Il virus ransomware Resurrection è un’infezione a tema Harry Potter. La nota di riscatto, che si trova come file .html, verrà lanciata nel browser preferito e riprodurrà una traccia audio aggiuntiva. La musica, simile al franchising mondiale, accompagnerà la nota di riscatto, partendo dalle parole “Ciao, questo non è il tuo giorno fortunato perché non è uno scherzo, tutti i tuoi file sono stati crittografati con il ransomware Resurrection”.
La lettera spiega che, per eseguire il ripristino dei file, le vittime non hanno altra possibilità se non pagare 1,77 BTC, che hanno un valore di 4577,17 dollari USA e non di 3918 dollari USA come implica erroneamente la nota di riscatto. Dopo che questa enorme quantità di denaro raggiunge il portafoglio bitcoin indicato, le vittime sono invitate a contattare [email protected].
Questo cripto-virus si basa sul popolare progetto Hidden Tear. Come la maggior parte di queste varianti, il ransomware utilizza l’algoritmo di crittografia AES per rendere i file digitali completamente inutilizzabili. I dati digitali, influenzati dalla cifratura di crittografia, verranno associati ad un’estensione .resurrection. Inoltre, non c’è motivo di pagare il riscatto richiesto poiché i ricercatori di sicurezza hanno valutato che questa infezione può essere decriptabile, se necessario.
Sono stati rilevati due payload che appartengono a questa infezione ransomware. Se notate il file WindowsFormsApp1.exe o il file shiva.exe, il crypto-virus potrebbe stare attualmente eseguendo un percorso per la crittografia dei file. La prima versione è molto più difficile da rilevare, mentre la seconda è stata scoperta dalla maggior parte degli strumenti di sicurezza.
Il suo corso d’azione è probabilmente simile alle varianti che abbiamo già discusso. Troverà mezzi ingannevoli per infiltrarsi, quindi il payload modifica le chiavi di Registro di sistema di Windows, estrae file aggiuntivi, contatta il suo server C&C, esegue la scansione del disco rigido per trovare dei file da crittografare, inizia la crittografia dei file e lascia una nota di riscatto. Il file README.html verrà inserito nella cartella C del disco. Se vi succede di essere minacciati da questa variante, vi consigliamo di rimanere razionali. Pagare un riscatto enorme (o anche piccolo) non è mai una decisione intelligente.
Prevenzione dei Ransomware
In realtà non c’è bisogno di passare ore a pensare a metodi possibili per la decrittografia. Se siete stati infettati da questa variante, vi consigliamo di contattare i ricercatori di Bleeping Computer che vi possono aiutare a recuperare i vostri dati digitali crittografati. Poiché questa variante è stata molto facile da trattare, non vi incoraggiamo a sprecare denaro.
Tuttavia, non tutte le vittime dei virus ransomware hanno la possibilità di ricevere assistenza immediata e aiuto. Per alcuni, il processo di decrittografia potrebbe richiedere un po’ di tempo. Pertanto, speriamo che non vi basiate esclusivamente sugli analisti della sicurezza. Dovreste prendere le cose nelle vostre mani, e trovare dei modi per proteggere i vostri file dall’essere crittografati. Ciò lo si può fare memorizzando i file in più di una posizione, come archivi di backup o chiavette USB. Entrambi questi luoghi proteggeranno i file dalle cifre degli algoritmi.
Inoltre, i virus di ransomware che non possono essere decriptati potrebbero essere curati in altri modi. Ad esempio, gli utenti possono verificare se le copie di volume di Shadow sono ancora intatte e pronte per essere ripristinate. Ci sono anche altri strumenti universali di recupero dei file che possono aiutare a recuperare i dati persi.
Dopo aver protetto i vostri file, dovreste sempre cercare di restare al sicuro dai malware in generale. Evitate di installare dei programmi che non conoscete, inoltre siate pronti a rifiutare sempre l’offerta da fonti sconosciute. Questo include anche messaggi di posta elettronica da mittenti sconosciuti. Se queste lettere contengono allegati o URL, questo dovrebbe scoraggiarvi ad interagire con il messaggio, soprattutto se non conoscete la persona che ve lo ha inviato.
Per la rimozione dei malware, sarebbe meglio eseguire una scansione di protezione completa. I crypto-virus possono essere difficili da eliminare. Pertanto, pensiamo che sia opportuno selezionare un’opzione più forte. La rimozione manuale può avere un impatto negativo su un sistema operativo, ma se siete tuttavia ancora determinati ad eseguirla lasciate un commento se avete ulteriori domande.
Come rimuovere virus Resurrection utilizzando il Ripristino di Sistema?
1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi
Per Windows 7 / Vista/ XP
- Start → Spegni → Riavvia → OK.
- Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
- Scegli la Modalità Provvisoria con Prompt di Comandi.
Per Windows 8 / 10
- Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
- Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
- Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.
2. Ripristinare i file di sistema e le impostazioni
- Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
- Successivamente digita rstrui.exe e premi nuovamente invio.
- Clicca “Avanti” nelle finestre che appariranno.
- Seleziona uno dei punti di ripristino disponibili prima che virus Resurrection si sia infiltrato nel tuo sistema e clicca su “Avanti”.
- Per avviare il ripristino di sistema clicca su "Si"
2. Rimozione complete di virus Resurrection
Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a virus Resurrection.
3. Ripristino dei file corrotti da virus Resurrection utilizzando le Copie Shadow
Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente virus Resurrection cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.
Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.
a) Versioni precedenti di WindowsClicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Strumenti di Malware rimozione automatica
(Win)
Nota: processo Spyhunter fornisce la rilevazione del parassita come Virus Resurrection e aiuta a la sua rimozione per libero. prova limitata disponibile, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: processo Combo Cleaner fornisce la rilevazione del parassita come Virus Resurrection e aiuta a la sua rimozione per libero. prova limitata disponibile,