Virus CryptoLocker


I sistemi Windows sono aggrediti da migliaia di virus ma uno dei più temibili e ad altissima diffusione è CryptoLocker. Questo virus sfugge agli antivirus installati sul sistema e riesce a far breccia. In genere si presenta come un allegato ad un innocua email ed evidenzia la presenza di fatture o documenti di vario genere in allegato; l’utente ignaro lancia l’allegato e il virus si innesca. Ha diverse varianti ma le operazioni di base sono sempre le stesse. Va a caccia nel sistema di ogni immagine, file di documenti e file di database e li cripta, cancellando poi gli originali. Attacca ogni tipo di risorsa Windows disponibile nel sistema, ovvero, dischi rigidi, dischi esterni usb, NAS e dischi rimappati su server per cui è davvero pericoloso per i dati.

Questo virus appartiene alla categoria dei RansomWare, nuovo termine coniato dalla fusione del termine ransom (riscatto) e software. L’immagine allegata rappresenta proprio la richiesta di un pagamento in moneta o bitcoin per poter avere la chiave privata di decriptazione dei dati del sistema. Talvolta, tale richiesta non appare perché bloccata (finalmente) dall’antivirus del sistema, ma navigando nelle directory dei dischi infettati è possibile vedere i propri file che non sono più leggibili e un file testuale chiamato HELP_RESTORE_FILES. cryptlockerIn tale file ci sono le istruzioni in inglese su come effettuare il pagamento per ottenere la chiave privata. Di seguito un esempio del suo contenuto.

Come difendersi da questo genere di minacce ? Purtroppo non sempre si ha il controllo completo dei propri pc o di quelli della propria rete locale, e l’unica vera difesa è quella di implementare dei backup dei dati, programmati ed efficienti, e, soprattutto, effettuare periodicamente dei restore per garantirne la validità (operazione spesso trascurata). Alla luce del fatto che questa categoria di virus attacca ogni risorsa disponibile nella rete locale è importante programmare dei backup anche su server remoti con lo scopo di isolarli dall’attacco locale.

Esempio di HELP_RESTORE_FILES

All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open http://tkj3higtqlvohs7z.aw49f4j3n26.com or http://tkj3higtqlvohs7z.dfj3d8w3n27.com ,
https://tkj3higtqlvohs7z.s5.tor-gateways.de/ in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
14R3YZccciT2SHBrL8dyy7BYvFKrWEsUTP
Follow the instructions on the server.

If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://tkj3higtqlvohs7z.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
14R3YZccciT2SHBrL8dyy7BYvFKrWEsUTP
Follow the instructions on the server.

 

Share this post