Security Notes

Come eliminare il ransomware CoinVault da un PC recuperando i file criptati?

Ransomware

Oggi voglio fornire un utile suggerimento a tutti coloro che, nelle scorse settimane, sono rimasti vittime di uno dei più fastidiosi nell’ecosistema criminale, il popolare Ransomware.

I ransomware sono una particolare tipologia di malware che impedisce agli utenti di una macchina infetta di poter accedere alle sue risorse. Esistono diversi tipi di malware, alcuni mostrano una schermata che informa all’avvio del PC che il sistema è sottoposto al sequestro da parte delle autorità giudiziarie, altri invece cifrano i file presenti sulla macchina impedendone l’accesso. La finalità di tutti i malware è estorsiva, in ogni caso è richiesto alle vittime il pagamento di un riscatto, tipicamente nell’ordine di qualche centinaia di dollari, per ripristinare la normale condizione di esercizio. Vi dico da subito che non sempre pagando il riscatto le vittime riescono a riprendere possesso delle proprie risorse.

CoinVault è un ransomware, appartenente alla famiglia dei CryptoGraphic Locker malware, che cifra i file presenti su macchine Windows XP, Windows Vista, Windows 7, and Windows 8. CoinVault fornisce alle vittime la possibilità di provare a decifrare a gratis alcuni dei file cifrati per provare che a seguito del pagamento anche i restanti documenti potranno essere ripristinati.

A differenza di altri ransomware, CoinVault non utilizza un sito remoto per memorizzare le chiavi utili a decifrare i file, ma le funzionalità di decrittazione e di pagamento sono presenti direttamente nel codice binario del malware.

Ransomware

Proprio questa caratteristica ha reso possibile lo sviluppo di un sistema in grado di recuperare la chiave usata per cifrare i file sulla macchina infetta e rimuovere la temuta minaccia.

Gli esperti del Kaspersky Lab hanno sviluppato uno strumento gratuito, chiamato “CoinVault ransomware Decrypt,” in collaborazione con la polizia olandese.

Nel corso delle indagini sul temuto CoinVault ransomware, la polizia olandese è riuscita ad ottenere le chiavi di cifratura usate dal malware che erano archiviate su un database presente su un server posto sotto sequestro delle autorità.

Lo strumento di rimozione del CoinVault ransomware sviluppato da Kaspersky Labs, utilizza proprio queste chiavi per decifrare i file. Sebbene la polizia olandese abbia recuperato un numero cospicuo di file potrebbe capitare che la variante che ha infettato la nostra macchina usi chiavi non presenti nell’archivio scoperto vanificando il tutto.

Se credete che il vostro sistema sia stato infettato da CoinVault seguite i seguenti passi per la sua rimozione:

  • Annotate l’indirizzo del portafoglio Bitcoin riportato dalla schermata del malware per il pagamento del riscatto.
  • Recuperare l’elenco dei file cifrati dall’interfaccia del ransomware.
  • Scaricare un antivirus in grado di rimuovere CoinVault ransomware in maniera definitiva prima di procedere con altre operazioni.
  • Dalla pagina https://noransom.kaspersky.com  scaricare lo strumento di decifratura sviluppato da Kaspersky Labs.
  • Installare le librerie aggiuntive e decriptare i file.

Ransomware2

Al fine di proteggere un PC dal malware si raccomanda infine il rispetto di poche e semplici regole:

  • Assicurarsi che il software installato sul PC sia aggiornato così come la definizione dei virus per il sistema AV presente sul PC.
  • Evitare di visitare siti Web sospetti.
  • Effettuare regolarmente il backup dei file importanti su un’unità esterne.
  • Non cliccare su banner pubblicitari e pop-up presenti su siti di origine dubbia.
  • Evitare di aprire mail di spam, non cliccare su link in essi contenuti né tantomeno di aprire eventuali allegati.

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This