Il file allegato è per adesso un .CAB simile a questi:
- fattura10BA111.cab
- sollecitazione239C120.cab
- domanda8603294.cab
- bill48ED0CE.cab
- charge6565840.cab
- requisito54F90CE.cab
- realizzazione62CB8D1.cab
I file infetti vengono rinominati e l’estensione si modifica in CTBL o CTBL2, anche se i nuovi metodi usano estensioni randomiche come .ftelhdd or .ztswgmc.
All'apertura dell’allegato e in quel esatto momento inizia l’infenzione. Il virus prende possesso dei file presenti sul PC dell’utente colpito (soprattutto file Word ed Excel) e ne cripta il contenuto. L’utente non può accorgesene subito ma al tentativo di apertura dei file che sono stati crittografati con una chiave sconosciuta.
All’apertura dei file contagiati, compare questa schermata:
E l'ANTIVIRUS?
Purtroppo ad oggi la maggior parte degli Antivirus non riconosce ancora questa variante del virus e l’unico modo per prevenire il contagio è bloccare le mail contenenti l'allegato .CAB sul vostro client di posta elettronica.
Come posso procedere?
Prima di procedere al pagamento del riscatto (che ricordiamo non offre la sicurezza di ottenere la passphrase per la decrittografia) è possibile fare qualche tentativo di ripristino del sistema.
Per prima cosa, conviene rimuovere l’infezione virus, eliminando qualsiasi eseguibile dalla cartella dei temporanei di sistema e ripulire il PC dai task nascosti presenti nel Task Manager. Dopo aver rimosso l’infezione, bisogna procedere con il recupero dei file crittografati.
Qui si capisce l'importanza di un backup esterno (NAS o servizi Cloud in rete).
