Benvenuti su

Domenica 20 Agosto 2017






Rimuovere Virus CTB-locker




"CTB-locker" e' il nuovo virus che cripta i dati e ne chiede il riscatto; CTB Locker è un’infezione che appartiene alla famiglia Ransomware Crypto; Arriva con una innocente e-mail dove il messaggio e' semplice ed immediato: aprire la posta elettronica per il rimborso di una fattura e la restituzione di un oggetto acquistato tramite internet. Immediatamente il virus cancella e cripta tutti i dati presenti sul pc in modo, ad oggi, irrimediabile...!!!

Questa e' una copia della famosa e-mail (originale) infetta:


Il file allegato e' al momento un file .CAB simile a questi con la variante della stringa numerica:
  • realizzazione62CB8D1.cab
  • charge6565840.cab
  • domanda8603294.cab
  • sollecitazione239C120.cab
Il testo è abbastanza caotico, ma puo' trarre in inganno. Si fa riferimento a dei prodotti che sono stati restituiti e per i quali si potra' ricevere un rimborso in euro.
La cosa nuova e molto ingannevole e' che le mail contengono tipi di ordini per materiali inerenti il settore in cui opera l’azienda che la riceve. Esistono anche alcune varianti, che non contengono un file ma un link a file eseguibili.

In sole 24 ore sono qualche migliaio gli utenti colpiti in Italia.
L’utente che, ingenuamente, tenta di aprire il file rimane subito infettato dal virus e sul suo PC inizia la cifratura dei file. Si accorgerà del problema solo dopo il riavvio della macchina o il giorno in cui andrà a riaprire quei file.
Addirittura e' stato dimostrato che l’utente si accorge molto tempo dopo dell’azione di questo virus ed anche il recupero dei file dai backup risulta inutile in quanto gli stessi file nel backup sono stati cifrati.

N.B La trasmissione sta' avvenendo in modo esponenziale anche perche' le aziende che hanno ricevuto le mail, ingenuamente, l'hanno inoltrata tra di loro per capire a quale ordine si riferisse.

Purtroppo ad oggi la maggior parte degli Antivirus non riesce a bloccare ancora questa variante del virus e l’unico modo per prevenire il contagio è bloccare a livello server email tutti i file che contengono un allegato .cab.


E' importantissimo non cedere al ricatto e non solo per motivi etico-morali, ma sopratutto perche' risulta molto improbabile la restituzione dei documenti criptati.

La prevenzione da questi attacchi si avvale dei soliti strumenti:
  • Antivirus aggiornato (anche se come in questi casi e' quasi indifferente)
  • backup periodico dei dati (cosa molto fastidiosa per molti utenti....)
  • e lettura accurata dell'oggetto delle mail.
La raccomandazione e' sempre la stessa: non aprire mai allegati che provengono da fonti sconosciute, anche con promesse allettanti.

Per quanto riguarda la rimozione del virus, non e' una procedura molto difficoltosa, basta utilizzare "Combofix" o altro Antispyware
oppure, (procedura testata personalmente) utilizzare il ripristino configurazione sistema presente su tutti le versioni di Windows; da notare che sui sistemi Linux/Unix/Bsd il virus in questione risulta completamente inefficace.

Rimane ancora il problema del recupero dei dati (una vera rogna)....
Per tamponare questo problema e salvare il salvabile su alcuni pc il virus non ha crittato direttamente i files, ma ha creato una copia crittata di ognuno di essi cancellando l'originale!!!.
Se siete cosi fortunati (si fa per dire....) e vi trovate in una situazione simile, sarebbe possibile utilizzare un software per il recupero dei dati cancellati per recuperarne una buona parte o addirittura tutti, avendo un po' di pazienza.
Io ho utilizzato Recuva in versione gratuita con qualche limitazione, e devo dire che ho ottenuto un ottimo risultato.


Privacy Policy