1 of 3
Livello di pericolo 9
Tipo: Trojans
Comuni sintomi di infezione:
  • Si installa senza permesso
  • Errori di sistema

CryptoJoker Ransomware

CryptoJoker Ransomware non è decisamente un’infezione malware da ignorare o da prende poco sul serio, anzi, potrebbe essere il vostro peggior incubo. Sebbene sembri che questo Trojan non è troppo diffuso, con il passare del tempo andrà sicuramente a conquistarsi uno spazio più ampio nel mondo delle infezioni malware. Ma a prescindere da quanto è “popolare” al momento, dovete sapere che si tratta di una minaccia seria e pericolosa per il sistema operativo e per i vostri file personali. Se questa infezione malware riesce a infiltrarsi e a portare a termine la propria missione, molto probabilmente dovrete dire addio ai vostri documenti, alle immagini e ai vostri database, che saranno crittografati nel giro di un minuto; salvo ovviamente che non siate degli utenti attenti alla sicurezza che tengono delle copie di backup su un supporto esterno. Questa effettivamente è l’unica maniera per ripristinare i file perché neanche il pagamento del riscatto che questo Trojan cerca di estorcere potrebbe bastare. Se non rimuovete CryptoJoker Ransomware immediatamente, non solo perderete i vostri file, ma potreste non riuscire a utilizzare più il vostro computer.

Il file di installazione di questo Trojan è camuffato da file PDF. Perciò probabilmente viene principalmente distribuito tramite e-mail spam. Per evitare infezioni Trojan, una delle regole più importanti è quella di non aprire mai e-mail sconosciute e di non cliccare mai su link e allegati, anche se presenti in e-mail familiari o dall’aspetto ufficiale – salvo non le stiate aspettando – perché le e-mail spam possono impersonare qualsiasi persona o istituzione e sembrare autentiche. Si tratta di un inganno. Accedendo alla casella di posta, probabilmente non ci penserete due volte vedendo un’e-mail da parte del vostro o di un noto fornitore di servizi Internet. Ovviamente, i cyber criminali utilizzano sofisticate tattiche per assicurarsi che voi clicchiate sui link o sui file allegati, in questo caso un documento .pdf. Ma dopo aver cliccato non c’è modo per tornare indietro; il Trojan viene scaricato sul computer e inizia immediatamente le sue losche attività. L’unico modo per evitare che succeda sarebbe uno strumento di rimozione malware aggiornato e affidabile sempre attivo in secondo piano.

Quest’infezione Trojan utilizza diversi file per portare a termine il proprio compito. Prima di tutto, crea o scarica i seguenti file di testo sul desktop: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt e РАСШИФРОВАТЬ ФАЙЛЫ.txt. Questi contengono principalmente la nota di riscatto in inglese e russo e le estensioni colpite. Inoltre crea i seguenti file nella directory %Temp%: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt e new.bat. Dopo, questo malware aggiunge le seguenti voci di registro per consentire ai file drvpci.exe, windefrag.exe e winpnp.exe di avviarsi automaticamente all’avvio di Windows:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

Oltre a questi file, crea anche due file nella directory %Appdata% chiamati baefefbed.exe, con nome casuale, e README!!!.txt22. Questa è la chiave di registro che il Trojan aggiunge per il file esecutivo: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.” Ciascuno di questi file è utilizzato per svolgere vari compiti, come inviare informazioni al server Command and Control, monitorare e cessare tutti i processi attivi nel Task Manager e nell’Editor di Registro, e via dicendo.

Abbiamo scoperto che CryptoJoker Ransomware colpisce le seguenti estensioni relative a documenti, immagini e database: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Nel momento in cui questo ransomware inizia la codifica dei vostri file, effettua una scansione di tutte le unità disponibili, incluse le unità di rete mappate, colpendo queste estensioni. Quando la codifica di un file è terminata, il malware aggiunge l’estensione .crjoker, ad esempio: myphoto.jpg.crjoker. Questo Trojan utilizza il sistema AES-256 per codificare i file, che è un sistema crittografico integrato in Windows, infatti l’intero processo molto probabilmente non richiede più di un minuto. Sembra chiaro che disabilitare quest’infezione prima che finisca il suo lavoro è praticamente impossibile, salvo, naturalmente, che non abbiate super poteri e non siate in grado di reagire in millisecondi dopo esservi resi conto di non poter accedere ai file o che le loro estensioni sono state modificate senza il vostro consenso.

Quando questo ransomware completa la sua azione su tutte le unità disponibili, mostra una piccola finestra sul desktop, in primo piano rispetto a qualsiasi finestra attiva, con istruzioni sia in inglese sia in russo. Per proteggersi, l’infezione si assicura anche che non possiate accedere al Task Manager e all’editor di Registro. Lancerà anche un file di batch (new.bat), il quale eseguirà la rimozione delle copie shadow dei file al fine di evitare che questi vengano riparati automaticamente. Le istruzioni presenti nella nota di riscatto vi comunicano che dovete inviare un’e-mail per ricevere le istruzioni per il pagamento a uno dei seguenti indirizzi: file987@sigaint.org, file9876@openmail.cc, or file987@tutanota.com.

Sebbene la nota di riscatto affermi che i file sono stati codificati con un sistema RSA-2048, in realtà solo per il vostro codice personale viene utilizzato questo metodo, cioè il codice che dovreste inviare all’indirizzo e-mail di contatto. Vengono fornite 72 ore per il trasferimento del denaro richiesto dai criminali, altrimenti la somma aumenta. Viene anche detto di non cercare di combattere l’infezione, pena una “perdita irrecuperabile delle informazioni”. Naturalmente non c’è alcuna garanzia che riceverete mai la chiave promessa per la decodifica, e non ci sarà mai. In questi casi tornano utili le copie di backup. Se avete i vostri file personali salvati su un HDD esterno o su una pennetta, potete ricopiarli sulla macchina in qualsiasi momento. Tuttavia, è importante assicurarvi che il sistema sia completamente al sicuro. Perciò, noi vi consigliamo di eliminare CryptoJoker Ransomware il prima possibile e quindi di iniziare il ripristino dei vostri file.

Se non avete una copia di backup, ci dispiace ma al momento non potete decodificare i vostri file con nessuno strumento. È possibile che in futuro, quando questo ransomware colpirà un maggior numero di computer e gli esperti scopriranno un modo per decodificare i file, in rete si troveranno degli strumenti. Ma fino a quel momento non c’è molto da fare, a parte ripulire il sistema da questo pericoloso estraneo.

L’unico modo di eliminare CryptoJoker Ransomware è accedere alla Modalità Provvisoria con Rete dopo il riavvio del computer. Sarà quindi possibile rimuovere tutti i file e le voci di Registro create. Ma prima di farlo, assicuratevi di rendere visibili le cartelle nascoste nel vostro File Manager; altrimenti non troverete la directory %Appdata%. Comunque, se considerate l’idea di pagare il riscatto non dovete eliminare i file di testo dal desktop perché contengono le istruzioni, il vostro codice crittografato unico e gli indirizzi e-mail che dovreste utilizzare. Dopo aver finito, dovrete riavviare il computer. Seguite le istruzioni che vi presentiamo qui sotto molto attentamente, perché se per caso eliminate le chiavi di registro farete più danni che altro. Effettivamente noi raccomandiamo la rimozione manuale solo per gli utenti più esperti che sanno cosa c’è in ballo. Per una rimozione più sicura ed efficace, consigliamo di utilizzare uno strumento di rimozione malware professionale.

Come riavviare in Modalità Provvisoria con Rete

Windows 8, Windows 8.1 e Windows 10

  1. Premere Win+I e cliccare sull’icona Arresta.
  2. Mentre si preme e si tiene premuto il tasto Shift, cliccare su Riavvia.
  3. Selezionare Risoluzione dei problemi e spostarsi su Opzioni avanzate.
  4. Selezionare Impostazioni di avvio.
  5. Premere su Riavvia.
  6. Premere F5 per riavviare il PC in Modalità Provvisoria con Rete.

Windows XP, Windows Vista e Windows 7

  1. Riavviare il PC e premere il tasto F8.
  2. Selezionare Modalità Provvisoria con Rete nel menù e premere Invio.

Rendere visibili gli oggetti nascosti nel File Manager di Windows

Windows 8, Windows 8.1 e Windows 10

  1. Premere Win+E.
  2. Selezionare il menu Visualizza e spuntare la casella Elementi nascosti.

Windows Vista e Windows 7

  1. Premere Win+E.
  2. Premere il pulsante Organizza e selezionare Opzioni cartella e ricerca dal menù.
  3. Scegliere la tabella Visualizza.
  4. Selezionare Mostra i file e le cartelle nascosti.
  5. Premere OK.

Windows XP

  1. Premere Win+E and selezionare il menù Strumenti.
  2. Selezionare Opzioni cartella.
  3. Cliccare sulla tabella Visualizza.
  4. Selezionare Mostra i file e le cartelle nascosti.
  5. Premere OK.

Come rimuovere CryptoJoker Ransomware

  1. Premere Win+E e individuare la cartella C:\Users\user\AppData\Local\Temp.
  2. Trovare ed eliminare i seguenti file: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt e new.bat.
  3. Individuare la cartella C:\Users\user\AppData\Roaming.
  4. Trovare ed eliminare i seguenti file: baefefbed.exe e README!!!.txt22.
  5. Premere Win+R e scrivere regedit. Premere OK.
  6. Trovare ed eliminare le seguenti voci di Registro:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Trovare e rimuovere le seguenti voci di Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
  8. Riavviare il sistema operativo.
Scarica il programma di scansione per CryptoJoker Ransomware
  • Soluzione rapida e sicura per la rimozione della minaccia CryptoJoker Ransomware .
  • Salva sul tuo desktop e lancia subito!
disclaimer
Disclaimer

Inserisci commento — CI SERVE LA TUA OPINIONE!

Commento:
Nome:
Inserisci per favore il codice di sicurezza:
This is a captcha-picture. It is used to prevent mass-access by robots.