CTB-Locker, cos’è e come proteggersi Uno dei ransomware più diffusi: ecco come difendersi, come proteggersi e come rimuoverlo

Pubblicità

Ad oggi CTB-Locker è uno dei malware più temuti in ambito informatico, dato che ha sviluppato una singolare capacità di riprodursi e di sopravvivere anche agli antivirus più attrezzati.

Che cos’è un ransomware

La parola ransomware (ransom è una parola inglese che significa riscatto, mentre ware fa genericamente riferimento ad un “materiale” o in senso lato ad una “materia”: ha la stessa derivazione della parola software ed hardware, per intenderci) è forse una delle più temibili in informatica. Si tratta di un tipo di virus che si insidia in modo subdolo in un PC oppure all’interno di una rete aziendale, effettuando un’operazione di cifratura di tutti o dei più importanti file del PC della vittima, per poi andare a richiedere una sorta di “riscatto” monetario per riavere i nostri file.

Che cos’è CTB-Locker?

CTB Locker è senza dubbio uno dei ransomware più famosi e temibili che possano esistere in ambito ransomware, ad oggi. Si tratta di un virus (cioè di un programma aggressivo nei confronti del sistema operativo su cui è attivo o installato) di tipo trojan, ovvero in grado di installarsi nel computer o nello smartphone e di comparire in seguito, all’improvviso, e senza preavviso, diffuso su internet almeno dal 2013.

Nota: questo malware è di natura molto simile al “parente stretto” di nome Cryptolocker.

Chi colpisce questo virus?

Tipicamente infetta sistemi operativi Windows, ma potrebbero esistere anche varianti che colpiscono altri sistemi, come iOS e Android.

Pagare il riscatto di CTB Locker

Ci sono siti che hanno spiegato nel dettaglio come pagare il riscatto di questo o di altri ransomware simili.

Il nostro suggerimento è quello di non pagare in nessun caso: rischiate di perdere solo i vostri soldi, e non avrete garanzia del fatto che i file saranno sbloccati effettivamente.

Perchè CTB-locker è difficile da rimuovere?

Per risolvere il problema del ransomware, cioè del malware che si insinua nel computer o nel telefono e cripta i file rendendo il sistema stesso ed i suoi dati inutilizzabili, sarebbe necessario decriptare (decrypt) CTB Locker. In pratica per farlo dovresti conoscere la password di sblocco una passphrase molto complicata che permette di sbloccare i file e renderli di nuovo leggibili, e che l’algoritmo genera in modo casuale (ogni infezione avrà una password differente da computer a computer, in sostanza).

Tecnicamente non è una nemmeno una vera e propria infezione come potrebbe esserla quella di un virus che si autoinstalla in memoria o nel boot di avvio del dispositivo, ma nella pratica è un po’ come rimanere chiusi fuori da casa propria. La passphrase in questione, infatti, è molto difficile (o addirittura impossibile) da indovinare, purtroppo, e questo rendere complicata non tanto la rimozione quanto il recupero dei file.

Il problema di fondo di questo CTB-Locker è legato all’uso di chiavi crittografiche asimmetriche a 2048 bit, che poi sono delle password estremamente lunghe generate casualmente, praticamente impossibili da crackare o da indovinare.

Un esempio di chiave criptata a 2048bit è una qualcosa del genere, tanto per capirci, e lunga così:

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAhvvWYyOFlA8xS/zbyVIsVchXr82DQQtsKQaad4rqLbBAVlxOCuwsteZ3X6h2t/BmDNkYYVa4m5FykkY3h43W9uP/cC0t8uh3KpMvsDEG5XWWfoFsQ2VSkKsuSO/SWDkOxc9d13iWIB+2PKoLxOPDs2LYolGRD/nYAILtXbNftQmZEJ7K5jHh1ZGjPmJhYS0EVxYL2FIvKSxUgnYdyYxL/KdyGOnNxFO20idr4fK8VV0Y3f4LyB7Tb6yGXSdtZiwQxWwmBQCLZS8NrCrqPDM5H6RYCFhTKO0f1SZC4wP5iggvkR7LRVwoVAQEeZ33xeoA60Q2EyCBStxZ3Oo1K8i7YwIDAQAB

Riottenere i propri file richiede, di fatto, la chiave di sblocco originale che i cyber-criminali forniscono dietro pagamento (e neanche in tutti i casi, come è facile immaginare: anche se uno pagasse il riscatto c’è il rischio che i cyber-criminali non ci mandino la password lo stessa). Tra l’altro, nella versione americana c’era una minaccia ulteriore: solo 96 ore di tempo per pagare! Superata questa scadenza, il danno diventa irreversibile ed il virus (stando a quanto scritto, almeno) si autocancella.

Tanto vale considerare i file come persi, purtroppo, anche se qualche tentativo si potrebbe fare lo stesso, ad esempio ricorrendo alle soluzioni di seguito indicate.

Come recuperare i file criptati da criptolocker?

Non c’è un modo sicuro al 100% per farlo, e bisogna andare per tentativi. In alcuni casi si può fare, mentre in altri no.

Sul sito di KasperSky è disponibile un software sperimentale (cliccare su decryption tool, nello specifico) per tentare la rimozione del blocco crittografato (.exe, quindi solo per Windows).

L’unica speranza per recuperare i file sono i backup che vengono creati dal sistema operativo e che dovreste aver programmato o fatto manualmente, nella speranza che CTB Locker non abbia infettato anche quelli. Controllate se avete un backup a disposizione e, se non lo aveste, fatene subito uno di tutti i vostri dati più importanti!

Altro aspetto a nostro vantaggio alcune versioni di CTB Locker sono meno pericolose di quello che sembrano, e criptano solo la tabella delle partizioni del proprio hard disk. In questo caso, i dati non sono crittografati ma la tabella delle partizioni dei file sì, quindi i dati sono ancora presenti solo che non sono accessibili. Potete sfruttare un programma per il recupero dei file – a pagamento come Recuva, oppure gratis come TestDisk. Se recuperate i file in questo modo, potrebbero essere puliti e recuperabili almeno in parte con uno dei programmi appena citati.

Inoltre, anche se rientriamo in ipotesi più che altro speculative, è possibile provare a risolvere il problema e recuperare i file a parte, e poi provare a togliere la chiave crittografica magari rimanendo offline e sfruttando qualche generatore di password.  Pochissime probabilità di riuscirci, ma si può provare anche (in teoria) con un generatore brute force nella speranza che non debba testare tutte le combinazioni possibili, naturalmente sfruttando un computer il cloud molto potente (e spesso costoso, che si paga a quote d’uso).

In ogni caso, quando provate a recuperare file infetti da un ransomware è consigliabili scollegare il computer da internet, in modo da evitare che il ransomware possa sfruttare la rete internet a proprio vantaggio. Un piccolo tentativo che pero’, ovviamente, non può dare garanzia di successo.

Come rimuovere CTB-locker?

Per rimuovere il virus CTB-Locker dovrebbe bastare un qualsiasi antivirus aggiornato all’ultima versione, anche se è utile fare scansione e rimozione prima di ricevere la schermata di infezione. Si suggerisce una scansione con internet non connesso, in teoria, o anche avviando il computer in modalità provvisoria, se disponibile.

Come proteggersi da CTB-locker?

Come proteggersi da questi rischi è presto detto: installando un buon antivirus aggiornato ed evitando di aprire link e/o allegati sospetti nelle mail, anche qualora sembrino affidabili. Un’altra buona idea per proteggersi da questi rischi è quella di evitare di utilizzare account come utenti con privilegi di administrator, in modo che il virus abbia meno possibilità di cancellare o criptare file di sistema: probabilmente questi virus riescono comunque a fare una “scalata” di privilegi, per cui cancellano e criptano file lo stesso.

Purtroppo quando scatta l’infezione di un ransomware, non c’è molto da fare, non esistono metodi sicuri per togliere la chiave di cifratura, e pagare il riscatto  potrebbe non essere una buona idea – dato che non è affatto garantito che riavremo la chiave di sblocco.

free-decryption-thmb

Vettori di attacco di CTB-Locker?

Come si diffonde il virus CTB-Locker è presto detto: a quanto pare, si riceve una mail piuttosto subdola, scritta probabilmente mediante un traduttore automatico, che parla di un generico “rimborso” (ovviamente falso) a cui la vittima avrebbe diritto, relativa a prodotti informatici.

L’utente è portato così a cliccare con l’inganno, ed aprendo il file allegato si ritroverà il computer infetto o meglio, tutti i suoi file saranno criptati, non potrà più nè aprirli nè modificarli se non inserendo una password casuale a 2048 bit (praticamente impossibile da crackare o indovinare). Una minacciosa schermata successiva porta le istruzioni da seguire per ottenere la chiave per sbloccare tutto, che richiede un pagamento molto costoso da corrispondere in bitcoin. Le tempistiche di comparsa della schermata di infezione non sono note, ma è probabile che un buon antivirus aggiornato possa accorgersi del problema prima che succedano danni seri.

Bisogna pagare il riscatto?

In genere è molto più prudente non farlo. Molti utenti – il 3% del campione noto – tendono a pagare il riscatto ma, in molti casi, non riottengono lo stesso i propri file, quindi oltre al danno, la beffa.

Quindi in sostanza non vale la pena pagare, ed è meglio considerare persi i propri file e magari munirsi per la prossima volta di un backup sconnesso dalla rete dei file importanti.

In questi casi non esistono soluzioni sicure da applicare: purtroppo quando il danno è fatto non c’è molto da fare, a meno che non abbiate un backup recente dei vostri dati. In questo caso conviene formattare il PC e ripristinare il backup, in caso contrario potete provare a seguire le indicazioni per recuperare i file, almeno in parte, proposta sul sito digitalic.it.

Messaggi di errore e notifiche legate a CTB-locker

Messaggio per capire che il computer è infetto da CTB-Locker

Il più delle volte il messaggio di CTB Locker si presenta sullo schermo in questa forma:

I tuoi file personali sono stati criptati. I tuoi documenti, foto, database e altri file importanti sono stati criptati con una potente ed unica chiave di cifratura, generate per questo computer. La chiave per la decriptazione è conservata in un server Internet segreto e nessuno potrà essere in grado di decriptare I file, a meno che non paghi e ottieni la chiave privata.

Quello che dice l’annuncio, da un punto di vista tecnologico, è sostanzialmente vero.

Se siete stati infettati da CTB locker, dovreste vedere uno di questi messaggi nel vostro computer o smartphone.

File criptati CTB Locker

I tuoi dati personali sono criptati da CTB Locker

2 voti