Come difendersi dal ransomware Trojan-Ransom.Win32.Xorist
Vuoi prevenire le infezioni? Installa Kaspersky Internet Security.
XoristDecryptor è un'utilità Kaspersky gratuita progettata per ripristinare i file criptati con le famiglie di ransomware Trojan-Ransom.Win32.Xorist e Trojan-Ransom.MSIL.Vandev. Per scaricare lo strumento XoristDecryptor, fai clic su Scarica.
Il malware della famiglia Trojan-Ransom.Win32.Xorist ottiene un accesso non autorizzato al computer della vittima e modifica i dati che contiene, rendendo inaccessibili i file o l'intero sistema. Dopo aver bloccato i file, il malware richiede un riscatto. Dopo aver consegnato il riscatto ai criminali, la vittima dovrebbe ricevere uno strumento che decrittografa i dati o ripristina il normale funzionamento del computer.
Indicatori di infezione
- Viene visualizzato un messaggio sullo schermo che richiede all'utente di inviare un SMS per decrittografare i file.
- Viene creato un file di testo sul disco C denominato "Read Me: how to decrypt files".
38-119343.jpg)
- La cartella Windows contiene un file denominato CryptLogFile.txt.
- Il programma Trojan crittografa tutti i file con le seguenti estensioni:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Come disinfettare il sistema
- Scarica il file XoristDecryptor.exe ed eseguilo nel computer interessato.
- Nella finestra Kaspersky XoristDecryptor, fai clic su Start scan.
Opzioni aggiuntive della riga di comando
-y - chiude la finestra al termine dell'esecuzione dell'utilità
-vandevf percorso_file - specifica il percorso del file ps.ce per la decrittografia di Vandev
-vandevp password - indica la password per la decrittografia di Vandev
Come procedere se l'utilità non consente di risolvere il problema
Nel caso sia stato rilevato un file dannoso sconosciuto, l'utilità XoristDecryptor richiede di inviare il file a stopgpcode@kaspersky.com. Gli specialisti di Kaspersky analizzeranno il file e aggiorneranno i database di XoristDecryptor. Al successivo avvio, l'utilità scaricherà i nuovi database e disinfetterà i file.
L'invio del file dannoso a Kaspersky non solo consentirà di risolvere il problema, ma aiuterà anche altri utenti che potrebbero essere colpiti dal ransomware di crittografia dei file.
Se XoristDecryptor non riesce a decrittografare i file, prova a utilizzare RectorDecryptor e RakhniDecryptor.
Per eliminare il rischio di infezione da ransomware, installa Kaspersky Internet Security e attiva la funzionalità Protezione dai malware di blocco dello schermo. Per istruzioni, consulta questo articolo (articolo in inglese).