BTCWare Aleta virus - Come rimuoverlo?

 

BTCWare Aleta (anche chiamato solo Aleta) ransomware virus visualizza uno screen-locker quasi identico a quello innescato dall’infezione Master (basata su BTCWare). Spegne la funzione di riparazione di avvio, intende nascondere i guasti durante i processi di riavvio e nasconde la maggior parte dei suoi file in una cartella di Adobe Acrobat. Il suo payload è piuttosto inopportuno: darkwaiderr@cock.li.exe e cambia anche l’immagine di sfondo del desktop alla stessa immagine che può funzionare come screen-locker. Il ransomware assegna anche il suo payload per l’esecuzione automatica inserendo le voci nel registro di Windows e monitorando le modifiche che seguono.

Report su questo crypto-virus

Purtroppo, alcune persone hanno già indicato di avere i loro file corrotti e allegati con l’estensione [email] .aleta. Le vittime che hanno già affrontato questa variante hanno spiegato che questo esemplare è significativamente avido perché richiede somme come $ 5271.02 che sono originariamente indicate come 2 BTC. Questa è una quantità enorme che non dovrebbe essere inviata agli hacker.


BTCWare Aleta virus

# READ_ME #!. Inf è il file che viene inserito nel desktop delle vittime e spiega i principali fattori di questa infezione. La prima sezione fornisce informazioni su ciò che è accaduto e incoraggia le persone a contattare l’indirizzo email black.mirror@qq.com per una possibilità di decrittografia dei loro dati digitali. Gli eseguibili selezionati per la codifica dei file saranno danneggiati con l’algoritmo AES per la codifica. Alle vittime viene offerto un servizio di decodifica gratuita per 3 dei loro eseguibili, ma ci sono alcune condizioni, per quanto riguarda il materiale cifrato da recuperare.


Aleta virus

I tre eseguibili non devono contenere informazioni importanti e la loro dimensione è limitata a meno di un 1 MB. Poiché non esiste alcuna informazione sulla quantità di riscatto, si è dimostrato che tale importo sarà aggiustato individualmente, sulla base dei numeri identificativi separati delle vittime (che sono inclusi alla fine della nota riscatto). Questa lunga combinazione di simboli, numeri e lettere aiutano gli hacker a tenere traccia delle loro vittime e a capire chi li contatta via e-mail.

Se le vittime decidono di non contattare i truffatori, sono minacciate di perdere la possibilità di recuperare i file. Dopo 36 ore di silenzio dalle vittime, gli autori del virus BTCWare Aleta affermano di eliminare la chiave privata per la decrittografia memorizzata nei server privati. Complicano le possibili opzioni di ripristino dei file, progettando un payload programmato per sbarazzarsi automaticamente delle copie di volume di Shadow.

È stato stabilito che il protocollo remoto del desktop (RDP) sia stato hackerato allo scopo di fornire il payload di questo crypto-virus. Questa funzionalità viene spesso sfruttata dagli utenti per ricevere assistenza tecnica. Tuttavia, in alcuni casi, questi protocolli sono molto spesso protetti da password deboli e facili da crackare, che aprono una finestra per gli hacker per ottenere accesso remoto. Inoltre, si consiglia di mettere un firewall con VPN.

Se questo esemplare appena scoperto risulta utilizzare le stesse tecniche delle varianti precedenti di BTCWare, non c’è quasi speranza che i file siano decifrabili. Poiché le copie del volume Shadow vengono eliminate, questa opzione non è più disponibile. Pertanto, il ripristino dei file è possibile solo se i tuoi dati digitali sono stati caricati in archivi di backup o in altri luoghi (ad esempio unità flash USB). In questo caso, il ripristino dei file diventa molto più facile e la tua unica preoccupazione è sbarazzarti di questo cripto-virus.

Ti abbiamo fornito delle istruzioni per mostrarti come un ransomware dovrebbe essere eliminato da un sistema operativo. Se l’esemplare è ancora presente, non dovresti tentare di recuperare i file. Se le linee guida manuali sembrano troppo complicate per te, ti offriamo la possibilità di pulire il tuo sistema con combattenti di malware come Reimage, Spyhunter o Plumbytes. Proteggono i meccanismi dai malware e tentano di impedire la crittografia dei file nel disco rigido.

Come rimuovere BTCWare Aleta virus utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che BTCWare Aleta virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di BTCWare Aleta virus

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a BTCWare Aleta virus.

3. Ripristino dei file corrotti da BTCWare Aleta virus utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente BTCWare Aleta virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di BTCWare Aleta virus rimozione automatica

 
  Scarica Reimage per BTCWare Aleta virus rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come BTCWare Aleta virus e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure           
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *