CATEGORIE:
Il virus ransomware CTB-Locker: cos'è e come affrontarlo

Il virus ransomware CTB-Locker: cos'è e come affrontarlo

Categoria: INFORMATICA

Inserito in DATA: 30/01/2015
Vai ai COMMENTI
In questi giorni si sta diffondendo un nuovo virus, denominato CTB-Locker: il virus è un ransomware, ovvero un virus il cui comportamento è spingere l'utente a pagare un riscatto in denaro per sbloccare file o funzionalità bloccate dal virus stesso.

La particolare gravità di questo virus è, a mio parere, il fatto che per la prima volta hanno fatto un virus che si presenta bene. Non ci sono più le solite email sgrammaticate, brutte, formattate di merda, ma di solito invece questo virus si presenta con un'email formattata bene che riporta il riepilogo di un presunto ordine di articoli con relative informazioni e saldo totale.
Pare che in qualche modo il contenuto degli articoli elencati nel presunto ordine abbia in qualche modo a che fare con l'attività dell'azienda che lo riceve.

Solitamente il virus però ha un allegato in formato .cab che ogni utente di computer che abbia un minimo di esperienza saprà che assolutamente non deve aprire, poiché i file .cab sono archivi non standard, simili agli zip, e dentro il cab dovrebbe esserci un file con estensione .scr che sarebbero gli screen savers. Ovviamente, stiamo parlando di Windows. Pare che comunque l'estensione .cab non sia l'unica e che, in alcuni casi, l'eseguibile non era allegato all'email, ma si scaricava cliccando in un link.

Io ho già ricevuto due email con il virus CTB-Locker, e come dico ogni volta "Se leggi bene il testo dell'email, non ti servirà mai un antivirus". In effetti se le persone prestassero più attenzione al contenuto delle email di certo non perderebbero mai dati di accesso a siti, dati di carte di credito, ne aprirebbero mai allegati. Perché dovrei aprire l'allegato di una email che mi informa che ho effettuato acquisti che in realtà non ho effettuato? Cioé, se per la strada uno vi chiede soldi glieli date?

Il comportamento del virus è però pericoloso: infatti il file .cab una volta eseguito avvia un processo di criptazione dei vostri file personali, la cui chiave risiede in un sito remoto. Così, se volete leggere il file, non potrete farlo perché è criptato e il virus vi chiederà soldi in cambio della chiave di decrittazione. A tutti gli effetti, è un riscatto.

Informazioni in merito le trovate sul sito digitalic.it

Anche IlSoftware.it ne ha parlato.

La Polizia Postale ha emanato un messaggio di attenzione, un po' scarno direi.

La situazione è particolarmente tragica, perché pare che ben pochi antivirus lo riconoscano e di conseguenza il danno è fatto prima di accorgersene.
Su l forum di hwupgrade.it si leggono molti utenti che hanno subito il virus e confermano tutto: si installa, l'antivirus non lo caga, cripta tutti i file che trova e poi ti avvisa che se li vuoi devi pagare in bitcoin. Oltretutto la procedura di pagamento non è facile: innanzitutto per farlo ci sono pochi giorni, poi bisogna scaricare il browser di TOR e con quello operare. Spesso la chiave di decriptazione non è disponibile, perché non è perennemente online per non farsi rintracciare, ma alcuni utenti - potete leggere qui e qui - hanno risolto solo in questo modo: hanno pagato, ed hanno potuto decriptare i file. Pare sia l'unica soluzione possibile per poterli riavere. Ovviamente è da fare solo in casi estremi, quando i dati sono particolarmente importanti.

Attenzione! In molti casi il virus non attacca solo i file (jpg, doc, xls e tutto ciò che trova) presenti sul computer, ma anche periferiche esterne come dischi USB oppure unità di rete a patto che siano linkate con lettere di unità.

Siccome il file .cab contiene un file .scr che è l'estensione degli screen savers, un utente di internet ha creato un programmino che semplicemente blocca l'esecuzione degli screen savers al doppio click sui file .scr fornendo così un tampone per la diffusione di questo virus. La modifica al registro la trovate qui: http://www.steelcomputer.it/index.php?page=security
Io questo file .reg non l'ho ancora provato, ho dato un'occhiata alle modifiche che fa e non mi sembrano pericolose. Devo trovare un muletto per fare una prova e vedere se effettivamente funziona.

Teniamo conto comunque di una cosa: nel caso il PC risultasse colpito, i file vengono criptato e non c'è antivirus che possa risolvere al problema, l'unica cosa che può fare è togliere il virus ma i file restano criptati. Inoltre, togliendo il virus si toglie anche la finestra che spiega come pagare il riscatto per cui è meglio non usare un virus, anche se nel forum sopracitato di hwUpgrade.it un utente avvisa che il virus crea anche un file .txt con le istruzioni per effettuare il pagamento.

MATERIALE A CORREDO


Inserisci un commento

Il Bostro-X
© Federico "Bostro" Bortolotti www.bostro.net
Questo sito l'ho realizzato io e quindi è proprietà intellettuale mia, e non ne concedo alcuna autorizzazione.
» contatti » privacy policy


Licenza Creative Commons
www.Bostro.net di Federico Bortolotti è distribuito con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 4.0 Internazionale.
Web Bostro.Net