Guide

Rimuovere il virus CryptoLocker: Come decriptare i file criptati

Trovarsi nella situazione in cui un programma chiamato CryptoLocker sostiene di aver crittato i tuoi file personali rappresenta ben più di un mero contrattempo. Innanzitutto, questo ransomware non scherza affatto quando afferma di aver crittato i file. In secondo luogo, sembra che l’acquisto della decrittazione sia l’unico metodo davvero efficace per ripristinare i dati. In questo articolo spiegherò l’essenza di questo malware e fornirò consigli relativi al ripristino dei file crittati senza bisogno di cedere al tentativo di estorsione di denaro.

I primi casi di infezione da CryptoLocker sono stati scoperti nella tarda primavera di quest’anno e, da allora, il virus ha subito notevoli alti e bassi. Nonostante l’instabilità operativa, la malevola infrastruttura di questo virus continua ad evolversi senza sosta. L’infezione presenta evidenti somiglianze con quella di TorrentLocker, un ransomware che, qualche tempo addietro, infettò migliaia e migliaia di computer in tutto il mondo e in brevissimo tempo. L’aggiornamento del virus non sembra aver apportato modifiche sostanziali, fatto salvo per il cambiamento del nome visualizzato dalle vittime e per alcune restrizioni geografiche, che indirizzano l’attacco unicamente agli utenti non residenti negli Stati Uniti. Di base, però, la strategia è rimasta del tutto invariata: il virus esegue, di nascosto, la crittografia dei file personali del proprietario del computer, per poi uscire allo scoperto richiedendo il pagamento di una somma di denaro per decrittare i file.

La fase successiva è costituita dalla scansione di tutti i volumi del disco rigido, alla ricerca dei file con le estensioni più diffuse. Il virus, tuttavia, non colpisce i file indispensabili al corretto funzionamento del sistema operativo. In seguito alla scansione, i file selezionati vengono crittografati con un processo asimmetrico standard che implica la necessità di una chiave pubblica e privata per essere decrittato. La parte essenziale di questi dettagli è tenuta rigorosamente al di fuori del computer e non è possibile accedervi senza soddisfare le richieste di pagamento avanzate da CryptoLocker. I dettagli del riscatto vengono mostrati all’utente sotto forma di file .txt o .html chiamati ISTRUZIONI_DECRITTAZIONE. Le vittime ricevono, inoltre, un collegamento ipertestuale che li conduce al sito per l’Acquisto della Decrittazione, accessibile unicamente tramite il network Tor. Il riscatto da pagare equivale a 2.2 BTC oppure a circa 600 USD, e si raddoppia se l’utente non esegue il pagamento entro la scadenza prevista di 96 ore.

L’algoritmo RSA-2048 utilizzato da CryptoLocker è impossibile da bypassare o crackare, ma ciò non significa necessariamente che pagare il riscatto sia l’unico modo per ripristinare i file resi inaccessibili, ognuno dei quali presenterà l’estensione “.encrypted” (crittato). Esistono un paio di soluzioni alternative che possono aiutare a ripristinare i dati. La rimozione del ransomware non è che una parte della soluzione che, da sola, non risolve l’interezza dei problemi causati. Per evitare simili attacchi in futuro è necessario assicurarsi di non cliccare MAI su allegati o collegamenti compresi in messaggi email sospetti. La precauzione principale contro questa tipologia di scenari, tuttavia, è certamente rappresentata dall’esecuzione del backup dei file sul cloud.

Rimozione Automatica di CryptoLocker

Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.

  1. Scaricate ed installate il software di rimozione virus CryptoLocker. Dopo aver lanciato la soluzione, fate clic sul pulsante Esegui la Scansione del Computer Adesso!
  2. Lo strumento mostrerà i risultati dell’analisi, segnalando il malware rilevato. Selezionate l’opzione Ripara le Minacce per rimuovere tutte le infezioni trovate. Questo porterà alla distruzione completa del virus considerato.

Metodi per ripristinare i file crittati da CryptoLocker

È stato menzionato che CryptoLocker ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d’occhio, eccetto naturalmente sottomettersi all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti – scoprite quale sono.

1. Software automatico di ripristino file

È piuttosto interessante sapere che l’infezione CryptoLocker elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.

2. Copie Shadow di Volume

Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.

  • Utilizzare la funzione Versioni Precedenti Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
  • Utilizzare lo strumento Shadow Explorer Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.

3. Backup

Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da CryptoLocker sarà tanto semplice quanto accedere all’interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.

Verifica che il ransomware CryptoLocker sia stato completamente rimosso

Come ho già detto, la semplice rimozione di CryptoLocker non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.

Non di rado accade che CryptoLocker sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.

Leave a Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.