Salve ragazzi ho il seguente problema..il pc di un amico è infettato da un virus che gli ha praticamente criptato tutti i file(o almeno così sembra)!!!non si riesce ad aprire nessun file.il nome del file è cambiato ad esempio da:

foto.jpg in foto.jpg.EnCiPhErEd

inutile sottolineare che rinominando il file eliminando la parte in più (.EnCiPhErEd) non risolve il problema....il file cmq non si apre.
all'interno di tutto le cartelle c'è un file di testo "HOW TO DECRYPT FILES.TXT" e all'interno c'è scritto questo:

Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be
careful when you enter the code!

girando su internet ho trovato questi link che però non aiutano granchè:
http://slo-tech.com/forum/t514157
http://www.securelist.com/en/descriptions/old313444
http://groups.google.com/a/googleproductforums.com/forum/#!topic/gmail/qo0xd0MM1Z8
http://forum.hr/showthread.php?p=38886654

il problema + grosso è che anche salvando i dati per formattare sono illeggibili!ho messo qualche file su una pendriver per aprirli da un altro pc ma non si aprono.

qualche idea???ve ne sarei grato!

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.13.26, on 10/04/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utente\Desktop\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\SYSTEM32\blank.htm
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [sfagent] C:\Programmi\Fighters\sfagent.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: HOW TO DECRYPT FILES.txt (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk.EnCiPhErEd
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk.EnCiPhErEd
O4 - Global Startup: HOW TO DECRYPT FILES.txt
O4 - Global Startup: WL-U356M Configuration Utility.exe.lnk.EnCiPhErEd
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programmi\SUPERAntiSpyware\SASCORE.EXE

--
End of file - 3366 bytes

in un pc ho risolto seguendo le indicazioni a questo link (che anche tu riportavi);

http://groups.google.com/a/googleproductforums.com/forum/#!topic/gmail/qo0xd0MM1Z8

il tutto sta nel lanciare quell'applicazione da riga di comando con i parametri:
-k 85

alla fine devi fare un po' di pulizia, ma almeno torni in possesso dei tuoi file!

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ciao, x.:

ho paura che seguendo le regole di sezione il nostro amico riesca giusto a debellare l'infezione ma non a ripristinare i file cifrati, sempre che il processo sia possibile.

Per la decifratura, infatti, o usa i (pochi) tool dedicati o nada...:(

come indicato da jahnfree, la soluzione dovrebbe essere il tool di DrWeb indicato nel post sotto,
http://forums.majorgeeks.com/showthread.php?t=257283

...altrimenti, addio file cifrati...

PhotoRec http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

PhotoRec http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

senza offesa, ma che ci dovrebbe fare con quel file?

Il tizio, infatti, si trova con una serie di file cifrati e non cancellati erroneamente, ecc.
Di conseguenza, ha la possibilità di effettuare regolarmente il log on e "lavorare" ma senza disporre più di file quali ad es. quelli con estensione jpg.

Ergo, o usa un tool che decifri il cifrato o quei file li può cestinare.

senza offesa, ma che ci dovrebbe fare con quel file?

Il tizio, infatti, si trova con una serie di file cifrati e non cancellati erroneamente, ecc.
Di conseguenza, ha la possibilità di effettuare regolarmente il log on e "lavorare" ma senza disporre più di file quali ad es. quelli con estensione jpg.

Ergo, o usa un tool che decifri il cifrato o quei file li può cestinare.

Serve per recuperare il file originali.

si, auguri:
se sono criptati voglio vedere che recupera...


Cmq ok, sarebbe cortese una risposta dell'autore del thread per farci sapere come è finita la storia...

si, auguri:
se sono criptati voglio vedere che recupera...


Cmq ok, sarebbe cortese una risposta dell'autore del thread per farci sapere come è finita la storia...

quelli che sono stati eliminati dal virus dopo averli criptati, di sicuro ci vorrà del tempo, quindi bisogna armasi di pazienza.

mua, sarà che vado sempre ad intuito e quindi non conosco nei dettagli cosa accade dietro le quinte xò, a logica, se cripto un file non "stocco" l'originale da qualche parte in modo che sia cmq recuperabile per altre vie...

Lo cifro e basta e quindi, sempre a logica, o paghi o ti servi di appositi tool di rimozione e decifratura:
ricordo infatti il tempo della 1° variante del GpCode (testata anche da me + volte in prevenire ecc ecc) dove non esistevano vie di mezzo...


Cmq non è per polemizzare, sia chiaro, ma per permettermi anche a me di capire meglio le cose pertanto, se dovesse riuscire percorrendo anche altre vie (ma ne dubito), ben venga!

ok, riconosco di aver detto fesserie:
la pagina di Kaspersky relativa al GpCode.ak (http://www.securelist.com/en/descriptions/old313444) mi ha permesso di fare luce sul processo*...

Pace e bene, fratelli



* è il limite che emerge quando si cerca di concentrarsi solo sull'aspetto della prevenzione...

In ufficio abbiamo lo stesso identico problema!

Ho provato a lanciare il file te94decrypt.exe con -k 85, l'ho interrotto prima che finisse di fare tutti i file per capire se funzionavano, ma niente da fare... I file sembrano decriptati, ma quando vai ad aprirli non funzionano.

Inoltre, cosa strana, guardando su esplora risorse in modalità "anteprima" per i jpg mi fa vedere l'immagine, ma quando la apro con qualsiasi programma niente...

Cosa posso provare?

Ah, ulteriore problema, anche decisamente grosso! Il server fa il backup giornaliero su un hard disk esterno, però stanotte quando è partito ha anche copiato dei file già criptati. Ora l'ho staccato dal server e dall'alimentazione. Non è che il backup ha salvato anche il virus e ora si rischia di perdere tutti i file dall'hard disk esterno?

Grazie mille!

se esegue il backup del sistema operativo è certo che sia stato salvato anche il virus..
oltre a quello giornaliero avete anche il backup settimanle, giusto?

se esegue il backup del sistema operativo è certo che sia stato salvato anche il virus..
oltre a quello giornaliero avete anche il backup settimanle, giusto?

Il backup non è del sistema operativo, ma solo di alcune cartelle che usiamo come archivio e di quelle dei vai profili dei computer.

Comunque si, abbiamo anche il backup settimanale. In ogni caso in quello giornaliero del 12 aprile sono criptati solo alcuni file.

Grazie!

google sembra mostrare una situazione di rapida diffusione di questo malware a livello globale...

http://www.f-secure.com/weblog/archives/00002347.html

http://about-threats.trendmicro.com/Malware.aspx?language=us&name=TSPY_ZBOT.IUV

Il backup non è del sistema operativo, ma solo di alcune cartelle che usiamo come archivio e di quelle dei vai profili dei computer.

Comunque si, abbiamo anche il backup settimanale. In ogni caso in quello giornaliero del 12 aprile sono criptati solo alcuni file.

Grazie!

con il profilo utente copi anche il virus :D
allora potreste ripristinare il profilo utente prima di qualche giorno fa' e conseguentemente i file che ora risultano criptati..
per il recovery io useri un cd e non direttamente l'hdd

Problema risolto ecco i passi che ho seguito:

ho seguito tutti i passaggi elencati alla voce "solution" di questo link:
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=TSPY_ZBOT.IUV

Poi ho usato Malwarebyte e Superantispyware.
Per ultimo ho usato il programma "te94decrypt.exe" (ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)
che dopo una lunga scansione mi ha ripristinato tutti i file "illeggibili" lasciando comunque anche la copia di quest'ultimo criptato.
il programma una volta scaricato deve essere eseguito da START ESEGUI c:\te94decrypt.exe -k 85

alla fine ho ricercato tutti i file "anche quelli nascosti" che avevano l'estenzione criptata (.EnCiPhErEd) e li ho eliminati ed ho ricercato ed eliminato tutti le copie del file TXT (presente oramai in tutte le cartelle del PC) in cui veniva chiesto del versamente dei 50.

Oggi un cliente mi ha portato un pc con questa infezione. Per rimuovere il virus ho usato il combofix (www.combofix.org) e sembra che ha funzionato mentre per ripristinare i file criptati purtroppo sembra che sia già in circolazione una nuova variante, per cui il tool del Dr.Web che avete citato già non funziona più. Dovrò sperare che lo aggiornino presto.

Certo che questo virus è un grosso guaio... Ma per capire, avete idea di come si possa prendere?

Ciao ragazzi, ho provato con le guide segnalate ma, come in altri casi, sono riusicito a togliere il virus ma niente da fare per decriptare i documenti.
Ho seguito il link per l'invio dei file sospetti a dr. web e mi hanno risposto di utilizzare sempre il file te94decrypt.exe ma lanciandolo con la seguente sintassi:

te94decrypt -k 91

e ho effettivamente risolto il problema.
Sperando di essere stato di aiuto, vi saluto

HELP non si recuperano i file ho provato tutti i vostri suggerimenti ma non si aprono le foto:muro:

HELP non si recuperano i file ho provato tutti i vostri suggerimenti ma non si aprono le foto:muro:

Invia i file ed attendi risposta

https://vms.drweb.com/sendvirus/?lng=en

ad oggi il file te94decrypt.exe non si riesce a scaricare, chiede nome utente e password, mentre il link di dottor web chiede una licenza? bisogna pagare?

ad oggi il file te94decrypt.exe non si riesce a scaricare, chiede nome utente e password, mentre il link di dottor web chiede una licenza? bisogna pagare?

EDIT: file trovato, ma tentando la sintassi "te94decrypt.exe con -k 85" (o altro numero) riporta l'errore "wrong key".

da cosa ho capito bisogna appunto mandare a Dr.Web qualche file criptato in modo che ti dia questo numero per decriptare i file (che nel mio caso sono parecchi..) a questo link

https://vms.drweb.com/sendvirus/

ma come scrivevo prima, chiede un seriale.. qualcuno sa quale licenza bisogna comprare? e quanto è affidabile?

nessuno ci è già passato? :confused: