Crypt0L0cker Virus
Scitto da Tomas Meskauskas il (aggiornato)
Crypt0L0cker ransomware, istruzioni di rimozione
Cos'è Crypt0L0cker?
Crypt0L0cker è un'infezione ransomware che si infiltra nel computer degli utenti utilizzando allegati infetti dei messaggi di posta elettronica (più comunemente gli argomenti dei messaggi includono: "numero di spedizione", "multe", "fattura non pagata", etc.). Si noti che i criminali informatici localizzano i messaggi e-mail per farli apparire più legittimi. Ad esempio, gli utenti di computer situati nel Regno Unito riceveranno un messaggio e-mail falso sostenendo di essere un messaggio di invio del numero di spedizione della Royal Mail, gli utenti PC Australiani avrebbero ricevuto un messaggio da Australia Post, ecc. Dopo l'infiltrazione, questo malware crittografa i file sul computer e chiede di pagare un riscatto di 2,2 Bitcoin per decifrarli. Crypt0l0cker ransomware crittografa tutti i file presenti sul computer, tranne i file .html, inf, manifest, chm, .ini, tmp, log, .url, .lnk, .cmd, .bat, .scr, msi, sys, dll, exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp e .txt (file necessari per il normale funzionamento di Windows).
i file crittografati ricevono un prefisso .encrypted, in ogni cartella che contiene i file crittografati Crypt0l0cker scrive file DECRYTP_INSTRUCTIONS.html e DECRYPT_INSTRUCTIONS.txt con le istruzioni su come pagare un riscatto. Questo ransomware è rivolto a utenti di computer da Australia, Austria, Canada, Repubblica Ceca, Italia, Irlanda, Francia, Germania, Paesi Bassi, Corea, Thailandia, Nuova Zelanda, Spagna, Turchia e Regno Unito. Si tratta di una variante aggiornata di un malware precedentemente noto come TorrentLocker. I criminali responsabili della creazione di Crypt0l0cker usano una rete TOR per raccogliere i pagamento del riscatto dalle loro vittime. La rete TOR assicura che le loro identità e posizione rimarranno anonimi.
Le infezioni ransomware quali Crypt0L0cker (comprese CryptoWall, TeslaCrypt e CTB-Locker) rappresentano un ottimo motivo per mantenere il backup regolare dei dati memorizzati. Si noti che pagare il riscatto, come richiesto da questo ransomware, equivale a inviare i vostri soldi a dei cyber criminali - si sosterrà il loro modello di business dannoso e non vi è alcuna garanzia che i vostri file saranno mai decifrati.
| Nome | Crypt0L0cker ransomware |
| Tipo di Minaccia | Ransomware, Crypto Virus |
| Sintomi | Non è possibile aprire i file memorizzati sul computer, in precedenza i file funzionali ora hanno un'estensione diversa, ad esempio my.docx.locked. Un messaggio di richiesta di riscatto viene visualizzato sul desktop. I criminali informatici chiedono di pagare un riscatto (di solito in bitcoin) per sbloccare i file. |
| Metodi di distribuzione | Allegati e-mail infetti (macro), siti web torrent, annunci dannosi. |
| Danni | Tutti i file sono crittografati e non possono essere aperti senza pagare un riscatto. È possibile installare ulteriori trojan di password e trojan e infezioni da malware insieme a un'infezione da ransomware. |
| Rimozione | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Per evitare l'infezione del computer con infezioni ransomware come questa, esprimere attenzione durante l'apertura dei messaggi di posta elettronica, perchè i criminali informatici utilizzano vari titoli accattivanti per ingannare gli utenti di PC ad aprire allegati di posta elettronica infetti. Si noti che al momento della stesura di questo articolo non erano disponibili strumenti per decriptare i file interessati da Crypt0locker malware senza pagare il riscatto.
I criminali informatici hanno tradotto il ransomware Crypt0l0cker in varie lingue di diversi paesi, ecco un esempio di questo ransomware destinati a utenti della Corea:
Screenshot di DECRYTP_INSTRUCTIONS.html:
Testo mostrato dal file DECRYTP_INSTRUCTIONS.html:
ATTENZIONE abbiamo crittografati i file con il virus Crypt0L0cker. I tuoi file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker. L'unico modo per ottenere il vostro file indietro è quello di pagare noi. In caso contrario, i file verranno persi. Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Screenshot di DECRYPT_INSTRUCTIONS.txt:
Testo mostrato dal file DECRYTP_INSTRUCTIONS.html:
!!! WE HAVE ENCRYTPED YOUR FILES WITH Crypt0L0cker VIRUS !!!
What happened to my files? Your important files: photos, videos, document, etc. were encrypted with our Crypt0L0cker virus. This virus uses very strong encryption algorithm - RSA -2048. Breaking of RSA-2048 encryption algorithm is impossible without special decryption key. How can I get my files back? Your files are now unusable and unreadable, you can verify it by trying to open them. The only way to restore them to a normal condition is to use our special decryption software. You can buy this decryption software on our website.
Website (raggiungibile attraverso la rete Tor) utilizzato dai criminali informatici per raccogliere il riscatto (2.2 BTC):
Campioni di messaggi e-mail infetti utilizzati nella distribuzione di Crypt0L0cker ransomware:
Esempi di email usate nella distribuzione di Crypt0L0cker ransomware:
Si noti che al momento della scrittura, non c'erano strumenti noti in grado di decifrare i file crittografati da Crypt0l0cker senza pagare il riscatto (provare a ripristinare i file da copie shadow). Seguendo questa guida la rimozione, si sarà in grado di rimuovere questo ransomware dal computer, tuttavia, i file interessati rimarranno criptati. Aggiorneremo questo articolo non appena ci sono ulteriori informazioni disponibili per quanto riguarda la decrittografia dei file compromessi.
Rimozione di Crypt0L0cker ransomware:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cos'è Crypt0L0cker?
- STEP 1. Crypt0L0cker ransomware, rimozione attraverso modalità provvisoria con rete
- STEP 2. Crypt0L0cker ransomware, rimozione attraverso ripristino del sistema.
Step 1
Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dalla lista.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Step 2
Login nel conto infettato con il Crypt0L0cker. Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci rilevate.
Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.
Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema":
1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.
2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.
3. Quindi, digitare: rstrui.exe
4. Nella finestra che si apre premere AVANTI.
5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware TorLocker si sia infiltrato nel PC).
6. Nella finestra che si apre cliccare su SI.
7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di Crypt0L0cker.
Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino configurazione di sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di Crypt0L0cker sono noti per rimuovere copie shadow volume dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.
Per ripristinare un file, fare clic destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarla e fare clic sul pulsante "Ripristina".
Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), avvia il pc con un disco di ripristino.
Alcune varianti di ransomware disabilitano la modalità provvisoria, rendendo così la sua rimozione complicata. Per questo passaggio, si richiede l'accesso a un altro computer.
Per riprendere il controllo dei file crittografati da TorLocker si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui.
Per proteggere il computer da questi ransomware, è necessario utilizzare antivirus affidabili e programmi anti-spyware. Come metodo di protezione, utilizzare un programma chiamato CryptoPrevent (CryptoPrevent impianta artificialmente oggetti di gruppo nel Registro di sistema per bloccare i programmi canaglia quali Crypt0L0cker.)
Altri strumenti utili per eliminare Crypt0L0cker:
Fonte: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus
Eccezionale!
▼ Mostra Discussione