Una nuova e migliorata versione del ransomware CryptoWall ha iniziato a infettare in questi giorni i computer in tutto il mondo. Il nuovo CryptoWall 3.0 utilizza un messaggio localizzato di riscatto e trasferisce il traffico verso sito web, in cui la vittima può pagare per la chiave di decrittazione necessaria per sbloccare i propri file, tramite le reti anonime Tor e I2P.
CryptoWall è una minaccia che usa crittografia e una volta attivata nella macchina infetta crittografa alcuni suoi file e richiede la somma di $500, in cambio della chiave di decrittazione per la vittima. Di solito, il riscatto deve essere pagato nella valuta digitale Bitcoins entro le prime 168 ore.
Informazione riassunta sulla minaccia
| Nome | CryptoWall 3.0 |
| Tipo | Ransomware |
| Breve descrizione | I file dell’utente sono criptati e inutilizzati. |
| Sintomi | Sarà visualizzata una richiesta di riscatto alla vittima. |
| Modi di trasmissione | Tramite file malware allegati. |
| Strumento per la scoperta |
Controllate se il vostro sistema è stato contagiato da CryptoWall 3.0
Scarica
Strumento per la rimozione di software malevolo
(malware) |
| Esperienze degli utenti | Partecipate al nostro forum per commentare CryptoWall 3.0. |
Le nuove particolarità di CryptoWall 3.0
Nuovi ingressi Tor to Web si utilizzano dalla nuova versione di CryptoWall: torman2.com, torforall.com, torroadsters.com e torwoman.com. Uno di essi reindirizza la vittima verso la stessa pagina web, contenente le istruzioni per il pagamento del riscatto, ma i codici ID per seguire i pagamenti sono unici.
Il periodo per il pagamento continua da 5 giorni a una settimana intera, e dopo la somma aumenta a $1000.
I truffatori hanno creato dei file aggiuntivi, contenenti informazioni sui pagamenti e il ripristino dei dati crittografati :
- HELP_DECRYPT.HTML: utilizza il vostro web browser per visualizzare informazione sulla minaccia, sulla crittografia e sui metodi di pagamento
- HELP_DECRYPT.PNG: contiene i dettagli sul CryptoWall 3.0
- HELP_DECRYPT.TXT: come precedente, ma presentato in formato testo
- HELP_DECRYPT.URL: utilizza il vostro web browser in corso per visualizzare i servizi di decrittazione del CryptoWall 3.0, quando Windows viene caricato
Il messaggio per il riscatto visualizzato da CryptoWall 3.0, include:
Che cosa è successo ai vostri file?
Tutti i vostri file sono protetti dalla crittografia impenetrabile con RSA-2048, usata da CryptoWall 3.0.
Migliori informazioni sulla chiave di crittografia che utilizzano RSA-2048 si possono scoprire qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Che cosa significa questo?
Ciò significa che la struttura e i dati nei vostri file sono irrimediabilmente cambiati, cioè non sarete in grado di lavorare con essi o leggere o vedere; quasi come se li avete persi per sempre, ma con il nostro aiuto, è possibile ripristinarli.
Come è potuto succedere?
Solo per voi, al nostro server è stata generata una coppia segreta di chiavi RSA-2048 – pubblica e privata.
Tutti i vostri file sono stati crittografati con la chiave pubblica che è stata trasferita al computer tramite Internet.
La decrittazione dei file è possibile solo utilizzando la chiave privata e il programma di decrittografia che si trova sul nostro server segreto.
Cosa fare ?
Purtroppo, se non si prendono le misure necessarie entro il suddetto periodo, le condizioni per ottenere la chiave riservata saranno cambiate.
Se apprezzate i vostri dati veramente, vi consigliamo di non perdere tempo prezioso alla ricerca di altre soluzioni del problema, perché non esistono.
Una volta che il processo di crittografia dei file è completato, i file originali sono eliminati. Nel caso in cui non si dispone di un backup dei file, è possibile utilizzare un software affidabile che può ripristinare tutti o parte di essi tramite le copie nascoste di Windows. In seguito nell’articolo troverete le istruzioni dettagliate per aiutarvi a farlo.
Il collegamento con i file I2P
La nuova versione di CryptoWall è stata rilevata dagli esperti di sicurezza di Microsoft, nonché dal ricercatore francese Kafeine, che ha riferito che la comunicazione con il server C & C (di Comando e di Controllo) è codificata con l’algoritmo RC4 e utilizza I2P protocollo.
Dal momento che Kafeine cerca di testare il materiale della nuova minaccia, ottiene un messaggio di errore ogni volta che tenta di connettersi con i delegati. Il messaggio che il ricercatore riceve, dice che il sito I2P non è disponibile per vari motivi – l’impossibilità di connettersi ai sistemi o la rete sovraccarica. Gli hacker sembrano preparati per casi di questo tipo, in quanto hanno fornito istruzioni dettagliate su come accedere ai servizi di decrittazione della rete Tor.
Nuovi metodi di diffusione di Cryptowall 3.0 (4 settembre 2015)
Come Cryptowall 3.0 entra nel sistema?
Il ransomware Cryptowall era presente abbastanza, consentendo ai ricercatori di raccogliere informazioni dettagliate sui suoi metodi. Il Ransomware si sta diffondendo principalmente tramite e-mail con allegati .zip, contenenti i file eseguibili mascherati dalla estensione PDF. Questi file possono presentarsi in qualsiasi forma di comunicazione aziendale:
- Fatture
- Ordini (POs)
- Conti
- Reclami
Una volta che il file PDF malevolo è avviato, CryptoWall sarà installato nel sistema. I file dannosi saranno localizzati in una delle due cartelle % AppData% o % Temp%. Poi, la minaccia inizierà la scansione dei driver del sistema, alla ricerca dei file da crittografare. Tutti i simboli del driver, nonché i simboli rimovibili, le condivisioni di rete, compresi i piani a Dropbox, saranno sottoposti a scansione. Ogni simbolo di unità del sistema infetto sarà controllato per i file di dati.
Ecco un elenco di luoghi in cui potrebbe trovarsi CryptoWall 3.0:
- %Temp%
- C:\[random]\[random].exe
- %AppData%
- %ProgramData%
- %LocalAppData%
Posso trovare i file, crittografati da CryptoWall 3.0?
I file crittografati da CryptoWall 3.0, saranno conservati insieme con i loro percorsi nel registro di Windows. La posizione della sottochiave sarà nel seguente formato:
→HKCU\Software\[unique computer ID]\[random ID]
Un esempio reale si presenta in questo modo:
→HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF
Il processo sarà ripetuto per ogni file crittografato sotto la chiave menzionata.
ListCwall può anche essere usato. È uno strumento creato da Bleeping computer (Computer Muto) per la scoperta automatica e la rimozione dei file crittografati. Lo strumento può anche fare un backup dei file bloccati in un’altra posizione, se l’utente decide di archiviarli e riformattare il computer.
Ecco un elenco di estensioni di file che CryptoWall 3.0 cerca di crittografare:
→ .3dm, .3ds, .3fr, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .accde, .accdr, .accdt, .ach, .acr, .act, .adb
Il comportamento dell’utente e del ransomware. Truffe phishing
Tutto ciò che abbiamo descritto finora come metodi di diffusione può significare solo una cosa – i cyber criminali si basano unicamente sull’interazione dell’utente con lo spam dannoso. Il metodo è noto come phishing – una forma di ingegneria sociale, di cui spesso si ritiene che diffonde malware o raccoglie documenti e dati dell’utente. Si tratta di una e-mail di esempio che mostra come la frode può essere vista dagli utenti:
Consigli per proteggersi da Cryptowall
Per essere in grado di aggirare le infezioni da malware, si deve evitare il download di file archiviati, come ip, .jar, .tar, .7z, .msi, e di file eseguibili/di testo come .com, .exe, .scr, .bat, .js, .jse, .vb, .vbe, .wsf, .wsh, .cmd. Sempre prendere in considerazione il fatto che le aziende reali evitano di inviarvi questo tipo di file su Internet, salvo che non avete avuto previo accordo su questo con la specifica società.
Inoltre, è possibile utilizzare i servizi online per valutare i siti web come Norton Safe Web, per capire se un sito web è sicuro da visitare. Sulle minacce di crittografia dei file, il miglior consiglio per la prevenzione è molto semplice – creare un backup dei file. Tenete sempre a mente questo, soprattutto se i vostri dati sono preziosi e avete molti documenti aziendali sul vostro computer.
Potete anche vedere i principali consigli per la protezione del nostro forum, che sono applicabili con piena forza per CryptoWall 3.0.
IMPORTANTE
CryptoWall 3.0 può crittografare i file nella condivisione di rete nel caso in cui sono pianificati come simboli drive. Se la condivisione di rete non è prevista in questo modo, CryptoWall 3.0 non influirà sui file che si trovano lì. Per proteggere le condivisioni aperte, gli utenti potrebbero consentire solo accesso scritto a gruppi di utenti interessati o solo agli utenti autorizzati. Il Consiglio è molto importante quando si tratta di minacce come CryptoWall.
Elliminare CryptoWall 3.0 e ripristinare i file crittografati
Seguire le istruzioni fornite per eliminare ogni traccia di questo ransomware. Tenete a mente che il modo migliore e più sicuro per farlo è usare potente programma anti-malware.
Cancellazione manuale di Cerber dal vostro computer
Importante! Notifica significante per la minaccia Cerber: L’eliminazione manuale di Cerber richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo
Avviare il vostro computer in Safe Mode (regime sicuro)
1. Per Windows 7, XP e Vista.
2. Per Windows 8, 8.1 e 10.
Fissare voci di registro create da CryptoWall 3.0 sul PC.Per i sistemi operativi WindowsXP, Vista e 7:
1. Rimuovere tutti i CDs e DVDs, e quindi riavviare il computer dal menu “Start”.
2. Selezionare una delle due opzioni, esposte in seguito:
– per i computer con unico sistema operativo: Premere ripetutamente il tasto “F8” durante il riavvio del vostro computer, dopo che appaia la prima schermata dell’avvio. Se il logo di Windows viene visualizzato sullo schermo, sarà necessario ripetere le stesse azioni.
– Per i computer con più sistemi operativi: I tasti freccia vi aiuteranno a selezionare il sistema operativo da avviare in “Safe Mode”. Premere il tasto “F8” nello stesso modo descritto sopra per i computer con unico sistema operativo.
3. Dopo che viene visualizzata la schermata “Advanced Boot Options”, selezionare l’opzione Safe Mode desiderata, utilizzando i tasti freccia. Una volta effettuata la selezione, premere “Enter”.
4. Accedere al computer utilizzando il vostro account amministrativo.
Mentre il computer è in Safe Mode, le parole “Safe Mode” appariranno in ciascuno dei quattro angoli del vostro schermo .
Fase 1: Aprire il menu Start.
Fase 2: Tenendo premuto il tasto Shift, fare clic su Power, quindi su Restart.
Fase 3: Dopo il riavvio verrà visualizzato il menu menzionato sotto. Da lì si dovrebbe scegliere Troubleshoot.
Fase 5: Una volta che il menu „Advanced Options“ si apre, fare clic su “Startup Settings“.
Fase 6: Fare clic su “Restart”.
Fase 7: Vi verrà chiesto di riavviare. Si dovrebbe scegliere Safe Mode, premendo il numero corrispondente, in questo modo la macchina si riavvia.
Alcuni script dannosi possono modificare le voci di registro del computer per modificare le impostazioni diverse. Questo è il motivo per cui manuale di pulizia del database del Registro di Windows è fortemente raccomandato. Dal momento che il tutorial su come fare questo è un po ‘questo lento, si consiglia di seguendo il nostro articolo istruttivo su come risolvere le voci di registro.
Eliminazione automatica di CryptoWall 3.0 tramite il download di un programma moderno per l’eliminazione di software malevolo
Eliminazione CryptoWall 3.0 con SpyHunter Anti-Malware Tool
1. Installare SpyHunter, al fine di eseguire la scansione e rimuovere CryptoWall 3.0.2. Eseguire la scansione con SpyHunter, al fine di rilevare e rimuovere CryptoWall 3.0.
Eseguire un backup dei vostri dati per proteggerli da future infezioni da CryptoWall 3.0.È altamente raccomandato di eseguire una scansione prima di ordinare la versione completa del software per assicurarsi che questa versione di malware può essere rilevata da Spy Hunter.
Fase 2: Seguire le istruzione per il download a disposizione per qualsiasi browser.
Fase 3: Una volta installato Spy Hunter, attendere che si aggiorni da solo.
Fase 1: Una volta che il processo di aggiornamento è terminato, fare clic sul pulsante ‘Scan Computer Now’ button.
Fase 2: Dopo che Spy Hunter ha terminato la scansione del vostro computer per I file CryptoWall 3.0, fare clic sul pulsante “Fix Threats”, per eliminarli automaticamente e in modo permanente.
Fase 3: Una volta che le infiltrazioni nel vostro computer sono eliminate, si consiglia vivamente di riavviarlo.
Back up your data to secure it against attacks in the future
Importante! Prima di leggere le istruzioni per fare una copia di riserva di Windows, vi raccomandiamo vivamente di eseguire automaticamente backup dei vostri dati nel cloud e assicurarli contro qualsiasi tipo di perdita di dati dal dispositivo, anche contro le più serie. Vi invitiamo di leggere di più sul tema di backup e scaricare SOS Online Backup.
STOPZilla AntiMalwareFase 1: Scaricare STOPZilla cliccando qui..
Fase 2: Apparirà una finestra pop-up. Cliccare sul pulsante ‘Save File’. Nel caso in cui non viene conservato, cliccare sul pulsante di download per salvarlo in seguito.
Fase 3: Dopo aver scaricato la configurazione, sarà necessario solo aprirla.
Fase 4: Dovrebbe apparire la finestra per l’installazione. Fare clic sul pulsante ‘Next’.
Fase 5: Segnare il cerchio corrispondente a ‘I accept the agreement’
Fase 6: Controllare di nuovo e dopo premere il pulsante ‘Install’.
Fase 7: Una volta che il processo di installazione è terminato, premere il pulsante ‘Finish’.
2. Eseguire la scansione del computer con STOPZilla AntiMalware, al fine di eliminare automaticamente tutti i file, associati a CryptoWall 3.0.
Fase 1: Avviare STOPZilla se non lo avete ancora fatto dopo il processo di installazione.
Fase 2: Attendere che il software si aggiorni automaticamente e dopo cliccare sul pulsante ‘Repair Now’. Se non si avvia la scansione automatica, premere il pulsante ‘Scan Now’.
Fase 3: Dopo aver eliminato tutte le minacce e oggetti associati al software malevolo, si consiglia di riavviare il computer.
