CryForMe virus - Come rimuoverlo?

 

Il virus ransomware CryForMe è un’infezione in-dev che è stata assegnata alla categoria di campioni che sono approssimativamente basati sul progetto open source Hidden Tear. Il payload di quest’ultima infezione è CryForMe.exe, da cui è stato ottenuto il titolo. Un individuo con lo pseudonimo di Marco, è è stato identificato essere l’autore, ma la sua vera identità rimane ignota. Considerando alcuni suggerimenti che sono stati scoperti dopo l’analisi di questo campione, gli analisti della sicurezza hanno stabilito che la variante potrebbe provenire dall’Italia.

Il virus contiene anche una caratteristica che è diventata favorita tra gli hacker: un conto alla rovescia fino a che i file non possono essere decifrati. In questo caso, gli autori hanno deciso di dare a persone esattamente 7 giorni per presentare i loro pagamenti e avere la possibilità di recuperare i loro dati con la chiave di decodifica che ricevono in cambio del denaro.

Come riscatto sono indicati, 250 dollari USA, ma devono essere inviati tramite il sistema di pagamento bitcoin. Approssimativamente, la tassa richiesta è di 0.09983 BTC è la tassa richiesta, ma non dovrete acquistare bitcoins per inviarli. Nella descrizione del pagamento le vittime dovrebbero lasciare le loro informazioni di contatto: nome, nome PC e indirizzo e-mail. Tuttavia, abbiamo poca fede nella possibilità che gli hacker mantengano le loro promesse di fornire alle persone uno strumento per la decrittazione decente.

Questo cripto-virus aggiunge un’estensione originale che dovrebbe separare i file che sono stati interessati dagli algoritmi per la crittografia da quelli che restano funzionali. .cfm è l’aggiunta che dovrebbe contenere gli eseguibili che diventano bloccati. Per il momento, non dovreste notare questa estensione specifica poiché il malware non è completamente funzionale. È ancora in sviluppo e potrebbe essere lanciato nei prossimi due giorni, settimane o forse anche mai. Tuttavia, è plausibile che un virus comparabile riesca a corrompere il computer. Se non questa variante specifica, ci sono molti campioni simili attualmente in modalità attiva.

Possiamo elencare una serie di raccomandazioni, in modo che possiate sapere esattamente come prepararvi per un attacco da ransomware. Prima di tutto, non abbiamo assolutamente alcun dubbio che memorizzare i vostri dati digitali preziosi nelle posizioni di backup diventerà ad un certo punto una funzionalità conveniente. Le vittime dei cripto-virus di solito mantengono le sole copie dei loro dati nei dischi rigidi. Una volta che questi campioni vengono criptati, le persone devono dipendere dai tentativi dei ricercatori di creare un decrittore libero. Se si dispone di più sorgenti per i file, è possibile recuperarli in caso di emergenza.

Prima di avere la possibilità di recuperare i dati, è necessario tenere presente che un’infezione da ransomware deve essere eliminata con cura. Potete perseguire questo obiettivo con strumenti anti-malware quali Reimage, Spyhunter o Plumbytes.

L’infezione non lascia file .txt o .html dietro di sé, ma presenta la nota di riscatto come schermo di blocco. Ciò significa che non si potrà accedere completamente al sistema operativo e si sarà costretti a guardare lo schermo blu che contiene tutte le informazioni necessarie sull’infezione. Qualunque cosa facciate, siete fortemente scoraggiati dal tentare di ottenere i vostri file seguendo le richieste che gli hacker vi iscrivono. Il pagamento del riscatto non vi riporterà indietro i file: gli hacker sono noti per non fornire chiavi funzionali per la decrittografia alle vittime che hanno pagato i riscatti.

Poiché il ransomware non è ancora completamente rilasciato, possiamo solo indovinare quale strategia per la distribuzione sarà adottata. Ad esempio, potrebbe essere che il payload dannoso verrà aggiunto a delle email come allegato. In alcuni casi, il ransomware viene inserito in un sistema operativo dopo che l’utente apre un collegamento dannoso. E’ stato anche notato che i cripto-virus vengono diffusi tramite siti di social networking. Se vi capita di essere contrassegnati in un post bizzarro, o di ricevere un messaggio strano da uno dei vostri amici (o un membro sconosciuto), dovreste trattarlo con precauzione.

Come rimuovere CryForMe virus utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che CryForMe virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di CryForMe virus

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a CryForMe virus.

3. Ripristino dei file corrotti da CryForMe virus utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente CryForMe virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di CryForMe virus rimozione automatica

 
  Scarica Reimage per CryForMe virus rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come CryForMe virus e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

CryForMe virus screenshots

 
           
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *