!!! FLASH NEWS !!!

CryptoLocker TeslaCrypt 3.0: rimuoverlo e recuperare i file

Colpiti da CryptoLocker TeslaCrypt 3.0? Provvediamo a rimuoverlo definitivamente e tentiamo di recuperare i file criptati senza pagare alcuna somma di denaro.

Condivisioni

E’ di pochi giorni fa la notizia della comparsa di una nuova variante dell’ormai famoso ransomware Cryptolocker, uno dei più pericolosi virus informatici degli ultimi anni, si chiama Cryptolocker TeslaCrypt 3.0 e sembra affliggere gli utenti criptando i file presenti sulgli hard disk con estensione .micro, .ttt e .xxx, ed impedendone l’accesso salvo pagamento di una sorta di riscatto in Bitcoin. Ma cosa sono questi virus? Come funzionano? Come possiamo rimuoverli e soprattutto, come possiamo tentare il recupero dei file criptati senza pagare la somma di denaro altrimenti richiesta?

AGGIORNAMENTO DI LUGLIO 2016: finalmente è arrivata la soluzione per il recupero completo di tutti i file criptati da Cryptolocker TeslaCrypt dalla versione 3.0 alla 4.2. Tutte le informazioni a questo link.

Kryptoloker TeslaCrypt 3.0 è un ransomware programmato per criptare i file presenti sugli hard disk dei Pc infetti e costituisce una seria minaccia, soprattutto per i database aziendali, in quanto non esiste attualmente modo di decriptare i file alterati. Una volta portato a termine il processo di criptazione, il software richiede, tramite una finestra sul Desktop, il pagamento di una somma di denaro per riavere accesso ai file. L’infezione si diffonde rapidamente tramite tecniche basate sullo studio del comportamento individuale degli utenti al fine di ricavarne informazioni personali, quindi, sfruttando come canale di propagazione privilegiato il protocollo SMTP (protocollo standard per la trasmissione via Internet delle email), genera una catena di email spamming iniziando ad inviare messaggi che si presentano sotto svariate forme ( reclami da parte di clienti, ordini di prodotti commissionati a varie società, video o foto da amici ecc…) e contenenti in allegato un malware downloader che, una volta avviato, inizia a scaricare TeslaCkypt 3.0 e ne esegue l’installazione.

Una volta portato a termine il processo di installazione, il Trojan si aggiunge all’avvio automatico, modifica il registro di sistema ed avvia una connessione remota con i server che contengono la chiavi di criptazione. Se per qualche motivo questa connessione viene interrotta, per il virus non c’è nessun problema, il malware utilizza l’algoritmo di generazione dei domini per creare una botnet (rete di dispositivi infetti) e genera una stringa di comando che, a random, completa l’operazione in un secondo momento connettendosi ad un altro dominio. I file all’interno dell’hard disk vengono criptati tramite un algoritmo di crittografia asimmetrica che permette di integrare la chiave di criptazione direttamente all’interno del codice del malware, rendendo così impossibile il tracciamento della conversazione tra il virus e la botnet. Una volta stabilito il canale di comunicazione, Kryptolocker TeslaCrypt avvia il processo di cifratura dei file richiedendo una chiave che viene elaborata automaticamente sulla base di cinque parametri: il nome della rete del sistema, la lingua, la versione del malware ed altri due identificativi numerici. A questo punto non c’è più nulla da fare, per accedere ai file infetti occorre conoscere la chiave.

CryptoLocker TeslaCrypt 3.0: rimuoverlo e recuperare i file

Per proteggersi da queste infezioni, il consiglio principale è di fare molta attenzione ai file che si eseguono sul proprio Pc, soprattutto se provengono appunto da email sospette e, in caso di dubbi, provvedere ad una scansione preventiva del file su un servizio online come VirusTotal, che consente di sottoporre a scansione qualunque file utilizzando contemporaneamente oltre 60 motori antivirus. E’ poi d’obbligo ricordarvi di avere sempre installato ed aggiornato un buon software antivirus come Kaspersky che, ad oggi, risulta essere tra i migliori contenenti i meccanismi necessari per rilevare tempestivamente i componenti ransomware.

Come già detto, se il Pc viene infettato da virus Cryptolocker Teslacrypt 3.0, il recupero dei file è impossibile…. o quasi, esistono infatti alcuni metodi che, anche se non garantiscono un totale recupero dei file criptati, sicuramente possono dare una mano con un recupero quantomeno parziale. Lo sviluppatore BloodDolly, produttore del decryptor per le versioni precedenti di Kryptolocker TeslaCrypt, sta attualmente lavorando alla ricerca di un antidoto anche per questa. In ogni caso, file persi o no, l’operazione davvero necessaria è la rimozione del virus per il recupero del Pc. Attualmente lo strumento migliore atto a questa operazione è SpyHunter, tool in grado di rimuovere automaticamente il virus Cryptolocker TeslaCrypt 3.0 senza dover formattare il computer. Ovviamente, essendo i stati infettati da un virus potente ed ancora non perfettamente conosciuto, la formattazione e la sostituzione di tutte le password utilizzate con quel Pc, non sono sicuramente una cattiva idea per prevenire eventuali futuri furti di dati personali. Per il recupero dei file criptati vi rimandiamo invece a questo nostro precedente articolo dove viene descritta la procedura per tentare il ripristino delle copie shadows.

Sperando di essere stati di aiuto a molti di voi, vi ricordiamo di iscrivervi alla nostra Neswletter o al nostro Feed RSS per mimanere sempre aggiornati sugli ultimi articoli pubblicati.

TI E’ PIACIUTO L’ARTICOLO?

SE NON LO HAI GIÀ’ FATTO, AIUTACI A CONDIVIDERLO CON I TUOI AMICI

TI BASTA UN PICCOLO CLICK 😉

Condivisioni

4 Trackback & Pingback

  1. CryptoLocker e CTB-Locker: rimuoverli e recuperare i file
  2. CryptoWall, CryptoLocker, Tesla e CTB-Locker: la protezione definitiva
  3. Nemucod: nuovo allarme virus per l'italia | Dott. Informatica
  4. Come rimuovere Petya e recuperare i file criptati

Scrivi un commento

L'indirizzo email non sarà pubblicato.


*