ora che ho formattato...c'è un antivirus o altro che blocca il "virus" se per caso è ancora contenuto in onedrive ??

Buongiono a tutti.

Purtroppo sono arrivato pure io a questo pagina dopo che il virus Locky ha infettato il portatile di un'amica.

Mi sono letto un bel po' dei vostri interventi, ho cercato di rispristinare il portatile con un vecchio punto di ripristino, inutilmente, ( ma il tentativo andava fatto) ora non mi resta che riportare il portatile alle condizione di fabbrica con ik ripristino dell'immgaina interna del portatile...

Appunto, volevo chiedere: è una procedura sicura o mi devo attendere che il virus resista e abbia impestato anche la partizione nascosta....

L'idea era di fare il ripristino di fabbrica e poi installare AVira, malwarebytes e malwarebytes anti-ramsonware, farli giraree vedere cosa succede....


Ah, una mia ossessione: se collego il portatile in wifi alla mia rete, nel caso di infezione attiva, immagino rischiano anche i miei pcanche s e non è abilitata alcuna condivisione?

Grazie

non ho fatto a tempo di vederlo ma su achab c'era un webinar interessante con la guida per mettere in piedi lo smontaggio automatico delle condivisioni su Windows Server in caso di attacco.

https://www.achab.it/achab.cfm/it/eventi/cryptovirus-per-sistemisti-tecniche-di-prevenzione-su-server-e-pc?provIsc=fb


qualcuno può fornire il video?

Ragazzi una strage co sti benedetti Ransomware!!
Ovviamente se sono arrivato qui è perchè anche io sono stato purgato! E aggiungerei anche 'bene'... estensione .mp3 quindi la recente versione TeslaCrypt 3.0 :muro:

Nel mio caso niente email... ho usato per errore Explorer che normalmente non utilizzo (quindi immagino neanche aggiornato) sul sito tusfiles.net, subito dopo mi si sono aperti alcuni pop-up e successivamente la notifica di Avira Antivirus. Nonostante il programma fosse aggiornato regolarmente il malware si è subito messo al lavoro.
Mi è comparsa subito una notifica che mi diceva che alcuni file erano pronti per essere scritti sul disco, subito dopo ho iniziato a vedere alcuni file sul desktop cambiare icona (nello specifico il birillo di VLC). Con mio stupore mi sono accorto che i file avevano un estensione .mp3! A quel punto ho capito di essere fregato. Istintivamente faccio subito una ricerca su google ma intuisco entro breve che la cosa non è semplice... passato quindi 3 o 4 minuti decido di spegnere il pc fisso e prendere il portatile per continuare le mie ricerche.

Per fortuna con il pc "preistorico" di casa non ci lavoro ma ovviamente ci sono molti file a cui tengo. Parliamo di un sistema Windows 8.1 enterprise 64bit con dual core+4gb ddr2+gtx460 su un SSD con altri due dischi fisici.

Per prima cosa mi sono preoccupato della pulizia del disco. Ho cosi avviato Kaspersky Rescue Disk da pendrive usb. Aggiornato e scansionato il sistema. Se non ricordo male ha trovato poca roba ad ogni modo procedo con la pulizia.
Poi decido di procedere con scansioni da modalità provvisoria. Peccato che non ricordo bene come entrarci sull'8.1 quindi mi ritrovo in Windows in modalità normale. Subito ripartono a video le istruzioni su come pagare il riscatto (ho immaginato quindi di non aver ripulito un bel niente). Imposto quindi su msconfig.exe l'avvio predefinito in modalità provvisoria con rete e riavvio.
Installo, aggiorno, scansione e ripulisco con Malwarebytes e SpyHunter 4.
Ripeto nuovamente le scansioni ma questa volta non mi segnalano alcuna minaccia. Al momento mi sono fermato qui senza rientrare nella modalità di avvio normale di Windows. Sono però sicuro che i file di istruzione sono ancora li presenti pronti a partire al primo avvio, li avevo visti montati come unità in "Risorse del computer".
Ora la mia priorità è ripulire il sistema per continuare al utilizzarlo regolarmente. Ho diversi programmi installati e configurati e sinceramente di perdere 1-2 giorni per formattare e reinstallare tutto proprio non mi va. Consigli o guide su come intervenire??

La cosa positiva è che sono stati criptati solo i file su C:. Praticamente gli altri dischi interni, quelli esterni e il NAS (un Synology DS213j) non sono stati toccati. Idem per Drive e altre cose in cloud. Ancora non ho una vera e propria stima dei danni ma mi sembra che non abbia compromesso nulla di veramente importante. Ovviamente dovrò controllare meglio.
Mi pare anche di non avere copia delle istruzioni nelle cartelle incriminate.
Anche la stabilità del sistema dovrà ancora essere testata una volta sicuro di aver ripulito il sistema.


ora... visto che mi sono letto tutte le pagine qui presenti, ho individuato alcune info utile al mio scopo che gentilmente avete condiviso. Non essendo però particolarmente smanettone ho qualche difficoltà nell'applicarle... potete essere più precisi e aiutarmi?? Grazie 1000! ;)




usa hitman pro (nei primi 30 giorni è gratis) in modalità provvisoria con rete, e poi dai anche un'occhiata con autoruns per vedere se c'è qualcosa di sospetto, occhio a cosa elimini, nei miei casi il virus era sempre in appdata, in caso di sospetto scrivi qui o analizza con virustotal prima di eliminare
ps. naturalmente se fai con autoruns oltre ad eliminare il valore stringa del virus rimuovi anche il file dalla cartella scrivendo %appdata% (se si trova li)


poi dipende da quanto ha criptato dal numero di cartelle dato che lascia le sue tracce dei 3 file help ovunque
si infatti anche i temp tipo come hai detto le immagini, io alla fine faccio sempre una pulizia con ccleaner...

Che cosa è "autoruns" un software? Idem "virustotal"?

Nel mio caso, il pc di un conoscente con teslacrypt 3.0, il file era annidato dentro la cartella %AppData% (era un file exe con nome strano) poi, dopo scansioni con malwarebyte e spyhunter (la versione free trova il virus e fa vedere dov'è così si può rimuovere manualmente) ho dovuto rimuovere tutte le migliaia di file help_* che si erano generati dal pc.

Inolte, nella cartella esecuzione automatica dell'utente sono presenti i file txt e html responsabili delle schermate all'avvio del pc. Vanno rimossi manualmente.

Ovviamente ogni file help_* è in una cartella in cui sono stai criptati i file,e come si sa, se dopo una scansione il sistema è instabile, è sempre meglio formattare.

Nel mio caso fortunatamente il virus non aveva criptato file essenziali per il funzionamento del sistema (win dows 8.1).

Dove trovo la cartella esecuzione automatica? Non mi sembra che Malwarebyte e Spyhunter mi abbiano dato info utili ad individuare il virus... come posso fare per una verifica? Questi file help_ se non presenti nelle cartelle con i file criptati dove li dovrei cercare??


Eddie666,
Usa Old Files Manager, link in firma. Come impostazioni ovviamente C:\ con opzione "Includi sottocartelle", Cerca file più vecchi di 0 giorni, togli le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca visto il PC datato ed in fondo non ti servono, aggiungi la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivi:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo "nome_file" con il nome anche parziale dei file in questione. Infine clicca sul pulsante "Verifica". Al termine puoi spostare i file in una cartella oppure li cancelli, a tua personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce ogni dubbio.

per chi vuole dare una controllata manualmente dopo aver eseguito i vostri software di rimozione automatica dovete (valido per il teslacrypt 3.0 dei .micro files):

con il software autoruns o da regedit:

andate su: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run e individuate il nome meryHmas, se presente segnatevi il file exe ad esso associato

guardate anche su:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ora scrivete %appdata% da esegui o da una qualsisi cartella nella barra dell'indirizzo e controllate se c'è l'exe precedentemente individuato

qui invece si mettono quei file del riscatto che partono all'avvio:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup (meglio conosciuta come esecuzione automatica)

sempre nel registro il virus crea le seguenti chiavi

HKEY_CURRENT_USER\Software\xxxsys
HKEY_CURRENT_USER\Software\[serie di numeri e lettere casuali] un esempio: 286424401E9182AE

Se dopo aver eseguito la scansione con i vari anti ci sono ancora queste voci naturalmente non è stato individuato, potete rimuovere anche manualmente in modalità provvisoria ma fatelo solo se sapete cosa fate a vostro rischio, non mi assumo responsabilità di eventuali danni

per finire non vi resta che eliminare tutti quei file Help facendo una ricerca in tutto il pc con il nome dei vostri file help

anche una pulizia con ccleaner o simili non fa male

Anche per la versione .mp3 è valido questo discorso??
Quali comandi di ccleaner dovrei usare? Non c'è la possibilità (assai remota) di cancellare anche info utili al ripristino dei file criptati?

1) internet explorer?
2) dici che ti si sono aperti dei pop-up (=non avevi il blocco dei pop-up nel browser), hai cliccato da qualche parte? se si dove?
3) alla notifica che ti diceva che alcuni file erano pronti per essere scritti sul disco, hai dovuto cliccare su qualcosa per autorizzare?
4) eri amministratore o account standard?
5) UAC al massimo?
6) vedo che non ti ha colpito alcuni HDD interni, l'utente che stavi usando aveva i permessi di scrittura?
grazie

Che cosa è "autoruns" un software? Idem "virustotal"?
https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
https://www.virustotal.com/it/

1) internet explorer?
2) dici che ti si sono aperti dei pop-up (=non avevi il blocco dei pop-up nel browser), hai cliccato da qualche parte? se si dove?
3) alla notifica che ti diceva che alcuni file erano pronti per essere scritti sul disco, hai dovuto cliccare su qualcosa per autorizzare?
4) eri amministratore o account standard?
5) UAC al massimo?
6) vedo che non ti ha colpito alcuni HDD interni, l'utente che stavi usando aveva i permessi di scrittura?
grazie

https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
https://www.virustotal.com/it/


ok appena ho un po' di tempo provo a vedere... intanto:
1) si
2)come dicevo uso al 99% chrome 0,5%firefox 0,5 opera. Su explorer non ho nemmeno un AbBlock. Non ho cliccato da nessuna parte.
3)no, io non ho fatto nulla. La notifica è scompara in pochi secondi.
4)account standard
5)UAC al minimo (zero). Sicuramente non è consigliabile però lo trovo una palla atroce!:fagiano:
6)Si. Per la verità su un disco interno qualche file l'ha criptato ma solo 3 o 4... per me non importanti tra l'altro.

grazie del feedback (è raro che chi scrive si ricordi con certezza i dettagli)

3) quindi solo perchè hai visitato quel sito (senza alcuna modifica al browser), in piena autonomia si è scaricato il ransomware.
5) forse settandolo al massimo da account standard poteva andare diversamente, quantomeno ti usciva l'avviso dell'UAC
6) forse non ha fatto in tempo in 3 minuti, quando hai spento il PC

grazie del feedback (è raro che chi scrive si ricordi con certezza i dettagli)

3) quindi solo perchè hai visitato quel sito (senza alcuna modifica al browser), in piena autonomia si è scaricato il ransomware.
5) forse settandolo al massimo da account standard poteva andare diversamente, quantomeno ti usciva l'avviso dell'UAC
6) forse non ha fatto in tempo in 3 minuti, quando hai spento il PC

be si è successo pochi giorni fa... poi per mancanza di tempo e voglia ho lasciato il pc spento

e già! Sto ancora rosicando! :p

chi sa...non ho mai usato UAC ed erano parecchi anni che non mi "infettavo"

probabile... oppure è stato disturbato da Avira... oppure ancora mi ha detto c...:ciapet:

Windows 8.1 ha una cosa bellissima che si chiama ripristino

Il bello che ti ripristina tutto compreso i files e le cartelle utente, non come Windows 7 che ripristina solo i files di sistema e il registro
Quindi tu non avevi il ripristino attivo?

Hai provato prima di fare troppi danni e i punti di ripristino spariscono per le troppe modifiche?

Si avevo provato mentre smanettavo nelle impostazioni alla ricerca del riavvio in modalità provvisoria ma non mi dava alcun ripristino da caricare! Solo dopo l'ho disattivato prima di procedere con le scansioni varie...

Anche per la versione .mp3 è valido questo discorso??
Quali comandi di ccleaner dovrei usare? Non c'è la possibilità (assai remota) di cancellare anche info utili al ripristino dei file criptati?

non so se la versione .mp3 si presenta sempre col nome meryHmas e con quelle chiavi di registro.....


Che cosa è "autoruns" un software? Idem "virustotal"?


si è un software autoruns e invece virustotal è un servizio che ti permette di scansionare file con diversi antivirus
se ancora non hai rimosso il virus scarica autoruns ed avvialo in modalità provvisoria e posta uno screen così individuiamo il virus

grazie del feedback (è raro che chi scrive si ricordi con certezza i dettagli)

3) quindi solo perchè hai visitato quel sito (senza alcuna modifica al browser), in piena autonomia si è scaricato il ransomware.


sicuramente ha sfruttato qualche exploit, colpa del software non aggiornato....

ok appena ho un po' di tempo provo a vedere... intanto:
1) si
2)come dicevo uso al 99% chrome 0,5%firefox 0,5 opera. Su explorer non ho nemmeno un AbBlock. Non ho cliccato da nessuna parte.
3)no, io non ho fatto nulla. La notifica è scompara in pochi secondi.
4)account standard
5)UAC al minimo (zero). Sicuramente non è consigliabile però lo trovo una palla atroce!:fagiano:
6)Si. Per la verità su un disco interno qualche file l'ha criptato ma solo 3 o 4... per me non importanti tra l'altro.

Brutta storia che si sia avviato in autonomia, l'unica cosa che poteva salvarti era l'UAC a patto che avessi cliccato "no".

Ps: ieri sera la mia coinquilina si è presa il TeslaCrypt 3.0, stasera spero di riuscire a recuperare qualcosa con shadow explorer

Brutta storia che si sia avviato in autonomia, l'unica cosa che poteva salvarti era l'UAC a patto che avessi cliccato "no".

Ps: ieri sera la mia coinquilina si è presa il TeslaCrypt 3.0, stasera spero di riuscire a recuperare qualcosa con shadow explorer

dopo questa ondata ho deciso di rimettere l'UAC a bomba...:mc: e lo farò anche sul pc dei miei. mio fratello che usa ancora il netbook con xp mi fa rabbrividire al pensiero...:mc:

se hai windows 8.1 e gli aggiornamenti automatici, IE e flash player e il sistema stesso si aggiornano automaticamente

detto ciò con firefox (o chrome) + ublock + account standard + UAC al massimo + Malwarebytes antiexploit (anche la versione free che copre solo java flash) + Cryptoprevent si dovrebbe riuscire a mitigare i rischi

gli antivirus servono a poco

Aggiungo a quanto detto da Unax che se flash è proprio necessario, è consigliabile impostare il browser affinchè lo esegua solo all'occorrenza.

edit

detto ciò ...+ Malwarebytes antiexploit (anche la versione free che copre solo java flash) + Cryptoprevent si dovrebbe riuscire a mitigare i rischi


Esistono ragioni specifiche per cui preferire Cryptoprevent vs Malwarebytes Anti-Ransomware + Malwarebytes antiexploit? :rolleyes:

Ciao a tutti , questo tesla riesce a criptare anche le cartelle su altri pc anche non condivise? anche su pc con credenziali in rete? grazie

sicuramente ha sfruttato qualche exploit, colpa del software non aggiornato....solo Walter83666 può sapere se aveva il sistema aggiornato.
inoltre non è che l'ultima versione di flash/java sia immune , altimenti non esisterebbero hackingteam e i vari mercatini di falle 0-day che basano il proprio business su quella credenza popolare :)

detto ciò con firefox (o chrome) + ublock + account standard + UAC al massimo + Malwarebytes antiexploit (anche la versione free che copre solo java flash) + Cryptoprevent si dovrebbe riuscire a mitigare i rischi

gli antivirus servono a pocoquoto, a parte cryptoprevent che nei miei test sono riuscito a fregare creando una semplice cartella nuova dentro a %Appdata%

...fregare Cryptoprevent in che senso? Offre una falsa sicurezza?

solo Walter83666 può sapere se aveva il sistema aggiornato.
inoltre non è che l'ultima versione di flash/java sia immune , altimenti non esisterebbero hackingteam e i vari mercatini di falle 0-day che basano il proprio business su quella credenza popolare :)


Se non ricordo male ho impostato Windows Update in modo di avvertire della presenza di nuovi aggiornamenti ma lasciare all'utente la decisione di quando scaricarli e installarli... non ricordo l'ultima volta che li ho installati ma proprio per questo penso sarà qualche mese . :muro: :doh:
Dubito però che sarebbe cambiato qualcosa... ho sempre e solo valutato antivirus free ma forse è il caso di iniziare a pensare a qualcosa di più completo...

se hai windows 8.1 e gli aggiornamenti automatici, IE e flash player e il sistema stesso si aggiornano automaticamente

detto ciò con firefox (o chrome) + ublock + account standard + UAC al massimo + Malwarebytes antiexploit (anche la versione free che copre solo java flash) + Cryptoprevent si dovrebbe riuscire a mitigare i rischi

gli antivirus servono a poco

io ho aggiunto Noscript e anche Fox Web Security per Firefox :fagiano:

...fregare Cryptoprevent in che senso? Offre una falsa sicurezza?blocca %Appdata% con cryptoprevent
per scoprire se è vero sposti un .exe portable dentro a %Appdata% e clicchi due volte sull'exe, quindi ti da errore
accertato che avviene questo, crea una nuova cartella in %Appdata% e metti l'exe dentro alla nuova cartella che è a sua volta dentro a %Appdata%.
ora clicca sull'exe e dimmi se te lo blocca o funziona regolarmente.

blocca %Appdata% con cryptoprevent
per scoprire se è vero sposti un .exe portable dentro a %Appdata% e clicchi due volte sull'exe, quindi ti da errore
accertato che avviene questo, crea una nuova cartella in %Appdata% e metti l'exe dentro alla nuova cartella che è a sua volta dentro a %Appdata%.
ora clicca sull'exe e dimmi se te lo blocca o funziona regolarmente.

sto usando il livello di defaul di cryptoprevent
ho creato una nuova cartella dentro %appdata% e ci ho messo un eseguibile, stessa cosa se prima creo l'eseguibile dentro %appdata% e poi lo sposto in una nuova cartella

l'exe viene bloccato a causa dei criteri impostati, forse stai usando una vecchia versione di criptoprevent che mi pare aveva questo problema

http://snag.gy/0zFLG.jpg

Esistono ragioni specifiche per cui preferire Cryptoprevent vs Malwarebytes Anti-Ransomware + Malwarebytes antiexploit? :rolleyes:

cryptoprevent è un software del tipo set and forget che non ha necessità di essere eseguito sempre, lo esegui per impostare le regole e verivicare di tanto in tanto gli aggiornamenti, tra poco dovrebbe uscire la versione 8

Anti-Ransomware mi pare invece che resti sempre attivo no?

Malwarebytes antiexploit quello va usato sempre al fine di evitare gli exploit che poi anche quello se esce un exploit non previsto nel suo database allora fallirà

Aggiungo a quanto detto da Unax che se flash è proprio necessario, è consigliabile impostare il browser affinchè lo esegua solo all'occorrenza.

quello sempre, dove è possibile usare html5

forse stai usando una vecchia versione di criptoprevent che mi pare aveva questo problemagrazie del controtest, l'ultima volta che l'ho provato è stato qualche tempo fa e la prima cosa che mi era venuta in mente è stata quella di aggirarlo :D quindi lo avevo accantonato.

ciucciatevi questa: https://www.youtube.com/watch?v=mHgg-XngwoA&feature=youtu.be

:)

quoto, a parte cryptoprevent che nei miei test sono riuscito a fregare creando una semplice cartella nuova dentro a %Appdata%

Hai avuto qualche problema, a me blocca regolarmente anche nelle sottocartelle a partire da quella posizione; livello default. Non a caso ho dovuto whitelistare origin e spotify che ne fanno ampio uso.

Hai avuto qualche problema, a me blocca regolarmente anche nelle sottocartelle a partire da quella posizione; livello default. Non a caso ho dovuto whitelistare origin e spotify che ne fanno ampio uso.

confermo il buon skadex:D

ciucciatevi questa: https://www.youtube.com/watch?v=mHgg-XngwoA&feature=youtu.be

:)

buon contributo!

Signori datemi una mano, vorrei tentare di recuperare i dati criptati dal tesla, sul pc della mia coinquilina, tramite shadow explorer ma sul mio pc non funziona, mi da un messaggio di errore e non è un errore comune e non riesco a risolverlo in breve (provato sia versione da instalalre che la portable).
Riuscite a consigliarmi un software alternativo? Con una semplice googlata non ne trovo. Tra l'altro mi serve per forza perché l'so è win7 home premium, quindi niente recupero dei files abilitato da sistema.

Se non ricordo male necessitava di una certa versione di net framework, magari è quella la causa.

Se non ricordo male necessitava di una certa versione di net framework, magari è quella la causa.

è aggiornato anche quello

Hai avuto qualche problema, a me blocca regolarmente anche nelle sottocartelle a partire da quella posizione; livello default. Non a caso ho dovuto whitelistare origin e spotify che ne fanno ampio uso.

E' una bomba a tempo.
Uscirà (prima o poi) qualche variante che sfrutta queste whitelist per programmi popolari che richiedono di essere eseguiti in posizioni note.

E' una bomba a tempo.
Uscirà (prima o poi) qualche variante che sfrutta queste whitelist per programmi popolari che richiedono di essere eseguiti in posizioni note.

se il virus si eseguisse dalla cartella download immagini o dal desktop potrebbe tranquillamente avviarsi

infatti non è stato detto che risolve tutto ma che mitiga

Come detto appunto, al momento è un tool di semplice utilizzo e che funziona bene (tra l'altro aiuta in caso di molti altri malware che non siano necessariamente ransomware visto che il 99% agisce sempre da quella directory).
Se modificheranno, ci adatteremo.

L'altro thread è stato chiuso perché esiste questo ed è ok. Però se rimane l'unico "ufficiale" sui ransomware c'è bisogno di:
1) Cambiargli il nome, non si tratta solo di CTB Locker anzi quasi mai è CTB Locker
2) Qualcuno che si occupi dei primi 2-3 post e scriva:

Cosa sono i ransomware
Le principali varianti e se ha voglia con un minimo di ricerca fare un distinguo tra quelle che è possibile decriptare oppure no. Ad esempio TeslaCrypt v2 e nello specifico .vvv .ccc .zzz .aaa .abc
I principali veicoli di infezione
I metodi "alternativi" per cercare di recuperare i file, copie shadown, software di recupero come PhotoRec etc.
Come difendersi dai ransomware
Perché il backup è fondamentale, non solo per i ransomware


Altrimenti rimarrà una discussione da mille pagine con le solite domande cicliche, le solite risposte cicliche e tanto bla bla inutile che non serve a chi si ritrova qui perché vuole sapere il perché/come/quando e come risolvere.

Ciao a tutti , questo tesla riesce a criptare anche le cartelle su altri pc anche non condivise? anche su pc con credenziali in rete? grazie nessuno?

se non sono condivise no...

L'altro thread è stato chiuso perché esiste questo ed è ok. Però se rimane l'unico "ufficiale" sui ransomware c'è bisogno di:
1) Cambiargli il nome, non si tratta solo di CTB Locker anzi quasi mai è CTB Locker
2) Qualcuno che si occupi dei primi 2-3 post e scriva:

Cosa sono i ransomware
Le principali varianti e se ha voglia con un minimo di ricerca fare un distinguo tra quelle che è possibile decriptare oppure no. Ad esempio TeslaCrypt v2 e nello specifico .vvv .ccc .zzz .aaa .abc
I principali veicoli di infezione
I metodi "alternativi" per cercare di recuperare i file, copie shadown, software di recupero come PhotoRec etc.
Come difendersi dai ransomware
Perché il backup è fondamentale, non solo per i ransomware


Altrimenti rimarrà una discussione da mille pagine con le solite domande cicliche, le solite risposte cicliche e tanto bla bla inutile che non serve a chi si ritrova qui perché vuole sapere il perché/come/quando e come risolvere.

Mi accodo alla richiesta, vista la portata di questo problema :)

Ciao a tutti , questo tesla riesce a criptare anche le cartelle su altri pc anche non condivise? anche su pc con credenziali in rete? grazie

nessuno?



Il virus modifica solo quei files che può modificare l' utente.
Ricordati che oltre ai permessi di condivisione ci sono anche i permessi utente (scheda sicurezza) del file, visualizzabile con le versioni PRO degli O.S. e togliendo la spunta su utilizza la condivisione semplice nelle opzioni di Explorer; inoltre il file system deve essere NTFS su FAT32 e inferiori non ci sono i permessi di sicurezza.

L'altro thread è stato chiuso perché esiste questo ed è ok. Però se rimane l'unico "ufficiale" sui ransomware c'è bisogno di:
1) Cambiargli il nome, non si tratta solo di CTB Locker anzi quasi mai è CTB Locker
2) Qualcuno che si occupi dei primi 2-3 post e scriva:

Cosa sono i ransomware
Le principali varianti e se ha voglia con un minimo di ricerca fare un distinguo tra quelle che è possibile decriptare oppure no. Ad esempio TeslaCrypt v2 e nello specifico .vvv .ccc .zzz .aaa .abc
I principali veicoli di infezione
I metodi "alternativi" per cercare di recuperare i file, copie shadown, software di recupero come PhotoRec etc.
Come difendersi dai ransomware
Perché il backup è fondamentale, non solo per i ransomware


Altrimenti rimarrà una discussione da mille pagine con le solite domande cicliche, le solite risposte cicliche e tanto bla bla inutile che non serve a chi si ritrova qui perché vuole sapere il perché/come/quando e come risolvere.

Quoto anch'io la buona idea x_Master_x!

se uno viene infettato e ha un hdd di rete collegato al modem infetterebbe o no questo hdd?
voglio dire la criptazione passerebbe pure ad hdd in rete locale pure se l'hd di rete non è collegato direttamente al pc e quindi a windows ma solo da modem? ad esempio se uno si comprasse tipo un nas dove tiene documenti può arrivare pure qui l'infezione se nella rete locale si ha un pc infetto?

L'altro thread è stato chiuso perché esiste questo ed è ok. Però se rimane l'unico "ufficiale" sui ransomware c'è bisogno di:
1) Cambiargli il nome, non si tratta solo di CTB Locker anzi quasi mai è CTB Locker
2) Qualcuno che si occupi dei primi 2-3 post e scriva:

Cosa sono i ransomware
Le principali varianti e se ha voglia con un minimo di ricerca fare un distinguo tra quelle che è possibile decriptare oppure no. Ad esempio TeslaCrypt v2 e nello specifico .vvv .ccc .zzz .aaa .abc
I principali veicoli di infezione
I metodi "alternativi" per cercare di recuperare i file, copie shadown, software di recupero come PhotoRec etc.
Come difendersi dai ransomware
Perché il backup è fondamentale, non solo per i ransomware


Altrimenti rimarrà una discussione da mille pagine con le solite domande cicliche, le solite risposte cicliche e tanto bla bla inutile che non serve a chi si ritrova qui perché vuole sapere il perché/come/quando e come risolvere.

Moderatori, il vostro compito non è solo quello di chiudere i post considerati simili (se avessi saputo prima che CTB = Cryptolocker non lo avrei aperto, nonostante riportasse una informazione FONDAMENTALE per chi è stato aggredito dal virus, non desumibile da qui) ma è sopratutto quello di gestire e rendere fruibili thread aperti. In questo ci sono sicuramente le info, ma in 51 pagine (in aumento) dove le andiamo a ripescare?

Aiutateci ad organizzare questa fondamentale discussione (x_master_x ha avuto un'ottima idea), a quanto sembra ne avremo bisogno per lungo tempo.

Signori datemi una mano, vorrei tentare di recuperare i dati criptati dal tesla, sul pc della mia coinquilina, tramite shadow explorer ma sul mio pc non funziona, mi da un messaggio di errore e non è un errore comune e non riesco a risolverlo in breve (provato sia versione da instalalre che la portable).
Riuscite a consigliarmi un software alternativo? Con una semplice googlata non ne trovo. Tra l'altro mi serve per forza perché l'so è win7 home premium, quindi niente recupero dei files abilitato da sistema.

se non dici l'errore però

forse con questo

http://www.z-dbackup.com/vss-shadow-copy-open-file-backup.html

@fileks86
è stato detto-ridetto-stradetto. Infettano solo le risorse condivise il cui utente infettato ha permessi di scrittura sulla medesima.

Non lo so avevo appena scritto il post precedente a tal senso, ma certi utenti leggono i messaggi precedenti oppure pensa di essere solo loro in evidenza?

cose scritte e riscritte e trascritte, trite e ritrite.

Mi dispiace ma basta solo leggere al max 3 o 4 pagine indietro non 50

Non lo so avevo appena scritto il post precedente a tal senso, ma certi utenti leggono i messaggi precedenti oppure pensa di essere solo loro in evidenza?

cose scritte e riscritte e trascritte, trite e ritrite.

Mi dispiace ma basta solo leggere al max 3 o 4 pagine indietro non 50

si ma un hd di rete non monta sistema operativo windows, non so se sia java o cosa non me ne intendo per questo chiedevo, sono ignorante in ambito di esecuzione di infezione e ho paura non è che non leggo mi scuso se il senso del messaggio non era stato capito

@fileks86
è stato detto-ridetto-stradetto. Infettano solo le risorse condivise il cui utente infettato ha permessi di scrittura sulla medesima.

provo a fare degli esempi vediamo se ho capito

pc infetto dove nella rete locale ci sono per esempio altri due pc o tablet windows.
se il pc infetto può scrivere e leggere verso questi altri due infetterà, se invece non può scrivere ma solo accedere in lettura non succederà niente è corretto?

se invece avessi uin hd di rete cioè nas collegato al router modem non sapendo se il pc infetto ha permessi di lettura e scrittura verso questo nas -può infettarlo?

se non dici l'errore però

forse con questo

http://www.z-dbackup.com/vss-shadow-copy-open-file-backup.html

hai ragione, ma era un errore molto generico, non sarebbe stato d'aiuto, ho provato a googlare e sembra che nessuno abbia avuto questo problema.
Comunque ho risolto formattando tutto, tanto il ripristino di windows era disabilitato, quindi copie shadow non ce ne potevano essere :muro:
E non aveva neanche un backup di altro tipo... ma come si fa nel 2016 a non sapere che i computer in qualche modo possono perdere i dati (guasti, virus, ti casca il portatile da un pontile eccetera) :muro:

provo a fare degli esempi vediamo se ho capito

pc infetto dove nella rete locale ci sono per esempio altri due pc o tablet windows.
se il pc infetto può scrivere e leggere verso questi altri due infetterà, se invece non può scrivere ma solo accedere in lettura non succederà niente è corretto?

se invece avessi uin hd di rete cioè nas collegato al router modem non sapendo se il pc infetto ha permessi di lettura e scrittura verso questo nas -può infettarlo?

si è così che funziona. Ma non è che "infetta", l'infezione rimane sul pc infetto, quello che fa alle unità su cui può scrivere è criptare i file.
Quindi se comincia a criptare i file su un hdd esterno, tu puoi staccarlo e attaccarlo a un altro pc senza problemi.

si è così che funziona. Ma non è che "infetta", l'infezione rimane sul pc infetto, quello che fa alle unità su cui può scrivere è criptare i file.
Quindi se comincia a criptare i file su un hdd esterno, tu puoi staccarlo e attaccarlo a un altro pc senza problemi.

grazie quindi praticamente il pc infetto non deve comunicare con nulla altrimenti va ovunque, fra pc in rete locale ed anche nas di rete pure se non montano windows come sistema operativo?

se si teoricamente bloccando l'infezione si può stare tranquilli ma mettiamo la perfezionino e passa poi si è punto a capo perché se va a passare ovunque può accedere e scrivere sono cavoli, ha senso avere un nas che ha permessi solo in lettura?

cryptoprevent e process explorer a 64 bit

se avete impostato la protezione massima mettendo in whitelist il seguente percorso dovrebbe funzionare

%temp%\procexp64.exe

ricordatevi però di settare lo uac al massimo

oppure in alternativa prendere l'eseguibile di process explorer che si crea in %temp% e copiarlo dove preferite così non dovete più impostare una regola in white list

ho provato ad emulare cryptoprevent bloccando da policy di sicurezza un poche di cartelle come la localappdata, e mantenendo aperte all'esecuzione la programmi, la programmix86, windows e la programdata.. (tutte definite tramite %%)
ma ricevo un sacco di errori e alcuni applicativi non si avviano sebbene siano sulle posizione che avevo definito "aperte eseguibili".

mah

salve ragazzi,

la ragazza di un mio amico ha aperto una mail contenente il virus Crypto Locker mi chiede se ci sono delle soluzioni, chiedono 1099€ per il decrittaggio.

visto la discussione veramente infinita sapete dirmi se ci sono rimedi?

grazie

Pindol

salve ragazzi,

la ragazza di un mio amico ha aperto una mail contenente il virus Crypto Locker mi chiede se ci sono delle soluzioni, chiedono 1099€ per il decrittaggio.

visto la discussione veramente infinita sapete dirmi se ci sono rimedi?

grazie

Pindol

no, nessuna.

salve ragazzi,

la ragazza di un mio amico ha aperto una mail contenente il virus Crypto Locker mi chiede se ci sono delle soluzioni, chiedono 1099€ per il decrittaggio.

visto la discussione veramente infinita sapete dirmi se ci sono rimedi?

grazie

Pindol

no è come quando una rimane incinta senza volerlo, il rimedio c'era prima dopo si può solo formattare l'utero :D

nel caso uno si sia accorto del virus, e abbia spento subito il pc, c'è la possibilità estraendo l'hd e collegandolo ad un'altro pc di recuperare i dati non ancora criptati, oppure c'è il rischio di infettare anche l'altro?

Pindol

Hai avuto qualche problema, a me blocca regolarmente anche nelle sottocartelle a partire da quella posizione; livello default. Non a caso ho dovuto whitelistare origin e spotify che ne fanno ampio uso.non capisco questo genere di post :rolleyes: quando è appena stato spiegato tre post sopra.

Salve,
volevo segnala nuova infezione con file rinominati in .LOCKY :muro:

e file txt nelle cartelle colpite riportante questo:

!!! INFORMAZIONI IMPORTANTI!!!!

Tutti i tuoi file sono stati criptati con algoritmo asimettrico RSA-2048 e algoritmo simmetrico AES-128.
Ulteriori informazioni sugli algoritmi sono disponibili su:
http://it.wikipedia.org/wiki/RSA
http://it.wikipedia.org/wiki/Advanced_Encryption_Standard

La decriptazione dei tuoi file è possibile solo con la chiave privata e il programma di
decriptazione che si trova sul nostro server segreto.
Per ricevere la tua chiave privata vai a uno dei seguenti link:
1. http://i3ezlvkoi7fwyood.tor2web.org/ED0F3C8177A11xxx
2. http://i3ezlvkoi7fwyood.onion.to/ED0F3C8177A11xxx
3. http://i3ezlvkoi7fwyood.onion.cab/ED0F3C8177A11xxx

Se nessuno dei precedenti indirizzi è disponibile, segui i passaggi successivi:
1. Scarica e installa Tor Browser: https://www.torproject.org/download/download-easy.html
2. Dopo la corretta installazione, avvia il browser e attendi l’inizializzazione.
3. Nella barra degli indirizzi digita: i3ezlvkoi7fwyood.onion/ED0F3C8177A11xxx
4. Segui le istruzioni a video.

!!! Il tuo numero d’identificazione personale è: ED0F3C8177A11xxx !!!

Cosa strana è che per qualche motivo il virus ha interrotto la sua opera appena all'inzio . In ufficio ci sono 7 pc tutti con cartelle condivise, e solo 2 sono rimasti parzialmente infetti. Sembrerebbe che abbia colpito random qua e la, ci sono molte cartelle con numerosi pdf doc e xls e tra questi solo 2 o 3 sono stati criptati. boh?

Ora non posso permettermi il lusso di formattare tutto per cui procederò a controllo approfondito su tutti i pc.
Io fare così:
1 - controllo con livecd drweb
2 - antimalware
3 - superantispyware
4 - combofix

poi varie rimozione file temporanei ripristini win etc..
Se avete consigli da darmi ve ne sarei molto grato.
saluti
Ale

Edit: ho inviato alcuni campioni alla drweb, speranza vana ma tentar non nuoce. Vediamo cosa dicono.

no è come quando una rimane incinta senza volerlo, il rimedio c'era prima dopo si può solo formattare l'utero :D
Questa me la segno :D

Salve,
volevo segnala nuova infezione con file rinominati in .LOCKY :muro:

e file txt nelle cartelle colpite riportante questo:

!!! INFORMAZIONI IMPORTANTI!!!!

Tutti i tuoi file sono stati criptati con algoritmo asimettrico RSA-2048 e algoritmo simmetrico AES-128.
Ulteriori informazioni sugli algoritmi sono disponibili su:
http://it.wikipedia.org/wiki/RSA
http://it.wikipedia.org/wiki/Advanced_Encryption_Standard

La decriptazione dei tuoi file è possibile solo con la chiave privata e il programma di
decriptazione che si trova sul nostro server segreto.
Per ricevere la tua chiave privata vai a uno dei seguenti link:
1. http://i3ezlvkoi7fwyood.tor2web.org/ED0F3C8177A11xxx
2. http://i3ezlvkoi7fwyood.onion.to/ED0F3C8177A11xxx
3. http://i3ezlvkoi7fwyood.onion.cab/ED0F3C8177A11xxx

Se nessuno dei precedenti indirizzi è disponibile, segui i passaggi successivi:
1. Scarica e installa Tor Browser: https://www.torproject.org/download/download-easy.html
2. Dopo la corretta installazione, avvia il browser e attendi l’inizializzazione.
3. Nella barra degli indirizzi digita: i3ezlvkoi7fwyood.onion/ED0F3C8177A11xxx
4. Segui le istruzioni a video.

!!! Il tuo numero d’identificazione personale è: ED0F3C8177A11xxx !!!

Cosa strana è che per qualche motivo il virus ha interrotto la sua opera appena all'inzio . In ufficio ci sono 7 pc tutti con cartelle condivise, e solo 2 sono rimasti parzialmente infetti. Sembrerebbe che abbia colpito random qua e la, ci sono molte cartelle con numerosi pdf doc e xls e tra questi solo 2 o 3 sono stati criptati. boh?

Ora non posso permettermi il lusso di formattare tutto per cui procederò a controllo approfondito su tutti i pc.
Io fare così:
1 - controllo con livecd drweb
2 - antimalware
3 - superantispyware
4 - combofix

poi varie rimozione file temporanei ripristini win etc..
Se avete consigli da darmi ve ne sarei molto grato.
saluti
Ale

Edit: ho inviato alcuni campioni alla drweb, speranza vana ma tentar non nuoce. Vediamo cosa dicono.


hai secondo me una buona probabilità di recuperare con le copie shadow.

non capisco questo genere di post :rolleyes: quando è appena stato spiegato tre post sopra.

Hai ragione ma mi era scappato il post in questione: il senso era segnalare che il software funzionava regolarmente quindi eventualmente ci doveva essere altro sotto come appunto spiegato.
Tutto qui.

nel caso uno si sia accorto del virus, e abbia spento subito il pc, c'è la possibilità estraendo l'hd e collegandolo ad un'altro pc di recuperare i dati non ancora criptati, oppure c'è il rischio di infettare anche l'altro?

Pindol

certo non rischi nulla, anche con una live puoi farlo (tipo ubuntu), e anche in modalità provvisoria senza rete il virus non dovrebbe avviarsi dato che si avvia solo l'essenziale.

salve ragazzi,

la ragazza di un mio amico ha aperto una mail contenente il virus Crypto Locker mi chiede se ci sono delle soluzioni, chiedono 1099€ per il decrittaggio.

visto la discussione veramente infinita sapete dirmi se ci sono rimedi?

grazie

Pindol

Sarebbe sempre utile specificare la configurazione software di sicurezza, se esistente: A parte OS, antivirus tipo e versione, aggiornamenti Windows Update di sicurezza attivi, eventuali add-on del browser, presenza o meno di Adobe flash, Java, etc.
Insomma la stessa cosa che avviene in certi altri thread.

oggi un cliente ha aperto una mail ENEL proveniente da "info@battela...pesca.it" e si è ritrovata infettata da Crypt0L0cker, un normale file bolletta.exe dentro uno zip

file corrotti con .encrypted

avevano i backup

Il file bolletta.exe non mi sembra tanto normale...

inviato dal mio castello volante abusivo

oggi un cliente ha aperto una mail ENEL proveniente da "info@battela...pesca.it" e si è ritrovata infettata da Crypt0L0cker, un normale file bolletta.exe dentro uno zip

file corrotti con .encrypted

avevano i backup

Peggio per loro :sofico:

oggi un cliente ha aperto una mail ENEL proveniente da "info@battela...pesca.it" e si è ritrovata infettata da Crypt0L0cker, un normale file bolletta.exe dentro uno zip

file corrotti con .encrypted

avevano i backup

se era solo un normale file bolletta.exe allora hanno fatto bene ad aprire lo zip e ad eseguirlo :D

in fondo anche nella roulette russa è un solo colpo su sei e le probabilità giocano a tuo favore, cosa vuoi che capiti con un tiro?

Nuova Estensione .Cerber

http://www.tgsoft.it/italy/news_archivio.asp?id=707

questi non si fermano più

:muro: :muro: :muro: :muro: :muro:

a parte il fatto che quest'ultima variante gira già da qualche giorno [Cerber Ransomware – New, But Mature (https://blog.malwarebytes.org/intelligence/2016/03/cerber-ransomware-new-but-mature/), 11/3/2016], che il giochino sia destinato a durare un bel pò mi sembra evidente visto quanto frutta...
e la cosa C L A M O R O S A :eek: è che, fondamentalmente, questi rischi si affrontano con i soliti metodi :eek: visto che il canale più gettonato su cui fa leva l'infezione consiste nel girare 'mail a pioggia'...

Strano, vero? quando c'è gente che apre mail provenienti da info@questacippa.it, ne dezippa il contenuto per poi spararselo in tutta tranquillità...

a proposito: prima che lo dica qualcuno, l'UAC bypass indicato nell'articolo è una buffonata ampiamente impedita da 10 che risolve meccanismi di impianto come quelli descritti (e cmq, quando colpisce 7/8, la condizione necessaria è che la linguetta sia impostata sul livello di default)...

Avvistata un'altra versione *.RENZI , è molto rognosa. :sofico:



bye

E' stata risolta l'nfezione che convertiva tutti i files in estensione .vvv?

E' stata risolta l'nfezione che convertiva tutti i files in estensione .vvv?

http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

For those who are affected by newer variants (ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, or vvv) of TeslaCrypt, then you can use the instructions included in the download to learn how to crack the decryption key yourself. This is an actively maintained project with the developer updating his tool whenever a new version of this ransomware is released. At this time, this is the recommended decryption utility for TeslaCrypt.

qualcuno ha provveduto a contattare il moderatore circa i suggeimenti espressi qualche pagina fa dall'utente x_Master_x e riconosciuti come necessari da diversi altri?

Ho provveduto io stamattina ed ho chiesto di darmi un singolo post in prima pagina, in pratica é quasi tutto pronto per essere pubblicato.
Sinceramente sono rimasto deluso, non volevo scriverlo ma non posso evitare. Mi ha fatto piacere che molti erano d'accordo con la mia idea ma nessuno, dico nessuno, che si mettere a scrivere quattro righe su almeno UNO degli argomenti proposti. Volete che dica che siete tutti incompetenti in materia? No, non posso dirlo perché non lo penso e proprio per questo che sono rimasto deluso dall'attegiamento degli utenti che frequentano da anni, chi più chi meno, questo forum. Se avessi voluto farlo dall'inizio non avrei scritto il post ed invece...l'esatto contrario.

Ho provveduto io stamattina ed ho chiesto di darmi un singolo post in prima pagina, in pratica é quasi tutto pronto per essere pubblicato.
Sinceramente sono rimasto deluso, non volevo scriverlo ma non posso evitare. Mi ha fatto piacere che molti erano d'accordo con la mia idea ma nessuno, dico nessuno, che si mettere a scrivere quattro righe su almeno UNO degli argomenti proposti. Volete che dica che siete tutti incompetenti in materia? No, non posso dirlo perché non lo penso e proprio per questo che sono rimasto deluso dall'attegiamento degli utenti che frequentano da anni, chi più chi meno, questo forum. Se avessi voluto farlo dall'inizio non avrei scritto il post ed invece...l'esatto contrario.

Critica più che comprensibile.

Ho provveduto io stamattina ed ho chiesto di darmi un singolo post in prima pagina, in pratica é quasi tutto pronto per essere pubblicato.
Sinceramente sono rimasto deluso, non volevo scriverlo ma non posso evitare. Mi ha fatto piacere che molti erano d'accordo con la mia idea ma nessuno, dico nessuno, che si mettere a scrivere quattro righe su almeno UNO degli argomenti proposti. Volete che dica che siete tutti incompetenti in materia? No, non posso dirlo perché non lo penso e proprio per questo che sono rimasto deluso dall'attegiamento degli utenti che frequentano da anni, chi più chi meno, questo forum. Se avessi voluto farlo dall'inizio non avrei scritto il post ed invece...l'esatto contrario.

vai x_, vedrai che nel mio piccolo cercherò di darti una mano anch'io

Mi vuoi anzi in qualità di correttore di bozze? :Prrr:

sapete come aggiungere regole aggiuntive in stile cryptoprevent?

io ho visto che cryptoprevent aggiunge delle chiavi in questa posizione per il bloccaggio

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0

e per la white list

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144

ogni sottochiave è tipo così

http://snag.gy/QkRJx.jpg

Avvistata un'altra versione *.RENZI , è molto rognosa. :sofico:



bye

E pare sia stata colpita tutta l'Italia!........






:asd: :asd:

Virus *.LOCKY

Che mi dite?
Ho sconfitto *.vvv ma *LOCKY mi sembra nuovo...

Ecco scrivi come hai fatto con il .vvv

scusate una domanda: un mio amico mi ha chiamato e teme di aver preso uno di questi virus... non ne è sicuro, ha spento il pc dopo 30 secondi che aveva aperto "sovrappensiero" un allegato di una email e non compariva nulla.

esiste un tool su live cd o pennetta usb per vedere se c'è infezione ed eventualmente rimuovere il tutto?

grazie

scusate una domanda: un mio amico mi ha chiamato e teme di aver preso uno di questi virus... non ne è sicuro, ha spento il pc dopo 30 secondi che aveva aperto "sovrappensiero" un allegato di una email e non compariva nulla.

esiste un tool su live cd o pennetta usb per vedere se c'è infezione ed eventualmente rimuovere il tutto?

grazie

qualsiasi distro linux ti permette di vedere i file, se aprendoli non sono leggibili o hanno cambiato estensione o dentro alle cartelle trova i file con la richiesta di riscatto allora l'infezione è avvenuta

può essere che spegnendo il pc il virus non sia riuscito a criptarli tutti ma in 30 secondi di danni ne può aver fatto

Vi chiedo un piccolo aiuto.
Ieri in ufficio la segretaria, molto furbescamente, ha aperto un allegato rar di una mail farlocca, la quale conteneva un file .js
Poi viene da me e mi dice che forse ha fatto una stupidaggine.
L'unica cosa che mi ha saputo dire è che dopo aver aperto il file javascript le si è presentata una richiesta di autorizzazione/collegamento alla quale ha detto NO.

In effetti il computer è acceso da ieri e non ci sono modifiche in corso o stranezze varie.

E' su windows 10

Pensate che ce la siamo scampata?

Era una di quelle mail che girano ora con famigerate fatture allegate

Vi chiedo un piccolo aiuto.
Ieri in ufficio la segretaria, molto furbescamente, ha aperto un allegato rar di una mail farlocca, la quale conteneva un file .js
Poi viene da me e mi dice che forse ha fatto una stupidaggine.
L'unica cosa che mi ha saputo dire è che dopo aver aperto il file javascript le si è presentata una richiesta di autorizzazione/collegamento alla quale ha detto NO.

In effetti il computer è acceso da ieri e non ci sono modifiche in corso o stranezze varie.

E' su windows 10

Pensate che ce la siamo scampata?

Era una di quelle mail che girano ora con famigerate fatture allegate

il .js si occupa di scaricare il virus e di lanciarlo se un qualche motivo il .js non è riuscito a scaricare o a lanciare l'eseguibile forse siete salvi

la richiesta di autorizzazione cosa era lo UAC, la protezione file che impedisce l'immediata esecuzione di eseguibili provenienti da internet o lo smartscreen di windows 8 e 10?

bisogna verificare che non sia presente l'eseguibile e che non ci siano chiavi nel registro di windows che lancino il virus magari al riavvio del sistema

qualsiasi distro linux ti permette di vedere i file, se aprendoli non sono leggibili o hanno cambiato estensione o dentro alle cartelle trova i file con la richiesta di riscatto allora l'infezione è avvenuta

può essere che spegnendo il pc il virus non sia riuscito a criptarli tutti ma in 30 secondi di danni ne può aver fatto

grazie

grazie

cosa importante non riavviare il sistema operativo windows perchè questi virus creano una chiave autorun che all'avvio fa eseguire di nuovo il virus che opera una criptazione ad ogni riavvio del sistema

quindi i file verrebbero criptati di nuovo e se mai decidesse di accettare la richiesta di riscatto gliela farebbero pagare due volte

Ho provveduto io stamattina ed ho chiesto di darmi un singolo post in prima pagina, in pratica é quasi tutto pronto per essere pubblicato.
Sinceramente sono rimasto deluso, non volevo scriverlo ma non posso evitare. Mi ha fatto piacere che molti erano d'accordo con la mia idea ma nessuno, dico nessuno, che si mettere a scrivere quattro righe su almeno UNO degli argomenti proposti. Volete che dica che siete tutti incompetenti in materia? No, non posso dirlo perché non lo penso e proprio per questo che sono rimasto deluso dall'attegiamento degli utenti che frequentano da anni, chi più chi meno, questo forum. Se avessi voluto farlo dall'inizio non avrei scritto il post ed invece...l'esatto contrario.

Definirlo un lavoro titanico, in considerazione delle varianti in circolazione mi sembra ancora poco.

Emsisoft Decrypter for Nemucod >> JavaScript downloader TeslaCrypt / Locky

https://decrypter.emsisoft.com/nemucod

Segnalo inoltre per chi non lo conoscesse

http://www.bleepingcomputer.com/news/security/

trovate le info più aggiornate in materia di Ransomware

Definirlo un lavoro titanico, in considerazione delle varianti in circolazione mi sembra ancora poco.

considerando che un buon 90% delle persone che posteranno d'ora in avanti sul thread non si prenderà neppure la briga di leggere alcunchè, direi che quale sia il livello di completezza del post di x_Master_x è già anche troppo...

considerando che un buon 90% delle persone che posteranno d'ora in avanti sul thread non si prenderà neppure la briga di leggere alcunchè, direi che quale sia il livello di completezza del post di x_Master_x è già anche troppo...

sante parole! il tasto cerca fa sempre paura:rolleyes:

sante parole! il tasto cerca fa sempre paura:rolleyes:

è parimenti colpevole chi si prende la briga di rispondere (e in questo anch'io sono un campione, lo confesso)...

Ad ogni modo, grazie perchè significa che non sono evidentemente l'unico a notare un modus operandi semplicemente irrispettoso

Definirlo un lavoro titanico, in considerazione delle varianti in circolazione mi sembra ancora poco.

Mai preso in considerazione di spiegare ogni singola variante come si comporta. Sarà un guida che abbraccia i ransomware inteso come macrocategoria, cosa sono, come operano, come comportarsi in caso di infezione, come tentare di recuperare i file, i sistemi/programmi di protezione e così via e in ultimo ( ma non ultimo ) delle linea guida su come postare in questo thread, basta anarchia e pagine su pagine delle solite domande.

P.S. Sempre meglio di quello che c'é ora cioé nulla :asd:

Mai preso in considerazione di spiegare ogni singola variante come si comporta. Sarà un guida che abbraccia i ransomware inteso come macrocategoria, cosa sono, come operano, come comportarsi in caso di infezione, come tentare di recuperare i file, i sistemi/programmi di protezione e così via e in ultimo ( ma non ultimo ) delle linea guida su come postare in questo thread, basta anarchia e pagine su pagine delle solite domande.

P.S. Sempre meglio di quello che c'é ora cioé nulla :asd:

io metterei subito dopo la spiegazione di cosa sono la prevenzione, poi nel malaugurato caso di infezione le possibilità di recupero (anche se temo che saranno sempre meno)

andrà anche modificato il titolo della discussione o magari iniziata una nuova dal titolo Ransomware i virus che criptano e chiedono il riscatto

Mai preso in considerazione di spiegare ogni singola variante come si comporta. Sarà un guida che abbraccia i ransomware inteso come macrocategoria, cosa sono, come operano, come comportarsi in caso di infezione, come tentare di recuperare i file, i sistemi/programmi di protezione e così via e in ultimo ( ma non ultimo ) delle linea guida su come postare in questo thread, basta anarchia e pagine su pagine delle solite domande.

P.S. Sempre meglio di quello che c'é ora cioé nulla :asd:

La differenza la fa chi utilizza lo strumento, non lo strumento in se.

PS: il nulla è il nulla, prima, durante e dopo.

ripeto la domanda se volessi aggiungere tramite regedit percorsi dove gli exe non possono essere eseguiti come fa cryptoprevent come dovrei fare?

ho provato aggiungendo una nuova chiave che rispecchia le chiavi aggiunte da cryptoprevent che in teoria dovrebbe bloccare "D:\DOWNLOAD\*.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{B5FC0EBA-6F33-4286-A645-00B1F40517C4}]
"Description"="mia regola"
"SaferFlags"=dword:00000000
"ItemData"=hex(2):22,00,44,00,3a,00,5c,00,44,00,4f,00,57,00,4e,00,4c,00,4f,00,\
41,00,44,00,5c,00,2a,00,2e,00,65,00,78,00,65,00,22,00,00,00


eppure viene ignorata nel senso che tutti gli exe dentro a quella cartella si eseguono

Ecco scrivi come hai fatto con il .vvv

Seguite tutte le istruzioni pazientemente...

http://giovannilubrano.blogspot.it/2016/01/ransomware-teslacrypt.html

E' di oggi la notizia di una nuova tipologia di Ransomware che cripta...l'intero HD! :muro:

Win32.Trojan-Ransom.Petya.A
https://blog.gdata.de/2016/03/28222-ransomware-petya-verschlusselt-die-festplatte

'modifies the MBR and encrypts fs content'...

https://www.virustotal.com/en/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739/analysis/


Fonte: twitter

Altro riferimento: http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt-den-gesamten-Rechner-ab-3150917.html


http://i64.tinypic.com/27y27o7.jpg

Articolo interessante

Abusing bugs in the Locky ransomware to create a vaccine (https://www.lexsi.com/securityhub/abusing-bugs-in-the-locky-ransomware-to-create-a-vaccine/?lang=en)

E' di oggi la notizia di una nuova tipologia di Ransomware che cripta...l'intero HD! :muro:


Nella versione inglese dell'articolo a cui fai riferimento:
https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives

C'è scritto chiaramente:
As of this writing we assume that the files are not encrypted but that only the file access is blocked but the files itself are not encrypted

Vedo veramente difficile criptare un intero HDD, incluso l'OS, dall'OS stesso. Classificabile come ransomware solo perché chiede un riscatto ma alla fine i dati sono sempre accessibili. Forse basta solo ripristinare l'MBR o un software che rimuove i bootkit, sono solo ipotesi.

Nella versione inglese dell'articolo a cui fai riferimento:
https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives

C'è scritto chiaramente:


Vedo veramente difficile criptare un intero HDD, incluso l'OS, dall'OS stesso. Classificabile come ransomware solo perché chiede un riscatto ma alla fine i dati sono sempre accessibili. Forse basta solo ripristinare l'MBR o un software che rimuove i bootkit, sono solo ipotesi.

No se rispristini l'MBR ti giochi i dati

C'è scritto che i dati NON vengono criptati, se non vengono criptati non ti giochi nulla. Al contrario se l'articolo sbaglia e vengono criptati ( e nel caso fosse così sempre e solo i dati e l'MBR, non l'intero HDD, quindi ha una cosa in più rispetto agli altri ) allora è un altro discorso.

C'è scritto che i dati NON vengono criptati, se non vengono criptati non ti giochi nulla. Al contrario se l'articolo sbaglia e vengono criptati ( e nel caso fosse così sempre e solo i dati e l'MBR, non l'intero HDD, quindi ha una cosa in più rispetto agli altri ) allora è un altro discorso.

Non so se parli Tedesco comunque

Bei einem Test von heise Security wurde die Festplatte durch eine Reparatur des MBR nicht wieder nutzbar. Die Versuche führten lediglich dazu, dass sich der Schädling nicht mehr meldete. Wer es probieren möchte, sollte mit einer Kopie der betroffenen Festplatte arbeiten. So hält man sich den letzten Ausweg offen – die Zahlung des Lösegelds.

In ogni caso osserverei che è un ransomware molto "stupido" in quanto pone difficoltà notevoli anche nel pagamento considerando il livello medio degli utenti presumibilmente infetti.
Se blocco tutto avrò bisogno di un altro pc per eseguire le istruzioni ed esegurle correttamente.

Pvt ad x_master sul 'luogo' dove reperire il sample per un eventuale analisi (ad ogni modo, l'alterazione del MBR richiede un consenso dell'UAC pertanto, se uno avesse un minimo di dimestichezza con la macchina...)

l'alterazione del MBR richiede un consenso dell'UAC pertanto, se uno avesse un minimo di dimestichezza con la macchina...

:asd: l'utente medio è equivalente al picchio di homer... quindi potrebbe benissimo digitare sì, tanto per togliere quella fastidiosa finestra che gli blocca lo scorrimento della pagina di facebook...:rolleyes:

Dalla traduzione dal tedesco del secondo link che ho inserito ieri nel post di Petya, si legge

[Update] In a test by heise Security, the hard drive was not usable by repairing the MBR again.
the experiments led only to the fact that the threat is no longer reported.
Those who want to try it, should work on a copy of the affected hard drive.

Quindi, in poche parole, ripristinare l'MBR non serve ad una mazza


@ Chill-Out: poi mi leggo il tuo link che sembra interessante

Vedo veramente difficile criptare un intero HDD, incluso l'OS, dall'OS stesso.

Sai qual'è l'errore di fondo che credo tu stia commettendo?? (non me ne volere, eh! :D )


Petya 'forza un reboot' simulando un BSoD (usa 2 tecniche diverse per farlo...), pertanto viene meno il discorso 'dall'OS stesso' perchè la fase di codifica, evidentemente, viene effettuata durante il processo di boot forzato...


IMO (da qui il non volermene perchè vado a logica ricostruendo quello che mi sembra di aver capito)...

Salve
Dal DrWeb ho ricevuto questa mail

Dear user,

This is reminder sent to you about your support request. There were new
additions since your last visit, or additional data from you is required to
process.

link per risponder al ticket

If you don't want to receive any reminders for this ticket in future, or if you
have resolved your problem yourself, please visit page above and press 'Close ticket'
button.

Ho inviato un paio di settimane fa 3 file corrotti, cosa devo fare adesso?


Purtroppo ho ricevuto un'altra mail in cui mi dicono che non sono in grado di decifrarlo, porcaccia miseria

Salve


Ho inviato un paio di settimane fa 3 file corrotti, cosa devo fare adesso?




non puoi farci niente, se non si possono decifrare o paghi il riscatto o te li tieni così

L'uovo di Colombo: pubblicità per Windows 10 o realtà?

http://answers.microsoft.com/it-it/windows/wiki/windows_10-performance/perch%C3%A9-windows-10-non-ha-bisogno-di-antivirus/83789a4a-0df8-45eb-a136-c79c85db2d5d

40 grazie ma nessun commento per ora al thread ;)

per carità, devono restare su un profilo modesto per risultare comprensibili alla platea cui si rivolgono, fatto sta che al di là del mero discorso relativo all'integrazione dello strumento di difesa con il sistema operativo che tutto sommato può essere condivisibile, tutto il resto mi sembra un insieme di discorsi sentiti dire al bar (e gli attribuiscono addirittura! un grado di difficoltà di comprensione intermedio).

Per quanto mi riguarda, il valore di quell'articolo lo giudico prossimo allo 0.


Ritieni sia un commento sufficientemente controcorrente rispetto ai 40 'i like'?

Abusing bugs in the Locky ransomware to create a vaccine (https://www.lexsi.com/securityhub/abusing-bugs-in-the-locky-ransomware-to-create-a-vaccine/?lang=en)

interessante ma, a livello pratico, fondamentalmente inutile perchè fornisce contromisure valide giusto per una singola fattispecie (Locky).

Qualcosa di più generale potrebbe essere rappresentato dalla creazione di specifici riferimenti agli antivirus più noti nel registro di sistema cosi' da simulare la loro presenza agli occhi del malware ma restano ad ogni modo pezze che non danno evidentemente alcun tipo di affidabilità se non magari in qualche caso specifico...

Insomma, non ci si protegge cosi'...

Sarebbe molto più semplice ed efficace pensare 5 secondi in più prima di lanciare un eseguibile, quello si (specie poi se l'esecuzione è accompagnata da un bel prompt dell'UAC)...ma lasciamo perdere, si va sul difficile

ma lasciamo perdere, si va sul difficile

... mi è tornato in mente Migone... se ce la fai volta pagina... per accendere premi il pippolo giallo... cappottato :sbonk:

Sarebbe molto più semplice ed efficace pensare 5 secondi in più prima di lanciare un eseguibile, quello si (specie poi se l'esecuzione è accompagnata da un bel prompt dell'UAC)...ma lasciamo perdere, si va sul difficile

Ti sembra facile? :)

Link Utile

Upload a ransom note and/or sample encrypted file to identify the ransomware that has encrypted your data.

http://id-ransomware.malwarehunterteam.com/

@l moderatore di sezione:

ce lo pubblichi il prima possibile il contributo di x_master quale che sia lo stato??
Una volta che vi siete assicurati che siano al loro posto le 'mutine' :D (cioè le H), com'è è...anzi, si potrebbe dare una piccola mano anche noi...

(meglio anzi se questo viene chiuso)

...

Per quanto mi riguarda, il valore di quell'articolo lo giudico prossimo allo 0.


Ritieni sia un commento sufficientemente controcorrente rispetto ai 40 'i like'?

Concordo sul valore dell'articolo, anche se ho visto in effetti Windows Defender bloccare un Cryptolocker su Win 10.

Chiaramente la mia osservazione circa i 40 like era una provocazione visto che stranamente non esiste alcun commento. ;)

chiedo aiuto a voi piu esperti sicuramente di me

circa 2 mesi fa verso la fine del mese di gennaio ricordo mentre stavo navigando su internet precisamente in google di aver ricevuto l'avviso via UAC che un file nella cartella temp voleva agire sul processo cmd.exe

ovviamente ho cliccato no ma l'avviso UAC si ripeteva all'infinito.. avrò premuto no piu di 25 volte ma la situazione non cessava in essere.

allora ho forzato lo spegnimento del pc del notebook che monta windows 8.1 64 bit con su avira che era in esecuzione mentre succedeva il misfatto. ovviamente nessun avviso di virus

l'altro ieri mi trovo la bella sorpresa di tutta la cartella documenti , immagini , musica e download criptata . l'unica cosa buona è che di cose veramente indispensabili ne ho perse poche ma resta l'amarezza e la rabbia del volere capire come sia passato? leggevo le ultime pagine dove date per scontato che chi ne viene colpito è ingenuo e non scrupoloso beh non credo sia il mio caso ma nonostante ciò è servito solamente a limitare i danni perché l'infezione è passata.

Sarebbe sempre utile specificare la configurazione software di sicurezza, se esistente: A parte OS, antivirus tipo e versione (free o full/ pagamento), aggiornamenti Windows Update di sicurezza attivi (oppure no), eventuali add-on del browser (No-script, Ad-block..), presenza o meno di Adobe flash, Java, ecc.
Altrimenti è solo un confessionale delle piaghe dei ransomware...

@l moderatore di sezione:

ce lo pubblichi il prima possibile il contributo di x_master quale che sia lo stato??
Una volta che vi siete assicurati che siano al loro posto le 'mutine' :D (cioè le H), com'è è...anzi, si potrebbe dare una piccola mano anche noi...

(meglio anzi se questo viene chiuso)

Le H ci sono tutte :D
Mancano i riferimenti alle guide, i link, i tag, refusi vari cose che preferisco correggere "visivamente" nel post. Non credo sia nell'intenzione di Chill-out di chiudere questo thread altrimenti a quest'ora ne avrei già aperto un'altro.

P.S. Ho visto il link di ID Ransomware, riconosce solo le varianti più famose e alcune che non ho mai sentito prima ( es. CryptoHasYou non lo trovo da nessuna parte )
Secondo me una ricerca su google dell'estensione è più "attuale" rispetto al sito che ha bisogno di essere aggiornato costantemente e potrebbe essere non al passo con le nuove varianti. Lo aggiungo in ogni caso


Sarebbe sempre utile specificare la configurazione software di sicurezza, se esistente...Altrimenti è solo un confessionale delle piaghe dei ransomware...


Lo avevo già previsto nelle regole della discussione. Chi non le segue non riceverà supporto, fine.

Variante: .vvv - Teslacrypt 2.0
Sistema Operativo: Windows 7 Professional 64 Bit
Antivirus: Microsoft Security Essential
Livello UAC: Attivo - Standard
Anti-Ransomware e/o Criteri di gruppo: No
Veicolo di infezione: Allegato infetto
Provider di posta: Libero
Macro di Office: Si
Ad-Block: Si
Flash: Si
Java: No

chiedo aiuto a voi piu esperti sicuramente di me

circa 2 mesi fa verso la fine del mese di gennaio ricordo mentre stavo navigando su internet precisamente in google di aver ricevuto l'avviso via UAC che un file nella cartella temp voleva agire sul processo cmd.exe

ovviamente ho cliccato no ma l'avviso UAC si ripeteva all'infinito.. avrò premuto no piu di 25 volte ma la situazione non cessava in essere.

allora ho forzato lo spegnimento del pc del notebook che monta windows 8.1 64 bit con su avira che era in esecuzione mentre succedeva il misfatto. ovviamente nessun avviso di virus

l'altro ieri mi trovo la bella sorpresa di tutta la cartella documenti , immagini , musica e download criptata . l'unica cosa buona è che di cose veramente indispensabili ne ho perse poche ma resta l'amarezza e la rabbia del volere capire come sia passato? leggevo le ultime pagine dove date per scontato che chi ne viene colpito è ingenuo e non scrupoloso beh non credo sia il mio caso ma nonostante ciò è servito solamente a limitare i danni perché l'infezione è passata.

hai o avevi lo UAC impostato a default?

circa 2 mesi fa [...] ricordo mentre stavo navigando su internet [...] di aver ricevuto l'avviso via UAC che un file nella cartella temp voleva agire sul processo cmd.exe

ovviamente ho cliccato no ma l'avviso UAC si ripeteva all'infinito.. avrò premuto no piu di 25 volte ma la situazione non cessava in essere.
quella che descrivi è sicuramente una delle strategie utilizzate da alcuni malware per aggirare l'ostacolo dell'UAC:
ripetere in loop la richiesta di maggiori privilegi confidando nel fatto che l'utente, esasperato dalle continue richieste di elevazione, finisca a un certo punto per cedere accordando il consenso.

Questa situazione, ad esempio, è utilizzata nel Ransom Cerbero (https://blog.malwarebytes.org/intelligence/2016/03/cerber-ransomware-new-but-mature/).

Cerber will retry if we answer "No", so it will be popping up repeatedly

'Tecnicamente',
Successful UAC bypass is signalized by setting a property named “cerber_uac_status” in [...]
The initial Cerber sample waits for this status to change.
If the timeout passed and it didn’t changed it makes a new attempt of UAC bypass – using a different pair (EXE+DLL)
(La fonte è appunto l'autrice del pezzo)


C'è un modo però per venire a capo di questo 'loop':
CTRL + ALT + CANC

Anche se forse faticosamente (l'operazione è possibile infatti debba essere ripetuta più volte...), da Task Manager si può arrivare ad 'uccidere' il processo che fa richiesta di maggiori privilegi.


allora ho forzato lo spegnimento del pc del notebook...

l'altro ieri mi trovo la bella sorpresa di tutta la cartella documenti, immagini, musica e download criptata.
è evidentemente riuscito a compromettere lo 'spazio' USER mode (quelle cartelle, infatti, non sono protette dall'UAC)...

resta l'amarezza e la rabbia del volere capire come sia passato? leggevo le ultime pagine dove date per scontato che chi ne viene colpito è ingenuo e non scrupoloso beh non credo sia il mio caso ma nonostante ciò è servito solamente a limitare i danni perché l'infezione è passata.
Nel tuo caso probabilmente tramite un programma non aggiornato (il browser stesso,...):
in poche parole, è possibile tu sia rimasto vittima di un exploit

Nel tuo caso probabilmente tramite un programma non aggiornato (il browser stesso,...):
in poche parole, è possibile tu sia rimasto vittima di un exploit

Hitman Alert e Malwarebytes anti exploit aiutano in questo caso di browser non aggiornato ma con le loro protezioni exploit?:confused:

Sarebbe sempre utile specificare la configurazione software di sicurezza, se esistente: A parte OS, antivirus tipo e versione (free o full/ pagamento), aggiornamenti Windows Update di sicurezza attivi (oppure no), eventuali add-on del browser (No-script, Ad-block..), presenza o meno di Adobe flash, Java, ecc.
Altrimenti è solo un confessionale delle piaghe dei ransomware...

aggiornamenti Windows Update si attivi
browser Mozilla Firefox con no script e adblock aggiornati all'ultima versione
Adobe Flash e Java aggiornati

C'è un modo però per venire a capo di questo 'loop':
CTRL + ALT + CANC
Se parte lo UAC+secure desktop in un loop del genere, non credo tu riesca ad arrivare al task manager. Al momento non ho un pc per fare prove ma, vado a memoria, in una situazione simile non credo tu abbia molte vie di fuga se non staccare brutalmente il cavo (o la batteria) per non dargli modo di eseguire alcunchè.

hai o avevi lo UAC impostato a default?

Era impostato il UAC di default con quasi al massimo nel senso che mancava una tacca a che era massimo livello ma io ho sempre lasciato il UAC a default

Se parte lo UAC+secure desktop in un loop del genere, non credo tu riesca ad arrivare al task manager. Al momento non ho un pc per fare prove ma, vado a memoria, in una situazione simile non credo tu abbia molte vie di fuga se non staccare brutalmente il cavo (o la batteria) per non dargli modo di eseguire alcunchè.

libero chiaramente di pensarla cosi' anche se le prove effettuate da altri dimostrano il contrario.

Una piccola simulazione casereccia la potete fare lanciando prompt dei comandi come amministratore e, al consent prompt, schiacciare appunto CTRL+...

Era impostato il UAC di default con quasi al massimo nel senso che mancava una tacca a che era massimo livello ma io ho sempre lasciato il UAC a default

non esiste quasi al massimo o è massimo o è default

per me così è massimo

http://snag.gy/lsRrw.jpg

Allora era ed è default 3 su 4

edit dico default perché dall'acquisto del notebook sono entrato una volta nel pannello di controllo a vedere questo menu e ricordo 3 su 4 senza averlo mai spostato io

libero chiaramente di pensarla cosi' anche se le prove effettuate da altri dimostrano il contrario.
infatti ho scritto "credo" e aggiunto "non ho il pc sottomano ma vado a memoria" . Meglio così se in quelle condizioni il task manager è ugualmente accessibile :)

infatti ho scritto "credo" e aggiunto "non ho il pc sottomano ma vado a memoria" . Meglio così se in quelle condizioni il task manager è ugualmente accessibile :)

è accessibile nel senso che devi fare CTRL + ALT + CANC e poi Gestione Attività

è accessibile nel senso che devi fare CTRL + ALT + CANC e poi Gestione Attività si certo, il mio dubbio era solo se fosse ugualmente accessibile (nel senso che ne veniva intercettata la combinazione di tasti e veniva avviato) nonostante il secure desktop. Tutto qua :)

Lo avevo già previsto nelle regole della discussione. Chi non le segue non riceverà supporto, fine.

Ottimo!

quali sono le estensioni eseguibili a parte quelle tradizionali tipo exe com pif scr eccetera?

Allora era ed è default 3 su 4

edit dico default perché dall'acquisto del notebook sono entrato una volta nel pannello di controllo a vedere questo menu e ricordo 3 su 4 senza averlo mai spostato io

Mi trovo nelle stesse tue condizioni il ransonware TeslaCrypt 3.0 mi ha infettato il 2/2/16 tutti i file del computer e io avevo fatto i salvataggi il 28/8/2015.
per due mesi non l'ho più acceso, ma ora mi serve di recuperare alcuni file importanti.
Ho fatto un tentativo: sono andata nel programma everything e ho scritto la stringa che esce quando accendo: help_recover_instructions+vgn. (png) poi ho provato con .(txt) e con .(htlm) per ogni stringa mi sono usciti circa 4900 righe che contengono questa stringa. Dapprima ho pensato di cancellarle tutte, poi mi sono accorta che erano legate a archivi, preferiti, programmi e altro. Non ho avuto il coraggio di cancellare perchè temevo di fare un mega disastro, forse peggiore del virus.
qualcuno mi può consigliare al riguardo. possibilmente non con termini difficili da capire per una neofita. Grazie

Le nuove varianti di CrytoLocker, ancora una volta, arrivano con un falsa e-mail di ENEL o di Telecom entrambe hanno come obiettivo quello di indurre il malcapitato a cliccare sul link o sui pulsanti presenti per capire se la Bolletta riguardi proprio il destinatario.
Possiamo notare delle incongrunze, la più eclatante è il codice fiscale completamente errato, come è possibile notare sia per la mail Enel che per la mail di Telecom, qui sotto riportate

http://www.tgsoft.it/italy/news_archivio.asp?id=708

Mi trovo nelle stesse tue condizioni il ransonware TeslaCrypt 3.0 mi ha infettato il 2/2/16 tutti i file del computer e io avevo fatto i salvataggi il 28/8/2015.
per due mesi non l'ho più acceso, ma ora mi serve di recuperare alcuni file importanti.
Ho fatto un tentativo: sono andata nel programma everything e ho scritto la stringa che esce quando accendo: help_recover_instructions+vgn. (png) poi ho provato con .(txt) e con .(htlm) per ogni stringa mi sono usciti circa 4900 righe che contengono questa stringa. Dapprima ho pensato di cancellarle tutte, poi mi sono accorta che erano legate a archivi, preferiti, programmi e altro. Non ho avuto il coraggio di cancellare perchè temevo di fare un mega disastro, forse peggiore del virus.
qualcuno mi può consigliare al riguardo. possibilmente non con termini difficili da capire per una neofita. Grazie


Quote:
Originariamente inviato da giovanni69
Sarebbe sempre utile specificare la configurazione software di sicurezza, se esistente...Altrimenti è solo un confessionale delle piaghe dei ransomware...

x_Master_x : Lo avevo già previsto nelle regole della discussione. Chi non le segue non riceverà supporto, fine.

Originariamente inviato da x_Master_x
Variante: .vvv - Teslacrypt 2.0
Sistema Operativo: Windows 7 Professional 64 Bit
Antivirus: Microsoft Security Essential
Livello UAC: Attivo - Standard
Anti-Ransomware e/o Criteri di gruppo: No
Veicolo di infezione: Allegato infetto
Provider di posta: Libero
Macro di Office: Si
Ad-Block: Si
Flash: Si
Java: No

Sistema operativo Windows XP Professional
virus Teslacrypt 3.0
antivirus Comodo free attualmente
quando ho preso il virus era AVG
infezione file word, xls e jpg sono .micro
livello UAC non so come vederlo, io non l'ho mai toccato
provider di posta : libero

io vorrei sapere se cancellando da Everithing tutte le righe che ha trovato posso fare danni. io per prova ne ho cancellato qualcuno e mi sembra che non è successo niente.
ci sono poi le righe che indicano :
[B]help_recover_instructions+vgn.html . png .txt e di fianco come percorso mi da: c:\RECYCLER|s-1-5-21 e 38 numeri.
Sono entrata nel disco C per cercare questa scritta ma non l'ho trovata.
e non me la lascia eliminare.
spero che i dati siano sufficienti. Grazie

Le H ci sono tutte :D
Mancano i riferimenti alle guide, i link, i tag, refusi vari cose che preferisco correggere "visivamente" nel post. Non credo sia nell'intenzione di Chill-out di chiudere questo thread altrimenti a quest'ora ne avrei già aperto un'altro.

P.S. Ho visto il link di ID Ransomware, riconosce solo le varianti più famose e alcune che non ho mai sentito prima ( es. CryptoHasYou non lo trovo da nessuna parte )
Secondo me una ricerca su google dell'estensione è più "attuale" rispetto al sito che ha bisogno di essere aggiornato costantemente e potrebbe essere non al passo con le nuove varianti. Lo aggiungo in ogni caso



Lo avevo già previsto nelle regole della discussione. Chi non le segue non riceverà supporto, fine.

Si può essere anche un pochino meno rigidi, detto questo, ritengo opportuno aprire una nuova discussione con relativa "Guida", al termine sarà ma premura chiudere questa e linkare il 3D di riferimento.

Sistema operativo Windows XP Professional
...
livello UAC non so come vederlo, io non l'ho mai toccato...

Su VISTA - non esiste...


Sul fatto infine di definire regole precise su come postare pena l'essere ignorati, ottimo spunto anche se trovo opinabile la spappardellata
Variante
Sistema Operativo
Antivirus
Livello UAC
Anti-Ransomware e/o Criteri di gruppo
Veicolo di infezione
Provider di posta
Macro di Office
Ad-Block
Flash
Java

Ad es:
se il veicolo d'infezione è un allegato infetto, sapere che il sistema operativo è XP o 10 non cambia nulla visto che in entrambi i casi l'omino si è comportato nello stesso identico modo eseguendo volontariamente il contenuto della mail.

Allo stesso modo, sapere se l'UAC fosse attivo o meno e settato su che livello non manda alcun messaggio perchè è evidente che la solita tecnologia cambia di efficacia a seconda di chi è chiamato a gestirla (c'è infatti chi si mette in allarme di fronte ad un pop-up e chi non si pone neppure il problema del motivo per cui gli si presenti quell'intralcio)...

E cosi' via...



Alla luce di questo mio personalissimo ragionamento direi che restano pertanto solo pochissime voci d'interesse tipo:
(evidentemente) la variante, quali strumenti di difesa si fossero messi in campo e quello che si presume essere il veicolo di infezione.

Nel caso infatti in cui ci si sia ritrovati infetti senza saperne il motivo, è evidente che si è rimasti vittima di un qualcosa al di fuori del nostro controllo (e cioè un exploit che si è innescato visitando semplicemente una qualche pagina infetta)...

Nel caso infatti in cui ci si sia ritrovati infetti senza saperne il motivo, è evidente che si è rimasti vittima di un qualcosa al di fuori del nostro controllo (e cioè un exploit che si è innescato visitando semplicemente una qualche pagina infetta)...

Non sono d'accordo che non chiedere l'OS (ed è solo un esempio) o altri dettagli non sia utile: se sono rimasto infetto come pare sia successo a qualcuno anche solo 'visitando' un sito, sapere che ciò è accaduto con XP piuttosto che Win 10... direi che fa una bella differenza (visto che c'è qualcuno su MS answers che afferma che Win10 non necessità di antivirus ed XP non ha più patch sicurezza), almeno sul piano delle ipotesi, specie se il browser è aggiornato. Insomma mettere qualche costante in mezzo a tutte le possibili variabili non è poi da scartare.

P.S. è su XP che UAC non esiste.

per carità....


E' evidente cmq che 10 è lievemente (!) migliore di XP, 7, 8.1 sul piano della sicurezza.

Pensa solo a SmartScreen che, secondo una logica reputazionale, blocca qualsiasi eseguibile a meno che non vi sia il consenso dell'amministratore.

Ma anche qui, non è un pò come per l'UAC?

A casa mia, infatti, queste due tecnologie funzionano...a casa d'altri??
SmartScreen = UAC (quale che sia il settaggio) = valore o intralcio??

Anche a casa degli altri si pensa al motivo per cui vi possa essere una richiesta di ulteriori privilegi?
E perchè nasce (questa richiesta) proprio a ridosso dell'esecuzione di un qualcosa??

Quindi, al variare del manico...varia tutto.

Ed è per quel motivo che a me, ad es., sapere che ti sei infettato con Locky su 10 (il mio stesso OS) non dice nulla...

la mia ditta dove lavoro è stata infettata.. siamo riusciti a recuperare tutto quello che vi èra nel desktop del pc colpito con win 10 ma tutti i dati più importanti che èrano su un nas collegato malamente ( :muro: )al pc sono tutti criptati...
Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux

Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati?)


Siamo stati "colpiti" mercoledì 23/03/2016 e le estensioni dei file sono*.locky

la mia ditta dove lavoro è stata infettata.. siamo riusciti a recuperare tutto quello che vi èra nel desktop del pc colpito con win 10 ma tutti i dati più importanti che èrano su un nas collegato malamente ( :muro: )al pc sono tutti criptati...
Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux

Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati?)


Siamo stati "colpiti" mercoledì 23/03/2016 e le estensioni dei file sono*.locky

Dipende dal NAS... Alcuni mantengono vecchie versioni, in stile software "Time Macchine" della Apple. Altri dispongono di 2 HD, dove fanno la copia esatta, altri ancora sono comprati al LIDL e dispongono solo del colpa tua mode :sofico:

Si può essere anche un pochino meno rigidi, detto questo, ritengo opportuno aprire una nuova discussione con relativa "Guida", al termine sarà ma premura chiudere questa e linkare il 3D di riferimento.

Ransomware: Prevenzione e Soluzioni (http://hwupgrade.it/forum/showthread.php?t=2763407)

Sulla rigidità o meno delle regole mi affido sempre all'opinione generale, se vengono considerate dalla maggior parte delle persone troppo "rigide" non mi costa nulla cambiare non la prendo sul personale. Vediamo come va.

Thread di riferimento

Ransomware: Prevenzione e Soluzioni (http://hwupgrade.it/forum/showthread.php?t=2763407)

è opportuno leggere attentamente la Guida prima di porre domande, ed in ogni caso fare sempre riferimento alle:

Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)