CTS1 Virus (.cts1 File) Ransomware — Correggi e decifra i dati

Written by Brendan Smith

Il virus Cts1 è una famiglia Cactus di infezioni di tipo ransomware. Questo virus crittografa i tuoi file (video, foto, documenti) che possono essere monitorati da una specifica estensione “.cts1”. Utilizza un metodo di crittografia forte, che rende impossibile calcolare la chiave in alcun modo.

Cts1 utilizza una chiave univoca per ogni vittima, con un’eccezione:

  • Se Cts1 non riesce a stabilire una connessione al proprio server di comando e controllo (Server C&C) prima di avviare il processo di crittografia, utilizza la chiave offline. Questa chiave è la stessa per tutte le vittime e consente di decrittografare i file crittografati durante un attacco ransomware.
Brendan Smith
Brendan Smith
Esperto di Sicurezza IT
Innanzitutto, scansiona il tuo PC con lo strumento antivirus!
Quando parliamo dell'intrusione di programmi sconosciuti nel funzionamento del tuo computer, il proverbio "Prevenire è meglio che curare" descrive la situazione nel modo più accurato possibile. Gridinsoft Anti-Malware è esattamente lo strumento che è sempre utile avere nel tuo arsenale: veloce, efficiente, aggiornato. È opportuno utilizzarlo come aiuto d'emergenza al minimo sospetto di infezione.
Anti-Malware
Prova gratuita di 6 giorni di Anti-Malware disponibile.
EULA | Informativa sulla privacy | 10% Off Coupon
Iscriviti al nostro canale Telegram per essere il primo a conoscere le novità e i nostri materiali esclusivi sulla sicurezza delle informazioni.

Ho raccolto una raccolta completa di tutte le possibili soluzioni, suggerimenti e pratiche per neutralizzare il virus Cts1 e decrittare i file. In alcuni casi, è facile recuperare i file. E a volte è semplicemente impossibile.

Esistono diversi metodi universali per il recupero di file .cts1 crittografati, che verranno illustrati di seguito. È fondamentale leggere attentamente l’intero manuale di istruzioni e assicurarsi di capirlo tutto. Non saltare alcun passaggio. Ognuno di questi passaggi è molto importante e deve essere completato da te.

Cts1 virus?

☝️ Cts1 può essere correttamente identificato come virus di tipo ransomware Cactus.

Cts1

🤔 Cts1 virus è un ransomware che ha origine dalla famiglia Cactus. Il suo scopo principale è crittografare i file che sono importanti per te. Dopo che il virus ransomware chiede alle sue vittime una tassa di riscatto ($490-$980) in BitCoin.

Il virus Cts1 è sostanzialmente simile ad altri ransomware Cactus come: Jaqw, Jasa , Jaoy. Questo virus crittografa tutti i tipi di file più diffusi e aggiunge la propria estensione “.cts1” a tutti i file. Ad esempio, il file “1.jpg”, verrà modificato in “1.jpg.cts1“. Non appena la crittografia è completata, il virus rilascia uno speciale file di testo “_readme.txt” e lo inserisce in tutte le cartelle che contengono i file modificati.

L’immagine sotto dà una visione chiara di come appaiono i file con estensione “.cts1”:

Cts1 Virus - encrypted .cts1 files

File Cts1 (Cactus ransomware)

NomeVirus Cts1
Famiglia ransomware1Cactus ransomware
Estensione.cts1
Nota ransomware_readme.txt
RiscattoDa $ 490 a $ 980 (in Bitcoin)
Contattasupport@fishmail.top, datarestorehelp@airmail.cc
RilevamentoTrojan:MSIL/AgentTesla.HU!MTB, Win32/Injector.ANIA, MSIL/Filecoder.ATX
Sintomi
  • Cripta la maggior parte dei tuoi file (foto, video, documenti) e aggiunge una particolare estensione “.cts1”;
  • Può eliminare le copie Shadow del volume per rendere impossibili i tentativi della vittima di ripristinare i dati;
  • Installa nel sistema un trojan che ruba le password, come Vidar Stealer o RedLine Stealer;
  • Riesce a installare la backdoor SmokeLoader.
Strumento di correzione Per rimuovere possibili infezioni da malware, scansiona il tuo PC:


Prova gratuita di 6 giorni disponibile.

Il ransomware Cts1 arriva come un insieme di processi che hanno lo scopo di eseguire diverse attività sul computer di una vittima. Uno dei primi ad essere lanciato è winupdate.exe, un processo complicato che visualizza un falso prompt di aggiornamento di Windows durante l’attacco. Questo ha lo scopo di convincere la vittima che un improvviso rallentamento del sistema è causato da un aggiornamento di Windows. Tuttavia, allo stesso tempo, il ransomware esegue un altro processo (di solito denominato da quattro caratteri casuali) che avvia la scansione del sistema per i file di destinazione e la crittografia. Successivamente, il ransomware elimina le copie shadow del volume dal sistema utilizzando il seguente comando CMD:

vssadmin.exe Delete Shadows /All /Quiet

Una volta eliminato, diventa impossibile ripristinare lo stato precedente del computer utilizzando i punti di ripristino del sistema. Il fatto è che gli operatori di ransomware si stanno sbarazzando di qualsiasi metodo basato sul sistema operativo Windows che potrebbe aiutare la vittima a ripristinare i file gratuitamente. Inoltre, i truffatori modificano il file HOSTS di Windows aggiungendo un elenco di domini e mappandoli all’IP localhost. Di conseguenza, la vittima incontrerà un errore DNS_PROBE_FINISHED_NXDOMAIN quando accede a uno dei siti Web bloccati.

Abbiamo notato che il ransomware tenta di bloccare i siti Web che pubblicano varie guide pratiche per gli utenti di computer. È evidente che limitando domini specifici, i truffatori cercano di impedire alla vittima di accedere a informazioni pertinenti e utili relative agli attacchi ransomware online. Il virus salva anche due file di testo sul computer della vittima che forniscono dettagli relativi all’attacco: la chiave di crittografia pubblica e l’ID personale della vittima. Questi due file sono chiamati bowsakkdestx.txt e PersonalID.txt.

Cts1 ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Dopo tutte queste modifiche, il malware non si ferma. Le varianti di Cactus tendono a rilasciare Trojan AZORULT per il furto di password sui sistemi compromessi. Questa minaccia ha un lungo elenco di funzionalità, come ad esempio:

  • Rubare login/password di Steam, Telegram, Skype;
  • Rubare portafogli di criptovaluta;
  • Scaricare malware sul computer ed eseguirlo;
  • Rubare cookie del browser, password salvate, cronologia di navigazione e altro;
  • Visualizzazione e manipolazione di file sul computer della vittima;
  • Consentire agli hacker di eseguire altre attività in remoto sul computer della vittima.

L’algoritmo di crittografia utilizzato dal virus Cactus è AES-256. Quindi, se i tuoi dati sono stati crittografati con una chiave di decrittazione online, che è totalmente unica. La triste realtà è che è impossibile decrittografare i file senza la chiave univoca.

Nel caso in cui Cts1 abbia funzionato in modalità online, è impossibile accedere alla chiave AES-256. È memorizzato su un server distante di proprietà dei criminali che promuovono il virus Cts1.

Per ricevere la chiave di decrittazione il pagamento dovrebbe essere di $980. Per ottenere i dettagli del pagamento, le vittime sono incoraggiate dal messaggio a contattare i truffatori via e-mail (manager@mailtemp.ch).

Non pagare per Cts1!

Per favore, prova a utilizzare i backup disponibili o lo strumento Decrypter

Il file _readme.txt indica anche che i proprietari del computer devono mettersi in contatto con i rappresentanti di Cts1 durante 72 ore a partire dal momento in cui i file sono stati crittografati. A condizione di essere contattati entro 72 ore, agli utenti verrà concesso uno sconto del 50%. Quindi l’importo del riscatto sarà ridotto al minimo fino a $ 490. Eppure, stai lontano dal pagare il riscatto!

La particolarità di tutti questi virus applica un insieme simile di azioni per generare la chiave di decrittazione univoca per recuperare i dati cifrati.

Pertanto, a meno che il ransomware non sia ancora in fase di sviluppo o non possieda alcuni difetti difficili da rilevare, il ripristino manuale dei dati cifrati è una cosa che non puoi eseguire. L’unica soluzione per prevenire la perdita dei tuoi preziosi dati è eseguire regolarmente backup dei tuoi file cruciali.

Nota che anche se mantieni questi backup regolarmente, dovrebbero essere messi in una posizione specifica senza bighellonare, senza essere collegati alla tua workstation principale.

Ad esempio, il backup può essere conservato sull’unità flash USB o su un disco rigido esterno alternativo. Facoltativamente, puoi fare riferimento all’aiuto dell’archiviazione delle informazioni online (cloud).

Inutile dire che quando mantieni i tuoi dati di backup sul tuo dispositivo comune, potrebbero essere cifrati in modo simile così come altri dati.

Per questo motivo, individuare il backup sul computer principale non è sicuramente un’idea saggia.

Come sono stato contagiato?

Il ransomware ha vari metodi da incorporare nel tuo sistema. Ma non importa quale metodo abbia avuto luogo nel tuo caso.

Cts1 infection attack

Attacco di virus Cts1 a seguito di un tentativo di phishing riuscito.

Tuttavia, queste sono le perdite comuni attraverso le quali può essere iniettato nel tuo PC:

  • installazione nascosta insieme ad altre app, in particolare le utility che funzionano come freeware o shareware;
  • collegamento dubbio nelle e-mail di spam che portano al programma di installazione del virus
  • risorse di hosting gratuito online;
  • utilizzo di risorse peer-to-peer (P2P) illegali per scaricare software piratato.

Ci sono stati casi in cui il virus Cts1 è stato camuffato da uno strumento legittimo, ad esempio, nei messaggi che richiedono l’avvio di alcuni software indesiderati o aggiornamenti del browser. Questo è in genere il modo in cui alcune frodi online mirano a costringerti a installare manualmente il ransomware Cts1, facendoti effettivamente partecipare direttamente a questo processo.

Sicuramente, l’avviso di aggiornamento fasullo non indicherà che stai per iniettare effettivamente il virus. Questa installazione sarà nascosta sotto alcuni avvisi che menzionano che dovresti aggiornare Adobe Flash Player o qualche altro programma dubbioso di sorta.

Naturalmente, anche le app crackate rappresentano il danno. L’utilizzo di P2P è illegale e può comportare l’iniezione di malware gravi, incluso il ransomware Cts1.

Per riassumere, cosa puoi fare per evitare l’iniezione del ransomware Cts1 nel tuo dispositivo? Anche se non esiste una garanzia al 100% per evitare che il tuo PC si danneggi, ci sono alcuni suggerimenti che voglio darti per prevenire la penetrazione di Cts1. Devi essere cauto durante l’installazione di software gratuito oggi.

Assicurati di leggere sempre cosa offrono gli installatori oltre al programma gratuito principale. Evita di aprire allegati e-mail dubbi. Non aprire file da destinatari sconosciuti. Naturalmente, il tuo attuale programma di sicurezza deve essere sempre aggiornato.

Il malware non parla apertamente di se stesso. Non sarà menzionato nell’elenco dei tuoi programmi disponibili. Tuttavia, verrà mascherato da alcuni processi dannosi in esecuzione regolarmente in background, a partire dal momento in cui avvii il PC.

Come rimuovere il virus Cts1?

Oltre a codificare i file di una vittima, l’infezione Cts1 ha anche iniziato a installare lo diversi spyware sul sistema per rubare credenziali dell’account, portafogli di criptovaluta, file desktop e altro ancora.2
Motivi per cui consiglierei GridinSoft3

Non c’è modo migliore per riconoscere, rimuovere e prevenire il ransomware che utilizzare un software anti-malware di GridinSoft4.

  1. Scarica lo strumento di rimozione.

    Puoi scaricare GridinSoft Anti-Malware facendo clic sul pulsante qui sotto:

  2. Esegui il file di installazione.

    Al termine del download del file di installazione, fai doppio clic sul file setup-antimalware-fix.exe per installare GridinSoft Anti-Malware sul tuo PC.

    Run Setup.exe

    Un Controllo dell’account utente che ti chiede di consentire a GridinSoft Anti-Malware di apportare modifiche al tuo dispositivo. Quindi, dovresti fare clic su “Sì” per continuare con l’installazione.

    GridinSoft Anti-Malware Setup

  3. Premi il pulsante “Installa”.

    GridinSoft Anti-Malware Install

  4. Una volta installato, Anti-Malware verrà eseguito automaticamente.

    GridinSoft Anti-Malware Splash-Screen

  5. Wait for complete.

    GridinSoft Anti-Malware avvierà automaticamente la scansione del sistema alla ricerca di infezioni Cts1 e altri programmi dannosi. Questo processo può richiedere 20-30 minuti, quindi ti suggerisco di controllare periodicamente lo stato del processo di scansione.

    GridinSoft Anti-Malware Scanning

  6. Fare clic su “Pulisci ora”.

    Al termine della scansione, vedrai l’elenco delle infezioni rilevate da GridinSoft Anti-Malware. Per rimuoverli, fai clic sul pulsante “Pulisci ora” nell’angolo destro.

    GridinSoft Anti-Malware Scan Result
  7. Guida video

  8. Trojan Killer per istanze speciali

    In alcuni casi, il ransomware Cts1 può bloccare l’esecuzione dei file di installazione di diversi programmi anti-malware. In questa situazione, è necessario utilizzare l’unità rimovibile con uno strumento antivirus preinstallato.

    C’è un numero davvero limitato di strumenti di sicurezza che possono essere impostati sulle unità USB e gli antivirus che possono farlo nella maggior parte dei casi richiedono una licenza piuttosto costosa. Per questo esempio, posso consigliarti di utilizzare un’altra soluzione di GridinSoft – Trojan Killer Portable. Ha una modalità di prova gratuita di 14 giorni che offre tutte le funzionalità della versione a pagamento 5. Questo termine sarà sicuramente sufficiente al 100% per eliminare il malware.

Come decifrare i file .cts1?

Soluzione di ripristino per “file .cts1” di grandi dimensioni

Prova a rimuovere l’estensione .cts1 su alcuni file BIG e ad aprirli. O il ransomware Cts1 ha letto e non ha crittografato il file, oppure si è verificato un bug e non ha aggiunto il filemarker. Se i tuoi file sono molto grandi (2 GB +), è molto probabile che sia quest’ultimo. Per favore, fammi sapere nei commenti se funzionerà per te.

Recentemente ho avuto il mio pc infettato dal virus Cts1. È riuscito a bypassare 2 software antivirus e 2 combattenti malware.

Comunque, dopo aver realizzato che si trattava di un algoritmo online, è impossibile recuperare i miei file crittografati. Avevo anche collegato il mio disco di backup al momento del virus, e anche questo era infetto, o almeno così pensavo. Ogni cartella all’interno della mia unità di backup è stata infettata ed è stata crittografata. Tuttavia, nonostante la perdita di alcuni file importanti, ho recuperato quasi l’80% del mio spazio di archiviazione da 2 TB.

Quando ho iniziato a esaminare le cartelle, ho notato la nota di riscatto readme.txt in ogni cartella. Ho aperto alcune cartelle e ho scoperto che tutti i file che non erano in una sottocartella all’interno di quella cartella erano stati crittografati. Tuttavia, ho trovato un difetto e un barlume di speranza quando sono entrato nelle sottocartelle in altre cartelle e ho scoperto che questi file non erano stati crittografati. Ogni cartella all’interno delle mie unità c e d, comprese le sottocartelle, era stata crittografata, ma non era il caso dell’unità di backup. La creazione di sottocartelle all’interno di una cartella ha salvato l’80% dei miei dati.

Come ho detto, credo che questa sia solo una piccola scappatoia su un’unità di backup. Da allora ho trovato un ulteriore 10% dei miei dati su un altro disco rigido su un altro PC. Quindi il mio consiglio è se usi un’unità di backup, crea sottocartelle. Sono stato fortunato, immagino. Ma sono stato anche sfortunato che il virus abbia colpito mentre stavo trasferendo alcuni file dal mio backup.

Spero che questo possa aiutare altre persone nella mia situazione.

Jamie Newland
Alcuni suggerimenti per la riparazione di ripristino dei file Cts1 (vero per tutte le varianti Cactus):

  • Ho visto che le varianti di Cts1 non riescono a crittografare le cartelle nidificate più profonde, in modo che tu possa verificarlo. Potresti scoprire che non sono crittografati.
  • Questo ransomware salva i dati crittografati in un nuovo file, elimina l’originale. Quindi c’è una piccola possibilità che una parte di quel file cancellato possa essere recuperata usando un software di recupero file. È improbabile che la struttura delle cartelle possa essere ripristinata, quindi uno strumento gratuito come PhotoRec potrebbe essere valido come un altro.
  • Questo ransomware crittografa solo parzialmente (circa i primi 150 KB), quindi a seconda delle dimensioni del file e del tipo di dati, la parte non crittografata potrebbe essere recuperabile.
  • Joep

    Recuperare i tuoi file con PhotoRec

    PhotoRec è un programma open source, originariamente creato per il recupero di file da dischi danneggiati o per il recupero di file nel caso in cui vengano eliminati. Tuttavia, con il passare del tempo, questo programma ha ottenuto la capacità di recuperare i file di 400 estensioni diverse. Quindi, può essere utilizzato per il recupero dei dati dopo l’attacco ransomware

    All’inizio, devi scaricare questa app. È gratuito al 100%, ma lo sviluppatore afferma che non vi è alcuna garanzia che i tuoi file verranno recuperati. PhotoRec è distribuito in un pacchetto con un’altra utility dello stesso sviluppatore: TestDisk. L’archivio scaricato avrà il nome TestDisk, ma non preoccuparti. I file PhotoRec sono proprio all’interno.

    PhotoRec file in the folder

    Dopo il lancio, vedrai la schermata che mostra l’elenco completo dei tuoi spazi su disco. Tuttavia, questa informazione è probabilmente inutile, perché il menu richiesto è posizionato un po’ più in alto. Fai clic su questa barra, quindi scegli il disco che è stato attaccato dal ransomware.

    Choose the disc in PhotoRec

    Dopo aver scelto il disco, è necessario scegliere la cartella di destinazione per i file recuperati. Questo menu si trova nella parte inferiore della finestra PhotoRec. La decisione migliore è esportarli su un’unità USB o su qualsiasi altro tipo di disco rimovibile.

    Choosing the destination folder of recovery

    Quindi, è necessario specificare i formati di file. Anche questa opzione si trova in basso. Come è stato detto, PhotoRec può recuperare i file di circa 400 formati diversi.

    Choose the file format

    Infine, puoi avviare il recupero dei file premendo il pulsante “Cerca”. Vedrai la schermata in cui vengono mostrati i risultati della scansione e del ripristino.

    Recovery process

    Guida al recupero dei file Cts1


    Domande frequenti

    🤔 Come posso aprire i file “.cts1“?

    Non c’è modo. Questi file sono crittografati dal ransomware. I contenuti dei file .cts1 non sono disponibili finché non vengono decifrati.

    🤔 I file Cts1 contengono informazioni importanti. Come posso decifrarli urgentemente?

    Se i tuoi dati sono rimasti nei file .cts1 sono molto preziosi, molto probabilmente hai fatto una copia di backup.
    In caso contrario, puoi provare a ripristinarli tramite la funzione di sistema – Punto di ripristino.
    Tutti gli altri metodi richiedono pazienza.

    🤔 Hai consigliato di utilizzare GridinSoft Anti-Malware per rimuovere Cts1. Questo significa che il programma cancellerà i miei file crittografati?

    Ovviamente no. I tuoi file crittografati non rappresentano una minaccia per il computer. Quello che è successo è già successo.

    Hai bisogno di GridinSoft Anti-Malware per rimuovere le infezioni del sistema attivo. Il virus che ha crittografato i tuoi file è molto probabilmente ancora attivo e periodicamente esegue un test per la capacità di crittografare ancora più file. Inoltre, questi virus installano spesso keylogger e backdoor per ulteriori azioni dannose (ad esempio, furto di password, carte di credito).

    🤔 Il virus Cts1 ha bloccato il PC infetto: non riesco a ottenere il codice di attivazione.

    In questa situazione, devi preparare la memory stick con un Trojan Killer preinstallato.

    🤔 Decryptor non ha decifrato tutti i miei file o non tutti sono stati decifrati. Cosa devo fare?

    Abbi pazienza. Sei stato infettato dalla nuova versione del ransomware Cactus e le chiavi di decrittazione non sono ancora state rilasciate. Segui le notizie sul nostro sito web.

    Ti terremo aggiornato quando appariranno nuove chiavi Cts1 o nuovi programmi di decrittazione.

    🤔 Cosa posso fare adesso?

    Il ransomware Cts1 crittografa solo i primi 150 KB di file. Quindi i file MP3 sono piuttosto grandi, alcuni lettori multimediali (ad esempio Winamp) potrebbero essere in grado di riprodurre i file, ma – i primi 3-5 secondi (la parte crittografata) mancheranno.

    Puoi provare a trovare una copia di un file originale che è stato crittografato:

    • File che hai scaricato da Internet e che sono stati crittografati e che puoi scaricare di nuovo per ottenere l’originale.
    • Immagini che hai condiviso con familiari e amici che possono semplicemente inviarti.
    • Foto che hai caricato su social media o servizi cloud come Carbonite, OneDrive, iDrive, Google Drive, ecc.
    • Allegati nelle email che hai inviato o ricevuto e salvato.
    • File su un computer meno recente, un’unità flash, un’unità esterna, una scheda di memoria della fotocamera o un iPhone in cui hai trasferito i dati sul computer infetto.

    Videoguida

    È il mio video tutorial preferito: come utilizzare GridinSoft Anti-Malware e Emsisoft Decryptor per riparare le infezioni da ransomware.

    Se la guida non ti aiuta a rimuovere l’infezione da Cts1, scarica il GridinSoft Anti-Malware che ti ho consigliato. Non dimenticare di condividere la tua esperienza nella risoluzione del problema. Lascia un commento qui! Questo può aiutare le altre vittime a capire che non sono sole. E insieme troveremo il modo per affrontare questo problema.

    Ho bisogno del tuo aiuto per condividere questo articolo.

    È il tuo turno di aiutare le altre persone. Ho scritto questo articolo per aiutare gli utenti come te. Puoi utilizzare i pulsanti qui sotto per condividerlo sui tuoi social media preferiti Facebook, Twitter o Reddit.
    Brendan Smith
    Sending
    User Review
    3.78 (9 votes)
    Comments Rating 0 (0 reviews)

    References

    1. I miei file sono crittografati dal ransomware, cosa devo fare ora?
    2. Vulnerabilità delle password di Windows (Mimikatz HackTool): https://howtofix.guide/mimikatz-hacktool/
    3. GridinSoft Anti-Malware Review dal sito HowToFix: https://howtofix.guide/gridinsoft-anti-malware/
    4. Ulteriori informazioni sui prodotti GridinSoft: https://gridinsoft.com/comparison
    5. Trojan Killer Review: https://howtofix.guide/trojan-killer/

    Inglese Tedesco Giapponese Spagnolo Portoghese, Brasile Francese Turco Cinese tradizionale Coreano Indonesiano Hindi

    About the author

    Brendan Smith

    I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

    With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

    Leave a Reply

    Sending