Come rimuovere NetWalker ransomware dal sistema operativo?

Conosciuto inoltre come: NetWalker virus
Distribuzione: Basso
Livello di danno: Grave

Come rimuovere NetWalker ransomware

Cos'è NetWalker?

NetWalker è una versione aggiornata di Mailto ransomware. I sistemi infettati da questo malware subiscono la crittografia dei dati e ricevono richieste di riscatto per gli strumenti o software di decodifica. Durante il processo di crittografia, a tutti i nomi dei file compromessi viene aggiunta un'estensione composta da una stringa di caratteri casuali; ad esempio, un file originariamente intitolato "1.jpg" potrebbe apparire come qualcosa di simile a "1.jpg.3289cf". Al termine di questo processo, una nota di riscatto "[stringa-casuale]-Readme.txt" viene rilasciata in ogni cartella interessata.

Il messaggio di riscatto informa le vittime che i loro dati sono stati crittografati da Netwalker. L'unico modo per recuperare i file è acquistare gli strumenti o software di decodifica dai cyber criminali dietro l'infezione. Per fare ciò, gli utenti devono stabilire un contatto con i criminali. Questo deve essere fatto aprendo il sito Web del malware (il suo link è elencato nella nota) tramite il browser Tor. Sebbene questa decrittazione del sito possa essere testata caricando un file crittografato. Le vittime sono inoltre avvisate che l'arresto o il riavvio del dispositivo infetto o il tentativo di decrittazione manuale comporteranno la perdita permanente dei dati. Ci sono ulteriori informazioni fornite nella pagina web, riguardanti l'infezione, il pagamento e la decrittazione. Si dice che il riscatto sia 26.50830000 BTC (criptovaluta Bitcoin), tuttavia, nel caso in cui le vittime non dovessero pagare entro il tempo stabilito, raddoppierà. Al tasso di cambio attuale, questa somma vale circa 230.000 USD (nota, i tassi di cambio oscillano costantemente). Tuttavia, anche se sfruttato contro le grandi aziende, questo riscatto è significativamente più grande della norma; quindi, rendendo questa infezione ancora più sospetta in quanto poche entità sarebbero disposte a pagare tale importo. A differenza di quanto indicato nella nota di riscatto, il sito offre la decrittazione gratuita di tre file. Questi file di test non possono avere dimensioni superiori a 3 MB, ma devono anche essere file di documenti di piccole dimensioni o di immagini (ad es. Formati .jpg, jpeg, .png, .bmp, .doc, .docx). Sfortunatamente, in molti casi di infezioni da ransomware, la decrittazione è impossibile senza interferenze dei cyber criminali responsabili. Potrebbe essere, se il programma dannoso è ancora in fase di sviluppo e presenta bug (difetti). In ogni caso, è espressamente sconsigliato di pagare i criminali. Da spesso, nonostante soddisfino le richieste, le vittime non ricevono gli strumenti di decrittazione promessi. Pertanto, si verificano perdite finanziarie e i loro dati rimangono crittografati. Per impedire a NetWalker ulteriori crittografie, è necessario eliminarlo dal sistema operativo. Tuttavia, la rimozione non ripristinerà i file già interessati. L'unica soluzione praticabile è recuperarli da un backup, se ne è stato effettuato uno prima dell'infezione ed è stato archiviato in una posizione separata.

Schermata di un messaggio che incoraggia gli utenti a pagare un riscatto per decrittografare i loro dati compromessi:

NetWalker decrypt instructions ([random-string]-Readme.txt)

OFFWHITE, ZorgoCry e Paymen45 sono un paio di esempi di altri programmi di tipo ransomware. Crittografano i dati e richiedono il pagamento per la decrittazione. Le differenze cruciali tra questi programmi o infezioni includono: l'algoritmo crittografico che usano (simmetrico o asimmetrico) e dimensioni del riscatto. Questi ultimi in genere vanno da tre a quattro cifre, in rari casi: possono inserire somme di cinque cifre (USD). I criminali informatici tendono a chiedere che i pagamenti vengano effettuati in valute digitali (principalmente, criptovalute), a causa delle loro transazioni difficili o impossibili da rintracciare. Per evitare la perdita di dati, si consiglia di conservare i backup nei server remoti e nei dispositivi di archiviazione non collegati (preferibilmente, in diverse posizioni).

In che modo il ransomware ha infettato il mio computer?

Il ransomware e altri malware sono principalmente distribuiti utilizzando campagne di spam, trojan, strumenti di attivazione illegale ("cracking"), aggiornamenti illegittimi e fonti di download non affidabili. Le campagne di spam vengono utilizzate per inviare email ingannevoli su larga scala. A questa posta sono allegati file infetti o, in alternativa, sono presenti collegamenti per il download di contenuti dannosi. I file virulenti possono essere in vari formati (ad es. Documenti di Microsoft Office e PDF, file di archivio ed eseguibili, JavaScript, ecc.) e quando vengono aperti - viene avviato il processo di infezione (ad esempio download ed installazione di malware). Alcuni malware di tipo trojan possono causare infezioni a catena. Anziché attivare il prodotto concesso in licenza, gli strumenti "cracking" possono scaricare ed installare software dannoso. Gli aggiornamenti falsi causano infezioni sfruttando i difetti dei prodotti obsoleti e semplicemente installando malware anziché gli aggiornamenti promessi. I contenuti dannosi possono essere scaricati involontariamente da canali non affidabili, ad es. siti web di hosting di file (freeware) non ufficiali e gratuiti, reti di condivisione P2P (BitTorrent, Gnutella, eMule, ecc.) e altri downloader di terze parti.

Sommario:
Nome NetWalker virus
Tipo di minaccia Ransomware, Crypto Virus, Files locker
Estensioni dei file criptati Estensione composta da una stringa di caratteri casuali
RMessaggio di richiesta riscatto [striga-casuale]-Readme.txt
Ammontare del riscatto 26.50830000 BTC (Bitcoin cryptovaluta)
Indirizzo  cryprowallet dei criminali 3GJsUPkJpjo3ULFvio9N7Q81yShqQAfxXN (Bitcoin)
Contatto dei criminali Chat in sito Tor 
Nomi rilevati AVG (Other:Malware-gen [Trj]), BitDefender (Trojan.PowerShell.Agent.GV), ESET-NOD32 (Una variante di Generik.CMKGJSA), Kaspersky (HEUR:Trojan.PowerShell.Generic), Lista completa (VirusTotal)
Sintomi

Impossibile aprire i file memorizzati sul tuo computer, i file precedentemente funzionanti ora hanno un'estensione diversa (ad esempio my.docx.locked). Sul desktop viene visualizzato un messaggio di richiesta di riscatto. I criminali informatici richiedono il pagamento di un riscatto (di solito in bitcoin) per sbloccare i tuoi file.

Metodi distributivi Allegati email (macro) infetti, siti Web torrent, annunci dannosi.
Danni Tutti i file sono crittografati e non possono essere aperti senza un riscatto. È possibile installare ulteriori trojan e infezioni da malware che rubano la password insieme a un'infezione da ransomware.
Rimozione

Per eliminare NetWalker virus i nostri ricercatori di malware consigliano di scansionare il tuo computer con Malwarebytes.
▼ Scarica Malwarebytes
Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Malwarebytes. Hai a disposizione 14 giorni di prova gratuita.

Come proteggersi dalle infezioni da ransomware?

Le email sospette o non pertinenti non devono essere aperte, in particolare qualsiasi file allegato o collegamento trovato in tali - a causa del rischio di possibili infezioni del sistema. Si consiglia di scaricare solo da fonti ufficiali e verificate. Inoltre, è importante attivare e aggiornare i prodotti con strumenti o funzioni, forniti da sviluppatori legittimi. L'uso di strumenti di attivazione illegali ("crack") e di programmi di aggiornamento di terze parti è sconsigliato, poiché spesso proliferano malware. Per garantire la sicurezza dei dispositivi, è fondamentale installare un antivirus o antispyware affidabile. Inoltre, questo software deve essere tenuto aggiornato, utilizzato per eseguire scansioni di sistema regolari ed eliminare tutte le minacce rilevate o potenziali. Se il tuo computer è già infetto da NetWalker, ti consigliamo di eseguire una scansione con Malwarebytes per eliminare automaticamente questo ransomware.

Testo presente nel file di testo di NetWalker ransomware ("[random-string]-Readme.txt"):

Hi!
Your files are encrypted by Netwalker.
All encrypted files for this computer has extension:

--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down,
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised.
Rebooting/shutdown will cause you to lose files without the possibility of recovery.

--
Our  encryption algorithms are very strong and your files are very well protected,
the only way to get your files back is to cooperate with us and get the decrypter program.

Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover.

For us this is just business and to prove to you our seriousness, we will decrypt you one file for free.
Just open our website, upload the encrypted file and get the decrypted file for free.

--

Steps to get access on our website:

1.Download and install tor-browser: hxxps://torproject.org/

2.Open our website: pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion
If the website is not available, open another one: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion

3.Put your personal code in the input form:

-

Aspetto del sito Web di NetWalker (GIF):

NetWalker ransomware website (GIF)

Testo presentato in questa pagina Web:

"Payment" tab:


Your files are encrypted.
Only way to decrypt your files, is buy the decrypter program.
Your user key: 6DAC0A84, write it down and use it to log in again.
The system is fully automated. After payment you will automatically be able to download the decrypter.
Invoice for payment
You have left 3 days 9 hours 28 minutes 20 seconds
Status: Waiting for payment
You can buy the decrypter program for your network.
The amount before the increase is 250000$ (26.50830000 BTC).
If there is no payment before 07.05.20 [15:07], the price will increase by x2 times and will be 500000$ (53.01660000 BTC)
Decrypter for: ALL NETWORK / ALL COMPUTERS / ALL FILES
Bitcoin address: 3GJsUPkJpjo3ULFvio9N7Q81yShqQAfxXN
Amount for payment: 26.50830000 BTC
You payed: 0.00000000 BTC

 

"Free decrypt" tab:


For test we can upload and decrypt 3 images or document files free
File must be less than 3 megabyte.
Allow formats: .jpg, jpeg, .png, .bmp, .doc, .docx

Choose a file or drag it here


"FAQ" tab:


1. Where to buy bitcoin?
1) The fastest and most reliable way is to use the help of Cyber Security IT company, they will be able to solve all questions for you.
2) Buy bitcoins with cash, use google to search for sellers.
You will need a bitcoin wallet, we recommend using it: hxxps://login.blockchain.com/#/signup
3) The slowest way is to buy bitcoin on the exchange. The exchange requires verification, this process may take several days.
List of exchanges:
1) hxxps://localbitcoins.com
2) hxxps://blockchain.com
3) hxxps://www.coindesk.com
4) Other exchange.

 

2. How long after payment will I be able to get the decrypter program?
You will be able to download the decrypter program as soon as Your transaction has more 4 of confirmations.
This usually takes between 30 minutes and 3 hours.
(Depending on the size of the commission. Never specify a zero сommission, use an average/high сommission.)

 

3. I sent a message to the chat, how long to wait for a response?
The average response time to messages is 2 hours.
The maximum response time is 12 hours.

 

4. How can I make sure that you can decrypt my files?
When you log in, your user code or user key is checked and your keys are searched.
If you are logged in, your keys are found.
To make sure, you can decrypt 3 of photos (images) and document files for free in the "free decrypt" section

 

5. How can I make sure That you will give me the decrypter program after payment?
It's just business. We value our name, so after payment you are guaranteed to get the decrypter program.

 

6. How long does it take to decrypt files?
Decryption of files is a very fast process, it all depends on the number of encrypted files, as well as their location HDD/Network.

 

7. What if I can 't decrypt my files after receiving the decrypter program?
This is excluded, Your files will be 100% decrypted.
After payment, you will receive instructions for decryption along with the decrypter program.
We will answer any questions about decrypting files in the chat.
Along with the decrypt program, you get technical support.

 

"Chat" tab:

 

First, read the FAQ. If you still have questions, you can ask them to the operator.

Operator:
Hello! Can i help you?


You:
Hi
I am fail to do payment kindly help me do you have any other address where I can pay

Operator:
I update payment page. Now 1 invoice:
Bitcoin address: 3GJsUPkJpjo3ULFvio9N7Q81yShqQAfxXN
Amount for payment: 26.50830000 BTC

Schermata dei file crittografati da NetWalker (estensione stringa casuale):

Files encrypted by NetWalker ransomware (random string extension)

Rimozione di NetWalker ransomware:

Rimozione automatica istantanea di NetWalker virus: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Malwarebytes è uno strumento professionale per la rimozione automatica del malware che è consigliato eliminare NetWalker virus. Scaricala cliccando sul pulsante qui sotto:
▼ SCARICA Malwarebytes Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Malwarebytes. Hai a disposizione 14 giorni di prova gratuita. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

Step 1

Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare la modalità provvisoria con rete dalla lista.

modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora si riavvierà. In "Opzioni del menu di avvio avanzate" fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Riavvia". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "F5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic su "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Step 2

Effettua il login nel conto infettato da NetWalker, Avvia il browser Internet e scarica un programma anti-spyware legittimo. Aggiorna il software anti-spyware e avvia una scansione completa del sistema. Rimuovi tutte le voci rilevate

Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.

Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema"

1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.

accendi il pc in modalità provvisoria con rete

2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.

prompt dei comandi cd restore

3. Quindi, digitare: rstrui.exe e premere INVIO

prompt dei comandi rstrui.exe

4.Nella finestra che si apre premere AVANTI.

rispristino sistema

5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware NetWalker si sia infiltrato nel PC).

seleziona punto di ripristino

6. Nella finestra che si apre cliccare su SI.

ripristino sistema

7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di NetWalker.

Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino Configurazione di Sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di NetWalker sono noti per rimuovere copie shadow dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file, fare clic col tasto destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarlo e fare clic sul pulsante "Ripristina"

ripristinare file criptati con CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), avvia il pc con un disco di ripristino. Alcune varianti di ransomware disabilitano la modalità provvisoria rendendo complicata la loro rimozione. Per questo passaggio, si richiede l'accesso a un altro computer.

Per riprendere il controllo dei file crittografati da NetWalker si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui

shadow explorer screenshot

Per proteggere il computer da ransomware come questo, usa antivirus affidabili e programmi anti-spyware. Come metodo di protezione aggiuntivo gli utenti possono utilizzare programmi come HitmanPro.Alert e Malwarebytes Anti-Ransomware che impiantano artificialmente Criteri di gruppo nel Registro di sistema, al fine di bloccare i programmi canaglia come NetWalker.

Nota che Windows 10 Fall Creators Update include la funzione "Accesso alla cartella di controllo" che blocca i tentativi dei ransomware di crittografare i file. Per impostazione predefinita questa funzione protegge automaticamente i file memorizzati nelle cartelle Documenti, Immagini, Video, Musica, Preferiti e Desktop.

Controll Folder Access

Gli utenti di Windows 10 devono installare questo aggiornamento per proteggere i loro dati dagli attacchi dei ransomware. Qui potrete trovare maggiori informazioni su come ottenere questo aggiornamento e aggiungere un livello di protezione aggiuntivo dalle infezioni da ransomware.

HitmanPro.Alert CryptoGuard rileva la crittografia di file e neutralizza tali tentativi, senza la necessità di un intervento da parte dell'utente:

hitmanproalert ransomware

Malwarebytes Anti-Ransomware Beta utilizza una tecnologia proattiva avanzata che controlla l'attività ransomware e lo termina immediatamente prima che raggiunga i file degli utenti:

malwarebytes anti-ransomware

  • Il modo migliore per evitare danni da infezioni ransomware è quello di mantenere regolari backup. Maggiori informazioni sulle soluzioni di backup online e software di recupero dati possono essere trovate qui.

Altri strumenti utili per eliminare NetWalker ransomware:

Fonte: https://www.pcrisk.com/removal-guides/17729-netwalker-ransomware

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Istruzioni di rimozione in altre lingue
Codice QR
NetWalker virus Codice QR
Un codice QR (Quick Response Code) è un codice leggibilemeccanicamente che memorizza gli URL e altre informazioni. Questo codice può essere letto utilizzando una telecamera su uno smartphone o un tablet. Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di NetWalker virus sul tuo dispositivo mobile.
Noi raccomandiamo:

Liberati di NetWalker virus oggi stesso:

▼ RIMUOVILO con Malwarebytes

Piattaforma: Windows

Valutazione degli Editori per Malwarebytes:
Eccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Malwarebytes. Hai a disposizione 14 giorni di prova gratuita.