Rimuovere CTB Locker dal tuo computer

Da K7 Computing Italia, 03/18/2015 - 00:00
CTB Locker

Il ransomware, un tipo di malware che trattiene i tuoi file criptandoli e poi chiedendo un riscatto per il loro “rilascio”, ad esempio decriptandoli, non è niente di nuovo. I cyber criminali fanno molti soldi estorcendo fondi alle loro vittime in tutto il mondo.

L’ultimo della famiglia dei ransomware largamente distribuiti è chiamato CTB Locker. In questo blog abbiamo deciso di fornire le informazioni su CTB Locker in forma di FAQ in modo tale che i nostri clienti e il pubblico in generale possano essere informati sui pericoli di questa famiglia di malware, imparare ad evitarli ed essere rassicurati sulla forte risposta a riguardo.

Come impedire che il tuo computer si infetti con CTB Locker?

Cominciamo con questa domanda dato che è fondamentale mantenere sicuro il tuo computer. Prevenire è sempre meglio che curare.

Il vettore di diffusione iniziale per CTB Locker è uno spam via mail con un contenuto allettante che usa tecniche di social engineering per convincere la potenziale vittima ad aprire un allegato sotto forma di archivio ZIP (estensione ‘.zip’) ed eseguire il file contenuto.



Questo file contenuto, che occupa intorno ai 40KB di dimensione, può avere estensioni ingannevoli come ‘.scr’ per mascherarsi da screensaver. Questo file è la componente che scarica la parte principale di CTB Locker, che poi fa il criptaggio dei file e chiede un riscatto. Insistiamo sul fatto di stare attenti contro questi tipi di spam poiché è la prima linea di difesa contro CTB Locker oltre che per altre famiglie di malware che sfruttano lo stesso classico sistema per diffondersi.

Se una mail arriva da una fonte sconosciuta o imprevista e contiene un allegato o un link che ti chiede di aprire l’allegato o cliccare il link, è necessario esercitare la massima attenzione. Vi invitiamo semplicemente a cancellare dette mail se non sono già in quarantena dal tuo filtro spam.

Le mail di spam hanno la tendenza a mirare a paesi di lingua inglese e almeno a 3 paesi europei visto che il contenuto del malware mostra messaggi di riscatto in tedesco, olandese e italiano.



Cosa fare se scopri che il tuo computer è infettato da CTB Locker?

Se vedi messaggi di riscatto come quelli mostrati sopra, è possibile che molti, se non tutti, dei tuoi dati personali come documenti Microsoft Office, PDF, TXT, ZIP e anche file di codice sorgente in ‘C’ saranno stati criptati, ad esempio sembreranno contenere strani file in codice casuale. I file criptati da CTB Locker avranno nomi come yourfile.ext.(7 lettere casuali in minuscolo), ad esempio 253667.PDF.iryrzpi

 File eseguibili, come EXE, DLL, OCX, ecc., e file di estensione sconosciuta al malware non saranno toccati.

Innanzitutto, ti chiediamo di non cercare di pagare il riscatto per riottenere i file. Anche se i cyber criminali effettivamente decriptano i tuoi file, i soldi che avranno da te farà sì che li incoraggi a continuare con pratiche illegali, investendo in ricerca e sviluppo per migliorare le loro capacità e diffondersi a livello globale. I cyber criminali devono essere privati degli incentivi come ritorno sull’investimento per creare malware.

Una volta che hai deciso di non pagare il riscatto raccomandiamo di rimuovere immediatamente il malware. Ciò può essere fatto facilmente nel seguente modo:

  1.     aggiornare il tuo prodotto;
  2.     riavviare in modalità provvisoria;
  3.     eseguire una scansione diretta del tuo computer;
  4.     rimuovere le componenti rilevate. Da notare che il file principale di CTB Locker è rilevato come ‘Trojan (0049d83b1)’ e la sua componente scaricata è rilevata come ‘Trojan-Downloader (00499db21)’.


È possibile decriptare i file criptati da CTB Locker?

Il malware stesso mostra come i file possono essere decriptati scegliendone casualmente 5 da decriptare.


Tuttavia, il malware usa un algoritmo di crittografia di alto livello con una chiave che è unica per il tuo computer, rendendo praticamente impossibile forzare una decrittazione di massa.



Come ripristinare i file criptati da CTB Locker?

Può darsi che non sia possibile ripristinare tutti i file criptati da CTB Locker. Tuttavia, se il tuo sistema operativo di Windows supporta il Ripristino configurazione di sistema è possibile recuperare il contenuto di molte delle tue cartelle in un punto di ripristino recente prima che l’infezione abbia avuto luogo.

La soluzione più affidabile, però, è ripristinare i tuoi file importanti con backup regolari. Se non fai regolarmente un backup dei tuoi file importanti allora ti incoraggiamo a iniziare al più presto. Oltre che per l’infezione di CTB Locker, ci sono altri fattori che possono rendere i tuoi file irrecuperabili in un futuro, incluso un guasto dell’hard disk. È possibile anche usare programmi di analisi forense per recuperare alcuni file importanti se ancora esistono in quelle sezioni dell’hard disk, ma questo non è un’alternativa ai backup regolari.

Pagare il riscatto decripta veramente i file?

Ci rifiutiamo di pagare alcun riscatto quindi non possiamo confermare se il pagamento possa veramente fare in modo di rilasciare i tuoi file. Ancora una volta, ti chiediamo di non cercare di pagare il riscatto per le ragioni menzionate prima.

Perché K7 non rileva e rimuove CTB Locker?

Al Threat Control Lab di K7 monitoriamo costantemente le infezioni di CTB Locker, inclusi forti rilevamenti generali per tutte le componenti di CTB Locker. Tuttavia, i cyber criminali dietro la famiglia di CTB Locker stanno investendo ingenti risorse in tecniche di morphing, come cambiare il modo di presentare tutte le loro componenti sotto forma di mail di spam in modo tale da poter superare le scansioni di sicurezza, non solo di quelle di K7, anche solo per un breve lasso di tempo. Noi di K7, e i nostri colleghi delle aziende attive nel settore della sicurezza, stiamo lavorando sodo per stare dietro CTB Locker per poter proteggere tutti i nostri clienti.

Immagine (la prima) per gentile concessione di:
come-eliminare.com

Samir Mody
Senior Manager, K7TCL

Traduzione: Harry Blake Paz Bonzano
Originale: http://blog.k7computing.com/2015/01/exorcising-ctb-locker-from-your-comp...

Category: