CryptoLocker e CTB-Locker: rimuoverli e recuperare i file

Con questo Tutorial vedremo la procedura per rimuovere i ransomware CryptoLocker e CTB_Locker e tentare il ripristino dei file criptati.

AGGIORNAMENTO DI LUGLIO 2016: finalmente è arrivata la soluzione per il recupero completo di tutti i file criptati da Cryptolocker TeslaCrypt dalla versione 3.0 alla 4.2. Tutte le informazioni a questo link.

AGGIORNAMENTO DEL 15/02/2016: Per infezioni di Cryptolocker TeslaCrypt 3.0 fate riferimento a questo articolo.

AGGIORNAMENTO DEL 25/03/2016:  Per una protezione totale dagli attacchi di CryptoWall, CryptoLocker, Tesla e CTB-Locker, fate riferimento a questo nuovo articolo.

Per prima cosa è assolutamente necessario rimuovere i virus dal Pc infetto per evitare che, una volta sistemata (per quanto possibile) la questione recupero file criptati, la situazione non si ripresenti identica nel giro di pochi giorni.

Per fare questo ci affidiamo a Norton Power Eraser, un tool gratuito fornito da Symantec, in grado di eseguire scansioni ed eliminare virus residenti in profondità, che potrebbero sfuggire alle scansioni tradizionali.

La procedura di rimozione di CryptoLocker e CTB-Locker tramite Norton Power Eraser varia in base al Sistema Operativo che viene utilizzato, seguite quindi il Tutorial adatto al vostro caso.

Procedura con Microsoft Windows 8

Posizionate il cursore del mouse nell’angolo del desktop in basso a destra, dovrebbe comparire la Barra Charm.

• Selezionate “Impostazioni”.
• Cliccate su “Arresta” → “Riavvia il Pc” tenendo premuto il tasto “SHIFT”.
• Sulla schermata che compare dopo qualche secondo scegliete “Risoluzione dei problemi”.
• Ora cliccate “Opzioni Avanzate”.
• Selezionate poi “Impostazioni di Avvio”.
• Infine “Riavvia” in basso sulla destra.
• Successivamente al riavvio del Pc, comparirà la schermata blu delle “Impostazioni di avvio”, premete f5 (tasto funzione) per selezionare “Abilita modalità provvisoria con rete”.
• Ora il Pc si riavvierà in Modalità Provvisoria e vi darà quindi la possibilità di effettuare l’accesso ad Internet in quanto risulta abilitata la scheda di rete. Aprite quindi il Browser Internet.
• Scaricate Norton Power Eraser direttamente da questo link.
• Eseguitelo seguendo le indicazioni a monitor.
• Terminata l’installazione di Norton Power Eraser cliccate sul pulsantone “Scan” (Fig.1).
• Attenetevi alle direttive a monitor per rimuovere l’infezione.
• Riavviate il Pc.

Procedura con Microsoft Windows 7 e Vista

• Riavviate il Pc e, prima che compaia il logo di Windows premete ripetutamente il tasto funzione f8
• Con le frecce ↑ e ↓ selezionate “Modalità Provvisoria con Rete” e premete Invio
• Attendete l’avvio del Pc in Modalità Provvisoria, connettetevi ad Internet e scaricate Norton Power Eraser direttamente da questo link
• Seguite le stesse indicazione per Windows 8 dal punto 11.

Ora che avete rimosso CryptoLocker o CTB-Locker dal vostro Pc possiamo dedicarci al recupero dei file criptati. Diciamo subito che i file criptati da questi ransomware non sono recuperabili, o meglio, per alcune variante del virus, tipo l’LCryptoLocker, esiste oggi un tool di rimozione fornito gratuitamente su https://www.decryptcryptolocker.com con cui ripristinare i propri file,  per le altre varianti possiamo tentare il recupero delle versioni non originali.

Spieghiamoci meglio, probabilmente molti di voi conoscono la funzionalità di “Ripristino configurazione di Sistema” introdotta in tutte le versioni di Windows da XP Sp1 in poi, tale funzionalità ha probabilmente salvato molti dei vostri Pc, ma forse non tutti sanno che è possibile esplorare il contenuto di tutte le copie di Ripristino che Windows crea in automatico con tale funzionalità.

La possibilità di esplorare il contenuto di queste Shadow Copies (copie di ripristino) viene già offerta a tutti gli utenti delle versioni Ultimate di Windows, mentre per tutti gli altri è necessario installare un semplicissimo software, si chiama Shadow Explorer e lo potete scaricare gratis direttamente da questo Link.

Una volta scaricato il file, eseguitelo, selezionate la vostra lingua dalla tendina e premete Ok per proseguire, Avanti sulla finestra successiva, accettate quindi i Termini del contratto di Licenza spuntando l’apposito punto, cliccate Avanti quattro volte e poi su Installa.

Concludete cliccando su Fine e sarete pronti ad esplorare le vostre Shadow Copies e tentare quindi il recupero delle copie un po’ più datate dei vostri file criptati ed ormai persi.

Come potete notare vi trovate di fronte ad un normalissimo Esplora Risorse di Windows, quindi ora non dovrete far altro che cercare i file che vi interessa recuperare (il percorso lo potete ovviamente conoscere solamente voi), cliccarci sopra con il pulsante destro del mouse e selezionare l’unica voce disponibile: Export…, vi troverete di fronte ad una finestra dove potrete andare a selezionare dove salvare il file ripristinato, scegliete il percorso che preferite e concludete cliccando su OK.

Infine per tutti coloro che ancora non sono stati infettati da questi ransomware, esiste la possibilità di prevenire l’infezione tramite l’installazione di un tool gratuito scaricabile a questo link, si tratta di CryptoPrevent, questo software non fa altro che aggiungere delle regole al Pc su come comportarsi con i file eseguibili. Una volta avviata l’applicazione, sarà sufficiente applicare l’impostazione “Default” e cliccare “Apply” per fare in modo che CryptoLocker non sia più un problema.

Questo è tutto, spero di essere stato utile a risolvere i problemi di molti di voi, per qualunque domanda o eventuale segnalazione di link non funzionante utilizzate l’apposita sezione commenti in fondo all’articolo.

TI E’ PIACIUTO L’ARTICOLO?

SE NON LO HAI GIÀ’ FATTO, AIUTACI A CONDIVIDERLO CON I TUOI AMICI

TI BASTA UN PICCOLO CLICK 😉