14 giugno 2016

I trojan-cryptolocker rappresentano un serio pericolo per gli utenti in tutto il mondo: questi programmi malevoli criptano le informazioni conservate sul computer e richiedono un riscatto per la loro decriptazione. Oggi ci sono molte varietà dei cryptolocker. L'azienda antivirus Doctor Web combatte tali programmi-estorsori per un lungo periodo e con successo: infatti, in alcuni casi è possibile ripristinare i file cifrati dal trojan. Questo è vero anche per il cryptolocker conosciuto come CryptXXX — gli specialisti Doctor Web possono decifrare i file danneggiati da questo trojan se sono stati cifrati prima dell'inizio di giugno 2016.

Il programma malevolo denominato Trojan.Encoder.4393, anche conosciuto come CryptXXX, è un tipico membro del numeroso gruppo di trojan-cryptolocker. Questo cryptolocker ha diverse versioni e viene distribuito dai malintenzionati in tutto il mondo. Per aumentare i profitti delle loro attività illegali, gli autori del virus hanno organizzato un apposito servizio per la decriptazione a pagamento dei file danneggiati da CryptXXX, che paga una determinata percentuale ai distributori del trojan. Tutte le copie di CryptXXX comunicano con l'unico server di gestione, e i siti che offrono la decriptazione sono situati nella rete anonima TOR. A quanto pare, il successo del partner program è responsabile per la vasta geografia dei casi di infezione conosciuti e per l'elevata popolarità di CryptXXX tra i malintenzionati. I file criptati dal trojan portano l'estensione *.crypt, e i file con le richieste degli estorsori hanno i nomi de_crypt_readme.txt, de_crypt_readme.html e de_crypt_readme.png.

Se siete rimasti vittime di questo programma malevolo, e i file sul computer sono stati criptati prima dell'inizio di giugno 2016, c'è la possibilità di ripristinare le informazioni. Il successo di questa operazione dipende da una serie di fattori e in gran parte dalle azioni dell'utente.

• Non cercate di rimuovere qualche file dal computer o reinstallare il sistema operativo, nonché non utilizzate il PC infetto prima di ricevere le istruzioni dal servizio di supporto tecnico Doctor Web.
• Se avete avviato una scansione antivirus, non eseguite alcune azioni di cura o rimozione dei programmi malevoli rilevati — gli specialisti potranno averne bisogno nel corso della ricerca della chiave per la decifratura dei file.
• Provate a ricordare quante più informazioni circa le circostanze dell'infezione: questo riguarda messaggi sospetti ricevuti via email, programmi scaricati da Internet, siti che avete visitato.
• Se avete l'email con l'allegato dopo aver aperto il quale i file sul computer sono stati criptati, non rimuovetela: questa email dovrebbe aiutare gli specialisti a determinare la versione del trojan penetrato sul computer.

Per la decriptazione dei file danneggiati in seguito alle attività di CryptXXX, utilizzate una specifica pagina di servizio sul sito dell'azienda antivirus Doctor Web. L'aiuto gratuito per la decriptazione di file viene fornito soltanto ai titolari delle licenze Dr.Web, che al momento dell'infezione utilizzavano Dr.Web Security Space (per Windows), Antivirus Dr.Web per OS X o Linux di una versione non inferiore a 10 o Dr.Web Enterprise Security Suite (versioni 6+). Le altre vittime possono utilizzare il servizio a pagamento Dr.Web Rescue Pack attraverso un modulo di richiesta: si paga soltanto se l'analisi mostrerà che la decriptazione è possibile. I clienti che hanno usufruito di questo servizio ottengono anche una licenza biennale gratuita del prodotto Dr.Web Security Space per 1 PC. Le ulteriori informazioni circa i trojan-cryptolocker e i metodi per affrontarli sono ritrovabili su questo link.