Notizie

Teslacrypt!!

In questi giorni mi è capitato di dover ripristinare alcuni PC di clienti infettati dal virus Teslacrypt.

Questo virus è davvero devastante, in quanto cripta tutti i file di uso più comune (pdf, doc, docx, zip, ecc.) rendendoli di fatto inservibili. Ovviamente una volta criptati segnala come fare per ottenere la chiave di decrittazione, come fanno di solito questo tipo di virus (ransomware).

Essendo molto recente sono solo pochi gli antivirus che lo rilevano. Normalmente viene contratto attraverso allegati .ZIP, ma potrebbe essere anche collegato a qualche banner pubblicitario di qualche sito web (consiglio di installare qualche plugin tipo ad-block per limitare questi casi)

I file criptati avranno tutti estensione .micro e quindi è facile, ahimè, verificare quanto è stato il danno sul PC. La cosa allarmante è che questa versione va a cercare i file anche su tutte le condivisioni di rete configurate sul PC e quindi il danno in una rete aziendale può essere davvero esteso! In più disattiva e cancella la shadow copy di windows, che in precedenza poteva essere utilizzata per ripristinare facilmente i file criptati. Questa versione del virus cripta i file con chiave AES a 4096 bit, quindi praticamente impossibile da decrittare. Anche le cartelle in cloud (p.es. Dropbox) ovviamente vengono prese di mira…

Al momento posso dire che per quanto riguarda l’eliminazione del virus è necessario utilizzare il programma SpyHunter ver.4, unico in grado di rilevare e rimuovere tale malware. Questo antivirus è gratuito se utilizzato per la sola scansione del PC, bisogna invece acquistare la licenza per la rimozione effettiva del virus.

Tuttavia sono riuscito ad individuare dove normalmente si posizionano i file eseguibili del virus: prima di tutto è altamente consigliato avviare il pc con una distro live di linux (p.es. SysrescCD) poi bisogna cercare nella cartella %APPDATA% dell’utente che ha rilevato il virus i file .exe che hanno data recente (dipende da quando è stato rilevato il virus) e una dimensione, solitamente, inferiore ai 500Kb. Individuati questi file si potrà notare che hanno tutti esattamente la stessa dimensione e data di creazione, ma nomi diversi…

Una volta rimossi tali file si può procedere con la pulizia dei file warning che il virus ha installato un po’ ovunque per segnalare che il PC è stato infettato. I file sono del tipo help_recover_instructions*.* e quindi sono facili da rimuovere…

Fatto questo è possibile accedere al PC ma evitare assolutamente di usare l’account dell’utente che ha contratto il virus ed accedere con un account amministratore in modalità provvisoria (tasto F8 all’avvio di Windows) e possibilmente staccando il cavo di rete.

Una volta accertati che il PC non mostra attività disco anomala (segno che magari il virus è ancora attivo) installare il programma CCleaner e procedere eliminando tutti i file temporanei e in seguito ripulendo il registro dalle voci inutilizzate. IMPORTANTE! eseguire CCleaner anche, e soprattutto, con l’account che ha contratto il virus (tasto destro del mouse sull’eseguibile e quindi “Esegui come”). In questo caso, prima di eliminare le voci di registro, si potrebbe verificare che una delle voci di avvio era proprio collegata, probabilmente, a uno degli eseguibili rimossi, a conferma del fatto che abbiamo individuato l’eseguibile con il virus.

Consiglio anche di eseguire una scansione completa con un antivirus diverso (tipo ClamWin portable o altri) al fine di controllare anche la presenza di altri malware…

Se ci saranno sviluppi, soprattutto nella possibilità di decrittare i file, pubblicherò le informazioni.