevere la chiave di decrittazione.

Se pensi di essere stato infettato da CryptoLocker, c’è una grande probabilità che non sia così.

Il virus originale è stato sconfitto diversi anni fa e non è più distribuito.

Se la richiesta di riscatto dice che sei stato infettato da questo virus specifico, potrebbe non essere vero.

Alcuni virus fingono di essere questo temibile ransomware solo per spaventare la vittima.

Il vantaggio è che diverse versioni false di questo malware possono essere decrittate.

Ti consigliamo di eseguire una scansione del sistema per scoprire qual è il nome effettivo del virus.

In alternativa, contatta Help Ransomware fornendo il nome della richiesta di riscatto, le estensioni di file aggiunte ai file crittografati, l’immagine che appare sul desktop e alcune informazioni.

Conclusioni

Con questa guida hai scoperto quali sono le dodici versioni di CryptoLocker e gli strumenti per eliminarle.

Dall’articolo, puoi trarre le seguenti conclusioni:

  • CryptoLocker è un virus attivo da settembre 2013;
  • Il virus è stato sconfitto a giugno del 2014;
  • Sono nate nuove versioni, non necessariamente relazionate con l’originale;
  • I creatori di malware combinano diverse tecniche per propagare questo tipo di ransomware.

Help Ransomware consiglia di non pagare mai il riscatto; mettiti in contatto con gli esperti per risolvere la decriptazione dei file.

Lascia un commento