CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, o viene caricato su un computer già facente parte di una botnet. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf, avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file (un file chiamato nomefile.pdf.exe sarà mostrato come nomefile.pdf nonostante sia un eseguibile). Alcune varianti del malware possono invece contenere il Trojan Zeus, che a sua volta, installa CryptoLocker.

Al primo avvio, il software si installa nella cartella Documents and Settings (o "Users", nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo. Una volta connesso il server genera una chiave RSA a 2048 bit e manda la chiave pubblica al computer infetto. Il server di comando e controllo può essere un proxy locale e passare per altri, ripresentandosi spesso in nazioni differenti così da renderne difficile il tracciamento. Il malware quindi inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di 300 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata.

Possibile soluzione

La solzuione che ti presentiamo non garantisce certezza che tu possa recuperare i tuoi dati da questa operazione.Può essere un tentativo valido che ha aiutato diverse persone a recuperare i dati cancelllati (cryptati) da questo malware.

A partire da Windows XP Service Pack 2 c’è una funzione di ripristino “integrata” e nascosta all'utente.
Questa funzione si chiama VSS (Volume Shadow Service) ed è un punto di ripristino a una certa data fatto dal sistema operativo Windows stesso.

Alcuni cryptovirus sono così furbi e cattivi che cancellano anche queste copie di riserva, altri invece non le toccano.Potresti essere fortunato e magari le tue copie di riserva non sono state toccate.


Come recuperare i backup automatici di Windows, se il virus non li ha cancellati
Basta usare ShadowExplorer che è un programma che accede alle copie che Windows esegue (punti di ripristino del sistema operativo). Questo software è molto utile in quanto in alcune versione di sistema operativo quando Microsoft non fornisce gli strumenti per farlo (per esempio nelle versioni Home).

Il software ShadowExplorer può essere scaricato a questo indirizzo.
Una volta in esecuzione, viene mostrata una finestra che permette di scegliere quale “fotografia” del sistema si desidera visualizzare.

A questo punto potrai esplorare tutte le cartelle individuando il file che interessa basta fare clic con il tasto destro del mouse, scegliere Export e… Il gioco è fatto!

Il file che ci interessava è stato ripristinato.

N.B. Questa guida è rivolta a chi ha un pò di dimestichezza col computer in caso contrario ti consigliamo comunque di avvalerti dell'esperienza di un tecnico competenete e non rispondiamo di eventuali malfunzionamenti.

Ti consigliamo comunque di effettuare dei salvataggi periodici dei tuoi dati sensisibili a prescindere da quelli di windows in quanto i virus e i malware di ultima generazione attaccano e distruggono anche quelli rendendo il processo di recupero molto più difficile se non impossibile.