Oggi voglio fornire un utile suggerimento a tutti coloro che, nelle scorse settimane, sono rimasti vittime di uno dei ransomware più fastidiosi nell’ecosistema criminale, il popolare CoinVault Ransomware.
I ransomware sono una particolare tipologia di malware che impedisce agli utenti di una macchina infetta di poter accedere alle sue risorse. Esistono diversi tipi di malware, alcuni mostrano una schermata che informa all’avvio del PC che il sistema è sottoposto al sequestro da parte delle autorità giudiziarie, altri invece cifrano i file presenti sulla macchina impedendone l’accesso. La finalità di tutti i malware è estorsiva, in ogni caso è richiesto alle vittime il pagamento di un riscatto, tipicamente nell’ordine di qualche centinaia di dollari, per ripristinare la normale condizione di esercizio. Vi dico da subito che non sempre pagando il riscatto le vittime riescono a riprendere possesso delle proprie risorse.
CoinVault è un ransomware, appartenente alla famiglia dei CryptoGraphic Locker malware, che cifra i file presenti su macchine Windows XP, Windows Vista, Windows 7, and Windows 8. CoinVault fornisce alle vittime la possibilità di provare a decifrare a gratis alcuni dei file cifrati per provare che a seguito del pagamento anche i restanti documenti potranno essere ripristinati.
A differenza di altri ransomware, CoinVault non utilizza un sito remoto per memorizzare le chiavi utili a decifrare i file, ma le funzionalità di decrittazione e di pagamento sono presenti direttamente nel codice binario del malware.
Proprio questa caratteristica ha reso possibile lo sviluppo di un sistema in grado di recuperare la chiave usata per cifrare i file sulla macchina infetta e rimuovere la temuta minaccia.
Gli esperti del Kaspersky Lab hanno sviluppato uno strumento gratuito, chiamato “CoinVault ransomware Decrypt,” in collaborazione con la polizia olandese.
Nel corso delle indagini sul temuto CoinVault ransomware, la polizia olandese è riuscita ad ottenere le chiavi di cifratura usate dal malware che erano archiviate su un database presente su un server posto sotto sequestro delle autorità.
Lo strumento di rimozione del CoinVault ransomware sviluppato da Kaspersky Labs, utilizza proprio queste chiavi per decifrare i file. Sebbene la polizia olandese abbia recuperato un numero cospicuo di file potrebbe capitare che la variante che ha infettato la nostra macchina usi chiavi non presenti nell’archivio scoperto vanificando il tutto.
Se credete che il vostro sistema sia stato infettato da CoinVault seguite i seguenti passi per la sua rimozione:
- Annotate l’indirizzo del portafoglio Bitcoin riportato dalla schermata del malware per il pagamento del riscatto.
- Recuperare l’elenco dei file cifrati dall’interfaccia del ransomware.
- Scaricare un antivirus in grado di rimuovere CoinVault ransomware in maniera definitiva prima di procedere con altre operazioni.
- Dalla pagina https://noransom.kaspersky.com scaricare lo strumento di decifratura sviluppato da Kaspersky Labs.
- Installare le librerie aggiuntive e decriptare i file.
Al fine di proteggere un PC dal malware si raccomanda infine il rispetto di poche e semplici regole:
- Assicurarsi che il software installato sul PC sia aggiornato così come la definizione dei virus per il sistema AV presente sul PC.
- Evitare di visitare siti Web sospetti.
- Effettuare regolarmente il backup dei file importanti su un’unità esterne.
- Non cliccare su banner pubblicitari e pop-up presenti su siti di origine dubbia.
- Evitare di aprire mail di spam, non cliccare su link in essi contenuti né tantomeno di aprire eventuali allegati.
Facebook Comments