CryptoLocker

Come difendersi da CryptoLocker, il virus che chiede il riscatto

07 Novembre 2013

Ultimo aggiornamento febbraio 2015:
le informazioni aggiornate e le soluzioni per CryptoLocker,
CBT-Locker, CryptoWall e sui virus che cifrano i dati sono QUI.


Se hai solo 90 secondi

Cos'è CryptoLocker?

CryptoLocker è un virus per Windows che si sta diffondendo sempre più rapidamente a partire da settembre 2013.

Che danni provoca?

Crittografa i tuoi file e li rende illeggibili, a meno che tu paghi un "riscatto".

Come scopro se l’ho preso?

Il virus ti mostra una finestra in cui ti dice che ha criptato i file e vuole un "riscatto" per renderli di nuovo leggibili.
Questo programma ti mostra l'elenco dei file criptati dal virus sul tuo PC.

Cosa devo fare se l'ho preso?

Devi pagare il riscatto velocemente: più ritardi il pagamento, più ti costa riavere i tuoi file.

Se non ho preso il virus, come posso proteggermi?

Non aprire allegati sospetti delle email e fai il backup offsite.

Maggiori informazioni

Per approfondire, leggi questi articoli:


Se hai più di 90 secondi e vuoi saperne di più


Hacker


Cos'è CryptoLocker?

CryptoLocker è un virus messo in circolazione a settembre 2013 che si sta diffondendo a macchia d’olio.
Quando il virus entra in funzione, inizia a crittografare i tuoi file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.
Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin.
Dopo il pagamento del riscatto inizia il processo di decriptazione dei file.
Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi si peggiorano le cose perché CryptoLocker se ne accorge e butta via la chiave: a quel punto non c'è più nulla da fare.

Come si prende il virus CryptoLocker?

Il metodo di diffusione di questo virus è stato congegnato a regola d’arte.
Ti capita di ricevere un'email apparentemente innocua, che magari riguarda una fattura o un ordine che hai realmente effettuato, e quindi sei portato a credere che la comunicazione sia autentica.
Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP.
Una volta cliccato, i tuoi file verranno criptati all'istante.
Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati.
Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.

Cosa posso fare se ho preso il virus?

Ci si accorge che si è preso il virus perché CryptoLocker mostra una bella finestra in cui spiega cosa ha combinato e chiede di pagare.
La prima cosa da fare è scollegare il sistema infetto dal resto della rete, perché CryptoLocker si propaga attraverso le unità mappate (sono salve le share UNC, del tipo \nome_servercondivisione).
Non è invece una buona idea lanciare la scansione antivirus dopo l’infezione con CryptoLocker, perché spesso gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati. In questo modo non è possibile recuperare i dati.
Per fortuna alcune versioni di CryptoLocker hanno previsto questo e installano uno sfondo di Windows che invita a scaricare un file, il quale permette di decriptare i file anche se l’antivirus ha rimosso il tool originale.
Quindi non resta che pagare qualche centinaio di euro entro i tempi stabiliti dal programma stesso, altrimenti il costo diventa sempre più alto, fino a venti volte la cifra iniziale.
I sistemi di pagamento sono BitCoin e (meno frequentemente) MoneyPack che per definizione hanno transazioni sicure ma non rintracciabili, quindi tutti i tentativi di individuare gli autori di CryptoLocker sono vani.
Mi fa orrore dirvi che solo pagando i truffatori potete riavere i vostri file, ma è la cruda verità.

Ci si può difendere?

Ci sono delle azioni preventive che si possono adottare per minimizzare il rischio di prendere CryptoLocker.
Innanzi tutto fare il backup, anche fuori sede, perché il virus riesce a passare sui dischi di rete solo se sono mappati e non attraverso la rete in generale.
Avere un backup offsite vi permetterebbe di ripristinare i file nel caso non riusciste a decriptare i dati.
Inoltre, implementate le policy di ActiveDirectory affinché vengano mandati in esecuzione solo certi eseguibili (presenti su un sistema ”pulito”): in questo modo l’eventuale esecuzione di CryptoLocker verrebbe bloccata.
Esiste un programma per facilitare l’applicazione di queste policy (istruzioni per l’utilizzo).
Effettivamente dopo il pagamento del riscatto i file vengono decriptati, anche se ci vogliono alcune ore.


Aspetti sociali di questo virus

Ci sono alcuni aspetti che secondo me esulano dal piano tecnico e meritano una riflessione di più ampio respiro, perché hanno un impatto sociale non indifferente.

  1. Innanzi tutto alcuni consulenti e alcuni produttori di software suggeriscono di non pagare il riscatto, perché siamo all’interno di un'attività illecita. Ineccepibile sul piano morale e deontologico, ma chi perde i soldi perché non può evadere ordini, non può ordinare la merce e non può lavorare perché tutti i propri documenti sono criptati? L’imprenditore che ha preso il virus. Egli sarà ben disponibile a spendere trecento euro per riprendere a lavorare subito. Chi ha ragione dunque? Il consulente che dice di non pagare o l’imprenditore che paga perché la propria azienda e i propri dipendenti devono lavorare?
  2. CryptoLocker si prende scaricando un allegato (sospetto) da un’email. Bene, ma il software scaricato, da solo non fa nulla, sono le istruzioni dei server craccati – in cui viene subdolamente installato il server che poi istruisce CryptoLocker – che rendono pericoloso questo software. E i server craccati in genere appartengono a società ignare di tutto ciò. L’azienda che ha il server craccato è responsabile? 
  3. Dal 1 novembre i creatori di CryptoLocker hanno aperto un sito dove si può comprare la chiave per decriptare i file e il programmino per eseguire la decriptazione. Premesso che questo sito è raggiungibile solo su una rete parallela, per accedere alla quale occorre scaricare un programma dalla legalità dubbia, è normale che un utente o un’azienda ordini un virus illegale per poter riavere i propri dati?
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (60)

Ottimo post, mi è piaciuto. Mi sorge una domanda: se c’è Avira che gira sulla macchina ha senso installare quel programma di prevenzione?

Denis Dal Ronco,

A mio avviso ogni prevenzione, se non invasiva o in conflitto con un altro programma di sicurezza, non è mai una cosa mal fatta. Non dimentichiamo che i virus evolvono più rapidamente delle difese, quindi potrebbe esserci un caso fortuito, magari di un computer su 1000, che non ha gli aggiornamenti AV adatti a fermare l’attacco.
Paranoia ?
SI

Emilio Polenghi,

ottima guida, io ho avvisato i miei di stare attenti, una domanda ma i privati sono al sciuro da questo virus io cioè come studente universitario sono a rischio, sono a rischio navigando su siti, di streaming e download (o anche porno) giusto per curiosità per sapere cosa posso e non posso fare

Carlos Menetto,

Carlos, in raltà siamo tutti a rischio.
La fonte primaria di diffusione sono le mail, ma ci sono casi anche di infezioni attraverso siti crackati. Visto il business attuale forse ai giorni nostri sono più sicuri i siti porno che quelli di lavoro. Lo streaming non dovrebbe essere un problema, se da fonti note e sicure.
Per dirtene una io mi sono trovato un’immagine virata attraverso la steganografia.

Emilio Polenghi,

Ciao Carlos, concordo in pieno con la sintesi di Emilio. E torno a ripetere che il miglior antivirus è l’essere umano, che ha una testa per pensare a quello che sta facendo.

Claudio Panerai,

ok grazie delle info,starò molto attento a ciò che faccio

Carlos Menetto,

ESPERIENZA PERSONALE: E’ suuccesso che abbiamo comperato un telefono cellulare sul sito internet di una grossa catena…dopo qualche giorno e’ arrivata una mail che recitava testuali parole:"Xxxxx Security – Conferma della vostra identità. Gentile Cliente,
Le comunichiamo che per una maggiore sicurezza legata al suo Xxxxx ID, è necessario compilare questo breve questionario che troverete in allegato a questo avviso.
Nel Caso in cui non compilaste il successivo modulo, non potremmo garantire più la sicurezza del vostro account.
Clicca qui >
Grazie,
Assistenza clienti di Xxxxxx.-

Allorche’ (nel frattempo Ci eravamo gia’ imbattuti in questa pagina di "achab.it") ho rischiato ed ho cliccato ,si e’ aperta una pagina ma che non riusciva a caricare (www.Xxxxxsecurityitalia.com o qualcosa del genere).
Oggi mi e’ arrivata una seconda mail pero’ questa volta era nello spam ed aprendola mi e’ apparsa la schermata di google che mi avvisava che potesse trattarsi di virus

nobody,

Mi è successo proprio ieri!!! E stasera, purtroppo ho,dovuto pagare, dopo lunghe trattative con l’hacker! Domani dovrei riavere i dati dopo aver scaricato il team wiever!!! Brutta esperienza e dovrò pensare a come mettere in sicurezza i miei pc.

Lory,

@Lory: io qualche idea l’avrei

Claudio Panerai,

Dimmi che idea Claudio panarei

Lory,

E’ successo anche ad un nostro cliente. Sono un sistemista informatico e questo Ransomware è uno delle poche cose che ci preoccupano. Il cliente ha perso alcuni dati e siamo riusciti a recuperare molti file ancora buoni ma per quelli criptati non è stato possibile fare niente. Non consiglierò mai di pagare…. Quindi la prevenzione resta l’unico strumento valido, oltre ad un buon antivirus e sistemi aggiornati. vale sempre la stessa regola da anni. Occhio a quello che si apre. Tuttavia rimango sempre perplesso nel vedere la poca preoccupazione dei clienti rispetto alla gravità della cosa. Probabilmente siamo troppo bravi e riusciamo a recuperare troppi dati ancora buoni.

Alex,

Aggiungo due osservazioni Alex.
Anzi una la condivido e una la aggiungo.
Se sei un pravo tecnico e riesci a recuperare tutto, le aziende sanno che su te possono contare.
Pero’ ho un dubbio: davvero fatturiamo tutto (e dico tutto) il tempo e le energie che ci mettiamo a recuperare i dati?
Perché quando si eseguono interventi a ore per risolvere un problema forse si fatturano per intero le ore segnate sul rapportino, ma il tempo che uno spende collegandosi da casa, cercando su web la soluzione o casi simili… chi lo paga quel tempo?
Io credo che se tutti fatturassero tutto, i titolari delle imprese avrebbero fatture cosi’ alte che frusterebbero i dipendenti la prossima volta che aprono un allegato sospetto…

Claudio Panerai,

E’ gia’ capitato a 3 miei clienti….tutto quanti hanno eseguito il pagamento e recuperato i files originali.

Davide Grandi,

Claudio Panerai, non è che stai provando a fregarci anche tu? E’ solo una battuta! Ma chi fa queste cose io lo metterei al muro. Grazie per avermi messo in guardia. Sergio

Sergio Nicola Cipriani,

@Sergio Nicola: certo che vi frego, è noto che io frego sempre tutti e mento!

Claudio Panerai,

peccato che se l’hardisk è collegagato ti criptano anche quello che faccio pago???

Marco,

@Marco: qualsiasi cosa collegata al pc è a rischio cifratura: dischi di rete, dischi esterni uSB, dischi collegati in altro modo.
L’unico modo per preservare i dati da una cifratura è avere un backup in un luogo fisicamente separato.
Per le foto, per esempio, posso suggerire di caricarle su http://www.flickr.com, dove si puo’ caricare gratuitamente fino a 1 TB di foto.

Claudio Panerai,

@ophelia999: Normalmente l’infezione è pressoché istantanea, dopo qualche minuto dovrebbe iniziarsi a vedere i primi effetti.
Pero’ ogni singola variante del virus potrebbe comportarsi in maniera differente.

Claudio Panerai,

Gentile Claudio Panerai, sono un suo collega che opera nel settore ormai da ben 35 anni e quindi condivido pienamente quanto da lei asserito, se fatturassimo tutto il tempo e le nottate impiegate alla ricerca delle soluzioni, il cliente sarebbe più attento, purtroppo ho anche io clienti che aprono tutto comprese le scatolette di tonno, e quindi soggetti a questa tipologia di infezione, in questo blog sarebbe interessante anche evidenziare a parte i Backup, le eventuali possibili soluzioni, magari trovate all’ultimo minuto per arginare o risolvere questo problema, per sua conoscenza almeno io ho dai 20 ai 25 clienti infettati con l’ultima versione. la saluto cordialmente !!

Daniele Baroni,

@Daniele: purtroppo una volta preso il virus NON esistono soluzioni etiche e ufficiali per riavere i dati.
Esistono pero’ delle soluzioni per arginare il problema ed evitare che dilaghi da altri clienti.
La contattiamo in privato.

Claudio Panerai,

sono stato infettato dal virus sui documenti mi dice che sono in un formato strano: ES DOC.yqhaxpm. Però non mi è uscita nessuna richiesta di riscatto.

Kevin 01,

@01: noi non abbiamo mai visto questo tipo di estensione con questa ondata di virus. I file hanno tutti questa strana "estensione"? Presumibilmente il file è crittografato e l’estensione è stata creata in modo casuale.

Claudio Panerai,

E bravi gli acari.
Sono stato attaccato dal virus keyHolder chiedono 500 dollari che ho regolarmente pagato e che fino ad ora non visto l’ombra dei miei file, oltre ad essere dei balordi sono anche disonesti, un consiglio a tutti non pagate perchè nessuno vi darà i vostri file e nemmeno una password. Tutta una truffa, secondo me chi scrive pagate e riavrete i vostri file e perchè e stato pagato per dirlo, io ho la dimostrazione del pagamento e se riuscissi solo a farvelo vedere capireste che e tutta una truffa, i miei file dopo 20 giorni dal pagamento sono ancora decriptati e ormai ho capito che devo solo gettarli come i soldi che ho speso.Un consiglio a tutti spassionatamente lasciate stare non pagate perché perdereste anche la dignità oltre ai file e soldi.
Ciao a tutti e buona fortuna
P.S. non credete a chi dice io ho pagato e ho recuperato (NON E VERO FAKE ANCHE LORO) Appena riesco metto foto in internet

antonio72_6@tiscali.it randazzo,

@randazzo: non metto in dubbio che tu abbia pagato e non abbia visto nulla circa i tuoi file. I disonesti esistono ovunque. E non faro’ mai pubblicità di un sito che risolve questo problema.
Tuttavia conosco personalmente alcune persone che dietro riscatto hanno riavuto i loro file.
Quindi mai fare di tutt’erbe un fascio ma mai fare la pubblicità di servizi che non possono risolvere un problem insolubile (se non in casi particolari)

Claudio Panerai,

A quanto scritto (che trovo corretto e interessante) dall’autore , voglio segnalarvi che il virus passa anche attraverso rete , o meglio tenta di passare , nel mio caso titolare di un centro assistenza me ne sono accorto dopo aver collegato un pc infetto di un cliente , come gli ho dato la connessione internet l’antivirus (Kaspersky) sul server ha bloccato rete ed esecuzione di un file , fortunatamente nessun problema , e ovviamente dotato di backup , ma ancora più preoccupante il fatto che "passi" attraverso la rete.

giorgio fuschi,

Ciao Claudio, oggi è toccata a me la triste vicenda di incappare in questo virus, naturalmente sono stato incauto ad aprire quella maledetta mail che, a differenza di tutte le altre false, aveva tutte le sembianze di una mail con una fattura reale ( premetto che ricevo ogni giorno fatture via mail ), italiano perfetto, un nome che anche la mia impiegata pensava di aver già sentito, invece no……è stata una bella fregatura!!! Appena ho aperto il file ho cominciato a vedere che qualcosa andava storto e mentre vedevo in pochi secondi che diversi file cambiavano icona, é intervenuto Microsoft Security Essentials grazie al quale "AVREI" rimosso l’Applicazione, comunque non sicuro di aver bloccato il virus ho spento il pc. Io sono solito fare diversi Backup ( chiavetta USB, Hard Disk esterno, Dropbox, Google Drive ). L’ultimo backup sull’Hard disk esterno risale purtroppo a 3 settimane fa, Google Drive invece a 2 giorni fa mentre la chiavetta era aggiornata al momento dell’attacco; per quanto riguarda Dropbox non lo aggiorno da molto in quanto è pieno, visto che i dati di lavoro raggiungono quasi 7Gb. Il problema è che il virus ha attaccato prima il Pc, poi la chiavetta ( la più aggiornata ) e, non so come, ha attaccato anche Dropbox e Google Drive. Quest’ultimo è stato meno danneggiato rispetto agli altri ed ora sto cercando di scaricare tutto ciò che si è salvato, anche se è molto lento e sembra che alcuni file non me li stia scaricando, in quanto durante il Download ho letto il messaggio di errore per alcune migliaia di file ( non capisco perchè). Diciamo che l’Hard Disk esterno è l’unico che si è salvato, visto che non era collegato al momento dell’attacco, però mi toccherà rielaborare tutto il lavoro delle ultime 3 settimane, o quasi, visto che qualcosa credo di recuperare tra la chiavetta e Google Drive. Ora vorrei provare con PhotoRec a recuperare i dati della chiavetta ( in quel caso sarei completamente salvo ). Premetto che lavoriamo con 2 Pc collegati in rete domestica ed utilizziamo la chiavetta come prima fonte in cui inserire tutti i dati, e da quest’ultima facciamo poi i vari Backup ( abbiamo preso questa decisione dopo un paio di volte che al Pc principale si è bruciato l’hard disk interno con relativa perdita di dati). Il dilemma più grande per me è che non sono sicuro che il virus sia stato completamente rimosso tramite Microsoft Security Essentials e quindi non so se accendere quel Pc oppure no.
Cosa mi consigli?
Grazie anticipatamente.

Pasquale Antonacci,

Ciao, ho contratto il virus ieri sera su un altro pc, mentre navigavo su siti porno, a un certo punto il sistema di blocco degli eseguibili di Windows, (quello che ti chiede di autorizzare o meno l’esecuzione di un’applicazione), mi ha iniziato a chiedere l’accesso e nel nome dell’app c’era scritto Microsoft Windows con la R cerchiata, quindi dopo una decina di volte ho deciso di autorizzare perché rompeva, e si è impallato tutto. al riavvio del pc, ecco la famosa finestra di cryptolocker. la mia domanda è: se io reinstallo Windows, terrei al sicuro i miei file non ancora criptati?

marco81 antonelli,

@Antonacci: mi spiace che tu ti sia trovato in questa situazione.
Quanto ai backup ti consigli di farli automatici e non a mano: affidati a qualche bravo consulente o qualche brava aziendina che gestisce reti e computer.
Lo stesso per capire se davvero hai debellato il virus: devi rivolgerti a un esperto. E’ come per l’elettrauto o per il piastrellista del bagno: anche se le cose sembrano facili ci vuole lo specialista.

Claudio Panerai,

@antonelli: se fai piazza pulita di tutto il pc, ovviamente il virus non ci sarà più.

Claudio Panerai,

Backup,Backup,Backup e immagini del disco su nas e disco usb e non tenere il disco di backup sempre collegato al pc non smetterò mai di dirlo ma ti assicuro che la sensibilità su questi temi è prossima allo zero partendo dal basso

Oriana Dalmini,

Sfortunatamente anche io sono stato infettato da questo particolare virus.
Quando AVG mi ha avvisato ormai era troppo tardi, di danni ne ha fatti anche agli HDD esterni che sono connessi al pc.
Per fortuna non ha fatto in tempo a cifrare tutti i file, una buona parte di essi sono rimasti illessi, un po sono riusito a recuperarli dai supporti ottici e altri sono rimasti cifrati.
I file cifrati li conservo lo stesso, con la speranza remota che si possa trovare una soluzione.
Al momento mi organizzo con una Dok Station utilizando alcuni HDD, messi da parte per la piccola capacità, e li utilizzo per fare il back-up dei dati per poi riporli in luogo sicuro.

Domenico *,

Buongiorno,
a me è successo ieri sera per la seconda volta nell’arco di 3 mesi : che fortuna, vero ?.
La prima volta è capitato a mia moglie … sembra attraverso l’apertura di una e-mail. In questo caso i files "danneggiati" sono stati circa una cinquantina. Ieri sera … a me. Nessuna apertura e-mail, nessuna comunicazione … niente di niente. Ad un certo punto, durante una navigazione ordinaria, sentivo il PC "macinare" … "macinare" … mi sono detto, cosa sta succedendo ? In una frazione di secondo mi sono visto i files sul Desktop diventare "bianchi" e con l’estensione "crypto". Ho staccato subito tutto … ma oramai il danno era fatto. Mi ha colpito tutto !!! Una cosa pazzesca.
Un paio di domande al volo : ma il compurt lo posso usare lo stesso per la navigazione su internet ? Se dovessi salvare un file (pulito) sul Desktop e, poi, passarlo su una chiavetta USB, rischio di compromettere ciò che vi è all’interno della chiavetta ?.
Attendo.
Grazie.
T.

Tiziano P,

ma guarda…innanzitutto contatta l’amica e chiedile se Ti ha effettivamente mandato un qualche messaggio via skype…e poi comunque il virus qui trattato non sembrerebbe corrispondere a quanto da Te illustrato 🙂

nobody,

Sono d’accordo che questo virus sia ben preoccupante e mi lascia basito il fatto che i clienti, dopo opportuna formazione, rimangano indifferenti.
Perché è una cosa che può capitare davvero a tutti (o quasi).

Claudio Panerai,

In anni di lavoro nell’informatica questo è il primo virus che mi preoccupa veramente. Comunque Avira è in grado di individuare il virus prima che si installi e lo identifica come TR/Fraud.Gen2, sempre che la realtime protection sia attiva.
La situazione veramente preoccupante è però un’altra. La divulgazione fatta verso i clienti di questo rischio ha lasciato molti di essi indifferenti, come se questo non fosse un problema per loro rilevante.

Emilio Polenghi,

Le tematiche che hai sollevato sono di non poco conto.
Infatti questo articolo o meglio, questo virus, ha sicuramente dei risvolti sociali; e nemmeno troppo chiari.

Claudio Panerai,

in risposta a "u0000":-… il pollo paga ed il sistema non ti restituisce i file lo stesso .. con chi te la prendi ?? con nessuno ovviamente…-
"Noi" crediamo che all’hacker in questo caso,per guadagnarci, non convenga non restituire i file perche’ altrimenti Nessuno accetterebbe di pagare "tanto non vale la pena")…

nobody,

Confermo che il sory_77749.pdf.exe è un probabile virus, diverso da Cryotpolocker, anche se stanno venendo fuori diverse varianti di questo virus.
Se non hai cliccato nulla, non ti succederà nulla, Ali.
Ad ogni modo avvisa la tua amica, perché probabilmente lei qualche virus deve averlo preso.

Claudio Panerai,

@nobody: per quanto sia "amorale" parle di pagare gli hacker, sono d’accordo con te.
Se vogliono fare soldi i creatori di Cryptlocker devono essere "affidabili".

Claudio Panerai,

.io uso cripto prevent è un buon strumento?, non m’intendo molto di queste cose

Carlos Menetto,

La miglior difesa rimane sempre la prevenzione. Mi riferisco soprattutto agli utenti privati, fate il backup dei vostri dati, ci sono programmi free che fanno anche backup incrementali. Oppure fate un backup immagine del sistema. Windows 7 e 8 implementa un’utility adatta, altrimenti usate Macrium Reflect o Easus Todo Backup.

girovago,

Buonasera!! sono stato ingannato da una mail di SDA corriere e aprendo l’allegato mi è entrato il virus!! ma ho notato che ha colpito solo i file del desktop mentre tutto il resto del PC funziona benissimo. Ci sono rischi che possa dilagarsi a macchia d’olio?? nella pagina di richiesta riscatto dice che mi hanno criptato circa 2500 file… di cui almeno 2000 erano foto e musica quindi inutili. Puntualizzo che si tratta di PC di lavoro quindi vorrei sapere se rischia di andare a contaminare il server!! aiuto!!!

Daniele Anfuso,

Concordo con "girovago": la miglior difesa è e credo che sempre sarà la prevenzione.

Claudio Panerai,

@carlos menetto: personalmente non ho utilizzato CryptoPrevent, ma in rete ne ho letto bene per cui credo che effettivamente faccia un buon servizio di prevenzione da CryptoLocker.
Tuttavia come dice "girovago" fare un backup di dati "buoni" è sempra buona norma.

Claudio Panerai,

Salve a tutti.
Ho avuto lo stesso problema. Con Kaspersky rescue disk ho eliminato il virus e l’ho dovuto fare anche manualmente andando a ricercare quei due file infetti syshost.exe e C731200.
Quindi ho potuto installare l’antivirus. Fatta la scansione (5 ore) tutto pulito.
Restano i file dei documenti che non riesco a leggere poichè crittografati, ma non ho cose importanti grazie alla prevenzione appunto.
Mi chiedevo però se l’eliminazione di qualche certificato potesse in qualche modo influire sulla lettura dei files.
Nel frattempo li tengo così aspettando una soluzione.
Ciao.
Marco

Marco,

@Daniele: il problema di questi virus che criptano i file è proprio che si espandono a macchia d’olio. L’effettivo comportamento dipende dal singolo virus, ma qualsiasi cosa "collegata" a un pc infetto è a rischio: un disco USB, una cartella di rete, un server, ecc

Claudio Panerai,

ilback upa lo faccio praticamente ogni giorno quindi non problem

Carlos Menetto,

Sig.Panerai, relativamente alla mail della Sda volevo sapere qual e’ il tempo di infezione dall’apertura della mail alla crittografia dei file?

Ophelia,

Claudio Panerai: spiegami come fai a conoscere persone che hanno fatto il pagamento e hanno risolto. Erano per caso vicini di casa tua?
tu dici non faccio pubblicità pero incentivi le persone a pagare (non voglio alludere a nulla)però sotto sotto dici (conosco personalmente alcune persone che dietro riscatto hanno riavuto i loro file.) io personalmente ho pagato e non ho ricevuto nessun beneficio .
anzi sono stato derubato 2 volte da coglione, per ascoltare persone di cui non faccio nomi che dicono pagate il riscatto.

antonio72_6@tiscali.it randazzo,

@randazzo: ho alcune osservazioni
1) questo articolo è vecchio di 1 anno e mezzo e alcune cose dette mesi fa possono non essere piu’ vere vista la rapida evoluzione dei virus
2) come scritto in cima all’articolo, un nuovo thread di discussione si è spostato su questo articolo: https://www.achab.it/achab.cfm/it/blog/achablog/esiste-la-soluzione-per-cryptolocker-cbt-locker-e-cryptowall
3) in ogni caso fra le risposte che ho dato c’è scritto "purtroppo una volta preso il virus NON esistono soluzioni etiche e ufficiali per riavere i dati"
4) lavoriamo con oltre 3.000 clienti da 20 anni: ne conoscerò qualcuno molto molto molto bene da sapere come vanno i suoi sistemi informativi…
5) io posso sbagliare ma non mento MAI. Chiedilo a colleghi e clienti 🙂

Claudio Panerai,

Virus mi ha colpito… perduto libri scritti in prosa e poesia. Sono disperata… SOS

Filippini Maria Antonietta,

sono stato infettato dal virus per mia fortuna a parte qualche foto del cavolo e qualche cosa di musica non ho niente, non ci lavoro…..mi hanno detto di pagare 520€ e non voglio pagare che mi consigliate di fare….posso tranquillamente buttare via l’hard disk??……cioè non ho nessun file importante che faccio?……le password delle email e dei profili che ho sui social li criptano?…..se potete rispondetemi alla mia email federico_mingarelli@libero.it

internet mi funziona sono solo i file illeggibili

federico,

@Federico e Maria Antonietta: provate a usare il software descritto in questo articolo.
Se la versione del virus che avete preso voi non è recentissima potreste riuscire a "salvarvi" con delle copie di backup fatte automaticamente dal sistema.
Molte versioni di Cryptolocker cancellano questi "backup automatici", ma non tutte le versioni lo fanno. Per cui potrebbe esserci una chance.

Claudio Panerai,

Salve, volevo condividere la mia soluzione sul (come da titolo di questo post) "come difendersi da Cryptolocker". La soluzione che descrivo riguarda il backup, sperando che possa essere di aiuto a qualcuno; di fatto la vedo come la più efficace "arma di difesa" visto che in molte piccole e medie realtà il pre-alert viene snobbato da utenti e co.
Visto che il programma crittografa unità locali e percosi UNC ho pensato di creare degli snapshot di una condivisione Samba su cui viene effettuato il backup con rsnapshot (4 giornalieri, 2 settimanali, ecc..). Ho creato una macchia con Debian con dei dischi formattati in ext3, su alcuni (in raid 1) tengo la condivisione Samba dove i pc Windows eseguono il backup e su altri (sempre in raid 1) tengo gli snapshot che vengono eseguiti. Cryptolocker al massimo potrà cifrare la condivisione Samba perché è accessibile ma non gli snapshot. Sarebbe opportuno aggiungere a tutto questo un piccolo meccanismo di alert quando l’infezione viene rilevata in modo da poter spegnere la macchina. Pensavo al comportamento del malware descritto da altri utenti secondo i quali inizia a criptare i file in ordine alfabetico. Cito il commento di Gianni Landro
— "Ecco come ho visto funzionare il virus:
Parte da C e, in ordine alfabetico, cripta tutte le cartelle dove vede che ci sono jpg, txt, pdf, file excel o word. In pratica se sono cartelle di sistema non le cripta.
Per fortuna tutti i dati aziendali sono in altre partizioni e su C non ci lavoriamo.
Finito C ha cominciato su D dove mi ha rovinato le prime 2 cartelle da nomi temporanei tipo AAA e AA2 di cui ovviamente non mi interessava.
Il fatto che ci abbia messo così tanto a criptare C è dovuto alla "fortuna" di aver messo su C 2 cartelle temporanee che uso come ulteriore backup per le foto. Cartelle "consistenti" in termini di numero di file non tanto di dimensioni." –
Si potrebbe creare un file di nome a.txt sull’unità di rete montata su A: o B: da Samba e sulla macchina Debian un job che spenga la macchina immediatamente . Per il fileserver di backup eseguo una cosa del genere come root: while [[ 1 ]]; do inotifywait -e modify /var/test/a.txt; halt; done
Per spegnere la macchina Windows ci sto lavorando. Altra idea è che alla modifica di quel file si potrebbe creare sempre nella stessa unità di rete un job simile a quello sopra che crei che so.. 10 mila piccoli file con estensione che piaccia al malware per cercare di rallentarlo. Spero di essere stato utile a qualcuno. Buon lavoro a tutti.

Denis Dal Ronco,

L’unica soluzione che al momento mi sento di consigliare e che personalmente ho provato e salvato tantissimi file con successo e quello di spegnere la macchina il piu’ presto possibile appena si vede un icona richiedente il riscatto e riavviarla con un live via USB di Ubuntu (LInux) passando per le impostanzioni del PC (BIOS).
In ambiente UNIX i CRYPTOFORTRESS non riescono ad agire e voi potete sottrarre i file non criptati al crudele destino. Ho perso molto lavoro con questo maledetto "virus" (che poi virus non è) e magari con questa indicazione qualcuno riesce a salvare in tempo i preziosi file. Aggiungo che è una vergogna che nel 2015 nessun antivirus fermi o in qualche modo argini la diffusione: forse tutto voluto per riportare in alto il fatturato delle compagnie di antivirus che con le ultime distribuzioni sicure dei S.O era in forte calo? saluti

Alberto Penzo,

A metà giugno avevo inserito un commento … sfortunatamente non ho avuto riscontro. Spero di ricevere "voce" a questo ulteriore help.
Ho notato che il PC può ugualmente essere utilizzato … sia su internet sia sui programmi di base installati. Ora vi chiedo : secondo Voi è tutto infetto ? Lo devo far formattare ?.
Attualmente ci lavoro … scarico files … mi sconnetto … copio i files su disco esterno.
E’ bruttissimo lavorare così, ma la paura di perdere tutto è elevata.
Spero di ricevere riscontro.
Grazie.
T

Tiziano P,

@Tiziano: il virus crittografico non impedisce il normale funzionamento del PC: l’unica cosa che fa è cifrare i documenti.
Se non ti senti tranquillo, fallo formattare d qualche buon tecnico così lavorerai più sereno.

Claudio Panerai,

Che virus fetente, in tanti anni di utilizzo pc non sono mai stato sconfitto così brutalmente da un virus, ho preso il virus da un sito di streaming dopo che mi chiedeva in continuazione di autorizzare una finestra di Windows… Alla fine ho perso tutti i documenti e le foto… fortuna che avevo vari backup ma alla fine ho dovuto formattare il pc(con windows8 che è penoso, il peggior sistema operativo della storia) ora sto lavorando per tantare di montare il linux, questa storia di criptolocker mi ha shoccato. NON PAGATE NIENTE!!! PRIMA O POI SE NE VERRÀ A CAPO, Fate i backup piuttosto

Giulio,

Ciao a tutti 3 giorni fà ho preso questo, ho letto i vostri forum, tentato di recuperare i miei file ma senza successo. Speranzoso che vada a buon fine come per acuni di voi, pur di non perdere 15 anni di ricordi delle mie figlie sono arrivato anche ad accettare di dover pagare il riscatto ma malgrado tutto sono ancora riuscito a trovare un sito attendibile che mi venda questi bitcoin (Bitboat ha trovato sospetta la mia richiesta, Postebit mi dà un massimo di 0,35bitcoin (non sufficienti). Accetto suggerimenti (claro). Grazie a tutti

Enrico Marcobelli,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.