Come eliminare il trojan CTB Locker
Arriva purtroppo dalla Francia un nuovo pericoloso trojan chiamato ctb Locker: vediamo su Migliori Antivirus di cosa si tratta e come eliminarlo dal pc
del 12/02/15 - di Alessandro Elia
Moltissimi utenti, purtroppo, ultimamente hanno sofferto un'infezione generata dal pericoloso trojan CTB Locker. Si tratta di una vasta campagna di SPAM sviluppatasi in Francia che porta con sé conseguenze che è meglio evitare. Ecco allora l'idea di un post per aiutarvi a rimuoverlo.
CTB, lo spam fatto in Francia
Le email arrivate alle vittime contenevano un file allegato con estensione .CAB insieme ad un messaggio di un falso collega di lavoro. Sia aspetto che contenuto dei messaggi sono stati realizzati alla perfezione e in apparenza tutto sembrerebbe normale.
Come avviene l'infezione di CTB Locker
Un ransomware come CTB Locker cerca di cifrare tutti i file con estensioni diciamo 'interessanti': ovviamente foto e immagini (JPG/PNG), video (3GP, MP4), documenti (PST, XLS, DOC) e via discorrendo.
Le email invitano l'utente a lanciare l'allegato Cabinet (.CAB) che nasconde un auto-eseguibile di Microsoft Office. Una volta lanciato, il malware nascosto al suo interno inizia a cifrare tutti i file di interesse presenti sul nostro PC e su tutti i dispositivi connessi al momento dell'infezione:
> Dischi esterni
> Schede di memoria
> Smartphone
> Unità ottiche
Ecco il ricatto
Lo scopo della cifratura dei nostri file è ben presto spiegata: alle vittime (utenti o aziende) viene proposto il pagamento di un riscatto entro e non oltre 72 ore.
Scheda tecnica dell'infezione
Di solito, in base agli attacchi registrati in Italia, il trojan arriva attraverso un falso download di Adobe Flash Player 10.3. Molti di questi tentativi di infezione purtroppo utilizzano questo tipo di escamotage.
A parte la cifratura dei nostri file sopra descritti, CTB Locker crea 3 nuovi file:
AllFilesAreLocked 1716900.bmp
DecryptAllFiles 1716900.txt
sunlrad.html
Tali file sono in realtà immagini con le informazioni, in russo e inglese, raccolte dopo le modifiche apportate dal virus sul nostro computer o dispositivo.
Inoltre CTB Locker disabilita il processo EXPLORER.EXE che ci permette la navigazione tra cartelle e file: insomma ci lascia proprio in un mare di guai.
L'infezione è dimostrata dalla presenza di questi file:
%TEMP%\[7 caratteri aleatori].exe
%USERPROFILE%\My Documents\Decrypt All Files [7 caratteri aleatori].bmp
%USERPROFILE%\My Documents\Decrypt All Files [7 caratteri aleatori].txt
o anche di qualsiasi archivio con una estensione aleatoria di 7 caratteri di lunghezza.
Come eliminare CTB Locker
Vale la pena sottolineare che la minaccia può essere debellata eliminando tutti questi file (anche se il trojan rimarrá latente nel nostro computer). Per completare la pulizia occorrerà riavviare il PC e utilizzare un programma anti-malware per realizzare la scansione e realizzare così la riparazione necessaria.
Vi suggeriamo:
Kaspersky Rescue Disk 10
Spy Hunter
Più complicato semmai è riuscire a recuperare i file cifrati da CTB Locker senza pagare gli sviluppatori del ransomware con i nostri preziosi Bitcoins
Prevenire è meglio che curare
Ogni volta che ci troviamo dinanzi ad un programma Ransomware è conveniente tenere a memoria quanto siano importanti i backup dei nostri file. Non costano nulla e in casi del genere ci salvano la vita.