FakeCry Ransomware Virus - Come Rimuoverlo?

 

Anche se la maggior parte dell’attenzione è ancora mirata al grande attacco di ransomware di Petya (a.k.a. ExPetr), abbiamo già un’altra minaccia allarmante – il ransomware FakeCry, mirato all’Ucraina.

Questa infezione è legata a 2 virus recenti – Petya e WannaCry ransomware e stiamo per spiegare perché. Il legame con il ransomware di Petya è piuttosto evidente – il ransomware di FakeCry è fornito in bundle con esso. Come potresti sapere, la maggior parte delle vittime di Petya sono state infette da aggiornamenti da trojan del software MeDoc e sembra che anche FakeCry è venuto con esso. All’interno del noto aggiornamento c’era un file chiamato ‘ed.exe’. In particolare questo file ha avviato l’installazione di FakeCry ransomware virus ed è stato eseguito dal processo chiamato ‘ezvit.exe’, responsabile del lancio di Petya Ransomware. Ora, per rivelare i legami con il virus di WannaCry, devi scavare un po ‘più in profondità. Questo virus si basa sul linguaggio di programmazione .NET e se si guarda, si troverà una linea di codice denominata “WNCRY”.

Perché questa infezione è chiamata ‘FakeCry’? Poiché presenta anche una linea di codice che dice ‘made in china’ – fa riferimento a WannaCry e questa non è altro che una replica della nota infezione.


FakeCry ransomware virus

Come la maggior parte dei ransomware di questo tipo, FakeCry blocca i file, crittografandoli e bloccando l’accesso a loro in questo modo. Può crittografare la maggior parte dei file più comuni. Ecco un elenco completo:

doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg,e ml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, sldm,vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, raw, cgm, tiff, nef, psd, ai, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, pl, vb,vbs, ps1, bat, cmd, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sql, sqlitedb, sqlite3, asc,l ay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der

La caratteristica abbastanza sconosciuta è l’overtake della crittografia’ – se il file è già utilizzato in altri processi, FakeCry può eliminare il processo e applicare la crittografia.

Il virus creerà anche una cartella separata sul tuo desktop chiamata ‘DEMO_EXTENSIONS’ con file decriptati delle foto (come jpg o jpeg). Funge da prova che hanno la possibilità di sbloccare i file crittografati quando pagherai il riscatto. Tuttavia, non ti consigliamo di pagare il riscatto. Anche se è solo 0,1 BTC (circa $ 260), non ci sono garanzie che tali file saranno mai decrittografati. Oltre a questo, sostenere i criminali informatici pagando il riscatto non è una buona cosa da fare. A quanto riferito, sono stati effettuati 7 pagamenti di riscatto fino a questa data.

Purtroppo, al momento non esiste uno strumento di decrittografia funzionante, ma ti terremo aggiornati e modificheremo questo post non appena sarà pronto. È possibile ripristinare i file se si dispone di una copia valida dell’unità disco rigida eseguita prima della data dell’infezione. Inoltre deve essere memorizzato in archiviazione esterna, perché FakeCry può anche crittografare i file di backup. Ecco il nostro tutorial su come eseguire un ripristino del sistema: https://www.2-viruses.com/how-to-do-a-system-restore. È inoltre consigliabile eseguire la scansione del computer con un’applicazione anti-malware affidabile, ad esempio SpyHunter o Reimage per assicurarsi che non vi siano altri virus nel computer.

Come rimuovere FakeCry ransomware virus utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che FakeCry ransomware virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di FakeCry ransomware virus

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a FakeCry ransomware virus.

3. Ripristino dei file corrotti da FakeCry ransomware virus utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente FakeCry ransomware virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di FakeCry ransomware virus rimozione automatica

 
 
Nota: processo Reimage fornisce la rilevazione del parassita come FakeCry Ransomware Virus e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.  We might be affiliated with some of these programs. Full information is available in disclosure

Manuale FakeCry ransomware virus rimozione

 
Processi:
     
 
 
agosto 10, 2017 09:42, agosto 10, 2017 09:42
 
   
 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *