Riuscire a ripristinare gratuitamente i dati bloccati da un crypto ransomware dipende direttamente dalla disponibilità dei backup. Questo, fortunatamente, non è il caso la maggior parte delle volte. Gli utenti devono prepararsi a questa minaccia sempre crescente e accertarsi di non dover inviare dei Bitcoin per riscattare i propri file critici personali. Se si viene colpiti da Cerber3, la terza versione del tristemente noto ransom Trojan, le cose potrebbero degenerare a meno che copie di documenti importanti, immagini e altre informazioni non siano conservate offsite.
Il ransomware Cerber3 è uscito l’ultimo giorno d’estate, quasi un mese dopo che l’edizione precedente iniziò a compromettere computer Windows. La più recente variante rappresenta una fusione distruttiva delle vecchie caratteristiche di questo ceppo assieme a nuove funzionalità, sia esterne che a livello codice. Le proprietà ereditate dalla versione 2 includono il Comando e il Controllo di rete, la specificità del flusso operativo crittografico, così come l’aspetto e le caratteristiche degli elementi di interazione con la vittima. Cerber3 continua a sostituire l’immagine di sfondo del desktop dell’utente infetto con un’immagine propria che contiene un avvertimento assieme ai passi preliminari per iniziare il processo di decrittazione a pagamento. Un altro effetto già familiare a ricercatori e vittime è l’inquietante messaggio vocale che esce dagli altoparlanti e che va a rafforzare il messaggio di avviso.
Anche se non è cambiato molto rispetto alla variante precedente, Cerber3 presenta abbastanza caratteristiche individuali da renderlo unico. Prima di tutto, la tattica di rinominazione dei file ora è diversa. Il ransomware allega l’estensione.cerber3 ad ogni oggetto criptato. I nomi file sono impossibili da riconoscere a causa di questo effetto dato che vengono sostituiti da 10 simboli casuali. 2XFD8rX-yN.cerber3 è una stringa di esempio che dimostra cosa succede a un normale documento, foto, database o altro tipo di file che viene compromesso dall’artefatto nocivo in questione.
Un altro attributo che accompagna l’assalto ransomware medio è ciò che si chiama nota di riscatto. Gli operatori di Cerber3 ne hanno cambiato il nome, lasciando un totale di 3 edizioni in cartelle codificate e su desktop. Si tratta dei file seguenti: # HELP DECRYPT #.html, # HELP DECRYPT #.url, e # HELP DECRYPT #.txt. L’utente dovrebbe utilizzare queste istruzioni per apprendere la procedura di ripristino dei propri dati insostituibili. In particolare, devono installare il Tor Browser, ossia uno strumento di anonimità on-line che ostacola il tracking e quindi complica l’individuazione dei criminali su Internet. Dopodiché, la vittima dovrebbe visitare uno dei siti Tor in elenco sulla nota di riscatto per raggiungere la pagina Cerber Decryptor. Questa pagina visualizza uno script con un conto alla rovescia con la quantità di tempo rimasta prima della scadenza a 5 giorni. Durante questo periodo di ‘grazia’, l’ammontare del riscatto è di 0.7 Bitcoin. Dopodiché, la quantità raddoppia. A meno che l’utente non sia d’accordo nel finanziare questi cyber criminali con una cifra equivalente a $ 400, è fortemente raccomandato studiare e seguire diverse scappatoie che potrebbero aiutare a ripristinare i file tenuti in ostaggio.
La terminazione di questo ransomware può essere portata a termine in modo efficiente con un software di sicurezza affidabile. Aderire alla tecnica di pulizia automatica assicura che tutti i componenti dell’infezione vengano accuratamente spazzati via dal vostro sistema.
Soluzione Alternativa n°1: Usare un software di ripristino file
È importante sapere che il virus Cerber3 crea delle copie dei vostri file e le cripta. Nel frattempo, i file originali vengono eliminati. Ci sono delle applicazioni sul mercato che possono ripristinare i dati rimossi. Potete utilizzare strumenti come Data Recovery Pro per questo scopo. La versione più recente del ransomware considerato tende ad applicare una eliminazione sicura con diverse sovrascritture, ma in ogni caso vale la pena provare questo metodo.
Soluzione Alternativa n°2: Usare i backup
Per prima cosa, questo è un ottimo modo per recuperare vostri file. Può essere applicato, però, solo se avete effettuato il backup delle informazioni conservate sulla vostra macchina. In questo caso, non esitate a sfruttare la vostra previdenza.
Soluzione Alternativa n°3: Usare Copie Shadow Volume
In caso non lo sappiate, il sistema operativo crea delle cosiddette Shadow Volume Copies di ogni file fintanto che è attivato il Ripristino di Sistema sul computer. Dato che vengono creati dei punti di ripristino ad intervalli specifici, vengono generate anche delle istantanee dei file così come questi appaiono in quel momento. Tenete in considerazione che questo metodo non assicura il recupero delle versioni più recenti dei vostri file. Certamente però vale la pena provare. Questo flusso di lavoro è attuabile in due modi: manualmente e attraverso l’uso di una soluzione automatica. Diamo prima un’occhiata al processo manuale.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Di nuovo, la sola rimozione del malware non porta alla decriptazione dei vostri file personali. I metodi di ripristino dati evidenziati sopra possono o non possono funzionare, ma il ransomware di per se stesso non può stare sul vostro computer. Incidentalmente, spesso è accoppiato ad altro malware, ed ecco perché ha decisamente senso analizzare ripetutamente il sistema con un software di sicurezza automatico per poter garantire che non ci siano resti nocivi di questo virus e delle minacce associate all’interno del Registro Windows e di altre posizioni.