PClock Ransomware - Come rimuoverlo?

 

PClock ransomware non è tra i ransomware recentemente rilasciati. Tuttavia, recentemente I ricercatori per la sicurezza informatica hanno rilevato la sua nuova attività. PClock cryptomalware si definisce un CryptoLocker, sebbene, sia stato determinate che non è nient’altro che un ransomware appartenente ad un’altra famiglia che cerca di essere ciò che non è. La prima ondata di PClock crypto-locker è avvenuta a gennaio 2015 ed è stato attivo da allora. La nuova ondata i questo virus è apparsa a novembre 2016. In questo post parleremo della rinnovata versione PClock.

Cosa c’è di nuovo in PClock Ransomware?

PClock file-encrypting malware viene rilevato come Ransom:Win32/WinPlock.B o WinPlock da Microsoft. E’ scritto con Visual Basic ed è capace di cifrare un incredibile numero di file, 2.630. Mentre la precedente versione mirava invece soltanto a 100 tipi di file. Tra i file bloccati troviamo vari documenti, foto, video, etc. In pratica tutti i dati salvati nel PC possono essere compromessi. Ecco alcuni tipi di file che possono essere colpiti:

*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.h, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx

Ogni file cifrato sarà registrato all’interno del file enc_files.txt , posizionato nella cartella Profilo.


pclock-ransomware-2-viruses


pclock-ransomware-2-2-viruses

Gli screenshot di PClock crypto rogueware sono i seguenti:


the-first-version-of-pclock-ransomware-2-viruses

Mentre la prima versione di questo ransomware dava 72 ore, o 3 giorni per contattare gli hacker e effettuare il pagamento del riscatto, questa nuova variante di PClock concede agli utenti colpiti un lasso di tempo di 120 ore o 5 giorni. L’importo del riscatto è stato dimezzato – adesso i criminali informatici richiedono 0.55 BTC (bitcoins), che equivalgono a 412.29 USD al momento. suppteam03@india.com e suppteam03@yandex.ru sono le email di contatto fornite nella nota di riscatto.

La prima versione di PClock ransom malware visualizzava la seguente nota di riscatto:

I due vettori di diffusione di PClock Ransomware

PClock file-targeting virus è un trojan, che si diffonde tramite false email di spam o tramite Crimace trojan, un altro Trojan che funziona come vettore per alter minacce malware. L’oggetto delle email di spam infette è di solito SI PREGA DI LEGGERE IL VOSTRO FAX T6931. Queste email di spam, che dovrebbero contenere dei fax, possiedono come allegato un file, nominato Criminal case against you, la cui esecuzione porterà a scaricare il payload di PClock encrypting trojan sul PC della vittima.

Come abbiamo già detto, PClock crypto trojan viene anche distribuito tramite Crimace trojan, rilevato come TrojanDownloader:JS/Crimace.A. Un archivio RAR, contenente un file WSF (Windows Script File) sarà scaricato insieme ad altri software gratuiti non specificati. Quando l’archivio verrà aperto e il file WSF eseguito, il JavaScript inizierà ad avviarsi. Questo codice scaricherà e installerà Crimace trojan, che, a sua volta, scaricherà e installerà PClock malware sul computer della vittima da un server online remoto e segreto.

In caso di infezione da parte di PClock Ransomware

Non esiste un decifratore per l‘ultima versione di PClock ransomware virus. Nonostante ciò, gli utenti colpiti dovrebbero copiare i dati criptati e rimuovere i virus prima di effettuare il rispristino dati. E ‘possibile usare delle applicazioni di sicurezza come Reimage, SpyHunter o Malwarebytes. Abbiamo inoltre preparato delle istruzioni per a rimozione manuale, ma richiedono comunque molto tempo, energie e conoscenza per essere portate a termine. Inoltre, il sistema del computer non verrà interamente esaminato, quindi malware non rilevati rimarranno lì.

Nel caso di questa nuova variante di PClock ransomware, non perdere tempo e denaro cercando uno strumento per decifrate. Una volta che verrà sviluppato dagli esperti per la sicurezza, ti informeremo aggiornando questo articolo. Per adesso utilizza il tuo backup o acquista un software di recovery come Recuva, PhotoRec, R-Studio, Kaspersky recovery tools, etc. Le copie di Shadow verranno cancellate o disabilitate da questo ransomware.

Come rimuovere PClock Ransomware utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che PClock Ransomware si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di PClock Ransomware

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a PClock Ransomware.

3. Ripristino dei file corrotti da PClock Ransomware utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente PClock Ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di PClock Ransomware rimozione automatica

 
  Scarica Reimage per PClock Ransomware rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come PClock Ransomware e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

PClock Ransomware screenshots

 
           
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *