lunedì 31 gennaio 2022

Come rimuovere il Nomikon ransomware.

 

Ci risiamo con le varianti Cryptoloker e tanto per non perdere l'abitudine ritorna il Nomikon Ransomware con la relativa richiesta di riscatto in Bitcoin e quindi vi rimando al post del marzo 2020 e se siete stati colpiti, spegnete immediatamente il vostro computer tenendo il dito sul tasto di accensione, staccatevi dalla linea, togliete tutte le periferiche inserite nelle porte USB, togliete pure la batteria se e' asportabile e non riavviate assolutamente il pc altrimenti i file verranno inesorabilmente criptati.

Che cos'è Nomikon Ransomware

Scoperto a febbraio 2020, nomikon è un pezzo dannoso classificato come ransomware.

Il ransomware è un tipo di virus che crittografa i dati degli utenti dopo la penetrazione e richiede il pagamento di un riscatto.

Dopo l'installazione, Nomikon bloccherà tutti i file memorizzati sul sistema modificando le loro estensioni in un set di 5 lettere casuale, ad esempio, .cnmhr or .jrmcu.

Per esempio, 1.mp4 sarà sostituito con 1.mp4.cnmhr o altra estensione generata casualmente.

Una volta che il virus ha crittografato i tuoi dati, creerà un file HTML chiamato DECRYPT.html con le seguenti informazioni:

Nomikon ransomware
Your computer has been infected
All your documents, photos, databases and other important files are encrypted
To decrypt your files you need to buy our special software - UmtxCnMh4r-Decryptor
You can do it right now. Follow the instruction below. But remember that you do not have much time
UmtxCnMh4r-Decryptor
You have EXPIRED TIME
*If you do not pay on time the price will be doubled
*Time ends on February 14, 00:30:45
Current price
0.01084785 BTC $400 USD
After time ends 0.0216956 BTC $800 USD

Questa nota ben organizzata dice che il tuo computer e' infetto e richiede l'acquisto di un software speciale fornito da frodi. Il software stesso costa circa 400 $ e deve essere pagato in BTC. Inoltre intimidiscono che se non paghi un riscatto entro il periodo di tempo assegnato, il prezzo sarà raddoppiato. Inoltre, alle vittime viene offerto anche di utilizzare la decrittografia di prova inviando un file (meno di 5 MB) all'e-mail allegata. Gli estorsori ti avvertono di non utilizzare decryptor di terze parti, altrimenti ciò potrebbe comportare una perdita permanente dei dati. Sfortunatamente, la maggior parte delle volte, i file bloccati sono irrecuperabili, tuttavia, ciò non significa che dovresti pagare un riscatto a meno che tu non abbia molti soldi. Invece, ti consigliamo di eliminare Nomikon Ransomware dal tuo computer e ripristinare i file persi dai dispositivi di backup.

Ripeto i danni che provoca:

  1. Vengono crittografati i file utente degli hard disk del computer (le estensioni dei files.variano a seconda della tipologia di virus, sono comunque colpiter le estensioni più diffuse come: .DOC,.DOCX,.XLS, .XLSX, .PDF, .JPG, .MDB, .PST).

  2. Vengono crittografati i file presenti in hard disk o pennette USB connessi all computer al momento dell'infezione o successivamente,

  3. Vengono crittografati i file dell'utente presenti in cartelle di rete condivise da altri computer.

Cosa e' importante sapere:

  1. I files crittografati dal virus vengono parzialmente riscritti con un codice di crittografia la cui chiave è univoca (diversa per ogni computer infettato) e segreta.

  2. Gli unici a conoscerla sono i creatori del virus.

  3. Tali files non possono essere più aperti, letti o modificati.

  4. I files crittografati non sono infettanti, cosi' come eventuali hard disk o pennette USB colpiti dal virus non propagano l'infezione se attaccati ad altri computer.

  5. Ad ogni riavvio, nella maggior parte delle infezioni, il virus si riattiva e continua la sua opera distruttiva. E' quindi buona norma tenere un pc infetto spento.

  6. In caso di ambienti di rete con cartelle condivise da un server, un NAS o altri computer, è fondamentale isolare immediatamente il computer infettato, al fine di minimizzare la propagazione del danno.

Le varianti più diffuse vengono sparate nei computer sfruttando delle vulnerabilita' del desktop remoto di Windows.

I nomi sono diversi, tra di essi spiccano il famigerato Dharma (ormai attivo da oltre tre anni) che modifica i nomi dei files con estensioni sempre nuove, la più recente delle quali è adobe. Molto attive sono le varianti Rapid, Matrix e Bip. Per queste nuove variante non esistono decrittatori, quindi non perdete tempo a cercare soluzioni che non ci sono su Internet.

In caso di infezione diretta su un Server attraverso attacco al Desktop Remoto, l'hacker disattiva eventuali antivirus e tutte le protezioni presenti sul server. Solo successivamente inocula il virus sul Server ed inizia l'attacco, quindi è impossiile recuperare dati dal Server. In seguito all'infezione, i files presenti sui dischi e colpiti cambiano nome, assumendo un'aspetto simile a questo: FIle_2017.xlsx.id-62EFC9C9.[recfile@protonmail.com].cobra (al nome del file viene aggiunto l'ID univoco, un'email su cui contattare l'hacker responsabile dell'attacco e un nome che identifica la variante del virus).

RIPETO, in caso di infezione, la massima tempestivita' nell'intervento: appena ci si accorge dell'infezione bisogna spegnere il computer immediatamente e far intervenire un tecnico (NON UN PARENTE O UN AMICO SMANETTONE, responsabili, spesso, di danni peggiori di quelli indotti dal virus). Questa semplice azione aumenta tantissimo la possibilità di recuperare i files e riduce il numero di files che vengono crittografati.

Se il vostro PC è infetto, l'ultima cosa che consiglio è di formattare il computer: così facendo cancellate tutti i files e perdete qualsiasi possibilita' di recupero.

Se l'infezione colpisce un ufficio dove sono presenti piu' computer, spegnete immediatamente tutti i computer, per evitare che l'infezione possa propagarsi dal computer "untore" agli altri. Particolare attenzione va prestata all'eventuale server, che va isolato dalla rete appena ci si rende conto dell'infezione,

Le raccomandazioni sono sempre le stesse: se infetti, spegnete immediatamente il PC e chiamate il vostro tecnico di fiducia. Se non lo avete contattate il 3357874178, Michele sapra' darvi indicazioni utili e potra' attraverso connessione remota, operare a distanza.

Ritorno ad indicare cosa dovrete fare in caso di castigazione avvenuta:

  1. Spegnete immediatamente il computer, anche brutalmente staccando la spina di alimentazione. Se il virus vi infetta, agisce molto velocemente, Non riavviate il computer: ad ogni riavvio il virus continua a crittografare i vostri files, estendendo l'entità del danno.

  2. Rimuovete eventuali dispositivi USB connessi al sistema (pennette, hard disk, chiavette di firma digitale, ecc.).

  3. Se il computer è connesso in rete ad altri computer o server, staccate immediatamente il cavo di rete e spegnete tutti gli altri computer/server della rete.

  4. Contattate immediatamente il vostro tecnico di fiducia, facendogli presente il tipo di virus che vi ha colpito.

  5. La rimozione del virus richiede un massimo di un'ora di intervento. Se il vostro tecnico sostiene che deve portare via il computer infetto, o che deve formattarlo, consiglio calorosamente di affidarsi a qualcuno più esperto. La formattazione del computer rende vana la possibilità, in futuro, di recuperare i files crittografati.