La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Torna alla lista delle notizie

Doctor Web ha rilevato il primo cryptolocker in Go e ha sviluppato la decifratura

11 ottobre 2016

Gli analisti dei virus Doctor Web hanno scoperto il primo cryptolocker scritto nel linguaggio Go. Questo trojan, che attribuisce ai file criptati l'estensione .enc, è stato denominato Trojan.Encoder.6491. Gli specialisti Doctor Web hanno sviluppato una tecnologia di decifratura dei file corrotti da questo programma malevolo.

Ogni mese appaiono delle nuove versioni dei ransomware cryptolocker. Una caratteristica interessante di Trojan.Encoder.6491 è che è scritto nel linguaggio di programmazione Go, sviluppato da Google: fino a questo punto gli analisti dei virus ancora non si imbattevano in cryptolocker creati con l'utilizzo di questa tecnologia. Ad avvio Trojan.Encoder.6491 si installa nel sistema sotto il nome di Windows_Security.exe. Quindi il trojan inizia a criptare i file conservati sui dischi, utilizzando l'algoritmo AES. Nel corso dell'operazione, il programma malevolo salta i file i cui nomi contengono le seguenti stringhe:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

Il trojan cifra i file di 140 tipi diversi, identificandoli sulla base dell'estensione. Trojan.Encoder.6491 codifica i nomi originali dei file mediante il metodo Base64 e quindi attribuisce ai file criptati l'estensione .enc. Come risultato, per esempio, un file con il nome Test_file.avi avrà il nome VGVzdF9maWxlLmF2aQ==.enc.

In seguito il cryptolocker apre nella finestra del browser il file Instructions.html in cui viene richiesto un riscatto nella criptovaluta Bitcoin:

screen Trojan.Encoder.6491 #drweb

Trojan.Encoder.6491 verifica a intervalli regolari il saldo del portafoglio Bitcoin, aspettando che la vittima trasferisca i fondi. Una volta avvenuto il versamento, il cryptolocker decifra automaticamente tutti i file cifrati in precedenza, utilizzando la relativa funzione incorporata.

Gli specialisti Doctor Web hanno sviluppato una tecnica specifica che permette di decriptare file colpiti da questo programma trojan. Se siete vittima del programma malevolo Trojan.Encoder.6491, attenetevi alle seguenti indicazioni:

  • fate una relativa denuncia alla polizia;
  • in nessun caso provate a reinstallare il sistema operativo, di "ottimizzarlo" o di "ripulirlo" utilizzando qualche utility;
  • non eliminate alcun file sul computer;
  • non provate a ripristinare in autonomo i file cifrati;
  • rivolgetevi al supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
  • allegate al ticket qualsiasi file criptato dal trojan;
  • attendete la risposta di un tecnico del supporto; a causa del grande numero di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione file vengono forniti gratis soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. L'azienda Doctor Web non dà una completa garanzia di decriptazione di tutti i file colpiti dalle attività del cryptolocker, però i nostri specialisti faranno ogni sforzo per salvare le informazioni criptate.

Affinché un trojan non rovini i file, utilizzate la prevenzione della perdita di dati

Informazioni sui cryptolocker Presentazioni su configurazione Decifratura gratuita

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti