Il ransomware JCry - Come rimuoverlo?

Il ransomware OpJerusalem o JCry è un criptovirus che ha attaccato molti siti popolari israeliani il 2 marzo 2019, che tuttavia è stato ben presto rimosso dagli esperti di sicurezza informatica. L’attacco è stato effettuato prendendo il controllo del dominio e tentando di offrire un falso aggiornamento Adobe Flash, che in realtà era un programma di installazione ransomware. Fortunatamente, c’è stato un errore nel codice e migliaia di potenziali vittime sono finite semplicemente in una pagina di manifestazione con scritto a grandi lettere rosse “Gerusalemme è la capitale della Palestina #OpJerusalem”. Nonostante i tentativi falliti di proliferare, il ransomware OpJerusalem funziona perfettamente e potrebbe causare molti danni a un numero di utenti Windows.

Gli esperti di malware sono riusciti a dare uno sguardo migliore al virus OpJerusalem e ad analizzare il suo esemplare e ciò che gli utenti online avrebbero dovuto affrontare se l’attacco dei criminali fosse andato come previsto. Il comportamento dimostrato ha rivelato un ransomware molto tipico, proprio come Frendi, Borontok, PewCrypt, e non ha sorpreso con caratteristiche o abilità non viste. Se desideri vedere il video dell’ attacco del ransomware JCry completo, puoi farlo visitando il profilo Twitter di GrujaRS un professionista della sicurezza informatica o leggendo sulle principali funzionalità in questo articolo: se in qualche modo sei riuscito a infettare il tuo sistema con il cryptovirus JCry, alla fine troverai anche delle istruzioni su come rimuoverlo.

Che cos’è il ransomware JCry

Come sapete ora dall’introduzione, il ransomware JCry è un cryptovirus scandaloso, che è stato pianificato per essere diffuso come un falso aggiornamento Adobe Flash tramite centinaia di siti Web israeliani infetti e attaccare gli utenti del sistema operativo Windows. A causa di un errore nel codice, non ha mai infettato in modo vergognoso nessuno, né causato altri danni, tranne che per l’aver disturbato alcune operazioni di alcuni siti Web per diverse ore, fino a quando non è stato rimosso. Nonostante la distribuzione non riuscita, la minaccia stessa funziona correttamente e presenta tutte le caratteristiche tipiche del ransomware. È anche ben riconosciuto dai motori antivirus, come mostra Virustotal.com scan

Se le potenziali vittime avessero aperto quell’ingannevole ‘flashplayer_install.exe’, che gli sviluppatori del ransomware JCry stavano cercando di distribuire in malo modo, in poco tempo avrebbero visto i loro computer compromessi dal virus avido che avrebbe colpito tutti i file personali, incluse preziose memorie virtuali e lavoro, bloccandoli e marcandoli con l’estensione ‘.jcry’ alla fine del loro nome, inoltre richiedendo un pagamento di $ 500 in criptovaluta Bitcoin in cambio del decodificatore. Il codice di blocco utilizzato dal virus OpJerusalem è un Algoritmo AES simmetrico il che significa che solo gli hacker che conoscono il codice possono rendere nuovamente accessibili i dati.

Questo potente algoritmo e nessun decodificatore ufficiale, consente ai creatori del virus JCry di richiedere una quantità di denaro piuttosto elevata, la cui richiesta si presenteràsotto forma di pop-up e successiva nota .html:

#OpJerusalem

[#] Jerusalem is the capital of Palestine [#]

If you are reading this, all your important files have been encrypted,

read JCRY_NOTE.html in your Desktop for more information.

[X] Enter Your Decryption Key:

JCRY_Note.html

All Your Important Files have been Encrypted

1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt

2- Download Tor Browser and Open the following Link : Recovery Link

3- Enter the Address used in Payement

4- We’ll check your Payement and upload your Decryption Key

5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key

Your Unique Key :

A differenza di altre minacce, il ransomware JCry ha deciso di non utilizzare alcuna email di contatto, ma invece indirizza le vittime al loro link Tor Browser dove hanno dedicato un sito Web che presumibilmente controlla se hai pagato e fornisce la chiave di decodifica. Non è tuttavia noto se gli hacker si preoccupino di inviarti il tuo unico Codice di sblocco perché ci sono state molte situazioni in cui i produttori della minaccia hanno semplicemente preso i soldi e non hanno mai risposto.

Come si diffonde il virus JCry

Al momento esiste un solo metodo di distribuzione dei virus JCry che è noto al pubblico ed è attraverso i vari siti Web israeliani infetti. Fortunatamente, sono stati tutti abbattuti, quindi la proliferazione è cessata. Il sito di Bleepingcomputer.com ha segnalato che gli hacker hanno modificato il Record DNS per un plug-in comune da nagich.com, che consentirebbe a chiunque di accedere a tutte le pagine Web, nonostante il loro design e così via. Gli attori delle minacce hanno manipolato l’estensione per lanciare il codice maligno invece di un vero plugin, ma a causa di un errore ‘if condition’, il codice dopo l’avvio non è mai stato in grado di raggiungere il link di download, quindi l’attacco non è mai stato caricato correttamente. Altro su un attacco fallito di Ido Naor. Sebbene questo tipo di diffusione del ransomware JCry sia più elaborato di un malspam, l’errore che ha salvato migliaia di persone sugli utenti era piuttosto stupido.

Come rimuovere il ransomware JCry

Chiaramente, dal momento che il virus OpJerusalem è stato abbattuto abbastanza rapidamente e perché non è mai stato in grado di realizzare con successo attacchi a sistemi Windows o qualcosa del genere, molto probabilmente non dovresti nemmeno preoccuparti di queste conseguenze causate dalla minaccia come i file crittografati e ecc. Tuttavia, se per qualche motivo il ransomware JCry ha trovato la sua strada verso il tuo computer e i tuoi dati sono contrassegnati con l’estensione .jcry, allora devi intervenire rimuovendo il malware e recuperando i dati dai backup, come mostrato nelle istruzioni sotto.

L’eliminazione del ransomware dovrebbe essere eseguita al meglio con uno speciale software anti-malware come Reimage o Spyhunter. Basta eseguire una scansione con questi strumenti di sicurezza e mostreranno tutti i file pericolosi trovati e forniranno ulteriori spiegazioni su come eliminarli, in genere è semplicemente premendo il pulsante ‘Rimuovi’. Consigliamo vivamente di eseguire la scansione del PC con i programmi sopra elencati o uno strumento antivirus anche se non sei stato infettato dal ransomware JCry poiché mostrerà che il sistema è sicuro da usare e che non ci sono virus che danneggiano Windows.

Strumenti di Malware rimozione automatica

Come rimuovere Il ransomware JCry utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi

Per Windows 7 / Vista/ XP

• Start → Spegni → Riavvia → OK.
• Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
• Scegli la Modalità Provvisoria con Prompt di Comandi.

Per Windows 8 / 10

• Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
• Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
• Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.

2. Ripristinare i file di sistema e le impostazioni

• Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
• Successivamente digita rstrui.exe e premi nuovamente invio.
• Clicca “Avanti” nelle finestre che appariranno.
• Seleziona uno dei punti di ripristino disponibili prima che JCry ransomware si sia infiltrato nel tuo sistema e clicca su “Avanti”.
• Per avviare il ripristino di sistema clicca su "Si"

2. Rimozione complete di OpJerusalem

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Il ransomware JCry.

3. Ripristino dei file corrotti da JCry ransomware utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente OpJerusalem cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.