Crypt0L0cker Virus

Conosciuto inoltre come: Crypt0L0cker ransomware
Distribuzione: Basso
Livello di danno: Grave

Crypt0L0cker ransomware, istruzioni di rimozione

Cos'è Crypt0L0cker?

Crypt0L0cker è un'infezione ransomware che si infiltra nel computer degli utenti utilizzando allegati  infetti dei messaggi di posta elettronica (più comunemente gli argomenti dei messaggi includono: "numero di spedizione", "multe", "fattura non pagata", etc.). Si noti che i criminali informatici localizzano i messaggi e-mail per farli apparire più legittimi. Ad esempio, gli utenti di computer situati nel Regno Unito riceveranno un messaggio e-mail falso sostenendo di essere un messaggio di invio del numero di spedizione della  Royal Mail, gli utenti PC Australiani avrebbero ricevuto un messaggio da Australia Post, ecc. Dopo l'infiltrazione, questo malware crittografa i file sul computer e chiede di pagare un riscatto di 2,2 Bitcoin per decifrarli. Crypt0l0cker ransomware crittografa tutti i file presenti sul computer, tranne i file .html, inf, manifest, chm, .ini, tmp, log, .url, .lnk, .cmd, .bat, .scr, msi, sys, dll, exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp e .txt (file necessari per il normale funzionamento di Windows).

i file crittografati ricevono un prefisso .encrypted, in ogni cartella che contiene i file crittografati Crypt0l0cker scrive file DECRYTP_INSTRUCTIONS.html e DECRYPT_INSTRUCTIONS.txt con le istruzioni su come pagare un riscatto. Questo ransomware è rivolto a utenti di computer da Australia, Austria, Canada, Repubblica Ceca, Italia, Irlanda, Francia, Germania, Paesi Bassi, Corea, Thailandia, Nuova Zelanda, Spagna, Turchia e Regno Unito. Si tratta di una variante aggiornata di un malware precedentemente noto come TorrentLocker. I criminali responsabili della creazione di Crypt0l0cker usano una rete TOR per raccogliere i pagamento del riscatto dalle loro vittime. La rete TOR assicura che le loro identità e posizione rimarranno anonimi.

Crypt0L0cker virus

Le infezioni ransomware quali Crypt0L0cker (comprese CryptoWall, TeslaCrypt e CTB-Locker) rappresentano un ottimo motivo per mantenere il backup regolare dei dati memorizzati. Si noti che pagare il riscatto, come richiesto da questo ransomware, equivale a inviare i vostri soldi a dei cyber criminali - si sosterrà il loro modello di business dannoso e non vi è alcuna garanzia che i vostri file saranno mai decifrati.

Sommario della Minaccia:
NomeCrypt0L0cker ransomware
Tipo di MinacciaRansomware, Crypto Virus
SintomiNon è possibile aprire i file memorizzati sul computer, in precedenza i file funzionali ora hanno un'estensione diversa, ad esempio my.docx.locked. Un messaggio di richiesta di riscatto viene visualizzato sul desktop. I criminali informatici chiedono di pagare un riscatto (di solito in bitcoin) per sbloccare i file.
Metodi di distribuzioneAllegati e-mail infetti (macro), siti web torrent, annunci dannosi.
DanniTutti i file sono crittografati e non possono essere aperti senza pagare un riscatto. È possibile installare ulteriori trojan di password e trojan e infezioni da malware insieme a un'infezione da ransomware.
Rimozione

Per eliminare Crypt0L0cker ransomware i nostri ricercatori di malware consigliano di scansionare il tuo computer con Spyhunter.
▼ Scarica Spyhunter
Lo scanner gratuito controlla se il tuo computer è infetto. Per rimuovere il malware, devi acquistare la versione completa di Spyhunter.

Per evitare l'infezione del computer con infezioni ransomware come questa, esprimere attenzione durante l'apertura dei messaggi di posta elettronica, perchè i criminali informatici utilizzano vari titoli accattivanti per ingannare gli utenti di PC ad aprire allegati di posta elettronica infetti. Si noti che al momento della stesura di questo articolo non erano disponibili strumenti per decriptare i file interessati da Crypt0locker malware senza pagare il riscatto.

I criminali informatici hanno tradotto il ransomware Crypt0l0cker in varie lingue di diversi paesi, ecco un esempio di questo ransomware destinati a utenti della Corea:

Crypt0L0cker virus targeted at PC users from Korea

Screenshot di DECRYTP_INSTRUCTIONS.html:

Crypt0L0cker decrypt_instructions.html file

Testo mostrato dal file DECRYTP_INSTRUCTIONS.html:

ATTENZIONE abbiamo crittografati i file con il virus Crypt0L0cker. I tuoi file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker. L'unico modo per ottenere il vostro file indietro è quello di pagare noi. In caso contrario, i file verranno persi. Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.

Screenshot di DECRYPT_INSTRUCTIONS.txt:

Crypt0L0cker decrypt_instructions.txt file

Testo mostrato dal file DECRYTP_INSTRUCTIONS.html:

!!! WE HAVE ENCRYTPED YOUR FILES WITH Crypt0L0cker VIRUS !!!
What happened to my files? Your important files: photos, videos, document, etc. were encrypted with our Crypt0L0cker virus. This virus uses very strong encryption algorithm - RSA -2048. Breaking of RSA-2048 encryption algorithm is impossible without special decryption key. How can I get my files back? Your files are now unusable and unreadable, you can verify it by trying to open them. The only way to restore them to a normal condition is to use our special decryption software. You can buy this decryption software on our website.

Website (raggiungibile attraverso la rete Tor) utilizzato dai criminali informatici per raccogliere il riscatto (2.2 BTC):

Crypt0L0cker buy decryption website

Campioni di messaggi e-mail infetti utilizzati nella distribuzione di Crypt0L0cker ransomware:

infected email message used in Crypt0L0cker distribution sample 1 infected email message used in Crypt0L0cker distribution sample 2 infected email message used in Crypt0L0cker distribution sample 3 infected email message used in Crypt0L0cker distribution sample 4

Esempi di email usate nella distribuzione di Crypt0L0cker ransomware:

Website used in Crypt0L0cker distribution sample 1 Website used in Crypt0L0cker distribution sample 2 Website used in Crypt0L0cker distribution sample 3 Website used in Crypt0L0cker distribution sample 4

Si noti che al momento della scrittura, non c'erano strumenti noti in grado di decifrare i file crittografati da Crypt0l0cker senza pagare il riscatto (provare a ripristinare i file da copie shadow). Seguendo questa guida la rimozione, si sarà in grado di rimuovere questo ransomware dal computer, tuttavia, i file interessati rimarranno criptati. Aggiorneremo questo articolo non appena ci sono ulteriori informazioni disponibili per quanto riguarda la decrittografia dei file compromessi.

Rimozione di Crypt0L0cker ransomware:

Rimozione automatica istantanea di Crypt0L0cker ransomware: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Spyhunter è uno strumento professionale per la rimozione automatica del malware che è consigliato eliminare Crypt0L0cker ransomware. Scaricala cliccando sul pulsante qui sotto:
▼ SCARICA Spyhunter Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Spyhunter. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu rapido:

Step 1

Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dalla lista.

Modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 Safe Mode with networking

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Step 2

Login nel conto infettato con il Crypt0L0cker. Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci rilevate.

Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.

Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema":

1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.

Modalità provvisoria con prompt dei comandi

2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.

prompt dei comandi cd restore

3. Quindi, digitare: rstrui.exe

prompt dei comandi rstrui.exe

4. Nella finestra che si apre premere AVANTI.

prompt dei comandi

5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware TorLocker si sia infiltrato nel PC).

punto di ripristino

6. Nella finestra che si apre cliccare su SI.

ripristino

7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di Crypt0L0cker.

Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino configurazione di sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di Crypt0L0cker sono noti per rimuovere copie shadow volume dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file, fare clic destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarla e fare clic sul pulsante "Ripristina".

ripristino file CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), avvia il pc con un disco di ripristino. 

Alcune varianti di ransomware disabilitano la modalità provvisoria, rendendo così la sua rimozione complicata. Per questo passaggio, si richiede l'accesso a un altro computer.

Per riprendere il controllo dei file crittografati da TorLocker si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui.

shadow explorer screenshot

Per proteggere il computer da questi ransomware, è necessario utilizzare antivirus affidabili e programmi anti-spyware. Come metodo di protezione, utilizzare un programma chiamato CryptoPrevent (CryptoPrevent impianta artificialmente oggetti di gruppo nel Registro di sistema per bloccare i programmi canaglia quali Crypt0L0cker.)

cryptoprevent screenshot

Altri strumenti utili per eliminare Crypt0L0cker:

Fonte: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus

CY

CONSIGLIO PER RECUPERARE DATI CRIPTATI da Hard Disk infettati da ransomware (tipo Crypt0l0cker, e sim) - dopo eliminazione del virus con opportuno antivirus.

Siccome il virus è un programma che cripta i file ed elimina i file originali, i file originali, pur non essendo più visibili, rimangono comunque fisicamente sull'hard disk almeno fino a che non vengono sovrascritti da nuovi file. Si può dunque procedere come segue:

- Punto 1 - IMPORTANTISSIMO: NON UTILIZZARE L'HARD DISK per salvare file onde evitare di sovrascrivere i file cancellati

- Punto 2: procurare un programma tipo Undeleter per recuperare dall'hard disk i file cancellati

- Punto 3: salvare i file recuperati su un altro hard disk (sempre al fine di evitare qualunque sovrascrittura)

N.B. Non è detto che si riescano a recuperare tutti i dati perché può accadere che (soprattutto se lo spazio libero sull'HD è scarso) i file criptati siano già loro stessi andati a sovrascrivere file originali.

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Codice QR
Crypt0L0cker ransomware Codice QR
Un codice QR (Quick Response Code) è un codice leggibilemeccanicamente che memorizza gli URL e altre informazioni. Questo codice può essere letto utilizzando una telecamera su uno smartphone o un tablet. Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di Crypt0L0cker ransomware sul tuo dispositivo mobile.
Noi raccomandiamo:

Liberati di Crypt0L0cker ransomware oggi stesso:

▼ RIMUOVILO con Spyhunter

Piattaforma: Windows

Valutazione degli Editori per Spyhunter:
Eccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Spyhunter.