GNL Locker Ransomware - Come rimuovere?

 
UAB DIGIMA

GNL Locker è un ransomware Trojan che assomiglia a virus come Locky, CryptoWall, TeslaCrypt, CryptoHasYou, giusto per nominarne alcuni. Nell’acronimo ‘‘GNL’’ ‘‘G’’ sta per Germani, ‘‘N’’ – per Olanda (Netherlands) e ‘‘L’’ – per locker. La selezione di questi paesi non è casuale non è casuale – il virus controlla l’indirizzo IP e colpisce specificatamente gli utenti tedeschi e olandesi. GNL Locker viene considerate un’altra versione del cryptomalware open source Hidden Tear.

Sul Ransomware GNL Locker

GNL Locker colpisce quasi tutte le versioni di Windows OS e cripta vari file: testo, audio, video, archivi, etc. I dati vengono criptato con l’algoritmo RSA-2048 (la cui chiave è lunga 2048 cifre) utilizzando una password AES univoca di 32 caratteri. L’estensione ‘‘.locked’’ verrà aggiunta a questi file (ad esempio story.doc verrà trasformato in story.locked). Il processo di cifratura si nasconderà dietro il processo host svchost.exe. Quando tutto sarà stato effettuato, lo sfondo del desktop verrà sostituito con il file UNLOCK_FILES_INSTRUCTIONS.PNG, in ogni cartella contenente un file criptato apparirà il file UNLOCK_FILES_INSTRUCTIONS.TXT file, e la pagina UNLOCK_FILES_INSTRUCTIONS.HTML potrebbe comparire quando cercherai di aprire il tuo browser. Gli hacker ti chiederanno da 0.4 a 0.6 BTC (Bitcoins), che equivale a dire da 150 a 250 USD. Ti minacceranno dicendoti che, nel caso in cui il pagamento non venisse effettuato entro una data prestabilita, l’importo verrà triplicato. GNL Locker potrebbe utilizzare i file .bat per dare comandi al kernel di Windows.

Come si diffonde il ransomware GNL Locker?

Il cryptomalware GNL Locker si diffonde attraverso le email di spam e i loro allegati malevoli. Questi allegati contengono file sospetti che sono infettati con il virus. Queste email solitamente allegano anche link a siti pericolosi. Solitamente fingono di essere finti biglietti della lotteria, promozioni, trasferimenti inaspettati di denaro su PayPal, etc. Un altro modo con cui ransomware come GNL Locker potrebbero proliferare è tramite le vulnerabilità del sistema ottenute sfruttando gli exploit kit. Per esempio, GNL Locker, così come il ransomware KimcilWare, potrebbero sfruttare le funzionalità Macro.

Come decriptare i file cifrati dal ransomware GNL Locker

Non esistono al momento tool per la decriptazione. Tuttavia, fortunatamente GNL Locker non distrugge le copie di volume Shadow, potrai quindi utilizzarle per ripristinare i file corrotti. Questo potrà essere fatto tramite il servizio delle copie di volume Shadow. Inoltre, i tool di ripristino dati, come Photorec, le utility di Kaspersky virus-fighting, -Studio posso essere utilizzati.

In generale, è altamente consigliabile utilizzare sistemi di backup come Google Drive, Elephant Drive o salvare i dati importanti in dischi esterni. Per la rimozione del virus utilizza antivirus professionali, come SpyHunter, Malwarebytes o StopZilla. Lo scenario più auspicabile sarebbe quello in cui ti occupi dei tuoi dati e della sicurezza del tuo computer in anticipo, installando un anti-malware affidabile per prevenire i rischi.

Come rimuovere GNL Locker Ransomware utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che GNL Locker Ransomware si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di GNL Locker Ransomware

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a GNL Locker Ransomware.

3. Ripristino dei file corrotti da GNL Locker Ransomware utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente GNL Locker Ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di GNL Locker Ransomware rimozione automatica

 

Altri strumenti

 
  0   0
    Malwarebytes Anti-Malware
 
  Scarica Reimage per GNL Locker Ransomware rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come GNL Locker Ransomware e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *