CoinVault

Introduzione

I ransomware sono i nuovi malware (Malicious Software) che non solo infettano il sistema del malcapitato, ma criptano tutti i dati sensibili presenti sul proprio drive locale, dischi/pendrive collegate e, nello sciagurato caso, anche directory/unità di rete montate.

Una volta criptati i dati non sono più leggibili, a meno che non si paghi un riscatto (ransom in inglese) seguendo delle precise istruzioni rilasciate dagli sviluppatori del virus.

CoinVault ransomware

CoinVault è un dei moltissimi ransomware che stanno infettando moltissimi utenti chiedendo un riscatto in bitcoin, la famosissima moneta elettronica.

La polizia Olandese National High Tech Crime Unit (NHTCU) e il team del Kaspersky Lab hanno unito le forze per  contrastare questo tipo di ransomware, il frutto del loro lavoro si chiama “kaspersky-coinvault-decryptor” ovvero un tool che permette (o almeno di prova) di decriptare i files compromessi da CoinVault.

Questo tool contiente un database, aggiornato costantemente, contenente le chiavi necessarie alla decriptazione.

Per tenersi aggiornati sui vari aggiornamenti basta recarsi al seguente indirizzo:

https://noransom.kaspersky.com/

Procedura per la rimozione e decriptazione

La procedura consiste principalmente in due fasi:

  1. Eliminazione del virus

  2. Decriptazione dei files

Ma andiamo per step:

Step 1) Annotazione dei dati necessari alla decriptazione

CoinVault

Se siete infetti dal ransomware CoinVault vi ritroverete davanti una schermata simile all’immagine soprastante.

Prima di rimuovere il virus è necessario copiarsi, ad esempio su un file di testo, l’indirizzo bitcoin riportato in basso a destra della finestra (cerchiato in nero nell’immagine).

Subito dopo cliccare sul bottone “View Encrypted filelist” (cerchiato in azzurro nell’imagine) e salvarsi il file che verrà generato.

Step 2) Rimozione del virus

Per rimuovere il virus potete utilizzare qualsiasi antivirus aggiornato, Kaspersky naturalmente consigli di installare la propria versione TRIAL:

https://kas.pr/kismd

Una volta installato basta eseguire la classica scansione.

Step 3)  Controllo disponibilità della chiave di decriptazione sul sito Kaspersky

Col browser preferito collegarsi all’indirizzo: https://noransom.kaspersky.com/ e nell’apposito form inserire l’indirizzo bitcoin copiato precedentemente nello Step 1 e premere il bottone “Check“

CoinVault

Se la ricerca non ottiene nessun risultato purtroppo significa che le chiavi di decriptazioni necessarie per i propri file non sono ancora presenti nel database di Kaspersky Lab, quindi la procedura deve essere interrotta.

Naturalmente le chiavi verranno aggiornate costantemente, quindi è consigliato riprovare questo step giornalmente!

In caso di esito potivio annotarsi il codice IV e Key che apparirà a video (in verità potrebbero anche essere più di uno, quindi annotarseli tutti).

Step 4) Download tool decrypter

Collegarsi sempre al sito https://noransom.kaspersky.com e scaricarsi il tool di decriptazione: kaspersky-coinvault-decryptor.exe

Il software necessita delle librerie Microsoft .NET Framework 4, assicuratevi di averle preinstallate sul proprio sistema altrimenti all’eseguzione del decrypter vi apparirà un messaggio d’errore.

Una volta eseguito il tool vi apparirà la seguente maschera:

CoinVault

I passi da eseguire sono i seguenti:

  • Premere il bottone “Select List” e selezionare il file creato nello STEP 1
  • Premere il bottone “Select File” e selezionare il file compromesso che vogliamo decriptare
  • Inserire il codice IV generato dalla pagina web nello STEP 3
  • Inserire il codice KEY (la chiave) generato dalla pagina web nello STEP 3

ATTENZIONE

nel caso in cui vi siano stati rilasciati codici IV e KEY multipli, Kaspersky Lab consiglia di NON selezionare il checkbox:

Overwrite encrypted file with decrypted contents

Questo perchè nel caso in cui il tentativo di decriptazione con il primi codici IV/KEY fallisse, si rischierebbe di compromettere definitivamente il file criptato!

Consigli

Oltre a tenere l’antivirus e l’antimalware aggironato, fate attenzione agli allegati sospetti che vi arrivano per e-mail.

Spesso questi ransomware vengono spacciati per documenti doc o pdf contententi fatture, bollette, o documenti in generale.

Non mi resta che augurarvi: BUONA FORTUNA!