Ransomware SamSam - Come rimuoverlo?

 

Il ransomware Samsam (anche detto Samas / Samsa / MSIL.B / C), come molti dei virus ransomware, utilizza l’algoritmo di crittografia asimmetrica. Ma la peculiarità di questo particolare file di criptazione è che genera da solo la coppia di chiavi RSA. Pertanto, non è necessario connettersi a un server C & C (Comando e controllo) per inviare la chiave pubblica sul computer della vittima. L’encoder Samsam è rivolto a software vulnerabile sul lato server. Così, le reti di computer sono quelle che più probabilmente verranno colpite. Per essere più specifici, questo significa che questo ransomware sul lato server organizza attacchi alle aziende e alle organizzazioni.

Informazioni sul Ransomware SamSam

Il ransomware SamSam è stato segnalato per attaccare principalmente ospedali, ad esempio il gruppo ospedaliero del Maryland, la struttura medica Presbiteriana di Hollywood, ecc. È scritto in lingua C (C #). Gli eseguibili sono denominati sikanomit.exe, RikiRafael.exe, psexec.exe. Ecc. Dopo la crittografia, il ransomware aggiunge le seguenti estensioni ai file crittografati: .encedRSA, .encryptedRSA, .encryptedAES, .canihelpyou, .only-we_can-help_you, .justbtcwillhelpyou, .btcbtcbtc, .btc-help-you. È una caratteristica che separa il virus SamSam da altri virus ransomware, poiché molti dei suoi affiliati sono caratterizzati dall’estensione di un nome di file, che è anche il loro marchio. I file HELP_DECRYPT_YOUR_FILES.html, HOW_TO_DECRYPT_FILES.html o HELP_FOR_DECRYPT_FILE.html vengono inseriti in tutte le cartelle di file crittografati e sul desktop della vittima. I file contengono la nota di riscatto:

#Che cosa è successo ai tuoi file?

Tutti i tuoi file sono crittografati con crittografia RSA-2048, Per ulteriori informazioni cerca in Google “RSA Encryption”

#Come recuperare i file?

RSA è un algoritmo crittografico asimmetrico, hai bisogno di una chiave per la crittografia e una chiave per la decodifica

Quindi hai bisogno di una chiave privata per recuperare i tuoi file

Non puoi recuperare i tuoi file senza una chiave privata

#Come ottenere una chiave private?

Puoi ottenere la tua chiave private in 3 semplici passaggi:

Fase 1: devi inviare 1.7 Bitcoin per ogni PC interessato o 22 Bitcoin per ricevere TUTTE le Chiavi Private per TUTTI i PC interessati

Fase 2: dopo aver inviato un 1.7 Bitcoin, lasciateci un commento sul nostro Sito con questo dettaglio: basta scrivere il tuo “Host name” nel tuo commento

*Il tuo Host name è: SERVERNAME

Fase 3: Risponderemo al tuo commento con un software di decrittografia, devi eseguirlo sul tuo PC interessato e tutti i file crittografati verranno recuperati

*L’Indirizzo del nostro Sito: http://roe53ncs47yt564u.onion/east3/

*Il nostro Indirizzo BitCoin:136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL

(Se ci invii 22 Bitcoin Per tutti i PC, lasciaci un commento sul nostro Sito con questo dettaglio: basta scrivere “Per Tutti i PC Interessati” nel tuo commento)

Come Accedere Al Nostro Sito

Per accedere al nostro sito è necessario installare il browser Tor e inserire il nostro URL del sito nel tuo browser tor

Puoi scaricare il browser tor browser da Https://www.torproject.org/download/download.html.en

Per maggiori informazioni, per favore cerca in Google “Come accedere ai siti onion”

# Decriptazione di Prova #

Controlla il nostro sito, abbiamo generato un software di decriptazione per uno dei tuoi computer in modo casuale

Non ti preoccupare, non è un software dannoso

Se hai paura di eseguire il software “Decriptazione di Prova”, puoi eseguirlo su una VM (Macchina Virtuale), hai bisogno anche di un file crittografato in VM dal computer di prova

#Dove comprare i Bitcoin

Ti consigliamo di acquistare Bitcoin con Deposito in Contanti o WesternUnion Da https://www.bitquick.co/buy-2.php o https://coincafe.com/buybitcoinswestern.php

Poiché non necessitano di alcuna verifica e ti inviano rapidamente i tuoi Bitcoin.

#scadenza

Hai solo 7 giorni per inviarci il Bitcoin dopo 7 giorni rimuoviamo la tua chiave privata e non potrai recuperare i tuoi file

Quindi, come si può vedere dal messaggio, questi cyber criminali richiedono 1.7 BTC (Bitcoins) per computer fino a 22 BTC per tutta la rete. Così, la dimensione del riscatto è da 1.146.07 USD a 14.828.84 USD nel particolare momento in cui scriviamo questo articolo (il valore BTC continua a fluttuare). Come potete vedere, l’importo è abbastanza grande. Beh, questo è abbastanza esplicativo, dato che il cryptomalware di SamSam riguarda principalmente aziende e organizzazioni, gli utenti individuali vengono lasciati da parte (beh, almeno finora).

Come viene Distribuito il Ransomware SamSam?

A differenza di tutti i virus ransomware, il ransomware Samsam non utilizza e-mail spam per infettare il computer della vittima. Questo cryptomalware è progettato per il metodo di distribuzione a livello di server. Utilizza lo strumento JexBoss per sfruttare le vulnerabilità del software aziendale JBoss di Red Hat. Quindi le aziende che utilizzano quest’ultimo software sono in pericolo di sperimentare un attacco da parte del virus SamSam. Di conseguenza, è fondamentale controllare le vulnerabilità del server patch con strumenti di sicurezza professionali (leggere il paragrafo seguente per conoscere gli strumenti esatti).

Come Decriptare I File Criptati dal Ransomware SamSam?

La buona notizia è che questo ransomware è compatibile solo con le versioni di Windows a partire da Vista. Non avrà una crittografia implementata nei computer che eseguono le versioni precedenti di Windows. D’altra parte, la cattiva notizia è che non sono ancora stati sviluppati degli strumenti di decriptazione. Per il momento create una copia dell’unità infetta. In questo modo, in futuro sarete in grado di utilizzare uno strumento di decriptazione, se verrà creato. Assicurati di eseguire il backup anche dei dati esterni. Per recuperare i dati applicate gli strumenti di recupero dati di Kaspersky Lab, R-Studio, PhotoRec, Recuva, ecc. Il malware SamSam elimina le copie di volume shadow, in modo tale che lo Shadow Volume Service non è applicabile. Ma, per prima cosa, rimuovete il ransomware con strumenti di rimozione automatica di malware riconosciuti – Reimage, SpyHunter o Hitman. Le istruzioni manuali, sviluppate dai nostri esperti di sicurezza, sono completamente gratuite e sono fornite qui sotto.

Aggiornamento di Dicembre, 2016. L’attuale versione del ransomware Samas aggiunge l’estensione .VforVendettaai file bloccati e lascia una nota del riscatto ooo-PLEASE-READ-WE-HELP.html.

Aggiornamento del 20 Dicembre, 2016. La recente versione del criptomalware Samas è riconoscibile dall’estensione .theworldisyours e dalla nota di riscatto CHECK-IT-HELP-FILES.html.

Aggiornamento del 30 Dicembre, 2016. L’ultima variante del criptolocker aggiunge l’estensione .Whereisyourfiles e lascia la nota di riscatto WHERE-YOUR-FILES.html

Aggiornamento del 9 Gennario 2017. E’ stata trovata un’aggiunta al cripto-ransomware Sama. Aggiunge .helpmeencedfiles ai dati criptati e lascia un file HELP-ME-ENCED-FILES.html con le istruzioni.

Aggiornamento del 23 Gennaio, 2017. I ricercatori di sicurezza sono venuti a conoscenza di una nuova versione del ransomware SamSam. E’ diversa dalla versione originale perché attacca una estensione diversa ai file criptati: powerfulldecrypt e lascia una nota di riscatto, chiamata WE-MUST-DEC-FILES.html. in aggiunta a questa variante, è stato trovato un campione con l’estensione .noproblemwedecfiles​.

Aggiornamento del 30 Gennaio, 2017. Anche se passato solo una settimana dal nostro ultimo aggiornamento per questo virus, abbiamo ancora una volta nuove informazioni sul ransomware SamSsam. È stato individuata una nuova estensione: .weareyourfriends. Lascia il file TRY-READ-ME-TO-DEC.html come una nota di riscatto. Inoltre, un’altra variante del virus di Samas è stata notata per aggiungere altre informazioni e richiede alla gente di leggere il file 000-IF-YOU-WANT-DEC-FILES.html.

Aggiornamento del 6 Febbraio, 2017. Il virus ransomware SamSam è stato estremamente attivo nel mese scorso. Ora, un altro campione è stato rilasciato e contrassegna i dati con l’estensione .letmetrydecfiles e lascia una nota di riscatto LET-ME-TRY-DEC-FILES.html.

Aggiornamento del 20 Marzo, 2017. Una nuova variante del ransomware SamSsam è stata scoperta e aggiunge l’estensione .iaufkakfhsaraf ai dati che danneggia. IF_WANT_FILES_BACK_PLS_READ.html è il nuovo file che introduce la nota di riscatto.

Aggiornamento del 27 Marzo, 2017. Come al solito, aggiorniamo regolarmente il nostro articolo una volta rilevato un nuovo campione dEL ransomware SamSam. Questa volta, la nuova variante presenta un .cifgksaffsfyghd e inserisce un file READ_READ_DEC_FILES.html per condurre le vittime alla nota di riscatto.

Aggiornamento del 10 Aprile, 2017. È stata scoperta una nuova variante del ransomware SamSam. L’estensione .skjdthghh viene aggiunta ai dati crittografati e la nota di riscatto è denominata 009-READ-FOR-DECCCC-FILESSS.html.

Aggiornamento del 26 Giugno, 2017. Dopo essere rimasto in silenzio per un bel po’ di tempo, il criptovirus SamSam ritorna. I campioni appena rilevati contengono queste estensioni: .breeding123, .mention9823, .suppose666.

Come rimuovere Ransomware SamSam utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che Ransomware SamSam si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di Ransomware SamSam

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a Ransomware SamSam.

3. Ripristino dei file corrotti da Ransomware SamSam utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Ransomware SamSam cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di Ransomware SamSam rimozione automatica

 
  Scarica Reimage per Ransomware SamSam rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come Ransomware SamSam e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *