CTB-Locker, guida definitiva Ecco come difendersi e come recuperare i file crittografati.

Cos’è CTB Locker?

CTB-Locker è un virus della famiglia dei “crypto-type malware” (comunemente detti cryptolocker virus) che si sta diffondendo anche in Italia da circa un anno su PC con qualsiasi versione di Windows. Appena entrato nel computer della vittima scansiona tutte le unità collegate e modifica tutti i file del tipo: doc/docx (Word), xls/xlsx (Excel), dwg/dxf (Cad), eps/raw/psd/jpg (grafica), mdb (database, anche di programmi di fatturazione, contabilità), ppt/pptx (PowerPoint), etc… Tutti questi file vengono resi illeggibili usando una curva ellittica crittografata, ed è IMPOSSIBILE decriptarli senza PAGARE IL RISCATTO!!! Il virus fa trovare a monitor tutte le istruzioni per pagare (diverse centinaia di euro) e non si ha la certezza che rispristinerà tutti i file.

Come si prende?

CTB-Locker solitamente viene diffuso tramite email ingannevoli con allegati (file .zip, .rar, .cab con all’interno eseguibili) e dalle nostre segnalazioni di solito riportano mittenti verosimili con indicazioni dettagliate di resi da accettare, fatture da aprire ecc… Purtroppo gli antivirus spesso non identificano e non riescono a bloccare questo virus o intervengono tardivamente, quindi la prevenzione è molto molto importante. Ovviamente tutti i referenti della mail sono completamente all’ oscuro del virus e non si riesce a rintracciare i malintenzionati, la denuncia alle forze dell’ordine si può fare, ma cade sempre inesorabilmente nel vuoto.

Come si evita?

Installa comunque un buon antivirus che abbia il supporto repentino della community, come Avast Free Antivirus. Evita assolutamente di aprire allegati di email i cui mittenti sono sconosciuti o comunque che ti potrebbero risultare strani e in maniera assoluta evita di lanciare file contenuti all’interno di allegati compressi come: .exe, .bat, .vbs. Effettua il backup di tutti i tuoi dati personali su supporti esterni (pendrive, hard disk USB, DVD, BD-R) e conservali in luoghi sicuri e scollegati dal PC durante la navigazione. (Nelle prossime settimane parleremo anche dei migliori metodi di archiviazione!!)

PER PICCOLE QUANTITA DI FILE consigliamo di utilizzare sistemi di archiviazione online: dropbox o google drive (che hanno il supporto alle versioni precedenti dei file fino a 30 giorni), possono permettere di recuperare tutti i file infetti (richiedono accesso continuo ad internet e sono Gratis fino a pochi GB; abbiamo parlato dettagliatamente di questi servizi nel nostro articolo –> Servizi Cloud a confronto: hosting a portata di click).

In questi casi risulta molto importante NON AVER DISATTIVATO l’utilità di RIPRISTINO CONFIGURAZIONE DI SISTEMA (solitamente attivata di default) e magari averla configurata in modo da “sprecare” un pò di spazio in più sull’hard disk ma in caso di necessità permettendo di recuperare più file (verifica l’utilizzo dello spazio su disco).

COSA FARE IN CASO DI INFEZIONE?

Nel caso in cui ci si renda conto di essere stati vittima di CTB-Locker la prima cosa da fare è SPEGNERE IL PC E NON USARLO, sia perchè se il virus è ancora attivo continuerà a criptare i nostri dati personali e sia per evitare di creare altri punti di ripristino che diminuiscono la possibilità di “recupero dei vecchi file funzionanti”. Indicativamente se un pc continua ad essere acceso e utilizzato, dopo 3-4 giorni la possibilità di ripristinare i dati criptati è molto molto bassa. Se invece segui attentamente questa guida, potrai riuscire a recuperare le cose importanti.

TOGLIERE IL VIRUS

La prima cosa da fare è lanciare una scansione antivirus che possa ripulire il sistema LIMITANDO AL MINIMO I RIAVVII e le installazioni di programmi (ad ogni avvio o installazione si sovrascrivono punto di ripristino e diminuiscono le possibilità di recupero) PippoCD consiglia se si ha un buon antivirus installato di fare un aggiornamento e lanciare una scansione completa, meglio se fatta prima di caricare Windows (per chi usa Avast! Free Antivirus 2015  tra le scansioni è presente scansione all’avvio) Se invece non hai un buon antivirus installato, PippoCD consiglia di scaricare “Malwarebytes Anti-Malware” che riesce a ripulire accuratamente il pc ed è rapido da avviare e aggiornare.

RECUPERARE I FILES

Ebbene sì, come avrai capito non esistono al momento algoritmi in grado di ripristinare i files senza avere accesso alla “password” (chiave di decriptazione) contenuta nei server del malintezionato, quindi dopo aver eliminato il virus e dopo il primo respiro di sollievo non è ancora finita!
È importante a questo punto che vi facciate una lista di tutto ciò che è più importante per voi e cominciate a recuperare i vostri file:

– Il primo e di solito più facile e proficuo tentativo è di utilizzare “Shadow Explorer“, e non ha neanche bisogno di installazione. Praticamente tramite questa utility potete esplorare tutte le versioni precedenti dei vostri files ai vari punti di ripristino precedenti, quindi cominciate a recuperare partendo dai dati piu importanti (è FORTEMENTE CONSIGLIATO salvare in un disco diverso, ad esempio un hard disk esterno USB).

– Se per qualche motivo questo metodo non dovesse funzionare, bisogna ricorrere al recupero dei file cancellati in tutto l’hard disk (premetto che questa procedura può essere molto lunga e anche in questo caso è FORTEMENTE CONSIGLIATO usare un hard disk esterno USB).

Per fortuna possiamo consigliare dei software gratuiti come Recuva (ottima scansione ma recupero limitato) oppure photorec (interfaccia meno intuita ma migliori possibilità di recupero).
Fermo restando che in questo settore possiamo CONFERMARE che software commerciali ci hanno garantito in tutte le nostre esperienze sempre maggiori affidabilità: “HDD recovery Pro” oppure “Ontrack Easy Recovery”.

Shadow Explorer

Recuva

Photorec

HDD recovery Pro – Ontrack Easy Recovery

Nella speranza di essere stati di aiuto, tramite la pagina “CONTATTI” puoi scriverci per ricevere altri suggerimenti!!

Aggiornamento del 14/07/2015

Ci siamo imbattuti in nuove varianti del virus CTB Locker e abbiamo deciso di pubblicare un aggiornamento:

Come si prende? (bis)

Ti potresti trovare una mail nella tua casella con un mittente CONOSCIUTO, un parente, un amico o forse un conoscente che non senti da un po… e il contenuto contiene solo un link!!! Ovviamente se clicchi si apriranno altre pagine che tenteranno in tutti i modi di farti scaricare il virus e di accettare il download (con tanto di codice captcha che siamo soliti compilare meccanicamente).

Questo slideshow richiede JavaScript.

Il risultato come potete vedere dal capture qui sopra è sempre lo stesso, cambia solo la grafica, ma per fortuna anche i metodi di prevenzione e di recupero dei files rimangono validi quelli citati nell’articolo. Abbiamo letto anche segnalazione di virus che si nascondono dietro FALSE EMAIL DELL’ENEL, al momento non possiamo verificare né smentire questa informazione, ma non ne saremmo stupiti.

Evita se possibile di cliccare link proveniente dalle mail e se ricevi email strane da conoscenti invitalo a cambiare la password. Restiamo allerta, utente avvisato… 😉

Aggiornamento del 22/02/2016

Sembra proprio che questo virus sia impossibile da bloccare, anzi continua ad infettare sempre più computer, in particolar modo in Italia.

Le ultime varianti di CTB Locker, arrivano sempre come allegato nelle email, ma riescono anche a nascondere l’icona del file eseguibile, anzi cercano di ingannare l’utente mostrando una icona per esempio di un innocuo file .pdf per invogliare ad aprire il file, sempre contenuto all’interno di un archivio compresso…

La raccomandazione che possiamo fare a tal proposito è: controlla sempre le estesioni dei file prima di aprirli ed evita assolutamente file che hanno estensione .exe, .com, .bat, .vbs.

Occhi aperti!!! 😉