È necessaria una grande consapevolezza della sicurezza e attenzione per prevenire che l’attacco medio ransomware possa colpire il bersaglio, ma è molto più difficile controbattere ad una squadra del genere dopo che questa si verifica. Quando il virus.odin file colpisce un computer Windows, il rischio di danni due volte più probabile. Localizza e cripta diversi tipi di file su drive locali, rimovibili e di rete, facendo leva su una combinazione incorruttibile di standard crittografici RSA e AES.
La versione aggiornata del ransomware Locky ha ricevuto un cambio di immagine con una set aggiornato di istruzioni per il riscatto e un nuovo principio per la rinominazione file. Il cambiamento più cospicuo è l’estensione .odin, che viene assegnata hi-fi che l’utente non può più aprire o modificare. I nomi file vengono sostituiti con una stringa di 32 caratteri esadecimale, con trattini che separano i cinque gruppi di questi simboli. Si noti che la precedente edizione .zepto non è più in circolazione. La parte peggiore, però, è la implementazione fluida dei sistemi di criptazione RSA-2048 e AES-128, che rendono completamente futili gli sforzi dei ricercatori di sicurezza per escogitare una soluzione di recupero gratuita. Il mix di algoritmi di criptazione simmetrici e asimmetrici blocca i dati oltre ogni possibile tentativo di recupero a meno che l’utente non abbia a disposizione la chiave privata. Questo blocco di informazioni ad alta entropia viene conservato in remoto ed è accessibile solo a patto che si paghi un riscatto di circa $ 300 utilizzando la cripto-valuta chiamata Bitcoin.
I criminali dietro l’estensione file ransomware Odin decisamente non sono dei dilettanti dello script. Questi truffatori sembrano essere molto professionali, a giudicare dalla robustezza dell’infrastruttura del ransomware, dal design dei moduli GUI, e dalla frequenza degli aggiornamenti portati al codice. La versione attuale di questo Trojan non presenta ridondanza nelle note di riscatto. Fornisce soltanto le note essenziali alla vittima: ID personale, che serve come identificatore utente unico per tutte le transazioni; e il Tor URL accessibile esclusivamente con il browser Tor. I nomi di questi documenti sono i seguenti: _HOWDO_text.html e _HOWDO_text.bmp. Una copia di ogni edizione viene scaricata sul desktop e anche nelle directory colpite.
Quando la persona colpita dall’infezione cerca di seguire le istruzioni degli attaccanti, finisce su un sito Tor denominato ‘Locky Decryptor Page’, che è essenzialmente un servito di pagamento fraudolento. La vittima dovrebbe utilizzare questo Gateway.onion per inviare 0.5 BTC in in cambio della sopra menzionata chiave privata e del programma di decriptazione ad hoc chiamato Locky Decryptor. La pagina non contiene informazioni riguardanti una scadenza per l’invio della quantità di Bitcoins, ma gli estorsori tendono ad incrementare l’ammontare del riscatto se la vittima esita con il pagamento per più di una settimana in media.
La metodologia necessaria per evitare il virus .odin parte dalle sue peculiarità di distribuzione. Potrebbe sfruttare delle vulnerabilità software su un computer dopo che l’utente naviga verso siti nocivi. Perciò, è importante applicare le patch alle applicazioni e al sistema operativo ma no a mano che queste vengono pubblicate. Inoltre, non aprire allegati e-mail provenienti da persone o organizzazioni sconosciute. Se la contaminazione è già in corso, assicuratevi di cercare di seguire per prima cosa i seguenti consigli per il ripristino.
Rimozione automatica del virus odin
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
- Scaricate ed installate il software di rimozione virus .odin. Dopo aver lanciato la soluzione, fate clic sul pulsante Esegui la Scansione del Computer Adesso!
- Lo strumento mostrerà i risultati dell’analisi, segnalando il malware rilevato. Selezionate l’opzione Ripara le Minacce per rimuovere tutte le infezioni trovate. Questo porterà alla distruzione completa del virus considerato.
Metodi per ripristinare i file .odin
È stato menzionato che .odin ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d’occhio, eccetto naturalmente sottomettersi all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti – scoprite quale sono.
1. Software automatico di ripristino file
È piuttosto interessante sapere che l’infezione .odin elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
2. Copie Shadow di Volume
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
- Utilizzare la funzione Versioni Precedenti Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
- Utilizzare lo strumento Shadow Explorer Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
3. Backup
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da .odin sarà tanto semplice quanto accedere all’interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Verificare che il virus .odin sia stato completamente rimosso
Come ho già detto, la semplice rimozione di .odin non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che .odin sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.