Ho trovato file con estensione .vvv sul mio pc, mi devo preoccupare?

Purtroppo si. Vi dovete preoccupare visto che questo tipo di estensione data ad uno o più file sta a significare la presenza del potente virus TeslaCrypt. Si tratta di una variante del famoso virus CryptoLocker, un trojan comparso nel tardo 2013. Questo virus è una forma di Ransomware che infetta PC con sistemi Windows e consiste nel criptare i dati della vittima e richiedere un pagamento per la decriptazione.

Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato l’attaccante ma di non aver visto i propri file decifrati.

Come si prende questo virus?

Nella maggior parte dei casi da noi analizzati l’infezione avviene tramite la posta elettronica. Ricevete un file nella casella di posta contenente una “FALSA” fattura in formato .zip. Se malauguratamente aprite questo file ed eseguite il suo contenuto venite infettati. Il virus inizierà la criptazione di tutti i vostri file (conosciuti .doc .xls .pdf) presenti sul PC.

Al primo avvio, il virus si installa nella cartella Documents and Settings con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.

Possibili soluzioni?

Il Talos Group di Cisco spiega di aver trovato una soluzione definitiva per decifrare i file bloccati da TeslaCrypt. Per decodificare i file cifrati da Tesla Crypt basta scaricare questo file.

Per utilizzare il decrypter gratuito di Tesla Crypt, però, è indispensabile tenere presente che sul sistema infetto dal ransomware dovrà necessariamente essere ancora presente un file chiamato key.dat. In tale file il ransomware Tesla Crypt conserva diverse informazioni usate per la codifica dei file ed essenziali per l’attività di decodifica

Il file key.dat viene memorizzato all’interno della cartella %appdata% di Windows. Nel caso in cui il file fosse stato eliminato, il recupero dei propri file cifrati non sarà possibile, almeno utilizzando il tool di Cisco

un’altra possibile soluzione è data dalla casa produttrice di antivirus Dr. Web.




2 Comments - Add Comment

Reply