Eliminare CryptoWall 3.0 e ripristinare i file crittografati

Una nuova e migliorata versione del ransomware CryptoWall ha iniziato a infettare in questi giorni i computer in tutto il mondo. Il nuovo CryptoWall 3.0 utilizza un messaggio localizzato di riscatto e trasferisce il traffico verso sito web, in cui la vittima può pagare per la chiave di decrittazione necessaria per sbloccare i propri file, tramite le reti anonime Tor e I2P.

CryptoWall è una minaccia che usa crittografia e una volta attivata nella macchina infetta crittografa alcuni suoi file e richiede la somma di $500, in cambio della chiave di decrittazione per la vittima. Di solito, il riscatto deve essere pagato nella valuta digitale Bitcoins entro le prime 168 ore.

Informazione riassunta sulla minaccia

Nome CryptoWall 3.0
Tipo Ransomware
Breve descrizione I file dell’utente sono criptati e inutilizzati.
Sintomi Sarà visualizzata una richiesta di riscatto alla vittima.
Modi di trasmissione Tramite file malware allegati.
Strumento per la scoperta Controllate se il vostro sistema è stato contagiato da CryptoWall 3.0

Scarica

Strumento per la rimozione di software malevolo
(malware)

Esperienze degli utenti Partecipate al nostro forum per commentare CryptoWall 3.0.

Le nuove particolarità di CryptoWall 3.0

Nuovi ingressi Tor to Web si utilizzano dalla nuova versione di CryptoWall: torman2.com, torforall.com, torroadsters.com e torwoman.com. Uno di essi reindirizza la vittima verso la stessa pagina web, contenente le istruzioni per il pagamento del riscatto, ma i codici ID per seguire i pagamenti sono unici.

Il periodo per il pagamento continua da 5 giorni a una settimana intera, e dopo la somma aumenta a $1000.

I truffatori hanno creato dei file aggiuntivi, contenenti informazioni sui pagamenti e il ripristino dei dati crittografati :

  • HELP_DECRYPT.HTML: utilizza il vostro web browser per visualizzare informazione sulla minaccia, sulla crittografia e sui metodi di pagamento
  • HELP_DECRYPT.PNG: contiene i dettagli sul CryptoWall 3.0
  • HELP_DECRYPT.TXT: come precedente, ma presentato in formato testo
  • HELP_DECRYPT.URL: utilizza il vostro web browser in corso per visualizzare i servizi di decrittazione del CryptoWall 3.0, quando Windows viene caricato

cryptowall3_0-removal

Il messaggio per il riscatto visualizzato da CryptoWall 3.0, include:

Che cosa è successo ai vostri file?
Tutti i vostri file sono protetti dalla crittografia impenetrabile con RSA-2048, usata da CryptoWall 3.0.
Migliori informazioni sulla chiave di crittografia che utilizzano RSA-2048 si possono scoprire qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Che cosa significa questo?
Ciò significa che la struttura e i dati nei vostri file sono irrimediabilmente cambiati, cioè non sarete in grado di lavorare con essi o leggere o vedere; quasi come se li avete persi per sempre, ma con il nostro aiuto, è possibile ripristinarli.
Come è potuto succedere?
Solo per voi, al nostro server è stata generata una coppia segreta di chiavi RSA-2048 – pubblica e privata.
Tutti i vostri file sono stati crittografati con la chiave pubblica che è stata trasferita al computer tramite Internet.
La decrittazione dei file è possibile solo utilizzando la chiave privata e il programma di decrittografia che si trova sul nostro server segreto.
Cosa fare ?
Purtroppo, se non si prendono le misure necessarie entro il suddetto periodo, le condizioni per ottenere la chiave riservata saranno cambiate.
Se apprezzate i vostri dati veramente, vi consigliamo di non perdere tempo prezioso alla ricerca di altre soluzioni del problema, perché non esistono.

Una volta che il processo di crittografia dei file è completato, i file originali sono eliminati. Nel caso in cui non si dispone di un backup dei file, è possibile utilizzare un software affidabile che può ripristinare tutti o parte di essi tramite le copie nascoste di Windows. In seguito nell’articolo troverete le istruzioni dettagliate per aiutarvi a farlo.

Il collegamento con i file I2P

La nuova versione di CryptoWall è stata rilevata dagli esperti di sicurezza di Microsoft, nonché dal ricercatore francese Kafeine, che ha riferito che la comunicazione con il server C & C (di Comando e di Controllo) è codificata con l’algoritmo RC4 e utilizza I2P protocollo.

Dal momento che Kafeine cerca di testare il materiale della nuova minaccia, ottiene un messaggio di errore ogni volta che tenta di connettersi con i delegati. Il messaggio che il ricercatore riceve, dice che il sito I2P non è disponibile per vari motivi – l’impossibilità di connettersi ai sistemi o la rete sovraccarica. Gli hacker sembrano preparati per casi di questo tipo, in quanto hanno fornito istruzioni dettagliate su come accedere ai servizi di decrittazione della rete Tor.

Nuovi metodi di diffusione di Cryptowall 3.0 (4 settembre 2015)

Come Cryptowall 3.0 entra nel sistema?
Il ransomware Cryptowall era presente abbastanza, consentendo ai ricercatori di raccogliere informazioni dettagliate sui suoi metodi. Il Ransomware si sta diffondendo principalmente tramite e-mail con allegati .zip, contenenti i file eseguibili mascherati dalla estensione PDF. Questi file possono presentarsi in qualsiasi forma di comunicazione aziendale:

  • Fatture
  • Ordini (POs)
  • Conti
  • Reclami

Una volta che il file PDF malevolo è avviato, CryptoWall sarà installato nel sistema. I file dannosi saranno localizzati in una delle due cartelle % AppData% o % Temp%. Poi, la minaccia inizierà la scansione dei driver del sistema, alla ricerca dei file da crittografare. Tutti i simboli del driver, nonché i simboli rimovibili, le condivisioni di rete, compresi i piani a Dropbox, saranno sottoposti a scansione. Ogni simbolo di unità del sistema infetto sarà controllato per i file di dati.

Ecco un elenco di luoghi in cui potrebbe trovarsi CryptoWall 3.0:

  • %Temp%
  • C:\[random]\[random].exe
  • %AppData%
  • %ProgramData%
  • %LocalAppData%

Posso trovare i file, crittografati da CryptoWall 3.0?

I file crittografati da CryptoWall 3.0, saranno conservati insieme con i loro percorsi nel registro di Windows. La posizione della sottochiave sarà nel seguente formato:

→HKCU\Software\[unique computer ID]\[random ID]

Un esempio reale si presenta in questo modo:

→HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF

Il processo sarà ripetuto per ogni file crittografato sotto la chiave menzionata.

ListCwall può anche essere usato. È uno strumento creato da Bleeping computer (Computer Muto) per la scoperta automatica e la rimozione dei file crittografati. Lo strumento può anche fare un backup dei file bloccati in un’altra posizione, se l’utente decide di archiviarli e riformattare il computer.

Ecco un elenco di estensioni di file che CryptoWall 3.0 cerca di crittografare:

→ .3dm, .3ds, .3fr, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .accde, .accdr, .accdt, .ach, .acr, .act, .adb

Il comportamento dell’utente e del ransomware. Truffe phishing

Tutto ciò che abbiamo descritto finora come metodi di diffusione può significare solo una cosa – i cyber criminali si basano unicamente sull’interazione dell’utente con lo spam dannoso. Il metodo è noto come phishing – una forma di ingegneria sociale, di cui spesso si ritiene che diffonde malware o raccoglie documenti e dati dell’utente. Si tratta di una e-mail di esempio che mostra come la frode può essere vista dagli utenti:

cryptowall-fake-email

Consigli per proteggersi da Cryptowall

Per essere in grado di aggirare le infezioni da malware, si deve evitare il download di file archiviati, come ip, .jar, .tar, .7z, .msi, e di file eseguibili/di testo come .com, .exe, .scr, .bat, .js, .jse, .vb, .vbe, .wsf, .wsh, .cmd. Sempre prendere in considerazione il fatto che le aziende reali evitano di inviarvi questo tipo di file su Internet, salvo che non avete avuto previo accordo su questo con la specifica società.

Inoltre, è possibile utilizzare i servizi online per valutare i siti web come Norton Safe Web, per capire se un sito web è sicuro da visitare. Sulle minacce di crittografia dei file, il miglior consiglio per la prevenzione è molto semplice – creare un backup dei file. Tenete sempre a mente questo, soprattutto se i vostri dati sono preziosi e avete molti documenti aziendali sul vostro computer.

Potete anche vedere i principali consigli per la protezione del nostro forum, che sono applicabili con piena forza per CryptoWall 3.0.

IMPORTANTE

CryptoWall 3.0 può crittografare i file nella condivisione di rete nel caso in cui sono pianificati come simboli drive. Se la condivisione di rete non è prevista in questo modo, CryptoWall 3.0 non influirà sui file che si trovano lì. Per proteggere le condivisioni aperte, gli utenti potrebbero consentire solo accesso scritto a gruppi di utenti interessati o solo agli utenti autorizzati. Il Consiglio è molto importante quando si tratta di minacce come CryptoWall.

Elliminare CryptoWall 3.0 e ripristinare i file crittografati

Seguire le istruzioni fornite per eliminare ogni traccia di questo ransomware. Tenete a mente che il modo migliore e più sicuro per farlo è usare potente programma anti-malware.

Cancellazione manuale di Cerber dal vostro computer

Importante! Notifica significante per la minaccia Cerber: L’eliminazione manuale di Cerber richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a CryptoWall 3.0 files and objects

Eliminazione automatica di CryptoWall 3.0 tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di CryptoWall 3.0 con SpyHunter Anti-Malware Tool
2. Recuperate i file crittografati da CryptoWall 3.0
Per scelta: Uso di strumenti software Anti - Malware alternativi

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.