Il ransomware Rektware - Come rimuoverlo?

 

Il 14 settembre 2018, un nuovo cryptovirus chiamato Rektware ransomware (o PRZ ransomware) è stato segnalato su Twitter dal ricercatore della Serbian Security GrujaRS. Nel post del malware l’esperto ha incluso anche una dimostrazione dal vivo di infezione da virus Rektware, che ha rivelato alcune caratteristiche interessanti e la visualizzazione spietata del blocco dei file e della richiesta di riscatto. Al momento non ci sono molte informazioni sull’origine, sui creatori o sui luoghi di distribuzione di Rektware, tuttavia i dati finora raccolti sono sufficienti per aiutare le vittime a ripulire i loro sistemi dal virus Rektware / PRZ e, eventualmente, a salvare i loro file bloccati.

Forse avete già sentito parlare dei virus LIGMA, .good, EOEO, Pottieq , che sono infezioni crittografiche molto simili che funzionano con lo stesso principio del ransomware Rektware. Bloccano tutti i file dell’utente che non sono di sistema e richiedono un determinato riscatto all’utente infetto. Di solito, malware come questo differiscono solo dal nome, dal metodo di crittografia e aggiungono un’estensione ai file bloccati, ma sembra che il ransomware di Rektware non sia un caso tipico. Se vuoi saperne di più su questa infezione crittografica e conoscere i modi migliori per rimuoverla, continua a leggere questo articolo.

Come funziona il ransomware Rektware / PRZ

Il virus Rektware o PRZ sembra essere una nuova infezione crittografica separata, che non è una copia di un modello ransomware open source come Hidden Tear. Sebbene ci sia una grande possibilità che il ransomware Rektware possa essere ancora in fase di sviluppo, a causa di alcune caratteristiche tecniche e la richiesta di riscatto è piuttosto breve e non molto informativa. Questo potrebbe essere falso, ma il pagare ai truffatori il riscatto non dovrebbe ancora essere la soluzione scelta, che permetterà loro di investire nel migliorare la pericolosità dek virus Rektware.

Una volta all’interno del sistema, il ransomware Rektware passa direttamente al Registro di Windows e modifica le chiavi in ​​modo che possa essere persistente e sopravvivere anche se si ripristina il PC. Quindi si aggiunge alle altre directory del Sistema in modo che l’antivirus non interferisca con ulteriori azioni dannose e inizi a cercare file personali come immagini, documenti, video e così via che sono preziosi per la vittima e possono essere crittografati senza danneggiare il computer. Questa selezione di file personali si basa sull’idea che la vittima possa ancora utilizzare lo stesso computer per pagare il riscatto.

Quindi il virus Rektware avvia i processi di crittografia con l’algoritmo AES / RSA e aggiunge un’estensione univoca (può essere .2PWo3ja, .CQScSFy) per ogni utente ai documenti bloccati in modo che l’utente possa vedere quali file sono interessati. Questa è la caratteristica interessante che non è usuale per altri ransomware perché altri virus crittografici richiedono l’uso della stessa appendice per ogni file e utente. E una volta eseguita la crittografia, Che richiede non più di un minuto, il ransomware Rektware lascia un file sul desktop chiamato FIXPRZT.PRZ e apre la nota di riscatto.

La nota di riscatto fornisce solo l’e-mail degli sviluppatori di Rektware e non fornisce alcuna idea di quanto potrebbe essere il riscatto (che può variare da diverse centinaia a diverse migliaia di dollari in criptovaluta). Inoltre, dice che se la vittima contatta gli hacker (che non consigliamo di fare), i file verranno ripristinati gratuitamente:

ContactID: MG9r9awS9V Send E-mail: [email protected]

(FreeDecryptAllYourFiles)

Tutto sommato, nonostante queste piccole differenze, il ransomware Rektware secondo il Report di VirusTotal è ancora riconosciuto come noto da molti strumenti di sicurezza antivirus e tu dovresti evitarlo a tutti i costi. Non dimenticare di dare un’occhiata alla nostra guida finale per proteggere il tuo sistema dai virus ransomware e guardare il video per vedere l’intero processo di infezione da virus Rektware in pratica.

Come si diffonde il virus Rektware

Poiché il virus è stato scoperto solo ieri, non abbiamo molte informazioni su tutti i possibili metodi di diffusione, ad eccezione di quello con cui è stato rilevato il virus Rektware: e-mail fasulle con collegamenti e allegati malevoli. Sebbene sia comune tra tutti i ransomware, dal momento che non richiede conoscenze tecniche di alto livello e sforzi sovraumani, i truffatori possono diventare davvero creativi con le loro Email socialmente progettate che contengono malware.

L’idea di base è creare un messaggio credibile che possa far sì che la potenziale vittima segua un collegamento ipertestuale o apra il file di documento allegato. Gli attori del ransomware Rektware possono fingere di essere della banca, dell’ospedale, del governo, dei clienti affermando che c’è qualche problema che richiede la tua attenzione immediata e devi aprire il file .doc / .docx per maggiori informazioni.

Le Macro di MS Word sono il luogo dove si nasconde l’eseguibile del virus. Non sarai in grado di vedere il file, a meno che tu non attivi le Macro, che è una caratteristica legittima e non exploit, quindi il tuo antivirus non rileverà quel file malevolo che hai appena scaricato come una minaccia. Ben presto, nel caso in cui le abilitassi, avrai tutti i tuoi preziosi file bloccati. Questa tecnica viene anche utilizzata perché può facilmente bypassare la protezione del sistema dei computer aziendali, pertanto i criminali possono mirare a riscatti più grandi. (Le macro di Microsoft rimangono il vettore principale per la consegna dei ransomware)

Come rimuovere velocemente il virus Rektware e ripristinare i file crittografati

Il modo più rapido e affidabile per rimuovere il virus Rektware senza perdere tutti i file preziosi è scaricare semplicemente uno strumento di rimozione malware come SpyHunter o Malwarebytes ed eseguire una scansione completa del sistema affidando il problema a uno strumento anti-spyware automatico. Risparmierai tempo e rimarrai senza pensieri mentre questi strumenti di sicurezza cancelleranno il ransomware Rektware da tutte le directory in cui ha lasciato i suoi avanzi malevoli. Inoltre, verranno eliminati anche altri virus che potrebbero causare vulnerabilità di protezione del sistema.

Solo dopo la rimozione completa, puoi iniziare a recuperare i dati bloccati, altrimenti il ​​virus si riattiverà e crittograferà tutto ciò che riesci a ripristinare. Al momento non esiste ancora uno strumento di decrittografia, ma il team di 2-viruses.com è sicuro che ce ne sarà uno molto presto, dal momento che i ricercatori di malware stanno combattendo piuttosto bene contro i truffatori. Nel frattempo, puoi provare a sbloccare i dati personali con i programmi di recupero file menzionati sotto o da copie Shadow. In caso contrario, mantieni i tuoi file crittografati archiviati e continua a cercare degli Aggiornamenti sul decodificatore.

Strumenti di Malware rimozione automatica

Come sbarazzarsi del ransomware Rektware senza antivirus

Se lo strumento di sicurezza è qualcosa che non stai cercando e desideri provare a salvare il PC dal virus Rektware immediatamente, è possibile provare le istruzioni seguenti. Non possiamo promettere che funzioneranno altrettanto efficacemente quanto la rimozione automatica, ma avrai buone probabilità di ripristinare il tuo sistema, specialmente se crei backup regolari.

Come rimuovere Il ransomware Rektware utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi

Per Windows 7 / Vista/ XP

• Start → Spegni → Riavvia → OK.
• Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
• Scegli la Modalità Provvisoria con Prompt di Comandi.

Per Windows 8 / 10

• Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
• Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
• Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.

2. Ripristinare i file di sistema e le impostazioni

• Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
• Successivamente digita rstrui.exe e premi nuovamente invio.
• Clicca “Avanti” nelle finestre che appariranno.
• Seleziona uno dei punti di ripristino disponibili prima che Rektware ransomware si sia infiltrato nel tuo sistema e clicca su “Avanti”.
• Per avviare il ripristino di sistema clicca su "Si"

2. Rimozione complete di PRZ ransomware

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Il ransomware Rektware.

3. Ripristino dei file corrotti da Rektware ransomware utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente PRZ ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.