E' ormai molto tempo che è in circolazione una famiglia di virus detta CryptoLocker il cui scopo è "rapire" i vostri documenti, criptandoli, e obbligarvi a pagare un riscatto per poterli riavere. In questi giorni sembra esserci in corso una massiccia distribuzione di mail infette dalla variante TeslaCrypt.
I consigli che fornirò nel resto dell'articolo valgono per la variante del virus attuale, con la prossima mutazione potrebbero esserci delle differenze, ma possono essere tenute come base per una metodologia da adottare.
Update: Come sbloccare i file criptati.
Come ci si infetta:
Il messaggio potrebbe arrivare da mittenti all'apparenza sicuri, ma che non sono le persone che realmente pensate (nome e cognome della persona/cliente, ma domini di posta diversi).
Il testo della mail, in genere, riguarda avvisi di debiti/crediti, ritirare della merce spedita o solleciti a leggere importanti documenti, l'allegato è, almeno ultimamente, un file piccolo file zip con dentro un file .js (ma ho visto anche molti altri formati di file dentro l'allegato) che si occupa di scaricare il resto del virus collegandosi al Web.
Quasi tutti i file infetti su cui ho avuto modo di mettere mano negli ultimi giorni sono degli zero-day, o sono scarsamente riconosciuti. Il vostro antivirus quindi, difficilmente, sarà in grado di proteggervi.
Almeno in un caso, l'utente che ho visto, si è salvato perché apparivano continue segnalazioni di tentativi di connessione verso siti strani da parte del virus che voleva scaricare altre sue componenti. Quindi un firewall che controlla e segnala le connessioni anomale in uscita potrebbe (non posso garantirlo) essere una protezione aggiuntiva.
Sintomi:
L'utente si accorge che l'infezione è in corso, sperando che non sia troppo tardi, vedendo cambiare le icone dei suoi documenti e l'estensione dei file diventa .micro. Con altre varianti del virus l'estensione potrebbe cambiare.
Se si accorge di questa cosa può provare a spegnere subito il computer, per tentare di salvare qualcosa che non sia stato ancora criptato, in una rete aziendale scollegate anche il cavo di rete per non rischiare di criptare eventuali server o dischi condivisi.
Se invece avete riavviato il computer, non avendo fatto caso alle modifiche indicate in precedenza, all'avvio del sistema si apriranno le schermate di richiesta del riscatto.
A questo punto potrebbe essere tardi per recuperare i vostri dati personali.
Se il virus ha avuto tempo di agire, difficilmente troverete punti di ripristino o copie shadow dei file. Potete fare un tentativo di recuperare qualcosa con Shadow Explorer, ma potreste non trovare nulla.
Rimozione:
Almeno in questa ultima variante non sembra esserci un virus attivo in memoria, ma consiglio di fare lo stesso il boot da una pendrive, come Sardu, o un CD-Rom live, per sicurezza.
Una volta avviato il computer dalla pendrive, la utilizzo per trasferire nel disco fisso gli altri programmi che mi servono per completare il resto della pulizia.
Cercate degli eseguibili dal nome strano nella cartella dell'utente, ne potreste trovare anche più di uno, ci possono essere anche dei file .scr, più raramente dei .dat e .bin, oltre a file dalla doppia estensione .pdf.exe per esempio.
Se volete saperne di più su quali modifiche ha fatto al vostro sistema questo virus, prima di distruggere il suo eseguibile, lo potete far analizzare sul sito Threatexpert.com, la risposta che vi arriverà via mail (attenzione che non è immediata e su alcuni provider, come Libero, non mi arrivano proprio i messaggi) sarà un dettagliato report, con tutte le modifiche fatte al sistema. La parte che più ci interessa inizia dai Registry Modifications, potrebbero non essere le stesse chiavi di registro presenti nel vostro computer ma dovrebbe darvi l'idea di dove cercarle.
Una volta eliminati questi file potete riavviare il computer normalmente, sempre lasciandolo scollegato dalla rete aziendale.
Il virus semina in tutto il computer i file con la richiesta di riscatto, il loro nome è, attualmente, help_recover_instructions*.*.
Per trovarli tutti più velocemente, consiglio di usare Everything portable, qualche attimo per creare l'indice del disco fisso con tutti i file poi cercate help_recover_instructions*.* e rimuoveteli tutti. Potrebbero essere decine di migliaia.
Se non riuscite a rimuovere qualche file, e non si riesce a cambiarne le sue proprietà, usate il supporto di boot per eliminarli.
Per proseguire eseguite una pulizia di tutti i file temporanei e della cache dei browser, con Ccleaner portable, verificate, sempre con Ccleaner, eventuali eseguibili strani in avvio del sistema.
Per concludere una scansione completa del disco con Kaspersky Removal Tool, aggiornato all'ultima versione disponibile, scaricato da questo sito, la ricerca di altri virus potrebbe anche essere negativa se avete rimosso tutto in precedenza dal supporto di boot.
A questo punto il sistema dovrebbe essere stato ripulito completamente e si può quindi ricollegare alla rete aziendale.
Recupero file criptati
Al momento non ci sono soluzioni per il recupero dei file criptati dall'estensione .micro, se si tratta di cose importanti non cancellateli e provate a seguire questa discussione se riescono a trovare una soluzione come avevano fatto per le vecchie varianti di questo virus.
