Rimuovere il virus Wanacry

Un nuovo ransomware, chiamato il virus Wanacry, è stato segnalato dai cacciatori di software malizioso per crittografare i file sui computer infetti. Il virus ransomware utilizza l’estensione file .WNCRY ed è fondamentalmente riportato come una nuova versione di WannaCry noto di essere parte della famiglia di virus ransomware WCry. L’infezione lascia una nota di riscatto denominata @Please_Read_Me @ .txt e modifica lo sfondo aggiungendo un software con le istruzioni per il pagamento del riscatto. Nel caso in cui tu sia diventato vittima di questa infezione da ransomware, ti consigliamo di leggere attentamente il seguente articolo.

Sommario del Virus

Nome il virus Wanacry
Tipo Ransomware
Breve Descrizione Nuova versione di maggio 2017 dei virus Ransomware WannaCry. Crittografa i file e chiede poi alle vittime di pagare una tassa pesante di riscatto per ripristinare i file crittografati.
Sintomi I file vengono crittografati con l’estensione file .WNCRY aggiunta a loro. Oltre a questo viene aggiunta una nota di riscatto denominata @[email protected] Inoltre si aggiunge una nota di riscatto denominata “Wana Decrypt0r 2.0”.
Metodo di distribuzione Attraverso un kit Exploit, attacco file Dll, JavaScript dannoso o un download automatico del software malizioso stesso in un modo obfuscato.
Strumento di controllo Controllare se il vostro sistema è stato infettato con il il virus Wanacry

Scaricare

Strumento di rimozione malware

Esperienza dell’utente Iscriviti alla nostra forum per Discuttere l’ il virus Wanacry.
Strumento di recupero dati Windows Data Recovery by Stellar Phoenix Nota! Questo prodotto esegue la scansione dei settori del disco rigido per recuperare i file persi. Non si può garantire il recupero di 100% dei file criptati, ma solo alcuni di essi, a seconda della situazione e se avete riformattato il disco.

Il Virus .WNCRY – Come si diffonde

Simile alla precedente variante .wcry, questa iterazione di ransomware può anche utilizzare gli stessi metodi di difusione. Sono connessi con l’utilizzo di diversi tipi di strumenti utilizzati specificamente per distribuire file e URL dannosi senza essere rilevati:

  • Le esplosioni ETERNALBLUE e DOUBLEPULSARE che sono state attivate dai ShadowBrokers in una fuga, chiamata “Lost in Translation”, che è avvenuta nell’aprile 2017
  • Software di spam (robot spam, crawler, ecc)
  • Elenco predefinito di indirizzi di posta elettronica di potenziali vittime a cui può essere inviata la posta indesiderata.
  • Software malizioso intermediario per condurre l’infezione.
  • Un insieme di server C2 e domini di distribuzione di comando e controllo, nonchè il download del payload del virus del file “WNCRY”.

Anche se il Ransomware 2.0 di WanaCrypt0r può diffondersi tramite siti web torrent, aggiornamenti falsi o altre configurazioni false e file eseguibili caricati su hots ombrosi, il metodo primario di diffusione del virus potrebbe essere tramite e-mail creati in modo convincente. Tali messaggi di posta elettronica mirano a convincere le vittime a fare clic su un allegato di posta elettronica dannoso e quindi essere infettati con il virus del file .WNCRY.

Gli allegati possono essere di solito .js, .exe o altri tipi di file eseguibili, ma in alcune situazioni sono anche correlati a macro malevoli. Queste macro dannose possono essere attivate una volta che l’utente abilita il contenuto di un documento.

Il Virus del File .WNCRY Come funziona

L’attività principale del virus ransomware Wana Decrypt0r 2.0 dopo l’infezione è quella di eliminare un file incorporato nella cartella in cui si trova il file di infezione. Il file è un zip protetto da password, denominato wcry.zip. Ha i seguenti contenuti:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskse.exe
  • taskdl.exe

Il file di infezione del ransomware Wana Decrypt0r 2.0 estrae quindi i file zippati in una cartella e inizia a connettersi alla pagina web di download del browser web TOR. Da lì il virus .Wana Decrypt0r 2.0 può connettersi a più server di comando e controllo:

  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Oltre all’attività di WanaCrypt0r, l’infezione .WNCRY può eliminare le copie del volume ombra e cosi eliminare anche tutte le possibilità di ripristinare i file tramite il backup sul computer infetto. Questo viene eseguito eseguendo i seguenti comandi amministrativi di Windows:

→ vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set boostatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Oltre a questa attività, il virus WannaCry .WNCRY scarta anche un programma denominato @WanaDecryptor @ .exe che dispone di un timer effettivo con istruzioni avanzate su come pagare il riscatto. Questo programma si chiama “Wana Decrypt0r 2.0” e il suo messaggio sembra quello seguente:

Dopo che il timer di questo programma finisce, il costo del riscatto può essere raddoppiato, secondo i messaggi scareware e la versione precedente che utilizza questo software lo stesso.

Un’altra azione del programma è che cambia anche lo sfondo sul computer della vittima con il seguente messaggio:

Ooops, your important files are encrypted.
If you see this text, but don’t see the ”Wana Decrypt0r” window,
then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files you have to run the decrypt software.
Please find an application file named “@[email protected]” in any folder or restore from the antivirus quarantine.
Run and follow the instructions!

Il Virus del File .WNCRY – Processo di crittografia

Due algoritmi di crittografia possono essere utilizzati per questa infezione ransomware specifica. Uno di questi è conosciuto come AES (Advanced Encryption Standard) e può essere utilizzato in 128 bit. È una delle cifre più forti e non può essere decritta se i criminali non commettono un errore nel codice di crittografia. Può generare una chiave simmetrica, chiamata chiave FEK dopo la crittografia. Questa chiave può essere l’unico metodo per decrittografare i file perché con essa il processo può essere invertito.

Oltre a questo, un’altra cifra conosciuta come Rivers-Shamir-Adleman o RSA viene utilizzata in combinazione con la cifra AES al fine di generare chiavi pubbliche e private uniche per ciascuno dei file. Ciò rende la decrittura di ogni file separato un processo unico e molto difficile.

Per il processo di crittografia, il virus .WNCRY visa i file ampiamente utilizzati. Questi file di solito sono i seguenti:

→ .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .msg, .ost, .pst, .potm, .potx .eml, .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .jar

Rimuovere il Virus del File .WNCRY

Per rimuovere il virus Wanacry, è necessario seguire le istruzioni fornite per la massima efficienza. Nel caso in cui non si ha esperienza nella rimozione manuale di software dannoso, si consiglia di utilizzare anche uno strumento avanzato contro il software dannoso per eseguire la cancellazione automatica.

Eliminare manualmente il virus Wanacry dal computer

Importante! Notifica significante per la minaccia il virus Wanacry: L’eliminazione manuale di il virus Wanacry richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a il virus Wanacry files and objects

Eliminazione automatica di il virus Wanacry tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di il virus Wanacry con SpyHunter Anti-Malware Tool
2. Recuperate i file crittografati da il virus Wanacry
Per scelta: Uso di strumenti software Anti - Malware alternativi

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.