Se stai leggendo questo post probabilmente sei incappato nel virus CTB Locker e ora sei nell’impossibilità di accedere ai tuoi file. Se ti trovi in questa situazione, evita azioni affrettate (come provare a eliminare il virus, che può peggiorare il recupero dei file, oppure pagare il riscatto, che non garantisce la restituzione) e contattaci per una prima diagnosi e consulenza sul recupero dati. A Recovery File siamo specializzati nel recupero dati su dispositivi colpiti da cryptovirus come CTB Locker.
Cos’è CTB Locker
Nel mondo del recupero dati e della sicurezza informatica i cryptovirus sono particolarmente noti e temuti. CTB Locker non è altro che un’ennesima variante di questo tipo di minacce (Cryptolocker è forse quello più noto degli ultimi anni). Ma esistono tantissime varianti, come ad esempio TeslaCrypt, altro cryptovirus piuttosto noto.
In genere questo tipo di minacce segue un copione ben definito. Il malware una volta che è riuscito a penetrare nel computer o nel dispositivo del malcapitato, in modo difficile da rilevare, procede a criptare alcuni tipi di file, rendendoli di fatto inaccessibili senza disporre della chiave per decriptarli.
CTB Locker genera chiavi crittografiche asimmetriche a 2048 bit, inviate poi a un server remoto. L’utente si vedrà restituire un messaggio nel quale lo si avvisa che i propri file sono stati criptati da CTB Locker e gli si dà un tempo limitato per il pagamento del riscatto (96 o 72 ore). Nell’immagine sotto è possibile vedere l’esempio di un messaggio di riscatto (ne esistono di diversi tipi, ma l’impostazione è sempre la medesima).

Il riscatto in genere viene richiesto in Bitcoin o altra criptovaluta, un sistema di pagamento che si contraddistingue per l’anonimato di base del possessore del wallet di riferimento.
Questi blocker vengono definiti infatti ransomware (dall’unione delle parole “ransom”, riscatto e malware vale a dire software dannoso). Nel corso degli anni non sono mancati gli utenti (secondo uno studio circa il 3% delle vittime) che hanno deciso di pagare il riscatto. Spesso la disperazione di dover dire addio ai propri dati e il poco tempo per riflettere, possono spingere al pagamento (ovviamente non ci sono garanzie che poi si riceverà davvero la chiave per sbloccare i file).
Ma come viene veicolato CTB Locker? In genere l’infezione avviene tramite una email ben ragionata, che riesce a convincere il destinatario a scaricare e lanciare un allegato. L’eseguibile, una volta attivato, procede a criptare un gran numero di file (documenti, foto, database, ecc.). Il ransomware in genere procede nelle sue operazioni malevoli in background, in modo difficile da rilevare da parte dell’utente.
I cryptovirus non sono tutti uguali, alcuni sono più rudimentali, rendendo il recupero dei file più agevole, altri invece particolarmente raffinati, andando a complicare di gran lunga le operazioni di recovery. Una precisazione importante, eliminare dal proprio PC il malware non ti restituirà i file, che rimarranno criptati e inaccessibili.
Per questo motivo è meglio muoversi rapidamente, ma con cognizione di causa. Cambiare l’antivirus o servirsi di un sistema di ripulitura on demand, anche se dovesse consentire di eliminare in toto la minaccia, quest’ultima ha già completato le proprie operazioni. Il problema di fondo dei cryptovirus, come CTB o Cryptolocker, non è tanto la rimozione della minaccia, quanto invece riuscire a riaccedere ai file “nascosti”.
Come recuperare i file criptati da CTB Locker
Il successo nelle operazioni di recupero dei file criptati da questo tipo di malware dipende molto da quanto è raffinato il virus. Per questo il primo step è definire le caratteristiche e la variante della minaccia che si sta combattendo. Questa può essere identificata, ad esempio, attraverso il messaggio specifico di riscatto, oppure dall’estensione con la quale sono stati criptati i file.
Di seguito alcune procedure attraverso le quali potrebbe essere possibile recuperare i file colpiti da CTB Locker:
- Sfruttando una falla del ransomware, perché magari non particolarmente raffinato, potrebbe essere possibile risalire alla chiave di cifratura.
- Utilizzando un software per il recupero dei dati. Alcuni cryptovirus creano copie dei dati presenti nel sistema, cancellando invece gli originali. Procedendo con il recupero di quest’ultimi si può risolvere il problema “aggirandolo”. Questa strada però ha l’insidia della sovrascrizione (se si installano in modo frenetico software scaricati in rete per il recupero dei dati).
- Una terza strada, se ci si trova in ambiente Windows, è di servirsi delle copie di backup disponibili, oppure create dal sistema. Quest’ultime, le cosiddette shadow copies, non equivalgono comunque a dei veri e propri backup e non sempre si riesce a riavere tutti i propri dati.
Ognuna di queste procedure si presenta come delicata e bisogna sapere dove mettere mano. Nel corso degli anni siamo intervenuti si diverse macchine colpite da cryptovirus, tipo CTB Locker o varianti. Se vuoi aumentare le chance di riavere i tuoi file, affidarsi a professionisti del recupero dati può essere un investimento oculato. Contattaci in modo tempestivo e ti forniremo il nostro supporto!