CoinVault: come rimuoverlo e recuperare i file criptati

In questo articolo ho già parlato  di un malware che ha creato grosse difficoltà a molti utenti Windows, in grado di criptare con un complesso algoritmo chiamato Rijndael i documenti contenuti negli hard disk dei malcapitati, si chiamava CryptoLocker.

La diffusione di malware come CryptoLocker è stata talmente considerevole da richiedere il conio di un nuovo termine informatico al fine di definire questi pericolosi Virus: Ransomware, dall’inglese ransom che significa appunto riscatto.

A conferma della pericolosa realtà rappresentata dai ransomware, arriva la notizia di una nuova minaccia che ha già mietuto le sue vittime, il suo nome è CoinVault e, anche lui come i suoi predecessori, è in grado di crittografare un gran numero di file: DOC, XLSX, PDF, MP3, GIF, e TXT sono solo alcuni dei formati presi di mira dal virus.

Per fortuna CoinVault non sembra avere la stessa portata distruttiva di CryptoLocker, CTB-Locker e TorrentLocker. Grazie ai programmatori di Kaspersky e l’intervento della polizia olandese, i danni sono stati decisamente più contenuti rispetto al passato, infatti lo scorso 13 aprile i ricercatori dei laboratori di sicurezza Kaspersky hanno annunciato un’operazione congiunta con la National High Tech Crime Unit (NHTCU) della polizia olandese che ha portato al sequestro dei server C&C di CoinVault, in questo modo è stato possibile recuperare le chiavi di codifica usate per criptare i file degli utenti caduti vittima del ransomware.

Come i suoi predecessori, anche CoinVault infetta solo macchine Windows e si presenta inoltre sotto una veste più benevola, visto che offre alle sue vittime la possibilità di decifrare un file bloccato come prova della sua “onestà”.

La differenza sostanziale con i precedenti virus Locker sta invece nel codice, CoinVault integra infatti le funzioni di decrittazione e pagamento lasciando ai server C&C il solo compito di memorizzare le chiavi. Proprio questa caratteristica ha reso più agevole il lavoro dei ricercatori di Kaspersky per la ricerca di una efficace cura dell’infezione.

Ecco come si diffonfe ed opera CoinVault

CoinVault si diffonde tramite e-mail con allegati in formato ZIP che contengono eseguibili travestiti da file PDF. I PDF in questione fingono di essere fatture, ordini d’acquisto, lamentele o altre comunicazioni legate a non meglio specificati acquisti online.

 Aprendo l’allegato non si fa altro che avviare l’eseguibile di CoinVault che si installa immediatamente all’interno della cartella di sistema %AppData%\Microsoft\Windows\. Come i suoi predecessori, il ramsonware inizia quindi una scansione degli hard disk installati nel Computer, inclusi quelli removibili, le risorse di rete e perfino le cartelle di Dropbox. Quando CoinVault identifica un file supportato, lo cripta aggiungendolo alla lista di quelli interessati al riscatto, che viene salvata all’interno del file di testo %Temp%\CoinVaultFileList.txt. Il ransomware crea quindi anche il file %AppData%\Microsoft\Winsows\filelist.txt contenente tutti i documenti già analizzati e segnandoli con TRUE o FALSE a seconda che sia riuscito o meno nell’operazione di crittazione.

Una volta terminata la scansione del Computer, verrà mostrata la finestra del riscatto con l’indirizzo BitCoin a cui inviare il denaro ed una lista dei file criptati. Come già detto, il virus permette di decriptare gratuitamente un solo file come prova, in quest’ultimo caso il file viene caricato sul server C&C contenente le chiavi di codifica, decrittato e restituito al mittente.

Come ultima beffa, CoinVault cambia lo sfondo del desktop con un’immagine dove si legge: I tuoi file sono stati criptati.

Per individuare l’eventuale infezione da CoinVault è comunque possibile verificare la presenza dei seguenti file all’interno dell’hard disk:

%AppData%\Microsoft\Windows\coinvault.exe

%AppData%\Microsoft\WEindows\edone

%AppData%\Microsoft\WEindows\filelist.txt

%Temp%\CoinVaultFileList.txt

%Temp%\wallpaper.jpg

e delle seguenti chiavi di registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Vault = “%AppData%\Microsoft\Windows\coinvault.exe”

HKCU\Control Panel\Desktop\Wallpaper = “%Temp%\wallpaper.jpg”

Ecco come rimuoverlo e recuperare i file criptati

Innanzitutto occorre, nella finestra di riscatto mostrata da CoinVault, individuare e copiare negli appunti il codice legato all’indirizzo Bitcoin dei sequestratori, normalmente si trova in basso a destra così come evidenziato in figura.

Successivamente cliccate View encrypted filelist e scaricate l’elenco dei file criptati dal virus.

Grazie agli strumenti di rimozione integrati in Kaspersky Internet Security possiamo rimuovere in maniera efficace e definitiva tutti i file infettati da CoinVault nel Pc. La prima cosa da fare è andare ad effettuare il download di Kaspersky Internet Security, lo potete effettuare direttamente dalla pagina ufficiale a questo link, quindi installarlo. Avrete la possibilità di utilizzare il software completo per un periodo di prova di 30 giorni, dopodiché potrete decidere di acquistarlo (cosa che consiglio vivamente), o disinstallarlo.

Una volta avviato Kaspersky Internet Security effettuate la scansione completa del sistema, il software troverà il ransomware identificandolo come Trojan-Ransom.Win32Crypmodadv.cj e sarà in grado di rimuoverlo.

Ora collegatevi all’indirizzo https://noransom.kaspersky.com/ dove gli sviluppatori della Kaspersky Internet Security hanno allestito una pagina in grado di utilizzare l’indirizzo Bitcoin fornito per ottenere il vettore di inizializzazione e le chiavi di codifica dei file, che potrebbero essere più di una.

Una volta ottenuti il vettore di inizializzazione e le chiavi di codifica dei file, scaricate dalla stessa pagina il tool per la codifica.

Inserite quindi nella prima casella la lista precedentemente scaricata, il vettore di inizializzazione nella terza e una delle chiavi di codifica nell’ultima, cliccate dunque su Start per avviare il tool di rimozione ed attendete che la criptazione dei file attaccati da CoinVault venga rimossa.

Come sempre spero di essere stato di aiuto a molti di voi, per eventuali domande, chiarimenti o segnalazioni di link non funzionanti potete come al solito utilizzare l’apposita sezione Commenti in fondo all’articolo.

TI E’ PIACIUTO L’ARTICOLO?

SE NON LO HAI GIÀ’ FATTO, AIUTACI A CONDIVIDERLO CON I TUOI AMICI

TI BASTA UN PICCOLO CLICK 😉