Video: Come sbloccare i file criptati da un ransomware (Novembre 2024)
Se i tuoi file sono stati rilevati dal ransomware CryptoLocker, è meglio che i tuoi backup siano aggiornati. Certo, puoi pagare il riscatto, ma ciò non garantisce che i tuoi file verranno liberati dalla crittografia ostile. E se il ransomware ha preso il controllo di tutti i sistemi Windows, la soluzione migliore è un CD di ripristino di avvio. Ma c'è un nuovo tipo di diffusione del ransomware, un tipo che in realtà non ha denti. Spiegherò come riconoscerlo e come chiamarlo bluff.
Perché bluff?
Perché qualcuno dovrebbe scrivere un programma ransomware che non può far fronte alle sue minacce? Bene, tutti i fornitori di antivirus saltano naturalmente per sviluppare protezione contro una minaccia di alto profilo come CryptoLocker. Ogni piccolo cambiamento nel suo comportamento è una grande novità. E le attività a livello di sistema richieste da uno strumento ransomware che impedisce il normale avvio di Windows sono relativamente facili da rilevare.
Questo nuovo tipo di ransomware "tigre di carta" sfugge al rilevamento perché in realtà non fa molto. Visualizza il suo testo e le sue immagini, come qualsiasi altra pagina Web, e utilizza (o abusa) uno strumento Web comune che è effettivamente necessario per siti perfettamente validi. Questo è tutto. E naturalmente gli autori cambiano costantemente gli URL, quindi una lista nera degli URL non aiuta.
Sei sicuro?
Hai mai accidentalmente iniziato a chiudere una pagina Web durante la compilazione di un modulo o un acquisto online? È probabile che tu abbia un avviso popup che stai per perdere i dati che hai inserito e ti chiede se sei abbastanza sicuro di volerlo fare. Questo è davvero utile per quelle volte in cui non hai intenzione di lasciare la pagina.
Pagine pubblicitarie aggressive hanno imparato a utilizzare questa stessa funzione a proprio vantaggio. Se ti allontani prima di acquistare la tua garcinia cambogia o l'estratto di caffè verde, la pagina utilizzerà la stessa funzione per lanciare un popup che ti chiede di non andare. Altri siti di truffa potrebbero avvertire che stai perdendo l'opportunità di una vita, quindi per favore non andartene! L'attuale raccolta di pagine di ransomware porta questo abuso al livello successivo.
Un bluff semplice
Se vieni ingannato nel visitare una di queste moderne pagine di ransomware, ti troverai di fronte a un avviso dall'aspetto ufficiale come quello in cima a questo articolo (fai clic sull'immagine per ingrandirla). Dice che hai commesso uno dei numerosi crimini: violazione del copyright musicale, visualizzazione o distribuzione di pornografia o permesso negligentemente l'uso improprio del tuo PC da parte di altri.
"Tutte le attività di questo computer sono state registrate. Tutti i tuoi file sono crittografati. Non tentare di sbloccare il computer!", Dice. Ma non preoccuparti. Dal momento che è il tuo primo reato, puoi "sbloccare il tuo computer ed evitare altre conseguenze legali" pagando una multa di $ 300 utilizzando un metodo di pagamento non rintracciabile. La versione dell'FBI richiede il pagamento tramite carta Vanilla Reload e mostra un elenco di rivenditori molto comuni che vendono la carta, tra cui Office Depot, 7-Eleven e Walmart.
Solo per essere sicuro di essere stressato e pronto ad agire in fretta, la pagina avverte che la possibilità di fuggire senza accuse penali scade tra 12 ore. Promette che il tuo browser verrà sbloccato tra le tre e le 12 ore dopo il pagamento. Dato che il sistema non è veramente bloccato, sarei sorpreso se qualcosa fosse successo in quel momento.
Ho anche raccolto versioni che dichiarano di provenire dalla polizia federale australiana, dalla polizia montata canadese reale, dalla Policia Portuga e dalla Policía Federal Argentina. Qualunque sia il paese in cui ti trovi, probabilmente c'è una versione per te. Guarda la presentazione per visualizzare la mia raccolta di ransomware.
Se provi ad andare via, riceverai un terribile avvertimento: "IL TUO BROWSER È STATO BLOCCATO. TUTTI I DATI DEL PC SARANNO DETTAGLIATI E LE PROCEDURE CRIMINALI SARANNO INIZIATE CONTRO TE." Se fai clic su "Esci da questa pagina", ricevi nuovamente l'avviso e di nuovo. Se si tenta di chiudere la scheda o il browser, accade la stessa cosa. Questa è la nuova svolta; anche se chiedi di andartene, non te lo permetterà. Ma non estrarre ancora la tua carta di credito.
Cancella il ransomware
In effetti, il ransomware non ha crittografato i tuoi file. Non ha registrato le tue attività. Non può "trattenere" i tuoi file (qualunque cosa ciò significhi). E non sono in corso procedure legali. L'unico potere di questo ransomware è che può impedirti di chiudere la sua pagina Web.
Potresti cancellarlo riavviando, ma ciò può disturbare le altre tue attività. Fortunatamente, c'è un altro modo. Fai clic con il tasto destro sulla barra delle applicazioni e scegli "Avvia Task Manager". Fare clic sulla scheda Processi e fare clic sulla parte superiore della colonna del nome per mettere i processi in ordine alfabetico. Trova iexplore.exe o chrome.exe o firefox.exe o qualsiasi processo rappresenti il tuo browser. Possono esserci diversi processi con lo stesso nome.
Fare clic sul processo del browser nell'elenco, fare clic sul pulsante "Termina processo" e confermare quando richiesto. Potrebbe essere necessario farlo per più processi e potrebbe essere necessario farlo più di una volta per lo stesso processo. Ma in pochi secondi ti libererai del ransomware senza denti.
Devo presumere che qualcuno là fuori sia abbastanza credulone da pagare $ 300, o € 100, o qualunque sia la multa dichiarata, pensando che le minacce del ransomware siano reali. Forse quelli che sono effettivamente colpevoli dei presunti crimini sono più suscettibili? Ma ora che sai come gestirlo, questo tipo di malware non può farti del male.
VISUALIZZA TUTTE LE FOTO IN GALLERIA