guida rimozione Cryptowall 3.0what happened to your files all of your files were protected by a strong encryption with rsa-2048

Che cosa è successo ai tuoi file? Tutti i file risultano protetti da una crittografia avanzata con RSA-2048 utilizzando CryptoWall 3.0. Una nuova e migliorata variante CryptoWall ransomware è stato infettare i computer di tutto il mondo negli ultimi giorni. Il nuovo CryptoWall 3.0 utilizza un messaggio di riscatto localizzato e passa il traffico verso un sito web dove le vittime possono pagare per la chiave di decrittazione necessaria per sbloccare i propri file attraverso reti anonime Tor e I2P.

Cryptolocker è il capostipite di una famiglia di malware (detti ransomware), purtroppo sempre più ampia, che blocca i file personali degli utenti crittografandoli e rendendoli di fatto inaccessibili.
CryproWall è un tipo di file la crittografia di minaccia, che una volta attivata sulla macchina infetta crittografa alcuni file su di esso e chiede una multa ($500 ) al fine di fornire alla vittima con la chiave di decrittazione. Il riscatto deve essere pagato in Bitcoin moneta digitale.

Il termine di pagamento è estesa da cinque giorni per una settimana intera, dopo di che la tassa viene elevato $1000.

I truffatori hanno creato ulteriori file contenenti informazioni relative al pagamento e il ripristino dei dati crittografati:

  • HELP_DECRYPT.HTML: usa il browser web per visualizzare le informazioni sulla minaccia, metodi di crittografia e di pagamento;
  • HELP_DECRYPT.PNG: contiene dettagli su CryptoWall 3.0;
  • HELP_DECRYPT.TXT: lo stesso come il precedente, ma in testo normale;
  • HELP_DECRYPT.URL: usa il browser web corrente per visualizzare la CryptoWall 3.0 Decrypt servizio quando Windows viene caricato.

Dr. Web afferma di essere in grado di decodificare i file cifrati da molti ransomware, comprese le varianti meno note.
Gli esperti si stanno interrogando sulle modalità utilizzate dai tecnici di Dr. Web per decodificare i file cifrati dai tanti figli di Cryptolocker ma, allo stato attuale, c’è massimo riserbo intorno a questo aspetto.

Vale la pena evidenziare, innanzi tutto, che Dr. Web sembrerebbe assegnare il nome Trojan.Encoder a tutti i ransomware scoperti nel corso del tempo, indipendentemente dalle varianti. All’appellativo Trojan.Encoder viene abbinato un codice numerico che varia in funzione della specifica famiglia di encoder ossia sulla base di quei componenti che, una volta in esecuzione sul sistema, crittografano i file dell’utente.

In questa pagina Dr. Web pubblica una lista dei file che risultano decodificabili.
In realtà, abbiamo potuto verificare come Dr. Web sia in grado di decodificare varianti non presenti in lista quali Trojan.Encoder.761 e Trojan.Encoder.225.

Allo stato attuale non ci risulta che nessun’altra società specializzata in soluzioni per la sicurezza informatica sia in grado di recuperare i file crittografati da ransomware così come Dr. Web.
Dr. Web avrebbe infatti allestito un team di tecnici impegnati pressoché esclusivamente nello studio dei ransomware e nelle modalità di decodifica dei dati.

Consigliamo a chi si trovasse nell’impossibilità di accedere ai propri dati perché crittografati da Cryptolocker o da altri ransomware di acquistare una licenza di Dr. Web Security Space.
La licenza viene commercializzata a soli 28 euro annuali e visitando più volte il sito di Dr. Web si vedrà generalmente comparire un’offerta speciale che permette di usufruire di uno sconto variabile dal 30% al 50%.

A questo punto, visitando questa pagina, si potrà richiedere ai tecnici di Dr. Web di tentare la decodifica dei file cifrati da Cryptolocker o da altri ransomware.

Per poter procedere bisognerà indicare:
– il proprio nome e cognome nella casella Nome/Ente
– il proprio indirizzo email (indicare lo stesso indirizzo di posta collegato alla licenza di Dr. Web Security Space)
– il numero di serie della licenza di Dr. Web Security Space

Nella casella Testo della richiesta, si può digitare qualcosa di simile:
Hello. My personal files were enciphered by a ransomware identified by Dr.Web as [specificare eventualmente la denominazione Trojan.Encoder.XXX].”

Cliccando su Scegli file si dovrà selezionare un file crittografato da ransomware. Il consiglio è quello di inviare un file con estensione DOC ed un file con estensione XLS.
Non si inviino, invece, file nel formato DOCX, XLSX o ODT.
Per aggiungere un secondo file, basterà cliccare sull’icona raffigurante il simbolo “+”.

Nell’esempio si vede come sia in corso l’invio di file cifrati da Tesla Crypt (estensione .ecc).

Dopo aver fatto clic sul pulsante Send, si dovrebbe ricevere – a stretto giro – una risposta da parte del supporto tecnico di Dr. Web.





In alcuni casi, i tecnici di Dr. Web potrebbero richiedere l’invio dei file “guida” o “help file” visualizzato dal ransomware e contenente le istruzioni per l’effettuazione del pagamento (si chiama HELP_TO_SAVE_YOUR_FILES.txt, HELP_RESTORE_FILES.txt o ha un nome simile).

Nel caso in cui l’operazione dovesse avere esito positivo, i tecnici di Dr. Web invieranno gli stessi file trasmessi dall’utente in forma decodificata insieme con il tool per decifrare automaticamente tutti gli altri dati, senza versare alcun riscatto.

Facci sapere nei commenti se anche tu sei stato infetto da questo virus e se sei riuscito a risolvere in altro modo!