Cos’è il virus Cryptowall? Cryptowall è un virus ransomware che utilizza un cavallo di Troia per criptare i file su un computer compromesso e richiede agli utenti di pagare un riscatto per ricevere una chiave di decrittazione. Cryptowall Virus Ransomware viene tipicamente inviato tramite un’e-mail di spam, un annuncio online dannoso, un sito web compromesso o un’altra forma di malware.

Cos’è il Cryptowall Virus Ransomware?

Cryptowall Virus Ransomware è un virus ransomware che utilizza un cavallo di Troia per crittografare i file su un computer compromesso e richiede agli utenti di pagare un riscatto per ricevere una chiave di decrittazione. Cryptowall viene in genere lanciato tramite un’e-mail di spam, un annuncio online dannoso, un sito Web compromesso o un’altra forma di malware. Quando viene eseguito, Cryptowall crittografa tutti i file sull’unità con estensioni specifiche e lascia un file con le istruzioni su come pagare il riscatto e acquisire la chiave di decrittazione.

Come difendersi da Cryptowall

Per difendersi da Cryptowall Virus, è necessaria una tecnologia anti ransomware in grado di impedire automaticamente agli utenti di fare clic su collegamenti che potrebbero scaricare malware o aprire allegati che potrebbero contenere codice dannoso. E poiché potrebbe essere impossibile bloccare il ransomware e altre minacce avanzate il 100% delle volte, sono necessarie anche soluzioni in grado di ridurre i danni che Cryptowall e altri attacchi sofisticati possono causare.

Perché non dovresti mai pagare un riscatto per Cryptowall

Non è consigliabile pagare un riscatto per Cryptowall Virus Ransomware o per qualsiasi altro ransomware. Il pagamento di un riscatto non garantisce che nessun criminale informatico ripristinerà l’accesso ai tuoi dati e potrebbe incoraggiarli ad attaccare nuovamente la tua organizzazione. Noi di Assistenza Informatica Salerno, abbiamo avuto diversi clienti con i computers infettati da Cryptowall Virus Ransomware, hanno pagato il riscatto, ma non hanno avuto la chiave per decrittare i files del loro computer.

Invece, bisogna segnalare l’attacco alle forze dell’ordine e collaborare con esperti di sicurezza informatica per vedere come si potrebbe essere in grado di recuperare i tuoi dati e proteggere la tua organizzazione da futuri attacchi ransomware. Oppure meglio ancora chiedere un intervento software per verificare se il tuo computer è esposto a possibili attacchi informatici.

Nota che pagare il riscatto come richiesto da questo ransomware equivale a inviare i tuoi soldi ai criminali informatici: sosterrai il loro modello di business dannoso e non vi è alcuna garanzia che i tuoi file verranno mai decifrati.

Per evitare infezioni del computer con infezioni ransomware come questa, bisogna prestare attenzione quando si aprono i messaggi di posta elettronica poiché i criminali informatici utilizzano vari titoli accattivanti per indurre gli utenti di PC ad aprire allegati di posta elettronica infetti (ad esempio, “Notifica di eccezione UPS”).

La nostra ricerca mostra che i criminali informatici utilizzano anche reti P2P e download falsi, che contengono infezioni ransomware in bundle per proliferare Cryptowall Virus Ransomware.

Messaggio presentato nei file HELP_RECOVER_INSTRUCTIONS.PNG, HELP_RECOVER_INSTRUCTIONS.HTML e HELP_RECOVER_INSTRUCTIONS.TXT:

Come funziona CryptoLocker?

CryptoLocker è comunemente consegnato attraverso allegati di email infette e link da un mittente sconosciuto. Una volta che un ignaro destinatario di e-mail clicca su un link o un allegato infetto, il malware cripta i file e memorizza la chiave sul proprio server.

Dopo essere penetrato nel sistema operativo, questo programma maligno cripta i file memorizzati sui computer degli utenti (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, ecc.) e richiede il pagamento di un riscatto di 500 dollari (in Bitcoin) per decriptarli.

I cyber criminali responsabili del rilascio di questo programma canaglia, assicurano che venga eseguito su tutte le versioni di Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). Il ransomware CryptoWall crea i file HELP_RECOVER_INSTRUCTIONS.PNG, HELP_RECOVER_INSTRUCTIONS.HTML e HELP_RECOVER_INSTRUCTIONS.TXT all’interno di ogni cartella contenente i file criptati.

Questi file contengono istruzioni dettagliate su come gli utenti possono decifrare i loro file e sull’uso del browser Tor (un browser web anonimo). I criminali informatici usano Tor per nascondere le loro identità.

E’ possibile rimuovere Cryptowall Virus Ransomware?

Gli utenti Windows dovrebbero essere consapevoli che mentre l’infezione in sé non è complicata da rimuovere, la decriptazione dei file (crittografati utilizzando la crittografia RSA 2048) colpiti da questo programma maligno è letteralmente impossibile senza pagare il riscatto. Al momento della ricerca, non esistono strumenti o soluzioni in grado di decifrare i file criptati da CryptoWall.

Si noti che la chiave privata richiesta per decifrare i file è memorizzata dal server del attaccante che invia comandi e controlli di Cryptowall Virus Ransomware, che è gestito dai cyber criminali. Pertanto, la soluzione ideale è quella di rimuovere questo virus ransomware e poi ripristinare i dati da un backup.

Come si è diffuso Cryptowall Virus Ransomware?

Cryptowall Virus Ransomware è stato diffuso dalla botnet Gameover ZeuS. Cerca sul tuo computer i file da criptare – anche su dischi rigidi esterni e nel cloud. CryptoLocker ha infettato oltre 700.000 macchine per un riscatto medio di 500 euro.

Quanti soldi ha fatto guadagnare questo ransomware (e come fermarlo)

La famiglia dei ransomware sembra sia esista da sempre. Lo abbiamo visto devastare alcune delle più grandi aziende del mondo. I settori del pubblico e del privato hanno perso milioni, non solo per i criminali informatici, ma anche per riparare i danni dopo. Il ransomware è esploso a causa dell’aumento delle criptovalute. I criminali informatici possono ora richiedere pagamenti che non sono tracciabili.

La Cybersecurity and Infrastructure Security Agency (CISA) definisce il ransomware come…

“un tipo di software maligno, o malware, progettato per negare l’accesso a un sistema informatico o ai dati fino a quando non viene pagato un riscatto. Il ransomware si diffonde tipicamente attraverso e-mail di phishing o visitando inconsapevolmente un sito web infetto.

Il ransomware può essere devastante per un individuo o un’organizzazione. Chiunque abbia dati importanti memorizzati sul proprio computer o sulla propria rete è a rischio, comprese le agenzie governative o delle forze dell’ordine e i sistemi sanitari o altre entità di infrastrutture critiche. Il recupero può essere un processo difficile che può richiedere i servizi di uno specialista di recupero dati affidabile, e alcune vittime pagano per recuperare i loro file. Tuttavia, non vi è alcuna garanzia che gli individui recuperino i loro file se pagano il riscatto”.

Se sei colpito da un ransomware, può essere una brutta notizia. Il destino del tuo business potrebbe dipendere dall’integrità dei criminali informatici.

Istruzioni In ITALIANO

Che fine hanno fatto i tuoi file?
Tutti i tuoi file sono stati protetti da una forte crittografia con RSA-2048 utilizzando CryptoWall 3.0. Maggiori informazioni sulle chiavi di crittografia che utilizzano RSA-2048 possono essere trovate qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Cosa significa?
Ciò significa che la struttura e i dati all’interno dei tuoi file sono stati irrevocabilmente modificati, non potrai lavorarci, leggerli o vederli, è come perderli per sempre, ma con il nostro aiuto puoi ripristinarli .

Come è successo ?
Soprattutto per te, sul nostro server è stata generata la coppia di chiavi segrete RSA-2048 – pubblica e privata. Tutti i tuoi file sono stati crittografati con la chiave pubblica, che è stata trasferita sul tuo computer tramite Internet. La decrittazione dei tuoi file è possibile solo con l’aiuto della chiave privata e del programma di decrittografia, che si trova sul nostro server segreto.

Cosa devo fare ?
Purtroppo, se non si prendono le misure necessarie per il tempo specificato, le condizioni per ottenere la chiave privata verranno modificate. Se apprezzi davvero i tuoi dati, ti suggeriamo di non perdere tempo prezioso alla ricerca di altre soluzioni perché non esistono.

Per istruzioni più specifiche, visita la tua home page personale, ci sono alcuni indirizzi diversi che puntano alla tua pagina di seguito:

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

Se per qualche motivo gli indirizzi non sono disponibili, attenersi alla seguente procedura:

1. Scaricare e installare tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Dopo un’installazione riuscita, eseguire il browser e attendere l’inizializzazione.
3. Digita nella barra degli indirizzi: kpai7ycr7jxqkilp.onion/3koe
4. Segui le istruzioni sul sito.

Concludendo

Molti clienti che si infettano con Cryptowall Virus Ransomware o con qualsiasi virus della famiglia ransomware ci comunicano che i loro computer erano protetti da antivirus a pagamento e che non capiscono come mai si sono infettati. La risposta è semplice, gli antivirus, anche quello gratuiti, funzionano molto bene, ma c’è sempre l’errore umano che scatena l’evento. Se clicchi su un link in modo improprio, probabilmente ti stai già infettando.