purtroppo da ieri mattina è in circolo questo virus distribuito tramite una mail che promette un rimborso su un ordine di materiale che può variare da caso a caso.
Il virus si installa aprendo il file allegato .cab che poi silentemente cripta tutti i file presenti sul vostro sistema (hard disk esterni collegati compresi).
apparirà una schermata sul desktop che dice che seguendo una procedura e pagando una cifra vi danno la chiave per decripatare i file cosa che non ho ancora potuto verificare ma 90% non accadrà. vedi edit
è un virus noto di cui in passato si sono trovate soluzione per il recupero dei file ma al momento non è possibile e addirittura molti antivirus anche con licenza non riconoscono il file infetto.

apro questa discussione per confrontarci e vedere se si trovano rimedi.

nel mentre fate occhio alle mail che aprite (ho sentito un'azienda che conosco di informatica e solo nella giornata di ieri hanno ritirato 7 computer. :muro: :muro: :muro:

PS: su internet si trovano soluzioni come avviare in modalità provvisoria e installare Spyhunter ma il mio personale parere non è altro che un nuovo malware :cry:

edit del 05/02/2014:
nonostante moralmente non si possa ritenere corretto come ampiante discusso di seguito, riporto che in base alle varie segnalazioni all'interno della discussione, chi per estremo bisogno di recuperare i file, ha pagato il riscatto (250-1000€) è riuscito a decriptare i file seguendo con attenzione la corretta precedura.
al momento nessun altro sistema sembra essere efficace compreso:
-recupero shadow copy (puntualmente cancellate)
-recupero dei file eliminati
-vari programmi che promettono miracolosi recuperi

Segnalo altresì che un utente ha messo a disposizione un tool per prevenire (abbinato ad un buon antivirus) attacchi simili

confermo presenza di 1 infezione ad un pc della mia azienda con nod32 originale aggiornato.

Aperta ieri da 1 mia collega, mail con presunta FALSA fattura e allegato .CAB. Dice di aver provato ad aprirlo, ma dice di non aver visto nulla. Stamattina tutti i suoi xls,doc pdf ecc ecc sono criptati... con una estensione : .ndjurki

Secondo me qualcosa sarà uscito!!!!!
:muro: :muro: :muro:

aggiorno: stamattina, verso le 10,00, dopo la scoperta, ho fatto girare ccleaner e nod32 riaggiornato, ma non han trovato nulla di che, però ho fatto la prova a creare nuovi file doc ed excel, riavviato il pc e i file di prova non si erano infettatti. ma ad ora, 13,23 non ho più avuto modo di provare.

io purtroppo sono a quota 4 computer di conoscenti infettati che mi hanno contattato, ad ora l'unico consiglio è spegnere il pc il prima possibile :doh:

purtroppo da ieri mattina è in circolo questo virus distribuito tramite una mail che promette un rimborso su un ordine di materiale che può variare da caso a caso.
Il virus si installa aprendo il file allegato .cab che poi silentemente cripta tutti i file presenti sul vostro sistema (hard disk esterni collegati compresi).
apparirà una schermata sul desktop che dice che seguendo una procedura e pagando una cifra vi danno la chiave per decripatare i file cosa che non ho ancora potuto verificare ma 90% non accadrà.
è un virus noto di cui in passato si sono trovate soluzione per il recupero dei file ma al momento non è possibile e addirittura molti antivirus anche con licenza non riconoscono il file infetto.

apro questa discussione per confrontarci e vedere se si trovano rimedi.

nel mentre fate occhio alle mail che aprite (ho sentito un'azienda che conosco di informatica e solo nella giornata di ieri hanno ritirato 7 computer. :muro: :muro: :muro:

PS: su internet si trovano soluzioni come avviare in modalità provvisoria e installare Spyhunter ma il mio personale parere non è altro che un nuovo malware :cry:



a parte questo anche se rimuovessero l'infezione rimane il problema dei file criptati che nessun antivirus decripta

spyhunter e stopzilla sono più simili ad un rogue antivirus che ad un vero antimalware

ci sono ennemila siti con nomi accattivanti in inglese e anche in italiano del tipo rimuovi virus che pubblicizzano questi due software come i migliori al mondo

a parte questo anche se rimuovessero l'infezione rimane il problema dei file criptati che nessun antivirus decripta

esattamente. presentano anche bene come siti ma in realtà sono dei falsi aiuti

ma una soluzione tampone sarebbe quella di tenere il pc infetto spento ?
Almeno finchè non esce una possibile soluzione ?

non so se quel virus rimane residente ma se ha già criptato tutto quello che doveva il danno lo ha già fatto

Ricevuta mail similare oggi..
eseguito scan su Virustotal poco fa...

riconosciuto, tra i più famosi, solo da:

AVG
Ad-Aware
Avast
Avira
BitDefender
DrWeb
ESET-NOD32
Emsisoft
F-Secure
GData
McAfee
Microsoft
Norman
Sophos
TrendMicro-HouseCall

pertanto una scansione col buon Avira free dovrebbe ripulire..

Sì ma i dati sono già a donnine

Eh già il problema è che non viene fermato alla prima esecuzione

Inviato dal mio SM-N910F utilizzando Tapatalk

Ieri mattina anche il PC di mio padre è stato infettato dal trojan in questione. In particolare in seguito all'esecuzione dell'allegato .cab, tutti i file (.doc .xls. jpg) contenuti nel PC hanno cambiato estensione in .kwyqbib, divenendo illeggibili.
Volevo chiedervi se conoscete aziende, possibilmente italiane, che si occupano di decriptare tali file. Vi ringrazio in anticipo... Saluti.

Ciao a tutti, ho ben 5 aziende miei clienti con questo virus nel pc. Tutti l'hanno rimosso ma hanno l'intero hardisk criptato! Uno addirittura aveva un backup sull'esterno e il virus ha criptato anche quello!
So che attualmente non ci sono soluzioni ma secondo voi potrebbe evolversi la cosa?

altra domanda:
tutti i file sono criptati e qui amen !!!

Ma se stamattina faccio girare la scansione approfondita di nod32, viene eliminato oppure no ?
se viene eliminato, posso usare solo l'hd collegato dall'esterno su altro pc sano, per salvare i DB dei programmi di contabilità ?

Uno addirittura aveva un backup sull'esterno e il virus ha criptato anche quello! Sull'esterno intendi un disco USB?
Eccerto però che se faccio i backup su un disco fisso USB e poi lo lascio attaccato... :doh:

CryptoLocker attacca solo i "dischi" montati con una lettera, che io sappia.
Questo vuol dire che se tu fai i backup su \\altra_macchina_in_rete\backup (usando la share UNC, cosa che per dire Cobian può fare) CryptoLocker non te li tocca.
Se tu invece monti \\altra_macchina_in_rete\backup in Windows con una lettera (ad esempio, che so, X:\ per intenderci), allora anche quel percorso diventa attaccabile (e compromesso se ti pigli CryptoLocker).
A maggior ragione se i backup sono fatti su un disco USB sempre connesso al PC da backuppare, sono ancora più a rischio (soprattutto, mi auguro non siano dati 'sensibili' visto che il primo scemo di guerra che passa di lì può prendersi il disco USB e portarselo via :asd:).

Ora non so se questa nuova variante abbia "corretto" questa cosa (mi auguro bene di no :asd:), ma sicuramente quella vecchia aveva questo "difetto" (che però ha permesso di recuperare tanti, tanti, tantissimi dati a chi aveva un sistema di backup solo un filo superiore al semplice "vabbé copio tutto su USB ecchisèvvistosèvvisto") cioè che le share UNC erano 'immuni'.

Also, su 5 aziende nemmeno una con un backup funzionante? Non ci credo :eek:

Sull'esterno intendi un disco USB?
Eccerto però che se faccio i backup su un disco fisso USB e poi lo lascio attaccato... :doh:

CryptoLocker attacca solo i "dischi" montati con una lettera, che io sappia.
Questo vuol dire che se tu fai i backup su \\altra_macchina_in_rete\backup (usando la share UNC, cosa che per dire Cobian può fare) CryptoLocker non te li tocca.
Se tu invece monti \\altra_macchina_in_rete\backup in Windows con una lettera (ad esempio, che so, X:\ per intenderci), allora anche quel percorso diventa attaccabile (e compromesso se ti pigli CryptoLocker).
A maggior ragione se i backup sono fatti su un disco USB sempre connesso al PC da backuppare, sono ancora più a rischio (soprattutto, mi auguro non siano dati 'sensibili' visto che il primo scemo di guerra che passa di lì può prendersi il disco USB e portarselo via :asd:).

Ora non so se questa nuova variante abbia "corretto" questa cosa (mi auguro bene di no :asd:), ma sicuramente quella vecchia aveva questo "difetto" (che però ha permesso di recuperare tanti, tanti, tantissimi dati a chi aveva un sistema di backup solo un filo superiore al semplice "vabbé copio tutto su USB ecchisèvvistosèvvisto") cioè che le share UNC erano 'immuni'.

Also, su 5 aziende nemmeno una con un backup funzionante? Non ci credo :eek:


anche da me un casino.
due pc infetti e due cartelle di rete condivise.
qualcuno ha trovato una soluzione?

Dicono che con shadowexplorer si può salvare i file, sto facendo delle prove

Inviato dal mio SM-N910F utilizzando Tapatalk

Ragazzi, anche tra i miei conoscenti (quelli che mi chiedono sempre aiuto quando hanno problemi di questo tipo), in 2 sono stati infettati.
Uno dei due ha bellamente deciso di perdere tutto e procedere con un formattone.
L'altra invece ha una situazione grave, per fortuna il server dell'azienda con le cartelle condivise si è salvato, ma la persona purtroppo non aveva backup (nonostante mi sia raccomandato centinaia di volte), e sul suo pc erano salvati importanti dati sulla contabilità aziendale.
Per questo motivo, nonostante io abbia cercato di far capire che non c'è nessuna garanzia di recuperare niente, neanche pagando il riscatto, la persona ha deciso di procedere al tentativo.
Al momento stiamo aspettando che il wallet bitcoin si sincronizzi con la rete bitcoin, per poi procedere al trasferimento.

So che a livello etico ed economico è una cosa demenziale pagare il riscatto, tuttavia la situazione è davvero delicata e alla fin fine visto che azienda e denari sono suoi, non ho certo il diritto di imporre io cosa fare a chi.

Ho provato sia con i 5 file che automaticamente il malware permette di decrittare, sia con il singolo file a scelta che si può caricare mediante tor browser andando all'indirizzo del loro server, ed in entrambi i casi i files si sono sbloccati e sono pienamente funzionanti.

In linea di massima entro sera dovremmo procedere all'operazione, sperando che non si riveli solo denaro gettato al vento.

Vi saprò dire, perché credo che in qualunque caso un'informazione in più è meglio di una in meno...

EDIT: aggiungo che l'ha preso circa 40 ore fa, nonostante il mcafee installato in azienda...

Capisco la situazione, ho casi analoghi, aspetto news

Inviato dal mio SM-N910F utilizzando Tapatalk

Capisco la situazione, ho casi analoghi, aspetto news

Inviato dal mio SM-N910F utilizzando Tapatalk

Non mancherò di segnalare eventuali sviluppi, ne approfitto per segnalare che apparentemente il server TOR del malware è offline nelle ore diurne.
Lo dico perché l'altra il 27 gennaio verso le 23:00 si riusciva ad aprire il link dal tor browser. Ieri ho provato a riaprire il link dalle 12:30 alle 22:30 e non si apriva una mazza, poi verso le 23:00 ieri si è aperto. Adesso alle 13:00 è ancora offline.

Non so neanche bene come funzioni la rete TOR, però apparentemente il server a cui fa riferimento il malware risponde solo dalla tarda serata in poi, durante la notte (potrebbe benissimo essere anche un problema di sovraccarico di accessi durante il giorno)...

EDIT: ora mi si è aperto, quindi si tratta solo di un problema di sovraccarico...

NON SE NE SALTA FUORI.
HO IL PC IN AZIENDA COMPLETAMENTE FUORI USO PER QUANTO RIGUARDA I FILE SALVATI IN C ED IN E, OLTRE ALL'HARD DISK ESTERNO, CHE AL MOMENTO DEL "CONTAGIO" ERA DANNATAMENTE ACCESO.
HO BISOGNO DI SAPERE SE ESISTE DAVVERO UN MODO AFFIDABILE PER RECUPERARE I FILES CRIPTATI. ANCHE PAGANDO.
ATTUALMENTE, DA TOR, E' IMPOSSIBILE AVVIARE IL LINK CHE MI HANNO INVIATO.
ALTRA ALTERNATIVA NON TROVO, PER IL MOMENTO.
HO PAURA CHE TRASCORSE TOT ORE, MI SPARISCA TUTTO. . .
TENIAMOCI IN CONTATTO.
GRAZIE

se volete ve li recupero io i file!!!!

Stesso problema ad uno dei computer dello studio in cui lavoro.

Peraltro fino a ieri si avviava la comoda schermata sul desktop, oggi non più e non so il motivo: ho visto i log di Kaspersky e Malwarebytes, installati sulla macchina, ma non hanno eliminato niente nelle ultime ore (nè prima, peraltro, in quanto la versione di CTB-locker è passata indenne). D'altronde neanche potevano aggiornarsi, visto che la macchina non era in rete, mah....

Oggi ho scaricato e installato Tor ma il link indicato al momento non funziona. Terrò in buon conto il suggerimento di riprovare in serata, dopo le 23:00

Intanto - visto che ieri avevo fatto decrittare un file a caso e in effetti mi era tornato fruibile - sto per far acquistare i due bitcoin richiesti su bitboat, nella speranza che in serata funzioni il link. L'utente, un avvocato, sul computer teneva tutti i suoi dati inerenti cause civili e tutte le foto dei suoi due figli piccoli, ma proprio tutte, senza backup... :rolleyes:

Ovviamente, vi aggiornerò se ci sono novità.

ma non comprate nessun bitcoin, ve li recupero io tutti i file!!!

ma non comprate nessun bitcoin, ve li recupero io tutti i file!!!

Ci puoi aiutare davvero? Non è una "bufala"????

quindi ora come ora l'unica soluzione veloce (a patto di perdere tutti i dati) è la formattazione ?

Ci puoi aiutare davvero? Non è una "bufala"????

La cosa è davvero molto seria........:help: :help: :help: :help:

Stesso problema ad uno dei computer dello studio in cui lavoro.

Peraltro fino a ieri si avviava la comoda schermata sul desktop, oggi non più e non so il motivo: ho visto i log di Kaspersky e Malwarebytes, installati sulla macchina, ma non hanno eliminato niente nelle ultime ore (nè prima, peraltro, in quanto la versione di CTB-locker è passata indenne). D'altronde neanche potevano aggiornarsi, visto che la macchina non era in rete, mah....

Oggi ho scaricato e installato Tor ma il link indicato al momento non funziona. Terrò in buon conto il suggerimento di riprovare in serata, dopo le 23:00

Intanto - visto che ieri avevo fatto decrittare un file a caso e in effetti mi era tornato fruibile - sto per far acquistare i due bitcoin richiesti su bitboat, nella speranza che in serata funzioni il link. L'utente, un avvocato, sul computer teneva tutti i suoi dati inerenti cause civili e tutte le foto dei suoi due figli piccoli, ma proprio tutte, senza backup... :rolleyes:

Ovviamente, vi aggiornerò se ci sono novità.


AGGIORNACI PLEASE....... :help: :help: :help: :help: :help:

Ci puoi aiutare davvero? Non è una "bufala"????

In che modo lo faresti? Se c'è realmente un modo condividilo con la comunità, vedrai che ne guadagnerai di fama. Se poi il tuo interesse è un altro le cose cambiano. Io come molti altri siamo tecnici e vorremo realmente ripristinare le macchine dei nostri clienti.

quindi ora come ora l'unica soluzione veloce (a patto di perdere tutti i dati) è la formattazione ?

NON PUO' ESSERE, DAI. IO NON MI ARRENDO......:muro: :muro: :muro:

In che modo lo faresti? Se c'è realmente un modo condividilo con la comunità, vedrai che ne guadagnerai di fama. Se poi il tuo interesse è un altro le cose cambiano. Io come molti altri siamo tecnici e vorremo realmente ripristinare le macchine dei nostri clienti.


TI DO RAGIONE. ATTENDIAMO NEWS DA "ANDREAA87".
HA DETTO DI RIVOLGERCI A LUI. ATTENDIAMO CON ANSIA INDICAZIONI.....

mandatemi un file criptato alla mia email e ve lo rimando decriptato....così vedete che non dico cazzate!!!
edit[/email]

ad oggi per quanto concerne CTB LOCKER non esite nessuna soluzione per la decriptazione dei file.
Basta leggere in rete per trovare conferma di quello che affermo.
I fenomeni che dicono di decriptare i file non lo fanno perchè sono geni informatici ma semplicemente andando su sito https://www.decryptcryptolocker.com/ che fornisce chiavi di decriptazione esclusivamente per CryptoLocker che è la versione "vecchia" di cbt loker.
Potete tranquillamente provare da sito a fare la suddetta operazione e vedrete che purtroppo non ha alcun effetto.
Il resto son solo pagliacciate.

attenzione per chi avesse intenzione di sottostare al ricatto

leggo in un commento su un sito (ma non so se è vero)

Inoltre se il vostro antivirus ha eliminato il virus e non avete ricevuto il messaggio classico del riscatto dei file, SIETE FREGATI! L'anti virus ha distrutto con se l'unica chiave di decriptaggio in grado di ripristinare i file criptati.

e anche

Sembrerebbe che passate 48 ore dall’attivazione di CTB-Locker i cyber-criminali rimuovano la chiave dal server segreto, per non essere rintracciato, rendendo impossibile recuperare i file. Insomma ci sono solo 48 per pagare

pare anche che il virus tenti di eliminare le copie shadow dei file quindi non c'è garanzia di riuscire a recuperare con shadowexplorer e simili anche se non costa nulla fare una copia

Qui da un cliente stiamo passando a tappeto l'aggiornamento dell'antivirus..una buona soluzione sarebbe non utilizzare l'utente principale come admin forse? per virus come questo e simili...

attenzione per chi avesse intenzione di sottostare al ricatto

leggo in un commento su un sito (ma non so se è vero)


e anche



pare anche che il virus tenti di eliminare le copie shadow dei file quindi non c'è garanzia di riuscire a recuperare con shadowexplorer e simili anche se non costa nulla fare una copia

Posso smentire tutto. Confermando che la schermata sul desktop ormai non si apre più (non so a causa di cosa), per un attimo è tornata invece la connettività su tor e ho provveduto ad inserire il codice. E' uscita la solita richiesta di 2 Bitcoin. Inoltre mi è stata offerta la possibilità di decrittare un solo file e, dopo qualche secondo, tutto è andato a buon fine: uploadato e restituito nella sua versione fruibile. Siamo già oltre le 48 ore dall'evento.

Quindi, come spesso accade, non è vero.

Qui da un cliente stiamo passando a tappeto l'aggiornamento dell'antivirus..una buona soluzione sarebbe non utilizzare l'utente principale come admin forse? per virus come questo e simili...

ma siamo sicuri che abbia bisogno di privilegi elevati questo malware?

Ok, la mia collega ha comprato i bitcoin (451,00 euro) e poi pagato e, dopo un po' di tempo ad aggiornare la pagina sul browser tor, mi è pervenuto un'eseguibile denominato unlocker.exe e una chiave privata. E' arrivato un messaggio che diceva di disattivare tutti gli antivirus e di conservare software e chiave, in modo da poterli poi utilizzare in qualunque momento successivo.

Sta iniziando a decrittare tutte le immagini, non vedo problemi. In poco tempo, in pratica, si è pagato e si sta riportando tutto indietro.

Lascio la discussione con un'indicazione utile, per quanto subottimale e antipatica: chi ha davvero dati a cui non può rinunciare per niente al mondo, sappia che pagando, e seguendo con cautela tutte le istruzioni (fatevi aiutare da chi ha dimestichezza con l'informatica) si riottengono indietro.

;)

Ok, la mia collega ha comprato i bitcoin (451,00 euro) e poi pagato e, dopo un po' di tempo ad aggiornare la pagina sul browser tor, mi è pervenuto un'eseguibile denominato unlocker.exe e una chiave privata. E' arrivato un messaggio che diceva di disattivare tutti gli antivirus e di conservare software e chiave, in modo da poterli poi utilizzare in qualunque momento successivo.

Sta iniziando a decrittare tutte le immagini, non vedo problemi. In poco tempo, in pratica, si è pagato e si sta riportando tutto indietro.

Lascio la discussione con un'indicazione utile, per quanto subottimale e antipatica: chi ha davvero dati a cui non può rinunciare per niente al mondo, sappia che pagando, e seguendo con cautela tutte le istruzioni (fatevi aiutare da chi ha dimestichezza con l'informatica) si riottengono indietro.

;)


Ottima informazione.. ma come è possibile riavere la pagina di acquisto per chi ha tentato la rimozione?

Ottima informazione.. ma come è possibile riavere la pagina di acquisto per chi ha tentato la rimozione?

Sul disco fisso trovi di sicuro, in diverse locazioni, un file TXT che si chiama decrypt-all-files-estensione

Contiene tutte le istruzioni, indirizzo tor, chiave personale tua (che devi inserire una volta arrivato sulla pagina tor, etc. etc.).

C'è anche una bitmap con l'immagine che dovrebbe comparirti come sfondo del desktop in giro, sui 4MB, non ricordo come si chiami il file. Comunque se cerchi decrypt con la ricerca integrata di windows te li trova, sia i TXT che le BMP.

Stasera dopo cena, quando finalmente avranno staccato il server in azienda, proveremo a controllare se il pagamento ha sbloccato qualcosa.

Al momento il server TOR sembra irraggiungibile, quindi probabilmente ci toccherà aspettare sul più tardi...

mia situazione


ho un cliente che ha ricevuto la mail in oggetto, ha provato ad eseguire il cab ma non è riuscito e fino ad ora pare tutto funzionante

la mail l'ha ricevuta martedì

s.o. windows 8
antivirus KIS

share condiviso mappato su un server windows che backuppa con un altro utente su un nas

settimana prossima controllo la macchina, teoricamente i dati dovrebbero essere salvi (nel caso peggiore perderebbe i dati dell'ultima settimana ) ovvero dall'infezione fino al controllo

ma comunque non avendomi chiamato in panico direi che l'accoppiata kis + windows 8 ha bloccato il virus non impedendo l'esecuzione del cab

vi aggiornerò

Sul disco fisso trovi di sicuro, in diverse locazioni, un file TXT che si chiama decrypt-all-files-estensione

Contiene tutte le istruzioni, indirizzo tor, chiave personale tua (che devi inserire una volta arrivato sulla pagina tor, etc. etc.).

C'è anche una bitmap con l'immagine che dovrebbe comparirti come sfondo del desktop in giro, sui 4MB, non ricordo come si chiami il file. Comunque se cerchi decrypt con la ricerca integrata di windows te li trova, sia i TXT che le BMP.

Stasera dopo cena, quando finalmente avranno staccato il server in azienda, proveremo a controllare se il pagamento ha sbloccato qualcosa.

Al momento il server TOR sembra irraggiungibile, quindi probabilmente ci toccherà aspettare sul più tardi...

si avevo trovato i documenti che dici, ma ho effettuato diversi tentativi di accesso senza alcun riscontro positivo. I serve sia su rete normale che tor sono sempre down. Sto provando da ieri notte...

Non so se è già stato detto cmq io ho recuperato quasi tutto usando shadowexplorer su win7
I dati risultano aggiornati al 14-01 ma meglio di niente....la prossima volta ci penserà due volte prima di aprile l allegato :)

ma siamo sicuri che abbia bisogno di privilegi elevati questo malware?

quello che volevo sapere

Allora, sono riuscito a decriptare un file da rete tor utilizzando il codice presente nel file Decrypt-All-Files.txt presente nella cartella documenti. E' già un inizio!

Chi è interessato mi mandi quel file che faccio altre prove con i vostri documenti.

si avevo trovato i documenti che dici, ma ho effettuato diversi tentativi di accesso senza alcun riscontro positivo. I serve sia su rete normale che tor sono sempre down. Sto provando da ieri notte...

Non so dire da cosa dipenda, nel mio caso ho continuato per 2 ore ad aggiornare la pagina su tor e alla fine si è aperta. Poi i successivi due passaggi (la prova su un file e la ricezione del decrittatore) sono andati relativamente più spediti.

Domattina aggiornerò sull'esito finale, visto che ho lasciato l'unlocker.exe al lavoro

ma l'unlocker è specifico per ogni singola macchina?

ma l'unlocker è specifico per ogni singola macchina?
Credo proprio di no, a naso. Contiene infatti un campo in cui inserire la chiave che viene inviata, quella sì immagino bene specifica

Ciao dal mio tapatalk

mia situazione
ho un cliente che ha ricevuto la mail in oggetto, ha provato ad eseguire il cab ma non è riuscito e fino ad ora pare tutto funzionanteSuccesso anche a me in VM con Windows 7 (sì, ho ricevuto una mail "sospetta" e l'ho eseguito apposta :asd:).

Il cab conteneva uno SCR (si vede sulla destra, l'icona a forma di bandiera italiana), una volta lanciato l'SCR al posto di criptare i file che mi ero preparato sul desktop mi ha aperto WordPad e ha mostrato un documento:
http://i.imgur.com/YgS2MMx.png

...e questo invece il contenuto del CAB:
http://i.imgur.com/kokLhN7.png

Boh! Windows 7 senza antivirus (tanto la VM poi l'ho cestinata) :eek:
Non so se questo è successo perché la VM era fuori rete o perché l'ho eseguito con un utente "standard" (e non come admin).

EDIT: scherzavo, mi sa che bisogna essere online quando lo si esegue (perché lui va a riprendersi della roba da internet): https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker

Ho provato anch'io ad infettarmi per capire come funziona il tutto e ho avuto le tue stesse cose. Mhà!

Chi ha il pane (i backup) non ha i denti (il virus) e chi ha i denti non ha il pane :p

EDIT: ho messo la dentiera!!! :sofico:
http://i.imgur.com/S9rCgeE.png

A parte gli scherzi, l'ho rilanciato una volta connesso a internet. Mi ha fatto aspettare qualche secondo ma poi come potete vedere è partito! :D

a me non ha funzionato :(

Ho Scritto un Reg Che Impedisce L'esecuzione
del Virus da Allegato Mail.

Non Decripta i dati, Solo Impedisce L'infezione su apertura
incauta di Allegati similari

Disponibile Qui
http://www.steelcomputer.it/index.php?page=security

Ditemi se Funziona Grazie

Ragazzi, come detto non c'è niente di intelligente nell'esultare per aver arricchito dei malviventi, però volevo confermarvi che nell'azienda della mia conoscente, dopo un lungo calvario, siamo riusciti a recuperare i dati.
Al momento non garantisco che tutti i files funzionino, la mole era talmente elevata, e la notte già inoltrata, che abbiamo deciso di rimandare il conteggio delle eventuali perdite a domattina, ma da un primo controllo a campione su PDF, XLS etc, sembrerebbe funzionare tutto (SGRAT).
Ho spento quel pc, domattina smonto l'hard disk e lo copio paro paro su un disco fisso separato, da un altro pc pulito (magari una live di clonezilla), di modo da evitare ogni possibile modifica sui dati nella fase che seguirà dopo, cioé la fase di pulizia del pc infetto (oddio, il virus parrebbe addirittura che si autodebelli una volta pagato il riscatto, ma su ste cose ovviamente non si è mai troppo prudenti.

Ora me ne vado a nanna, mi premeva condividere la mia esperienza con le altre persone che hanno vissuto quest'angustia (per me relativa, dato che i dati non erano i miei, ma la proprietaria non ci dormiva la notte)...

per me relativa, dato che i dati non erano i miei, ma la proprietaria non ci dormiva la notteTi capisco perfettamente... Da un paio di mesi ho sentito non sai quanta gente dire "ho perso tutto" disperata.
Poi ci sono quelli che se ne fregano altamente della prevenzione perché poi l'unica cosa che sanno dire è "senti tu che te ne intendi, ho perso X foto e X documenti, sono tutti criptati. Vero che me li recuperi? Tanto per te ci vogliono 5 minuti!" ma quello è un altro discorso.

Purtroppo comunque, seriamente, ancora non c'è la cultura del backup soprattutto tra i privati (ma a quanto pare anche alcune aziende sono 'allegre' da questo punto di vista).

Allora, sono riuscito a decriptare un file da rete tor utilizzando il codice presente nel file Decrypt-All-Files.txt presente nella cartella documenti. E' già un inizio!

Chi è interessato mi mandi quel file che faccio altre prove con i vostri documenti.

Mi dai il tuo indirizzo che provo a mandarti un file?
Grazie millle
:sperem:

Mi dai il tuo indirizzo che provo a mandarti un file?
Grazie millle
:sperem:

massidemola[chiocciola]gmail.com

Ragazzi, come detto non c'è niente di intelligente nell'esultare per aver arricchito dei malviventi, però volevo confermarvi che nell'azienda della mia conoscente, dopo un lungo calvario, siamo riusciti a recuperare i dati.

Non c'è dubbio alcuno, ma non posso fare a meno di capire la gioia della mia collega che ha recuperato tutto ciò a cui teneva, per dire. A proposito, stamattina controllando 2-3 file in ogni singola cartella "pare" tutto ok, 61 GB tra foto e documenti tutti ripristinati.

Ho Scritto un Reg Che Impedisce L'esecuzione
del Virus da Allegato Mail.

Non Decripta i dati, Solo Impedisce L'infezione su apertura
incauta di Allegati similari

Disponibile Qui
http://www.steelcomputer.it/index.php?page=security

Ditemi se Funziona Grazie

ma il reg cosa fa blocca tutti i file .scr o solo quelli che tenti di aprire come allegato?

ma attualmente quante testimonianze (reali) ci sono di persone che hanno avuto i file pagando il riscatto? E sopratutto, la procedura è semplice?

Si potrebbe effettuare una modifica al sistema operativo, per impedire l'apertura dei file.cab ?

Mi associo tra gli sfigati, aperto file Cab con all'interno file scr in bandierina Italiana, la situazione nella cartella download come nel resto del Pc è grosso modo questa:
http://s28.postimg.org/n8bt6oxsd/Cattura.jpg

Criptati anche i rar

Avevo scandagliato con Defender prima di aprire ma non ha visto una mazza:mbe:
Al momento nessun programma è stato in grado di decriptare i file in oggetto, spyHunter invece sembra aver neutralizzato il Critroni virus

Si potrebbe effettuare una modifica al sistema operativo, per impedire l'apertura dei file.cab ?
La prima cosa veloce che si potrebbe fare è cambiare il programma predefinito per l'apertura dei .cab, associandolo magari a un file di testo vuoto salvato con estensione .exe, così in pratica non si aprirebbero più.

La prima cosa veloce che si potrebbe fare è cambiare il programma predefinito per l'apertura dei .cab, associandolo magari a un file di testo vuoto salvato con estensione .exe, così in pratica non si aprirebbero più.

ma quel cab che contiene il file scr è un autoestraente? o è un semplice cab che contiene il scr?

cioè l'utente deve fare doppio click? aprire il cab e poi lanciare .scr

certo che se gli utenti avessere la visualizzazione delle estensioni e sapessero che .scr sono file eseguibili.....

La prima cosa veloce che si potrebbe fare è cambiare il programma predefinito per l'apertura dei .cab, associandolo magari a un file di testo vuoto salvato con estensione .exe, così in pratica non si aprirebbero più.

Vedi che il file cab lo devi prima aprire e scaricarlo dalla mail non è che devi dare la caccia ai cab sul pc..

ma quel cab che contiene il file scr è un autoestraente? o è un semplice cab che contiene il scr?

.
é semplicemente un scr che aperto risulta un archivio di conti tipo ditta

Mi associo tra gli sfigati, aperto file Cab con all'interno file scr in bandierina Italiana, la situazione nella cartella download come nel resto del Pc è grosso modo questa:
http://s28.postimg.org/n8bt6oxsd/Cattura.jpg

Criptati anche i rar

Avevo scandagliato con Defender prima di aprire ma non ha visto una mazza:mbe:
Al momento nessun programma è stato in grado di decriptare i file in oggetto, spyHunter invece sembra aver neutralizzato il Critroni virus

potevi controllarlo con cosa vuoi se non è inserito nelle firme degli antivirus risulta pulito, hai ancora il file cab da mandare su virustotal per vedere quanti antivirus lo riconoscono?

domanda quando hai cliccato sul cab si è aperto con il programma winrar o 7-zip o analogo e poi tu hai cliccato sul file .scr o è bastato il doppio click sul cab

spyhunter è un mezzo antimalware simile ad un rogue antivirus, francamente non so se hai fatto bene ad usarlo

é semplicemente un scr che aperto risulta un archivio di conti tipo ditta

ma che archivio tipo ditta?

intendo dire l'allegato che estensione ha? .cab

i cab sono file cabinet una sorta di archivio possono essere autoestraenti come una rar o un zip e possono lanciare un eseguibile che sta al loro interno

se non è un archivio autoestraente dovrebbe aprirsi con un programma tipo 7-zip

ma quel cab che contiene il file scr è un autoestraente? o è un semplice cab che contiene il scr?

cioè l'utente deve fare doppio click? aprire il cab e poi lanciare .scr

certo che se gli utenti avessere la visualizzazione delle estensioni e sapessero che .scr sono file eseguibili.....
Per mia fortuna non ho simile spazzatura nella mia casella email usando le masked mail, arriva solo quello che voglio io :asd: ma chi ce l'ha può provare. E cmq mai usati file cab. Un file qualsiasi nella email dovrebbe aprirsi come un qualsiasi altro file sul PC.

ma che archivio tipo ditta?

intendo dire l'allegato che estensione ha? .cab

i cab sono file cabinet una sorta di archivio possono essere autoestraenti come una rar o un zip e possono lanciare un eseguibile che sta al loro interno

se non è un archivio autoestraente dovrebbe aprirsi con un programma tipo 7-zip

Cos'è spyhunter scusa?:D

No lo devi estrarre tu...scusa ma perchè non lo provate in virtuale?

..il problema non è tanto il virus che lo elimini anche svuotando la cartella Temp...è il danno che una volta fatto resta.

se non è un archivio autoestraente dovrebbe aprirsi con un programma tipo 7-zipIo dopo aver scaricato il .cab l'ho doppiocliccato e s'è aperto con 7-zip (ma magari perché avevo associato a 7zip l'estensione .cab, non saprei dirti). Poi ho estratto il file .scr e l'ho eseguito manualmente.

non mi sono spiegato se ti arriva un file zip o un rar normale si apre con il programma apposito

se ti arriva un rar o zip autoestraente ha estensione exe ma l'icona del programma che ti indica che è un archivio anche se autoestraente

un file cab può essere creato con iexpress (vecchia utility windows presente anche in win 8) e può essere autoestraente e non mostrare niente mentre estrae il suo contenuto e lancia l'eseguibile contenuto al suo interno

Io dopo aver scaricato il .cab l'ho doppiocliccato e s'è aperto con 7-zip (ma magari perché avevo associato a 7zip l'estensione .cab, non saprei dirti). Poi ho estratto il file .scr e l'ho eseguito manualmente.

ecco appunto uno deve fare un po' di passi prima di infettarsi, deve farsi fregare dal contenuto della mail, poi deve aprire il file cab poi deve lanciare il .scr che è noto sia un file esegubile anche se ha una icona di pdf o doc


certo se uno clicca senza pensare e ha nascosto l'estensione per i file conosciuti (cosa che in windows è di default ed è la cosa più stupida che ci sia)

Cos'è spyhunter scusa?:D

No lo devi estrarre tu...scusa ma perchè non lo provate in virtuale?

..il problema non è tanto il virus che lo elimini anche svuotando la cartella Temp...è il danno che una volta fatto resta.

spuhunter non è bel antimalware o è mezzo farlocco, anche se ci sono decine di siti in inglese ed in italiano che lo dipingono come il massimo

non lo proviamo in virtuale per il semplice motivo che non abbiamo l'allegato e anche se l'avessimo chi ce lo fa fare? :D

Per mia fortuna non ho simile spazzatura nella mia casella email usando le masked mail, arriva solo quello che voglio io :asd: ma chi ce l'ha può provare. E cmq mai usati file cab. Un file qualsiasi nella email dovrebbe aprirsi come un qualsiasi altro file sul PC.

mail con allegato un virus sono anni che non ne vedo

quindi non ricordo come il programma di posta lo gestisce se ti chiede di salvare l'allegato se si accorge che contiene un file eseguibile

non mi sono spiegato se ti arriva un file zip o un rar normale si apre con il programma apposito

se ti arriva un rar o zip autoestraente ha estensione exe ma l'icona del programma che ti indica che è un archivio anche se autoestraente

un file cab può essere creato con iexpress (vecchia utility windows presente anche in win 8) e può essere autoestraente e non mostrare niente mentre estrae il suo contenuto e lancia l'eseguibile contenuto al suo interno

Lo so grazie, stai cercando di farmi scuola?:ciapet:

Lo so grazie, stai cercando di farmi scuola?:ciapet:

no è riferito a tutti, questo virus è pestifero perchè ti lascia i file criptati ma con un minimo di attenzione può essere evitato

non è un exploit che si esegue perchè il sistema o un plugin ha un bug e tu incosapevolmente visiti un sito che sfrutta quella vulnerabilità ma è molto più simile al virus albanese :D che ha bisogno della collaborazione dell'utente

Nei giorni scorsi ho avuto una soffiata da un ex-collega di studi e ho evitato la peste avvertendo tutti...intanto navigando ho trovato questo:

http://www.bleepingcomputer.com/forums/t/565020/new-cryptotorlocker2015-ransomware-discovered-and-easily-decrypted/


Se avete incontrato questo bastardo tentar non nuoce...

mail con allegato un virus sono anni che non ne vedo

quindi non ricordo come il programma di posta lo gestisce se ti chiede di salvare l'allegato se si accorge che contiene un file eseguibile
Beh cmq sia, dopo salvato lo aprono :asd: c'è solo un passaggio in più, ma la sostanza non cambia.

Nei giorni scorsi ho avuto una soffiata da un ex-collega di studi e ho evitato la peste avvertendo tutti...intanto navigando ho trovato questo:

http://www.bleepingcomputer.com/forums/t/565020/new-cryptotorlocker2015-ransomware-discovered-and-easily-decrypted/


Se avete incontrato questo bastardo tentar non nuoce...

pare che sia un altra variante di cryptolocker vedi anche l'estensione usata che è diversa da ctb e il prezzo di mezzo bitcoin

pare che sia un altra variante di cryptolocker vedi anche l'estensione usata che è diversa da ctb e il prezzo di mezzo bitcoin

Sembra effettivamente un'altra versione, graficamente cambia. Il decrypt l'ho provato e non funziona purtroppo..

ma attualmente quante testimonianze (reali) ci sono di persone che hanno avuto i file pagando il riscatto? E sopratutto, la procedura è semplice?
In questo topic io ed Inocs abbiamo riportato due casi comprovati in cui si sono recuperati i dati. Sui forum di bleepingcomputer si trovano altri positivi ma anche diversi negativi.
La garanzia non c'è, nel nostro piccolo io e Inocs abbiamo detto che ha funzionato.

La procedura è complicata se non hai mai avuto a che fare con bitcoin, se invece sei già abbastanza esperto della cosa, potrebbe risultarti semplice.

In sé devi acquistare i Bitcoin necessari (fare attenzione ad acquistare qualche frazione di Bitcoin in eccesso rispetto all'importo, di modo da poter pagare la commissione sulla transazione, che purtroppo non è facilmente calcolabile a priori). Nel nostro caso, l'importo richiesto era di 1,4BTC e la commissione si è rivelata di un millesimo di BTC, ne avevamo comprato 1,45 per sicurezza. Il servizio di acquisto da noi utilizzato metteva come regola esplicita di fornire un indirizzo del proprio portafoglio. Essendo bitcoin una cosa praticamente anonima e poco rintracciabile, non credo che quelli del servizio avessero veramente la possibilità di verificare la cosa, ma in azienda hanno deciso di andarci coi piedi di piombo, quindi ho dovuto prima installare loro un wallet (subito ho provato con il client ufficiale bitcoin, ma i tempi di sincronizzazione sono biblici, quindi optate per Multibit o simili che sono molto più veloci, nel caso), far caricare i BTC sul loro wallet, attendere che la transazione fosse confermata, usare Multibit per accreditare gli 1.4 BTC all'indirizzo dei malfattori, attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.

CTB Locker and Critroni Ransomware Information Guide and FAQ

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#ctbl

Allora ragazzi, ricapitolando:


Il virus si presenta come un file .cab ma con icona di altre estensioni, giusto? Se è così, un utente che abiliti la visualizzazione delle estensioni per i file file su windows vede il .cab alla fine del file?

Come mai non viene ancora riconosciuto dai più diffusi antivirus (ad es. avira, avg, ecc..)?


Qualcuno può inoltrarmi il virus per poter fare delle prove in ambiente isolato?

in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.
Scusa ma non c'è una chiave univoca per ciascun pc infetto?

Allora ragazzi, ricapitolando:


Il virus si presenta come un file .cab ma con icona di altre estensioni, giusto? Se è così, un utente che abiliti la visualizzazione delle estensioni per i file file su windows vede il .cab alla fine del file?

Come mai non viene ancora riconosciuto dai più diffusi antivirus (ad es. avira, avg, ecc..)?




Virus poliformico con hash univoco per ogni sample per eludere gli AV.

In questo topic io ed Inocs abbiamo riportato due casi comprovati in cui si sono recuperati i dati. Sui forum di bleepingcomputer si trovano altri positivi ma anche diversi negativi.
La garanzia non c'è, nel nostro piccolo io e Inocs abbiamo detto che ha funzionato.

La procedura è complicata se non hai mai avuto a che fare con bitcoin, se invece sei già abbastanza esperto della cosa, potrebbe risultarti semplice.

In sé devi acquistare i Bitcoin necessari (fare attenzione ad acquistare qualche frazione di Bitcoin in eccesso rispetto all'importo, di modo da poter pagare la commissione sulla transazione, che purtroppo non è facilmente calcolabile a priori). Nel nostro caso, l'importo richiesto era di 1,4BTC e la commissione si è rivelata di un millesimo di BTC, ne avevamo comprato 1,45 per sicurezza. Il servizio di acquisto da noi utilizzato metteva come regola esplicita di fornire un indirizzo del proprio portafoglio. Essendo bitcoin una cosa praticamente anonima e poco rintracciabile, non credo che quelli del servizio avessero veramente la possibilità di verificare la cosa, ma in azienda hanno deciso di andarci coi piedi di piombo, quindi ho dovuto prima installare loro un wallet (subito ho provato con il client ufficiale bitcoin, ma i tempi di sincronizzazione sono biblici, quindi optate per Multibit o simili che sono molto più veloci, nel caso), far caricare i BTC sul loro wallet, attendere che la transazione fosse confermata, usare Multibit per accreditare gli 1.4 BTC all'indirizzo dei malfattori, attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.

Errore fatto da me, non avendo mai fatto transazioni in bitcoin, ho inizialmente acquistato su bitboat solo 2 BTC esatti. Poiché blockchain (dove ho aperto il portafoglio, l'ho trovato di uso semplicissimo, davvero elementare) mi chiedeva 0,0001 bitcoin di commissione per il successivo versamento, ne ho poi dovuti comprare altri 0,05 (comunque pacchetto minimo di acquisto almeno su bitboat, quindi la spesa sarebbe stata la stessa).

Bitboat ha accreditato i BTC pochi minuti dopo il versamento "esatto" dell'importo richiesto, nel mio caso fatto con postepay ricaricando un'altra postepay. Acquistati i BTC, poichè non mi si apriva la schermata sul desktop, ho scaricato il browser TOR, come indicato nelle istruzioni lasciate dal virus, e mi sono collegato al link suggerito nelle istruzioni stesse. Ho dovuto provare per 2-3 ore, aggiornando di continuo, fino a che non si è aperta una pagina in cui inserire la lunga chiave pubblica inserita nelle istruzioni.

Fatto ciò si è aperta un'altra pagina in cui ho potuto fare una prova di decrittazione di un file (ne ho scelto uno prezioso per la mia collega) e tutto è andato a buon fine, dopo una ventina di tentativi di connessione. A quel punto, tramite blockchain , ho versato i BTC sull'account indicatomi nelle istruzioni del virus. Dopo una mezz'oretta (e dopo aver controllato che su quell'account i soldi erano arrivati e poi erano stati subito prelevati) sono riandato sulla pagina lasciata aperta su TOR, ho aggiornato un altro po' di volte e mi è uscito un link per il download dell'unlocker e della chiave. 2-3 minuti dopo mi è arrivato tutto in forma di download all'interno di TOR. Ho archiviato, come consigliato, l'unlocker.exe e la chiave e ho proceduto, dopo aver messo l'eseguibile sul desktop del computer infetto, a lanciare il processo di recupero. E' andato avanti durante la notte e stamattina i file erano tutti a posto.

Ci tengo a precisare che ho ricevuto la chiave e il software di decrittazione circa 55 ore dopo l'avvio del countdown e dopo aver perso l'avvio automatico sul desktop.

Gente, a cose normali pagare il riscatto = incentivare questi soggetti nel proseguire la pratica criminosa.





A meno di casi specifici (= dati fondamentali per la prosecuzione del lavoro,...), PIANTO UNICO (e possibilmente in futuro ragionare di più prima di agire → valido nell'ipotesi dell'incauta azione circa l'apertura delle mail o esecuzione di un qualcosa di ignoto; ricorrere a strumenti dedicati antiexploit → coprendosi cosi' dall'ipotesi tutt'altro che infrequente di infezione "involontaria" ottenuta semplicemente visitando un sito "corrotto").

Ho usato con discreto successo questa soluzione.

http://www.digitalic.it/wp/mercato-2/business/ctb-locker-la-soluzione-per-recuperare-file/88156

ma se pur pagando si aveva la certezza di recuperare i dati era un conto.. Qui c'è il rischio di pagare 500/600 euro senza ottenere nulla!

Fino a ieri dalla pagina http://w7yue5dc5amppggs.onion/ tramite rete tor e inserendo la key, era possibile decriptare un singolo file, oggi non appare più quella funzione.. :rolleyes:

Sono assolutamente d'accordo, a meno che non si tratti di dati di estrema importanza come per esempio documenti aziendali che ne causerebbero un danno economico ingente, pazienza aver perso le foto ricordo o i documenti; se il vostro computer si fosse fuso in un incendio nemmeno tutto l'oro del mondo vi aiuterebbe a recuperare l'hard disk e non potreste fare nulla se non farvene una ragione. Pertanto non fate il gioco di questi bastardi che si stanno arricchendo a dismisura.

Recuperare i Dati è estremamente difficile/improbabile, Quindi meglio
Prevenire anche perchè lo spieghi ma molti non ascoltano o non usano
le misure base per non infettarsi.

Raccomando inoculare ogni computer di persone a cui tenete
con questo REG che Elimina l'esecuzione dei file SCR all'apertura da Mail.

Non Disattiva Tutti gli screensaver, solo l'interazione Con L'apertura
da Parte dell'utente.

La modifica è innocua e reversibile, Sto testando su
Windows XP x86 - Win 7 x86/64 - Win8 x86/64

Sistemo alcuni aspetti e lascio ultime tra poche ore quiDOWNLOAD PATCH (http://www.steelcomputer.it/index.php?page=security)
(vedi fondo pagina)

Nota: Fai CONSERVA a Chrome se dice che puo' essere pericoloso,
Lo sono tutti i File Reg ed è giusto che ti avvisi, fondamentalmente
ti stai curando il computer, se hai dubbi chiedi a un amico Esperto!
Verifica pure: è uno zip contenente un reg che previene il problema.

PS: La proposta qui fatta di disattivare l'apertura dei CAB puo'
portare più bene che altro, I Cab non servono solo a installare windows ma
anche Drivers di Periferiche, Stampanti o Programmi completi.

Recuperare i Dati è estremamente difficile/improbabile, Quindi meglio
Prevenire anche perchè lo spieghi ma molti non ascoltano o non usano
le misure base per non infettarsi.

Raccomando inoculare ogni computer di persone a cui tenete
con questo REG che Elimina l'esecuzione dei file SCR all'apertura da Mail.

Non Disattiva Tutti gli screensaver, solo l'interazione Con L'apertura
da Parte dell'utente.

La modifica è innocua e reversibile, Sto testando su
Windows XP x86 - Win 7 x86/64 - Win8 x86/64

Sistemo alcuni aspetti e lascio ultime tra poche ore quiDOWNLOAD PATCH (http://www.steelcomputer.it/index.php?page=security)
(vedi fondo pagina)

Nota: Fai CONSERVA a Chrome se dice che puo' essere pericoloso,
Lo sono tutti i File Reg ed è giusto che ti avvisi, fondamentalmente
ti stai curando il computer, se hai dubbi chiedi a un amico Esperto!
Verifica pure: è uno zip contenente un reg che previene il problema.

PS: La proposta qui fatta di disattivare l'apertura dei CAB puo'
portare più bene che altro, I Cab non servono solo a installare windows ma
anche Drivers di Periferiche, Stampanti o Programmi completi.

su bleeping c'è un tool per patchare il sistema disabilitando l'esecuzione di eseguibili in specifiche cartelle per chi non vuole settare a mano le policy

............attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.
Questo è piuttosto allarmante, in quello che dici fai intendere che non solo il file scr una volta aperto ha criptato tutto quello che ha potuto, ma in qualche modo avevano anche un controllo remoto sul Pc in grado di decriptare o meno?:confused:

Questo è piuttosto allarmante, in quello che dici fai intendere che non solo il file scr una volta aperto ha criptato tutto quello che ha potuto, ma in qualche modo avevano anche un controllo remoto sul Pc in grado di decriptare o meno?:confused:

tutto può essere ma mi pare di capire che una volta che hai pagato ti danno l'unlocker.exe e la chiave di decrittazione, poi tu ti arrangi

non sembra che si sbattano loro da remoto a decrittare anche perchè questo aumenterebbe le possibilità di essere intercettati

Questo è piuttosto allarmante, in quello che dici fai intendere che non solo il file scr una volta aperto ha criptato tutto quello che ha potuto, ma in qualche modo avevano anche un controllo remoto sul Pc in grado di decriptare o meno?:confused:
Non credo che tu abbia capito bene come funziona il programma malevolo.
Ti do un'idea a grandi linee di cosa fa, magari potrebbe essere leggermente inesatto, ma intanto un'idea te la da.
Il malware appena lo prendi verifica la connessione ad internet ed appena riesce a contattare il suo server credo scambi in qualche maniera i dati relativi a chiave crittografica, indirizzo bitcoin associato al tuo pc etc.
Parte a crittare tutti i dati, genera i suoi file txt e png delle istruzioni, disseminati lungo l'hard disk, a fine del procedimento ti esce il famigerato popup con le istruzioni per il pagamento ed il timer. Questa finestra attiva, evidentemente si riaggiorna ogni tot tempo, controllando se il server gli dice che il pagamento è attivo. In quel caso si attiva automaticamente decrittando il tutto. Il server remoto in linea di massima è solo una sorta di database, non è qualcosa che ti controlla il pc. Sul server loro poi ci sarà qualche sorta di programma automatizzato che verifica i pagamenti sugli indirizzi bitcoin e una volta verificati sblocca un flag corrispondente al tuo record in database.

ma se pur pagando si aveva la certezza di recuperare i dati era un conto.. Qui c'è il rischio di pagare 500/600 euro senza ottenere nulla!

Fino a ieri dalla pagina http://w7yue5dc5amppggs.onion/ tramite rete tor e inserendo la key, era possibile decriptare un singolo file, oggi non appare più quella funzione.. :rolleyes:
Il decrypt di un singolo file è una tantum, altrimenti la gente si decripterebbe uno a uno i file che sono indispensabili e formatterebbe poi senza pagare alcun riscatto.

tutto può essere ma mi pare di capire che una volta che hai pagato ti danno l'unlocker.exe e la chiave di decrittazione, poi tu ti arrangi

non sembra che si sbattano loro da remoto a decrittare anche perchè questo aumenterebbe le possibilità di essere intercettati
Come accennato sopra, loro non decrittano nulla, se non ti sei sbarazzato del malware e quindi il popup è ancora attivo sullo schermo del pc, nel momento in cui rileva l'avvenuto pagamento contattando il server, parte in automatico il decrypt. Io ho scaricato comunque unlocker e relativa chiave da un secondo pc, ma il lavoro di decrypt l'ha fatto di suo il malware, senza che li usassi sul pc.
Ha decrittato tutto, io poi ho spento la macchina, ho clonato l'hard disk su un paio di altri, per sicurezza, prima di mettermi al lavoro per ripulire il tutto con gli appositi metodi.

Che ne pensate di questo software (http://www.surfright.nl/en/cryptoguard)? Dite che è efficace per la prevenzione del virus?

Che ne pensate di questo software (http://www.surfright.nl/en/cryptoguard)? Dite che è efficace per la prevenzione del virus?


funziona se è in grado di capire che è in atto un tentativo ma nessun anti qualcosa è infallibile al 100%

comunque provarlo male non fa è utile per svariati malware non solo per lo specifico di cui si parla in questa discussione

qualcuno ha fatto la prova con MBAE anti exploit?

quanti antivirus riconoscono il file .scr contenuto nel cab?

....ci sarà qualche sorta di programma automatizzato che verifica i pagamenti sugli indirizzi bitcoin e una volta verificati sblocca un flag corrispondente al tuo record in database..

Innanzi tutto grazie per i chiarimenti, sono esattamente quelli da te descritti i passaggi con cui ha operato il "maligno"...ma il fatto è che il mio pc non ha mai avuto a che fare con bitcoin e non credo disponga di dati per verificarne eventuali indirizzi.
Inoltre la finestra attiva col timer è stata liquidata rapidamente.

Per rendere un attimino su come arriva questa nuova variante ecco gli screen della Mail ricevuta, un file txt apribile senza problemi e un file Cab da maneggiare con cautela.
http://s14.postimg.org/za2nagejl/Cattura.jpg
http://s9.postimg.org/g1qpbk227/Cattura1.jpg

hai fatto scansionare il cab o il scr su virustotal? giusto per vedere quanti antivirus lo riconoscono

Un mio amico mi ha chiamato ieri sera perchè ha incautamente aperto la mail con il virus, che gli ha criptato 25 GB di foto (è il PC di casa, quindi nessun documento importante).
Oggi sono andato a vedere la situazione, il virus si rimuove facilmente (sia AVG che Malwarebytes lo riconoscono). Purtroppo per i file criptati c'è poco da fare, nel suo caso chiedevano 3,5 bitcoins (circa 700€) per la chiave di decodifica.

La prima cosa che ho fatto è stata verificare con Shadow Explorer la presenza di eventuali copie ripristinabili, ma il virus aveva rimosso tutti i punti di ripristino.

Un mio amico mi ha chiamato ieri sera perchè ha incautamente aperto la mail con il virus, che gli ha criptato 25 GB di foto (è il PC di casa, quindi nessun documento importante).

Che tu sappia in quanto tempo ha criptato 25 GB di roba?

il virus si rimuove facilmente (sia AVG che Malwarebytes lo riconoscono).

Ah sì? non mi pareva... o cmq perché lo riconoscono dopo che ormai il danno è fatto e non prima?

AVG ha riconosciuto il CAB infetto come un "Generic Trojan", non specificamente come ctb locker... ma comunque lo ha bloccato. Purtroppo lo abbiamo installato a cose fatte, quindi non so se avrebbe potuto prevenire l'infezione.

Anch'io mi faccio specie in qunto tempo fa la crittografia dei file.
Il cliente mi ha detto 10min, in quel tempo l' Hd locale se n' era andato ma non la rete.

occhio che oltre ai RAR e ZIP fa anche MDB e PST.

alcuni si sono salvati perchè avevano exchange con l' OST.

Per questi casi uso Combofix che ha pulito tutto naturalmente.


Copie shadow...
Non si può modificare nel servizio l' account di connesisone per evitare la disabilitazione?

Il mio punto di vista "tecnico" visto che mi é stato chiesto, per quello che posso:
Che sia impossibile decriptare i file senza la private key, sicuramente lunga e ben strutturata, presente sui loro server é poco ma sicuro. ECC\RSA rendono vana ogni operazione di bruteforce e usando TOR gli autori sono protetti. Le copie shadow anche se attive nell'ultima variante sono inutili poiché eliminate o simile, da verificare cosa effettivamente succede.

Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali?
Mi spiego, quando si cripta un file si genera un nuovo file del tutto indipendente dal file originale e poi volendo il sorgente viene eliminato. Ma la sovrascrizione richiede un tempo superiore rispetto alla semplice eliminazione, quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero.
Il dubbio mi é sorto poiché mi sono ritrovato durante lo sviluppo di EasyCrypt in una situazione analoga, cioé l'eliminazione sicura che in un primo momento non era prevista ( quindi il file non criptato era recuperabile ) ed é stata inserita in un secondo momento. Bisognerebbe provare, il post é dedicato ai volontari che hanno testato il virus in VM.

La prima cosa che ho fatto è stata verificare con Shadow Explorer la presenza di eventuali copie ripristinabili, ma il virus aveva rimosso tutti i punti di ripristino.

Strano, non credo che sia così articolato da rimuovere i punti di ripristino.
Anche perchè i miei punti ripristino ci sono ma il ripristino non va a buon fine.
(potrebbe anche non dipendere dal virus)
In ogni caso anche ripristinando i file criptati resterebbero tali.

Credo che i parametri importanti da sapere siano essenzialmente 3:

1. gli antivirus più usati/diffusi li riconoscono? se si quando, in realtime o dopo che il danno è fatto?

2. quanto tempo ci mette il virus a criptare un tot di giga? In altre parole da quando si è sicuri di aver aperto la mail col virus fino al messaggio della totale criptazione; il tempo impiegato per criptare un tot di giga potrebbe essere indicativo anche per rispondere alla domanda di Master, perché ovviamente se ci ha messo poco tempo plausibilmente non ha cancellato col metodo sicuro i file originali durante la loro eliminazione.

3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)?

Credo che i parametri importanti da sapere siano essenzialmente 3:

1. gli antivirus più usati/diffusi li riconoscono? se si quando, in realtime o dopo che il danno è fatto?

2. quanto tempo ci mette il virus a criptare un tot di giga? In altre parole da quando si è sicuri di aver aperto la mail col virus fino al messaggio della totale criptazione; il tempo impiegato per criptare un tot di giga potrebbe essere indicativo anche per rispondere alla domanda di Master, perché ovviamente se ci ha messo poco tempo plausibilmente non ha cancellato col metodo sicuro i file originali durante la loro eliminazione.

3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)?

Kaspersky no di sicuro. Era installato e aggiornato sul PC della mia collega. 3 ore dopo il fattaccio ho inviato il file a virus total e solo 2 antivirus lo riconoscevano come tale (con un nome del tipo "kryptik*... ").

Quanto al tempo necessario non so, la mia collega mi ha chiamato dopo un'oretta dall'orario di arrivo dell'email, quando aveva notato sul desktop i file con estensione variata e io non ho impiegato certo pochi minuti a capire la situazione, anche perché il PC era di una lentezza cosmica. La mia collega, infatti, per non farsi mancare niente, aveva, ed ha tuttora, 2-3 Gb su 100Gb totali di spazio libero sulla partizione del SO, e i file criptati su quella partizione ammontavano a 55 Gb complessivi. Nel mio caso non avevo dunque alcuna speranza alternativa di recupero, ma questo non dirime effettivamente la questione.

Ciao dal mio tapatalk

3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)?

Se il virus usa i diritti amministrativi può fare quello che vuole e quindi ripristinare la situazione di default, sono gli antivirus che dovrebbero fermarlo. Il metodo migliore è sicuramente GPO/Applocker per bloccare l'esecuzione dei file .scr, altrimenti si può re-indirizzare l'estensione ad una vuota ( CMD come amministratore )
ASSOC .scr=null
Oppure ad un programma tipo Blocco Note
ASSOC .scr=txtfile

In modo che non si possa eseguire e quindi non fare danni. Per ripristinarlo:
ASSOC .scr=scrfile

/OT Hai poi letto quel documento AHCI per la tua SB600?

Strano, non credo che sia così articolato da rimuovere i punti di ripristino.
A quanto ho letto, anche il "vecchio" cryptolocker faceva un "vssadmin delete shadows" dopo avere criptato i dati. Poi magari alcune varianti lo fanno e altre no.

premesso che certi utenti riuscirebbero ad infettarsi anche a computer spento (e badate che non è un semplice luogo comune vista la fantasia messa in campo da costoro, semplici geni della superficialità informatica), il capitolo prevenzione realizzato col-minimo-sforzo potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).


CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert (https://www.youtube.com/watch?v=XrSP-CMjuFk)

HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware (https://www.youtube.com/watch?v=5M8YYnXIAlw)



Quindi, una protezione a priori (proattiva) contro questi rischi.



Perchè se la protezione è rimessa all'Antivirus...

ultima cosa poi veramente me ne vado:

a meno di motivazioni tecniche come quelle sollevate da x_ che sfuggono evidentemente alla mia comprensione, la probabilità di un recupero dei file alterati è praticamente inesistente per cui generalmente è inutile sognare chissà quale miracolo.

Master, certo che quando ho letto questa discussione, e prima ancora che tu intervenissi, non ho potuto fare a meno di pensare a te: devo dire che questi del virus ti fanno una bella concorrenza.. criptare 60 GB di dati in un'ora (e magari cancellando le shadow in modo sicuro mi pare anche abbastanza veloce).. :D


/OT Hai poi letto quel documento AHCI per la tua SB600?

- OT - Sì ho letto e ti ringrazio, ma non ho ancora avuto il tempo di fare delle prove (che conto però di fare a brevissimo), ho però trovato la sezione per windows 7 sullo stesso blog, ora ti mando un mp oppure scrivi sul topic ufficiale e continuiamo lì - /OT -


a meno di motivazioni tecniche come quelle sollevate da x_ che sfuggono evidentemente alla mia comprensione, la probabilità di un recupero dei file alterati è praticamente inesistente per cui generalmente è inutile sognare chissà quale miracolo.

Appunto per questo, come nel caso dei virus letali per gli umani, salvo rari casi di guarigione spontanea, bisogna puntare tutto sulla prevenzione...

potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).


CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert (https://www.youtube.com/watch?v=XrSP-CMjuFk)

HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware (https://www.youtube.com/watch?v=5M8YYnXIAlw)


Sì era il software che avevo segnalato qualche post più su... ma tu ne sei lo sviluppatore per caso?

ma il fatto è che il mio pc non ha mai avuto a che fare con bitcoin e non credo disponga di dati per verificarne eventuali indirizzi.
Inoltre la finestra attiva col timer è stata liquidata rapidamente.
Evidentemente mi sono spiegato male, il controllo sui pagamenti non lo fa il malware in locale sul tuo pc, lo fa il server remoto (quello dei malviventi), semplicemente il malware locale chiede conferma al server remoto e quello gliela da solo se trova il pagamento.
Se hai rimosso il malware, l'unica maniera è quella di collegarsi tramite TOR alla pagina specificata. In tal modo ti colleghi direttamente ad una pagina che sarà fatta in PHP o altri linguaggi simili, che interpellano il server del malware (che sia SQL o simili) ed eventualmente ti sbloccano il download di unlocker e chiave, nel caso tu abbia pagato.

Sì era il software che avevo segnalato qualche post più su... ma tu ne sei lo sviluppatore per caso?

seee!, magari perchè vorrebbe dire che avrei avuto due °° cosi'... :D


Gli sviluppatori di questo gioiellino (CHE NON E' SOLO CRYPTOGUARD) sono due fratelli olandesi molto conosciuti (e apprezzati) in questo campo (Mark & Erik Loman).



I loro prodotti:
http://www.surfright.nl/en/home

Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali? {...} quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero.

Purtroppo è stata la prima cosa che ho provato a fare, ma l'esito è stato del tutto negativo, può darsi che il malware magari proceda ad eliminare solo alcune parti dei files, senza sovrascriverli del tutto, ma rendendoli comunque irrecuperabili. Faccio un esempio del menga, senza essere superesperto, magari un PDF da 16 mega, lo cripta su spazio libero e poi sovrascrive 3-400KB dell'originale, giusti giusti per impedirne il recupero... Ma non escludo neanche che sovrascriva tutto, perché non ero presente al momento del contagio.

Io non apro mai queste email... ma x puro caso questa l'ho fatto... più x curiosità per vedere che si erano inventati... per fortuna l'ho aperta con un cellulare android... credo che nemmeno mi ha fatto scaricare l'allegato... e comunque non hanno effetto su sistemi android giusto? Ma per effetto cera da scompattare e far partire quello all'interno?

E di quest'altro "vaccino (http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/)" che ne pensate? Qualuno ha avuto modo ti testarlo?

Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali?
Mi spiego, quando si cripta un file si genera un nuovo file del tutto indipendente dal file originale e poi volendo il sorgente viene eliminato. Ma la sovrascrizione richiede un tempo superiore rispetto alla semplice eliminazione, quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero.
Il dubbio mi é sorto poiché mi sono ritrovato durante lo sviluppo di EasyCrypt in una situazione analoga, cioé l'eliminazione sicura che in un primo momento non era prevista ( quindi il file non criptato era recuperabile ) ed é stata inserita in un secondo momento. Bisognerebbe provare, il post é dedicato ai volontari che hanno testato il virus in VM.

appunto E' troppo veloce a criptare e a cancellare... cosa ci sfugge?

salve a tutti....
puntualmente quando ci sono questi virus in giro mi arrivano pc da ripulire...
ed oggi mi è arrivato appunto, un laptop win7 con tal "cryptowall3.0" sopra...

non avevo mai sentito ne visto questo virus, ma posso dirvi che i file non sembrano criptati, perchè le estensioni sono le stesse di prima, solamente non me le fa aprire... per ora ho provato le immagini che risulterebbero danneggiate come è ovvio che sia visto che sarebbero criptate..

cmq non c'è nessun countdown sulla macchina... in questo caso il countdown si avvia appena ci si connette via tor o via normale, sulle loro pagine e si visita la pagina personale col codice che il virus genera in loco sulla macchina...

volevo vedere se esisteva la decrittazione di prova e ho azionato il countdown... chiedono 500$ e tra una settimana saranno 1000%

non credo che il proprietario paghi, ma non l'ho ancora sentito...
non hho capito come si è infettato, non ho torvato mail sospette anche se cripta pure quelle quindi capirlo è imposibile per ora... sarà stato il solito cab....

volevo fare una domanda... il virus passa da un pc ad un altro con le chiavette?


vorrei evitare di infettarmi il mio pc se dovessi usare per prove le mie chiavette per trasportare files da un pc ad un altro....

PS OT(ma non troppo): ma è vero o no che utiizzare truecrypt per i propri files è pericoloso (nel senso che hanno bucato l'algoritmo)?

ma posso dirvi che i file non sembrano criptati, perchè le estensioni sono le stesse di prima, solamente non me le fa aprire... Significa appunto che sono criptati; se tu cripti un file jpg e poi lo rinomini sempre in jpg risulta ovviamente non leggibile.

non hho capito come si è infettato, non ho torvato mail sospette anche se cripta pure quelle quindi capirlo è imposibile per ora... sarà stato il solito cab.... L'allegato mail è forse il metodo più immediato e semplice, ma da quel che ho letto può sfruttare vulnerabilità attraverso plugin non aggiornati del browser o altre applicazioni.

volevo fare una domanda... il virus passa da un pc ad un altro con le chiavette?Questo non lo so, ma se un antivirus lo rileva su un disco lo rileva anche su una chiavetta.

vorrei evitare di infettarmi il mio pc se dovessi usare per prove le mie chiavette per trasportare files da un pc ad un altro....Si presume che tu utilizzi un pc in ambiente protetto o virtualizzato o comunqe dove non hai dati personali importanti di cui non hai fatto prima un backup, quando si maneggiano certi pericoli.

PS OT(ma non troppo): ma è vero o no che utiizzare truecrypt per i propri files è pericoloso (nel senso che hanno bucato l'algoritmo)?Non c'è nulla di attendibile al momento in questa affermazione, per il momento di ufficiale c'è solo che è stato abbandonato il progetto dai suoi sviluppatori.

Buongiorno a tutti,

Durante la mia assenza nel mese di gennaio anche in ufficio da me un computer è stato infettato.
il backup non è aggiornatissimo ma fortunatamente gran parte del lavoro dovrei riuscire a recuperarlo.
ora mi rimangono un po di dubbi:
-dopo aver scasionato e a quanto pare eliminato il virus mi rimane lo sfondo desktop con la scritta che il virus è stato debellato e per recuperare i file eseguire la procedura(è normale che rimanga la scritta oppure il virus non è ancora stato debellato) è sufficente eliminare e modificare lo sfondo?
-è meglio dare una formattata al tutto? o una volta elimato il virus dovrebbe tornare alla normalità?

vedrò di salvare i file che non son riuscito a recuperare tramite il backup sperando in un prossimo e breve futuro ci sia una soluzione per decriptarli nel frattempo seguo con molto interesse.

Buongiorno a tutti,

Durante la mia assenza nel mese di gennaio anche in ufficio da me un computer è stato infettato.
il backup non è aggiornatissimo ma fortunatamente gran parte del lavoro dovrei riuscire a recuperarlo.
ora mi rimangono un po di dubbi:
-dopo aver scasionato e a quanto pare eliminato il virus mi rimane lo sfondo desktop con la scritta che il virus è stato debellato e per recuperare i file eseguire la procedura(è normale che rimanga la scritta oppure il virus non è ancora stato debellato) è sufficente eliminare e modificare lo sfondo?
-è meglio dare una formattata al tutto? o una volta elimato il virus dovrebbe tornare alla normalità?

vedrò di salvare i file che non son riuscito a recuperare tramite il backup sperando in un prossimo e breve futuro ci sia una soluzione per decriptarli nel frattempo seguo con molto interesse.

o mettono le mani sul database delle chiavi oppure a breve e nemmeno a lungo non ci sarà nessun metodo per decrittarli

premesso che certi utenti riuscirebbero ad infettarsi anche a computer spento (e badate che non è un semplice luogo comune vista la fantasia messa in campo da costoro, semplici geni della superficialità informatica), il capitolo prevenzione realizzato col-minimo-sforzo potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).


CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert (https://www.youtube.com/watch?v=XrSP-CMjuFk)

HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware (https://www.youtube.com/watch?v=5M8YYnXIAlw)



Quindi, una protezione a priori (proattiva) contro questi rischi.



Perchè se la protezione è rimessa all'Antivirus...


Ottima news / ottimo programma...

Mi sa che lo installo sui computer di moglie e figlia !

scusate ma non ho ricevuto risposta alla domanda più importante :)

quando con gli antivirus il trojan viene eliminato rimane in ogni caso uno sfondo inerente o torna normale?
non capisco proprio se sia riuscito ad eliminarlo.

Quando lo rimuovi lo sfondo ritorna normale.
Se formatti ti perdi la possibilitò di ripristinare i dati, come se lo rimuovi. Quindi in questi casi devi avere un backup funzionante.

Ottima news / ottimo programma...

A proposito di questo programma (Hitman Pro Alert) segnalo che una volta installato esso rimane sempre in esecuzione. Ora, immagino che questo accade perché il processo deve essere protetto da eventuali stop da parte di altri processi o da parte dell'utente. Tuttavia per chi, come me, vuole tenere tutto sotto controllo e poter decidere di interrompere un processo (anche se importante) a mia discrezione, questo potrebbe essere un piccolo neo.
Qualcuno di voi ha trovato un modo eventualmente per arrestarlo senza doverlo disinstallare completamente?

A proposito di questo programma (Hitman Pro Alert) segnalo che una volta installato esso rimane sempre in esecuzione. Ora, immagino che questo accade perché il processo deve essere protetto da eventuali stop da parte di altri processi o da parte dell'utente. Tuttavia per chi, come me, vuole tenere tutto sotto controllo e poter decidere di interrompere un processo (anche se importante) a mia discrezione, questo potrebbe essere un piccolo neo.
Qualcuno di voi ha trovato un modo eventualmente per arrestarlo senza doverlo disinstallare completamente?

Sta sul computer di chi non si interessa di questo fatto...

Aggiorno la mia situazione confermando che su 4 pc visti non esistevano più le shadow copy.
In un altro caso pur essendo stato aperto l'allegato non capisco perché ma il virus non è partito (antivirus presente "panda" )

Inviato dal mio SM-N910F utilizzando Tapatalk

Sta sul computer di chi non si interessa di questo fatto...

La domanda era rivolta ad utenti più esperti..

A proposito di questo programma (Hitman Pro Alert) segnalo che una volta installato esso rimane sempre in esecuzione. Ora, immagino che questo accade perché il processo deve essere protetto da eventuali stop da parte di altri processi o da parte dell'utente. Tuttavia per chi, come me, vuole tenere tutto sotto controllo e poter decidere di interrompere un processo (anche se importante) a mia discrezione, questo potrebbe essere un piccolo neo.
Qualcuno di voi ha trovato un modo eventualmente per arrestarlo senza doverlo disinstallare completamente?

ora sarà un problema anche quello??

Ho capito che la domanda che poni è legittima ma, considerando che il fine principale della v3 è quello di coprire contro gli exploit (portati su programmi tradizionalmente vulnerabili ad attacchi di questo tipo, es i Browser e i suoi plugin [FlashPlayer], Java, Adobe reader,...) e che si è praticamente sempre on-line quando si usa un PC, non è una mossa intelligente sospendere la protezione visto che qualsiasi sito -in qualsiasi momento- potrebbe essere "pericoloso" (per veicolare malware tramite appunto exploit).


Insomma, non capisco perchè questa richiesta di controllo (di cosa, poi?) dovrebbe passare per la sospensione di uno strumento che deve lavorare in continuazione...

ora sarà un problema anche quello??

Ho capito che la domanda che poni è legittima ma, considerando che il fine principale della v3 è quello di coprire contro gli exploit (portati su programmi tradizionalmente vulnerabili ad attacchi di questo tipo, es i Browser e i suoi plugin [FlashPlayer], Java, Adobe reader,...) e che si è praticamente sempre on-line quando si usa un PC, non è una mossa intelligente sospendere la protezione visto che qualsiasi sito -in qualsiasi momento- potrebbe essere "pericoloso" (per veicolare malware tramite appunto exploit).


Insomma, non capisco perchè questa richiesta di controllo (di cosa, poi?) dovrebbe passare per la sospensione di uno strumento che deve lavorare in continuazione...

Scusa non capisco perché ti agiti tanto, se è un problema o meno per me, lo stabilisco io... Detto ciò, la mia domanda rimane comunque a tema, sto testando il programma (che mi auguro sia realmente utile) ed è mia prassi chiedermi le cose e scegliere come amministrarle; se ho troppi processi in esecuzione e mi serve killare dei processi potrei essere libero di selezionare anche questo; inoltre, se voglio fare un test scegliendo di infettarmi volutamente, devo poter essere libero di farlo. Se uno sa rispondere mi risponde, altrimenti tutto il resto è solo polemica inutile.

altra cosa per chiarezza nei confronti di chi dovesse leggere e fosse magari digiuno del programma citato poc'anzi:

NON E' UN ANTIVIRUS ma un programma che risponde ad altri tipi di bisogni.

Secondo che utenti siete, quindi, non lo potete utilizzare in sostituzione dell'antivirus tradizionale! ma solo come (utilissimo) complemento!







Quindi, è chiarito anche questo punto.

Scusa non capisco perché ti agiti tanto, se è un problema o meno per me, lo stabilisco io...

sai l'inglese?

Se si, contatta direttamente gli sviluppatori cosi' gli fai presente che, dovendo essere libero di infettarti, hai bisogno di sospendere la protezione quando ti aggrada :D

http://www.wilderssecurity.com/members/erikloman.99034/

altra cosa per chiarezza nei confronti di chi dovesse leggere e fosse magari digiuno del programma citato poc'anzi:

NON E' UN ANTIVIRUS ma un programma che risponde ad altri tipi di bisogni.

Secondo che utenti siete, quindi, non lo potete utilizzare in sostituzione dell'antivirus tradizionale! ma solo come (utilissimo) complemento!


Quindi, è chiarito anche questo punto.

Appunto...
Utilissimo secondo me per il computer di moglie e figlia, che cliccano su tutto come se non ci fosse un domani !

Insomma, non capisco perchè questa richiesta di controllo (di cosa, poi?) dovrebbe passare per la sospensione di uno strumento che deve lavorare in continuazione...
Tutti gli antivirus hanno dei servizi che restano sempre in esecuzione (appunto per prevenire il danno prima di doverlo curare), però danno sempre la possibilità di spegnere i controlli real-time. Non foss'altro perchè potrebbero prendere un abbaglio ed interferire con le attività legittime svolte sul pc, andare in conflitto con altri software, ecc. .

Tanto per fare un esempio stupido, le ultime versioni di Oracle Virtual Box mi vanno in conflitto con il Symantec Endpoint Protection (quelle vecchie invece funzionano).

salve,
anche nell' azienda è arrivata una mail con un allegato e purtroppo è stata aperta, ha infettato la chiavetta USB e il server ( N: ).
ho provato subito con un programma di recupero file e putroppo ho recuperato solo il 5% circa. essendo l'ultimo backup risalente a 1 anno fa, abbiamo dovuto pagare, perhè c'erno centinaia di file .xls utilizzati per contabilità.
non è stato per niente facile pagare, essendo i siti molto difficili da raggiungere, ma con un po' di conoscenze personali informatiche, sono riuscito a venirne a capo. ho dovuto pagare 2.5 BTC (550euro circa), 15 minuti dopo il pagamento ho aggiornato la pagina e mi è stato dato il programma per decriptare.
l'ho copiato un un computer disconnesso, in cui ho messo anche tutti i file criptati e l'ho fatto girare. tutto ok alla fine, la difficoltà sta solo nel riuscire a collegarsi al sito e un po' di praticità nel comprare/trasferire BTC

la mail ingannevole conteneva un riepilogo di merce che ci doveva essere rimborsata per errato acquisto e scrivevano di aprire l'allegato .cab per poter avere maggiori informazione. dentro il .cab (cartella compressa) c'era un .scr, che all'esecuzione ha instantaneamente criptato tutto. l'antivirus (AVG) lo ha risconosciuto soltanto alla seconda esecuzione (effettuata in sicurezza).

se serve aiuto, chiedetemi pure

salve,
anche nell' azienda è arrivata una mail con un allegato e purtroppo è stata aperta, ha infettato la chiavetta USB e il server ( N: ).
ho provato subito con un programma di recupero file e putroppo ho recuperato solo il 5% circa. essendo l'ultimo backup risalente a 1 anno fa, abbiamo dovuto pagare, perhè c'erno centinaia di file .xls utilizzati per contabilità.
non è stato per niente facile pagare, essendo i siti molto difficili da raggiungere, ma con un po' di conoscenze personali informatiche, sono riuscito a venirne a capo. ho dovuto pagare 2.5 BTC (550euro circa), 15 minuti dopo il pagamento ho aggiornato la pagina e mi è stato dato il programma per decriptare.
l'ho copiato un un computer disconnesso, in cui ho messo anche tutti i file criptati e l'ho fatto girare. tutto ok alla fine, la difficoltà sta solo nel riuscire a collegarsi al sito e un po' di praticità nel comprare/trasferire BTC

la mail ingannevole conteneva un riepilogo di merce che ci doveva essere rimborsata per errato acquisto e scrivevano di aprire l'allegato .cab per poter avere maggiori informazione. dentro il .cab (cartella compressa) c'era un .scr, che all'esecuzione ha instantaneamente criptato tutto. l'antivirus (AVG) lo ha risconosciuto soltanto alla seconda esecuzione (effettuata in sicurezza).

se serve aiuto, chiedetemi pure

alla fine riconosciamo il valore sociale di questi malware, dai:
vuoi scommettere che in futuro farete backup dei dati sensibili con cadenza almeno mensile??

Non credo infatti che siate cosi' fessi da farvi trovare due volte con le mani nella marmellata, no?

Tanto per fare un esempio stupido, le ultime versioni di Oracle Virtual Box mi vanno in conflitto con il Symantec Endpoint Protection (quelle vecchie invece funzionano).

problema noto e ampiamente dibattuto sul forum uff. di VBox.

Risiede nella nuova architettura di quest'ultimo (che dicono più improntata alla protezione dell'host) e non è generalmente risolvibile con la mera sospensione del servizio della soluzione antivirus adottata, per cui in questo caso...

alla fine riconosciamo il valore sociale di questi malware, dai:
vuoi scommettere che in futuro farete backup dei dati sensibili con cadenza almeno mensile??

Non credo infatti che siate cosi' fessi da farvi trovare due volte con le mani nella marmellata, no?

O anche prendere chi è deputato a leggere le email aziendali e tagliarli le mani !

sapete se Comodo in proactive mode con la sandbox attiva ce la fa a bloccarlo prima che faccia danni ?

confermo che l'accoppiata kis + windows 8 ha impedito l'infezione di un mio cliente nonostante i ripetuti tentativi di apertura del file

confermo che l'accoppiata kis + windows 8 ha impedito l'infezione di un mio cliente nonostante i ripetuti tentativi di apertura del file

come, però?

Se in via proattiva ha valore, se tramite firme → semplice botta di ****...

dentro il .cab (cartella compressa) c'era un .scr, che all'esecuzione ha instantaneamente criptato tutto. Ma come fa un programma a criptare mole di dati istantaneamente? Sai dire più o meno quanto tempo è passato dall'apertura dell'allegato al messaggio del riscatto e quanti Mb o Gb sono stati criptati?

l'antivirus (AVG) lo ha risconosciuto soltanto alla seconda esecuzione (effettuata in sicurezza). Questo è preoccupante...

se serve aiuto, chiedetemi pure Di certo non per pagare... :D

sapete se Comodo in proactive mode con la sandbox attiva ce la fa a bloccarlo prima che faccia danni ? Perché non provi anche tu HitmanPro.Alet?

come, però?

Se in via proattiva ha valore, se tramite firme → semplice botta di ****...

non so quando hanno aggiornato le firme di kis ma ti posso dire che i tentativi di apertura del cab sono avvenuti martedì scorso tarda mattinata / primo pomeriggio

Ribadisco se a qualcuno interessa che utilizzando un sw di recupero file ci sono buone possibilità di recuperare quelche file, dato che il virus crea una copia del fine cripta e poi cancella l'originale.

Ciao a tutti,
volevo sapere se il nuovo virus CTB-Locker (il nuovo virus che cripta i dati)
se infetta un PC con Windows, il quale è connesso come administrator via Samba ad un Synology DMS5.1 che con esplora risorse sta vedendo cartelle del Nas,

IL VIRUS E' in grado di CRIPTARE ANCHE I DATI SUL NAS?????

PS: Conosco una azienda che è stata infettata dal virus, non ho ancora avuto modo di parlare bene col responsabile, ma so che hanno dovuto cancellare "tutto" e ripristinare i dati col backup del giorno prima!!!

Ciao a tutti,
volevo sapere se il nuovo virus CTB-Locker (il nuovo virus che cripta i dati)
se infetta un PC con Windows, il quale è connesso come administrator via Samba ad un Synology DMS5.1 che con esplora risorse sta vedendo cartelle del Nas,

IL VIRUS E' in grado di CRIPTARE ANCHE I DATI SUL NAS?????

PS: Conosco una azienda che è stata infettata dal virus, non ho ancora avuto modo di parlare bene col responsabile, ma so che hanno dovuto cancellare "tutto" e ripristinare i dati col backup del giorno prima!!!

se il disco è mappato come unità si

se il disco è mappato come unità si
Vero.
Ciò non toglie che domani mattina potrebbe uscire la variante che accede a tutti gli share di rete aperti, anche se non mappati.

Magari no perché gli serve nella riga di comando il percorso esatto.

posso suggerire una soluzione 'stupida'? :)
Avvisare clienti/colleghi/amici/parenti del pericolo, spiegare loro a cosa vanno incontro,
e, al limite, contattarvi, se dovessero ricevere una mail di questo tipo.
Personalmente è quello che ho fatto appena sono venuto a conoscenza della cosa.
Questa truffa si basa sull'ignoranza e sull'ingenuità delle persone...
rendendole consapevoli e informate, si riduce drasticamente la sua efficacia....o no? :)

Più che soluzione stupida direi che non è una soluzione a danno avvenuto; ciò che tu dici è prevenzione ed è sacrosanta, quel che possiamo fare ora è proprio questo affinché si riducano i rischi in futuro.

se il disco è mappato come unità si

Per la cronaca, a me la Technical Preview che avevo in partizione ha subito lo stesso trattamento.

quel che possiamo fare ora è proprio questo affinché si riducano i rischi in futuro.Confermo che funziona. Tre potenziali vittime (and counting) "salvate" solo col passaparola. :D
Ogni tanto le catene di S.Antonio su WhatsApp servono a qualcosa! :sofico:

salve,
anche nell' azienda è arrivata una mail con un allegato e purtroppo è stata aperta, ha infettato la chiavetta USB e il server ( N: ).
ho provato subito con un programma di recupero file e putroppo ho recuperato solo il 5% circa. essendo l'ultimo backup risalente a 1 anno fa, abbiamo dovuto pagare, perhè c'erno centinaia di file .xls utilizzati per contabilità.


:eek: aziende che non fanno backup :doh:

Ribadisco se a qualcuno interessa che utilizzando un sw di recupero file ci sono buone possibilità di recuperare quelche file, dato che il virus crea una copia del fine cripta e poi cancella l'originale.
Tentativi effettuati con successo? Perché io personalmente, come già detto, ho tentato con diversi software di recupero, e non si è recuperato una mazza in quel modo.

posso suggerire una soluzione 'stupida'? :)
Avvisare clienti/colleghi/amici/parenti del pericolo, spiegare loro a cosa vanno incontro,{...}
Fatto, per fortuna è anche servito, perché quasi tutti hanno ricevuto mail simili, una persona mi aveva addirittura contattato prima che diffondessi il mio appello, per chiedermi un parere su quella mail (parere che ovviamente ho dato negativo). Il buon vecchio passaparola salva le vite certe volte :D

:eek: aziende che non fanno backup :doh:
E pensati che ne parlavo ieri con un amico che lavora in una grossa azienda di catering. Hanno tutto sul server, ed il server non è manco collegato ad un UPS, ogni volta che salta la corrente da loro salta pure il server. PURA FOLLIA.

:eek: aziende che non fanno backup :doh:

il backup, fino a un anno fa, è stato fatto regolarmente ogni 3 giorni. si è scoperto proprio per colpa di questo virus che da un anno non veniva eseguito, per colpa del programmatore che è adibito alla gestione della rete e del server.
capirete da soli chi ha pagato quei 550 euro :D :Prrr:

posso suggerire una soluzione 'stupida'? :)
Avvisare clienti/colleghi/amici/parenti del pericolo, spiegare loro a cosa vanno incontro,
e, al limite, contattarvi, se dovessero ricevere una mail di questo tipo.
Personalmente è quello che ho fatto appena sono venuto a conoscenza della cosa.
Questa truffa si basa sull'ignoranza e sull'ingenuità delle persone...
rendendole consapevoli e informate, si riduce drasticamente la sua efficacia....o no? :)

perfetto, ipotizziamo che stavolta la tua politica abbia effetto.

E domani, quando cambia magari una virgola nel meccanismo di infezione?

Contatti di nuovo tutti e cosi' via per ogni pericolo della rete?

Ciclicamente, infatti, si assiste a pandemie come questa, segno evidente che la soluzione non passa certo per whatsapp o un articolo di giornale ma risiede principalmente nell'educazione informatica.

Parlare di educazione informatica, equivale a parlare di teletrasporto !

Questa primavera/estate, stavo appunto pensando di prendere un pò di vecchi, e fare un corso di educazione informatica

il backup, fino a un anno fa, è stato fatto regolarmente ogni 3 giorni. si è scoperto proprio per colpa di questo virus che da un anno non veniva eseguito, per colpa del programmatore che è adibito alla gestione della rete e del server.
capirete da soli chi ha pagato quei 550 euro :D :Prrr:

e la crocefissione in sala mensa? :asd:


E pensati che ne parlavo ieri con un amico che lavora in una grossa azienda di catering. Hanno tutto sul server, ed il server non è manco collegato ad un UPS, ogni volta che salta la corrente da loro salta pure il server. PURA FOLLIA.

il giorno in cui il server schiatterà sarà epico

comunque con il passaparola via sms un paio ne ho salvati pure io :asd:

Magari no perché gli serve nella riga di comando il percorso esatto.
Guarda che ci sono già stati in passato virus che si diffondono sulla LAN attraverso le condivisioni di rete.
Per vedere gli accessi correntemente aperti dal tuo PC fai un "net use" da linea di comando, e i percorsi li vedi.

Tentativi effettuati con successo? Perché io personalmente, come già detto, ho tentato con diversi software di recupero, e non si è recuperato una mazza in quel modo.


Ho provato con una chiavetta dove un mio cliente aveva fatture e foto. Salvati direi un 70% di file.
Ho usato Easy Recovery della Ontrack

la mia politica (che ho ribadito più volte in questo forum nel corso degli anni) sarebbe quella di permettere l'utilizzo di un computer connesso alla rete solo a seguito di conseguimento
di un patentino.

Ma andiamo....per favore ci mancherebbe anche questa idiozia :doh:

Ma andiamo....per favore ci mancherebbe anche questa idiozia :doh:

Eh ha ragione...
Un bel corso di educazione informatica, ci starebbe proprio bene !

Eh ha ragione...
Un bel corso di educazione informatica, ci starebbe proprio bene !

Nell'era in cui si cerca di portare la rete ovunque e a chiunque per uscire dai ghetti delle sottoculture metropolitane e non, dove l'imperativo è il cablaggio totale e wi-fi su tutto il territorio possibilmente gratuito si viene a parlare di patentini...
L'ho detto e lo ribadisco, un idea veramente balorda!

Non puoi richiedere un corso o una patente per accedere alle comunicazioni e alle informazioni, è ridicolo , come dover presentare un patentino per entrare in edicola o libreria.
Le aziende preparassero a dovere i loro addetti informatici, non è una cosa che riguarda il resto della popolazione.

Nell'era in cui si cerca di portare la rete ovunque e a chiunque per uscire dai ghetti delle sottoculture metropolitane e non, dove l'imperativo è il cablaggio totale e wi-fi su tutto il territorio possibilmente gratuito si viene a parlare di patentini...
L'ho detto e lo ribadisco, un idea veramente balorda!

Se dai un mezzo ad una persona devi insegnarli ad usarlo...

Quindi ok la rete globale, ok il wifi per tutti, ma anche informazione !

Io, se avessi un euro per ogni mail di phising o altro, a quest'ora mi potrei comprare l'apple in contanti...
Anche su siti ritenuti affidabili, spesso appaiono finti banner per un ancora più finto upgrade.
Per non parlare dei pulsanti " hai vinto un iphone, clicca qui"

Quindi spiegare cosa succede lo ritengo il minimo sindacale !

Ma ora è passato di moda, l'insegnamento, hai ragione, ad esempio anzichè insegnare alla gente a guidare sulla neve hanno reso le gomme invernali / catene obbligatorie !

salve,
anche nell' azienda è arrivata una mail con un allegato e purtroppo è stata aperta, ha infettato la chiavetta USB e il server ( N: ).
ho provato subito con un programma di recupero file e putroppo ho recuperato solo il 5% circa. essendo l'ultimo backup risalente a 1 anno fa, abbiamo dovuto pagare, perhè c'erno centinaia di file .xls utilizzati per contabilità.
non è stato per niente facile pagare, essendo i siti molto difficili da raggiungere, ma con un po' di conoscenze personali informatiche, sono riuscito a venirne a capo. ho dovuto pagare 2.5 BTC (550euro circa), 15 minuti dopo il pagamento ho aggiornato la pagina e mi è stato dato il programma per decriptare.
l'ho copiato un un computer disconnesso, in cui ho messo anche tutti i file criptati e l'ho fatto girare. tutto ok alla fine, la difficoltà sta solo nel riuscire a collegarsi al sito e un po' di praticità nel comprare/trasferire BTC

la mail ingannevole conteneva un riepilogo di merce che ci doveva essere rimborsata per errato acquisto e scrivevano di aprire l'allegato .cab per poter avere maggiori informazione. dentro il .cab (cartella compressa) c'era un .scr, che all'esecuzione ha instantaneamente criptato tutto. l'antivirus (AVG) lo ha risconosciuto soltanto alla seconda esecuzione (effettuata in sicurezza).

se serve aiuto, chiedetemi pure


Stessa cosa è capitata nell'azienda dove lavoro io.
Ho pagato lunedì. Oggi finalmente il pagamento è stato confermato e come per magia mi è arrivata la chiave di decrittazione. E' da quasi due ore che sta lavorando su hard disk esterno e su pc principale. Credo che a breve avrà finito. Storia assurda ed incredibile. Io sono sbalordita da queste menti!!!!! Sono diaboliche davvero......

riporto qua l'edit che ho fatto al primo post della discussione.

nonostante moralmente non si possa ritenere corretto come ampiante discusso di seguito, riporto che in base alle varie segnalazioni all'interno della discussione, chi per estremo bisogno di recuperare i file, ha pagato il riscatto (250-1000€) è riuscito a decriptare i file seguendo con attenzione la corretta precedura.
al momento nessun altro sistema sembra essere efficace compreso:
-recupero shadow copy (puntualmente cancellate)
-recupero dei file eliminati
-vari programmi che promettono miracolosi recuperi

Segnalo altresì che un utente ha messo a disposizione un tool per prevenire (abbinato ad un buon antivirus) attacchi simili

Se qualcuno volesse integrarlo con altre informazioni utili me lo dica anche in messaggio privato e provvederò ad integrare che ora sono un pò di corsa

Stessa cosa è capitata nell'azienda dove lavoro io.
Ho pagato lunedì. Oggi finalmente il pagamento è stato confermato e come per magia mi è arrivata la chiave di decrittazione. E' da quasi due ore che sta lavorando su hard disk esterno e su pc principale. Credo che a breve avrà finito. Storia assurda ed incredibile. Io sono sbalordita da queste menti!!!!! Sono diaboliche davvero......

Non c'è tanto da sbalordirsi. Il backup periodico dei dati è una regola fondamentale nel campo dell'informatica. Oggi sono state queste menti "diaboliche", domani potrà essere un guasto fisico o qualche altro malfunzionamento, o ancora un errore umano. La lezione deve servire a fare le cose con attenzione e soprattutto prevenzione.

p.s. come hai pagato in bitcoin?

il backup, fino a un anno fa, è stato fatto regolarmente ogni 3 giorni. si è scoperto proprio per colpa di questo virus che da un anno non veniva eseguito, per colpa del programmatore che è adibito alla gestione della rete e del server.
capirete da soli chi ha pagato quei 550 euro :D :Prrr:

capirai anche tu dove stà il problema

Il patentino è un'idiozia, ci può stare, non pretendo di ricevere consensi.

Ma dimmi, farsi fregare tutti i dati e pagare 500 euro per riaverli, e questo
per aver cliccato su un file sconosciuto, ricevuto via email...nel 2015...questo come lo chiami?

Patentino = educazione informatica...non deve essere per forza un pezzo di carta con un timbro,
ma nemmeno permettere a persone 'ignoranti' l'accesso ad uno strumento che può causare
danni a loro stessi (e di questo frega zero) ma soprattutto agli altri.

Se tu hai un'idea migliore per evitare che in futuro si ripetano casi del genere, sei comunque
il benvenuto, una discussione è fatta per accresecere le proprie conoscenze, quindi dimmi pure...
Per quanto a prima vista possa sembrare una soluzione estrema, non è un'idea poi così pellegrina. Ma il problema vero è un altro, c'è un sacco di gente con la patente che guida da cani :asd:

Qui si dice che la soluzione sia stata trovata (https://www.achab.it/achab.cfm/it/blog/achablog/la-soluzione-per-cryptolocker)
Però sono andato su https://www.decryptcryptolocker.com/ e ho provato con alcuni file affetti da cryptolocker ma mi restituisce l'errore invalid file... qualcuno può fare altre prove?
EDIT: postato con troppa fretta, l'articolo non è recente e come si legge dai commenti non è più efficace



Altra cosa, gli stessi file mandati all'assistenza drWeb dove sono riusciti a decriptarli e quindi sarebbero in grado di darmi la chiave per decryptare (ovviamente pagando)
Domani avrò più informazioni

Queste non sono soluzioni, per cui tuttora manca una soluzione.

Cliente con Win XP (si lo so', no comment) e CTB Locker lasciato indisturbato ad agire. Ho provato giusto per dire appunto, ho provato, a cercare file cancellati ma niente, il Locker non cancella i file quando lo critta e quindi non si recupera nulla.

Dato che con bitcoin non ho mai avuto a che fare, mi consigliate un wallet?

Grazie

il Locker non cancella i file quando lo critta e quindi non si recupera nulla.

Grazie

Considerando che su internet le info sono diverse, che la mia esperienza differisce dalla tua e che qui non c'è nessuno esperto di questo virus. Probabilmente le varianti del virus si comportano in modo diverso. Consiglio di effettuare un tentativo di recupero dati serio.

Chiedo al moderatore di tenere pulito la discussione punendo i contributi OT, vista la delicatezza del tema. Grazie.

Considerando che su internet le info sono diverse, che la mia esperienza differisce dalla tua e che qui non c'è nessuno esperto di questo virus. Probabilmente le varianti del virus si comportano in modo diverso. Consiglio di effettuare un tentativo di recupero dati serio.

sono stato spicciolo nella spiegazione, intendo che il locker (dopo vedo se riesco a risalire alla versione del ctb) non copia e cancella semplicemente i file. Puo' essere ad esempio che li copi e li cancelli con tecniche di riscrittura a passaggi multipli e chi piu' ne ha piu' ne metta.

Quello che volevo dire e' che con un paio di software di recupero dati classici, non si trova nemmeno l'ombra dei vecchi file.

sono stato spicciolo nella spiegazione, intendo che il locker (dopo vedo se riesco a risalire alla versione del ctb) non copia e cancella semplicemente i file. Puo' essere ad esempio che li copi e li cancelli con tecniche di riscrittura a passaggi multipli e chi piu' ne ha piu' ne metta.

Quello che volevo dire e' che con un paio di software di recupero dati classici, non si trova nemmeno l'ombra dei vecchi file.

Intendi dire che con il disco del pc infetto collegato ad un altro pc non hai recuperato nessun tipo di file? Ripeto, io ho usato il sw dell'Ontrack. Ok, ci stà, viste la multitudine di varianti. Consiglio comunque un tetativo.

Intendi dire che con il disco del pc infetto collegato ad un altro pc non hai recuperato nessun tipo di file? Ripeto, io ho usato il sw dell'Ontrack. Ok, ci stà, viste la multitudine di varianti. Consiglio comunque un tetativo.

Esattamente, get data back e recuva non hanno trovato nulla.

Esattamente, get data back e recuva non hanno trovato nulla.

Prova il software della Ontrack oppure photorec, sicuramente molto meglio di recuva...

Oggi mi è arrivata la seguente email dall'indirizzo windbonus@info.it:

Super Noi Wind


Gentile Utente ,

Ricarica il tuo numero di telefono. Accedi al servizio per ottere con solo 20 euro di spesa,

una ricarica omaggio del valore di 50 euro, accesso a internet per 5 GB, 1000 minuti di chiamate verso tutti!

Si prega di scaricare il file da wind.it per ricaricare:

Messaggio Promozionale di Wind Telecom S.p.A.

Ora, tralasciando che con un minimo di buon senso si capisce chiaramente che è una mail fraudolenta (certo tu paghi 20 e loro ti regalano 50, e poi notizia bomba del secolo la Wind adesso si è fusa a Telecom come hanno scritto Wind Telecom S.p.A. :D ), il file allegato è in formato .htm e di dimensioni di 903 bytes: secondo voi può essere il CTB LOcker? L'estensione non è .cab o .exe e le dimensioni mi sembrano troppo piccole..

Wind Telecom S.p.ALegit.
http://en.wikipedia.org/wiki/Wind_Telecom

La cosa che deve far sospettare è l'indirizzo da cui è stta spedita piuttosto (ma capisco che per l'utonto medio controllare l'indirizzo di un mittente sia facile quanto spiegare la teoria della relatività a un sordo, in greco antico).
Il file .htm così su due piedi a me fa pensare più al phishing che ad altro più che altro perché ne ho visti a decine (ho scoperto di avere decine di conti correnti in banche di cui neanche sapevo il nome fino a che non m'è arrivata la mail, ho scoperto di avere 4 0 5 iDevices sparsi per casa e di essere stato selezionato per un viaggio attorno al mondo gratis)...
Però può benissimo darsi che nell'htm ci sia a sua volta un link a qualcosa da scaricare, why not?

Legit.
http://en.wikipedia.org/wiki/Wind_Telecom Oddio non ci avevo mai fatto caso, ho sempre letto e saputo Wind Telecomunicazioni S.p.A... :eek:

La cosa che deve far sospettare è l'indirizzo da cui è stta spedita piuttosto (ma capisco che per l'utonto medio controllare l'indirizzo di un mittente sia facile quanto spiegare la teoria della relatività a un sordo, in greco antico). ahahah, vero, anche se devo dire che per un utonto quel nome di fantasia non è male quanto a credibilità... :D

Il file .htm così su due piedi a me fa pensare più al phishing che ad altro
Sì è la prima cosa che ho pensato anche io, ma dato che sta impazzando il Locker volevo sincerarmene... Del resto penso che è un virus molto ben congegnato, e credo che le sue dimensioni debbano essere almeno superiori a 1Mb.. o no?

Se veramente quella è l'intestazione, allora è ancora più grave la colpa degli utenti che hanno beccato questo virus.

Purtroppo posso dire che nei casi trattati dal 15/01/2015 e parlo di circa 8 clienti diversi il recupero dati non serve a niente. Testato On track, file scavenger e EaseUS Data Recovery Wizard Professional.
Niente da fare non c'è traccia dei vecchi file. Addirittura gli ultimi casi cancellano anche le versioni precedenti nel cloud come Dropbox quindi ragazzi meglio evitare.... la situazione è drammatica.

Ciao a tutti!
Ho un computer dove è stato eseguito l'allegato con il trojan CTB-Loker.
DrWeb rileva il file come " Trojan.Encoder.858 ".
Ho provato a recuperare i files originali tramite programmi come r-studio, handy recovery, getdataback etc.... ma non è stato possibile !

L'unica soluzione per riavere i propri files è solo pagare.
E' più semplice di quanto possa sembrare.
Io ho pagato, all'indirizzo da loro designato, con bitcoin dal sito https://btcdirect.eu.
Bisogna munirsi di pazienza perchè da quando loro ti danno le indicazioni per effettuare il bonifico, ti danno 15 minuti affinchè tu dimostri l'avvenuto pagamento tramite l'invio di un file .jpg. Se non ricordo male, non accettano altri tipi di file. Quindi io ho trasformato un .pdf in .jpg.
Dopo di che, la transazione, che potrete continuamente monitorare e controllare sul sito dove avete acquistato i bitcoin, andrà a buon fine tre giorni dopo. Se siete fortunati, due.
Non appena il pagamento sarà ufficilamente autorizzato e trasferito ai "rapitori" del tuo pc, se fate f5 o riavviate la pagina di ctb locker, vi verrà confermato il pagamento, e vi forniranno un link con una chiave privata. Cliccando su quel link, comincerà la decriptazione di tutti i file. Il mio ci ha messo, tra fisso ed hard disk esterno, circa due ore.
Cmq, come per miracolo, alla fine è riapparso tutto e tutto al suo posto.
Sono molto simpatici in quanto nell'ultimo messaggio che ti inviano ti augurano anche Good Luck!!!!!
Buon lavoro.

L'unica soluzione per riavere i propri files è solo pagare.
E' più semplice di quanto possa sembrare.
Io ho pagato, all'indirizzo da loro designato, con bitcoin dal sito https://btcdirect.eu.
Bisogna munirsi di pazienza perchè da quando loro ti danno le indicazioni per effettuare il bonifico, ti danno 15 minuti affinchè tu dimostri l'avvenuto pagamento tramite l'invio di un file .jpg. Se non ricordo male, non accettano altri tipi di file. Quindi io ho trasformato un .pdf in .jpg.
Dopo di che, la transazione, che potrete continuamente monitorare e controllare sul sito dove avete acquistato i bitcoin, andrà a buon fine tre giorni dopo. Se siete fortunati, due.
Non appena il pagamento sarà ufficilamente autorizzato e trasferito ai "rapitori" del tuo pc, se fate f5 o riavviate la pagina di ctb locker, vi verrà confermato il pagamento, e vi forniranno un link con una chiave privata. Cliccando su quel link, comincerà la decriptazione di tutti i file. Il mio ci ha messo, tra fisso ed hard disk esterno, circa due ore.
Cmq, come per miracolo, alla fine è riapparso tutto e tutto al suo posto.
Sono molto simpatici in quanto nell'ultimo messaggio che ti inviano ti augurano anche Good Luck!!!!!
Buon lavoro.


Mi rendo conto che non è una cosa corretta, ma non ci si può nemmeno permettere di perdere anni di dati relativi ad un'attività perchè in pieno possesso di alcuni delinquenti.
Purtroppo questo è. Io le ho definite menti diaboliche. Hanno un'organizzazione da far paura!!!!!! Tutto studiato perfettamente e nei minimi dettagli soprattutto per quanto riguarda la tracciabilità delle transazioni.

E i duri sforzi (a.k.a. i messaggini stile "non aprite quella posta") cominciano a essere ricompensati. :sofico:

"Ale senti, mi è arrivata mail da fedex@noinoncentriamonulla.com con uno zip chiamato "Fattura" in allegato. Che faccio, cestino?" :read:

Mi rendo conto che non è una cosa corretta, ma non ci si può nemmeno permettere di perdere anni di dati relativi ad un'attività perchè in pieno possesso di alcuni delinquenti.
Purtroppo questo è. Io le ho definite menti diaboliche. Hanno un'organizzazione da far paura!!!!!! Tutto studiato perfettamente e nei minimi dettagli soprattutto per quanto riguarda la tracciabilità delle transazioni.

E sarà sempre peggio !

Hanno visto che la gente paga, quindi è un attività che rende e a breve questi attacchi saranno più numerosi dei byte di cui è composto il messaggio !

Io ho installato hitman alert pro sui pc di casa...

(a.k.a. i messaggini stile "non aprite quella posta")
Non aprite quella posta! è bellissimo! :D :D

http://i.imgur.com/c2dOuzSl.png

E' più semplice di quanto possa sembrare.
Io ho pagato, all'indirizzo da loro designato, con bitcoin
Sono molto simpatici in quanto nell'ultimo messaggio che ti inviano ti augurano anche Good Luck!!!!!
Buon lavoro.

Sì, magari manda loro anche un messaggio di sentito ringraziamento per averti dato la chiave di decrittazione dopo il pagamento e, perché no, invitali a prendere un caffé, penso che almeno quello lo offrirebbero loro...

più che simpatici ti sfottono, se uno prima ti prende a cazzotti e poi ti augura buona guarigione mica lo consideri simpatico

Mi rendo conto che non è una cosa corretta, ma non ci si può nemmeno permettere di perdere anni di dati relativi ad un'attività perchè in pieno possesso di alcuni delinquenti.
Purtroppo questo è. Io le ho definite menti diaboliche. Hanno un'organizzazione da far paura!!!!!! Tutto studiato perfettamente e nei minimi dettagli soprattutto per quanto riguarda la tracciabilità delle transazioni.

Loro sono sicuramente capaci...e voi siete sicuramente dei fessi (per come gestite l'infrastruttura informatica), ERGO vedrai che prima o poi ti ritrovi su queste pagine di forum a comunicare la nuova disavventura visto che tanto non avete tratto nulla da quest'esperienza.


Cosi' dissi

Sì, magari manda loro anche un messaggio di sentito ringraziamento per averti dato la chiave di decrittazione dopo il pagamento e, perché no, invitali a prendere un caffé, penso che almeno quello lo offrirebbero loro...


Scusate. Simpatici era inteso che ti prendono per i fondelli, per non dire altro.
Di certo non ci siamo divertiti e se li avessi avuti di fronte li avrei presi a randellate.
Voglia o no sono attività criminali che sanno cosa vogliono ottenere e come tenerti in pugno.
Purtroppo nel mio caso, l'allegato era una fattura e ricevendone parecchie via mail, non ho fatto tanto caso al mittente o all'estensione del file.
Un'errore di disattenzione, di operazioni scontate e di routine, si è rivelato un vero e proprio incubo, con la paura che anche pagando il "riscatto", non mi mandassero la chiave di decriptazione.
Abbiamo tentato ed alla fine è andata, ma sono stati dieci giorni piuttosto difficili.

Va bene Chibibi, comunque giusto perché magari sei poco avvezza (almeno fino ad ora ;) ) al mondo informatico in generale, sappi che non sono dei geni informatici, e non hanno fatto nulla di così difficile o sbalorditivo; certamente sono stati abili e furbi, indubbiamente il virus è stato programmato bene, ma nulla di così difficile/sorprendente rispetto da altre tipologie di attacco di cui magari non sai nemmeno di essere vittima.
In generale poi, come ho detto, questa esperienza serva da lezione, che si riassume così:

1. BACKUP PERIODICO DEI DATI IMPORTANTI (su un supporto esterno e scollegato dalla rete)

2. BACKUP PERIODICO DEI DATI IMPORTANTI (su un supporto esterno e scollegato dalla rete)

3. Fare più attenzione quando si scarica/installa qualcosa o al contenuto delle email (anche eventuali link, non solo gli allegati)

4. Aggiornamenti di sicurezza del sistema operativo* e programmi Antivirus/antimalware sempre aggiornati

___________________
* e se hai ancora Windows XP, abbandonalo verso un sistema supportato dai security updates

Aggiungo anche utilizzo di programmi che NON necessitino dell' abbassamento del UAC purtroppo obbligatorio per alcune installazioni di gesionali vecchi.

Va bene Chibibi, comunque giusto perché magari sei poco avvezza (almeno fino ad ora ;) ) al mondo informatico in generale, sappi che non sono dei geni informatici, e non hanno fatto nulla di così difficile o sbalorditivo; certamente sono stati abili e furbi, indubbiamente il virus è stato programmato bene, ma nulla di così difficile/sorprendente rispetto da altre tipologie di attacco di cui magari non sai nemmeno di essere vittima.
In generale poi, come ho detto, questa esperienza serva da lezione, che si riassume così:



___________________
* e se hai ancora Windows XP, abbandonalo verso un sistema supportato dai security updates


Grazie per le info. Il salvataggio dati era stato fatto. Purtroppo, al momento in cui si era installato il virus, l'hard disk esterno era collegato alla rete andando a manomettere anche quello. Differentemente, avrei formattato il pc fisso e reinstallato i programmi. Dato che trattasi di una piccola impresa, i nostri tecnici non hanno mai voluto installarci server esterni o altri sistemi, ritenendo sufficiente fornirci, per l'appunto, di un hard disk esterno.
Questo è quanto. Credo sia la prima volta mi sia capitata una cosa simile. Qualche anno fa, sul mio pc personale portatile, mi ero presa quello della "polizia", ma ero anche riuscita da subito a debellarlo.
Sicuramente presterò ancora più attenzione e, come già fatto, mi creerò delle copie documenti anche su supporti cd/dvd.
Comunque sia, dato che più di qualcuno si è domandato come fare, ho semplicemente comunicato che "pagando il riscatto" si riottiene tutto. E' una cosa assurda, ma è così. Poi ognuno è libero di pensare e fare ciò che vuole......

Grazie per le info. Il salvataggio dati era stato fatto. Purtroppo, al momento in cui si era installato il virus, l'hard disk esterno era collegato alla rete andando a manomettere anche quello.


Se quegli archivi di backup avessero avuto l'attributo di sola lettura non sarebbero stati cifrati, anche se penso una variante del trojan possa eliminare anche questo attributo.
Infatti alcuni files pdf e doc sull'hard disk dove si è attivato il trojan.encoder li ho trovati intatti perchè avevano l'attributo di sola lettura.

Grazie per le info. Il salvataggio dati era stato fatto. Purtroppo, al momento in cui si era installato il virus, l'hard disk esterno era collegato alla rete andando a manomettere anche quello. Differentemente, avrei formattato il pc fisso e reinstallato i programmi. Dato che trattasi di una piccola impresa, i nostri tecnici non hanno mai voluto installarci server esterni o altri sistemi, ritenendo sufficiente fornirci, per l'appunto, di un hard disk esterno.
Questo è quanto. Credo sia la prima volta mi sia capitata una cosa simile. Qualche anno fa, sul mio pc personale portatile, mi ero presa quello della "polizia", ma ero anche riuscita da subito a debellarlo.
Sicuramente presterò ancora più attenzione e, come già fatto, mi creerò delle copie documenti anche su supporti cd/dvd.
Comunque sia, dato che più di qualcuno si è domandato come fare, ho semplicemente comunicato che "pagando il riscatto" si riottiene tutto. E' una cosa assurda, ma è così. Poi ognuno è libero di pensare e fare ciò che vuole......

beh un disco esterno sempre collegato è sempre un problema, :D :D

non c'è la possibilità su windows di poter montare e smontare un disco, magari
con un batch o qualcosa di simile?

tipo:
monta disco x:
lancia backup
smonta disco x:

e gestire il tutto da 'pianifica attività'...

in ogni caso la soluzione migliore è secondo me quella di avere un disco sempre collegato per il backup orario e il versioning, e uno da collegare a fine lavoro per il giornaliero.

a questo punto molto meglio un nas e un utlity di backup stile cobian

beh un disco esterno sempre collegato è sempre un problema, :D :D


Simpaticissimo.......
Non devo dare giustificazioni, ma era collegato perchè stavo accedendo a dei file di anni precedenti. Solitamente è spento.
Quindi questa è stata pura sfiga!!!!!

Secondo me il problema non è quando e quanto il disco è collegato, basta un attimo a prendere il virus e se in quell'attimo era collegato, addio dati. Allora meglio fare a meno di dispositivi esterni ed usare tutti il cloud. A chi non piace il cloud, come al sottoscritto, allora meglio backup frequenti di HD di sistema e un disco esterno di backup per ogni disco esterno.

Simpaticissimo.......
Non devo dare giustificazioni, ma era collegato perchè stavo accedendo a dei file di anni precedenti. Solitamente è spento.
Quindi questa è stata pura sfiga!!!!!

Quello che si dice essere nel posto sbagliato al momento sbagliato e facendo la cosa sbagliata !

Comunque sia, dato che più di qualcuno si è domandato come fare, ho semplicemente comunicato che "pagando il riscatto" si riottiene tutto. E' una cosa assurda, ma è così. Poi ognuno è libero di pensare e fare ciò che vuole......
Non è una cosa assurda, i malfattori hanno tutto l'interesse che le vittime paganti rientrino in possesso dei propri file, e lo vengano a scrivere sui social/forum/ecc.
Perchè se si diffondesse in rete la voce che, anche pagando, i file non vengono recuperati, più nessuno pagherebbe.

CTB-Locker: files decryption demonstration feature

https://zairon.wordpress.com/2015/02/09/ctb-locker-files-decryption-demonstration-feature/

Non è una cosa assurda, i malfattori hanno tutto l'interesse che le vittime paganti rientrino in possesso dei propri file, e lo vengano a scrivere sui social/forum/ecc.
Perchè se si diffondesse in rete la voce che, anche pagando, i file non vengono recuperati, più nessuno pagherebbe.


Ottima e giusta osservazione......

Non è stata pura sfiga ma pura ignoranza (nel senso di non sapere le cose): e questa mia battuta non vuole essere una presa in giro ma solo un incentivo per approfondire la questione sicurezza, visto e considerato che qui non penso ci sia gente con l'albero dei soldi in giardino...

I metodi per proteggersi esistono e non prevedono l'uso di antivirus. A questo proposito vorrei gentilmente sapere - ad esclusione di nV 25 - quanti di voi (e con voi intendo quelli che si sono beccati CTB-locker) sanno cos'è un HIPS e se applicano il mantra di Joanna Rutkowska "sicurezza tramite isolamento" .

Aggiungo - nel caso specifico delle Aziende colpite - che i responsabili dell'infrastruttura informatica (con particolare riferimento alle figure preposte alla sicurezza) dovrebbero essere licenziati in modo da favorire il loro ritorno nei campi, essendo braccia ingiustamente rubate all'agricoltura.

Suvvia senza esasperare i toni

Buon giorno, ho avuto ieri un notebook infetto da cbt locker. Ho eseguito da modalita provvisoria, antimalware, combofix e jrt ed è in corso una scansione con security essential. Mi sto muovendo bene?
Tutti i file pdf, doc, xls e di immagine non sono utilizzabili come detto già in precedenza e hanno come estensione .tnsyxpc. Anche a voi hanno questa estensione?

Leggendo quasi tutti i post ho capito che i dati almeno per ora non è possibile recuperarli. Volevo solo chiedere se anche a voi i file prsentano la stessa estensine e se la procedura utilizzata per eliminare l'infezione va bene o devo fare altro.

Non è detto, esistono alcune varianti della stessa infezione che ti permettono di recuperare qualcosa. Devi controllare le copie shadow ( aka "Versioni precedenti" dei file ) o i software di recupero come TestDisk/PhotoRec, solo allora potrai dire addio ai tuoi file. L'infezione di per sè la rimuovi facilmente, non devi fare nulla di più di quello che stai facendo.

Per proteggere anche i dati di backup, visto che il virus attaccherebbe anche il NAS (Synology con DMS5.1) se è in comunicazione SAMBA durante l'attacco...credo che farò così:

Hard disk USB esterno, diviso in due partizioni, NFS ed EXT4.
Ogni tanto... con linux, anche da live, copiare tutti i dati nella partizione EXT4, che NON essendo visibile a windows, anche con usb collegato in windows, ogni virus non dovrebbe poter accedere alla partizione EXT4.. giusto???

finchè non apparirà una variante che brasa le partizioni EXT4 :D

X_master_X posso utilizzare recuva per provare a recuperare qualcosa o devo necessariamente affidarmi a photo rec/test disk?
Grazie in anticipo di tutto.

Considero TestDisk/PhotoRec di un livello superiore rispetto a Recuva ma se vuoi utilizzare quest'ultimo fai pure.

X_master_X posso utilizzare recuva per provare a recuperare qualcosa o devo necessariamente affidarmi a photo rec/test disk?
Grazie in anticipo di tutto.

Puoi provare ad utilizzarli ma dubito che riuscirai a recuperare i files originali tramite questa procedura se hai una variante recente del trojan.
Se non intendi pagare per riutilizzare i tuoi documenti allora tienili conservati nel caso successivamente venga trovato il modo di recuperare la chiave privata come successo con Crypto-loker.

Ciao!

I metodi per proteggersi esistono e non prevedono l'uso di antivirus. A questo proposito vorrei gentilmente sapere - ad esclusione di nV 25 - quanti di voi (e con voi intendo quelli che si sono beccati CTB-locker) sanno cos'è un HIPS e se applicano il mantra di Joanna Rutkowska "sicurezza tramite isolamento" .


Proteggere il browser e il client di posta elettronica con un programma sandbox può essere sufficiente in caso di avvio accidentale di un allegato infetto?
Grazie.

Proteggere il browser e il client di posta elettronica con un programma sandbox può essere sufficiente in caso di avvio accidentale di un allegato infetto?
Grazie.

per virus pur distruttivi ma non cosi' avanzati come questo, sicuramente (penso in particolare a soluzioni blasonate come Sandboxie)...

per virus pur distruttivi ma non cosi' avanzati come questo, sicuramente (penso in particolare a soluzioni blasonate come Sandboxie)...

ti faccio un esempio pratico:

se guardi questo video (https://www.youtube.com/watch?v=ukAr6MiA788) (che parla di tutt'altra cosa ma non cambia il senso del discorso), vedi che il tizio esegue un semplice file che ha il potere di scalare privilegi (falla peraltro corretta in questi giorni).

Ecco, se quel file lo scarichi in Sandboxie partendo da una mail o da dove ti pare, l'effetto è come non avere il Sandbox perchè quel programmino riuscirà ugualmente a raggiungere il suo scopo.

La novità, allora, dov'è?:
che se quel file non è programmato per uscire anche dal sandbox (cosa non impossibile là dove vi sia l'espressa volontà di attaccare anche questa linea di difesa), i suoi danni -che ci saranno e probabilmente anche importanti- saranno in qualche modo "limitati".


Quindi, si deve sempre sperare che quando si esegue qualcosa in Sandbox, questo non rappresenti "lo stato dell'arte" dell'attacco ma un file "abbastanza comune" pur nella sua pericolosità.

Parlando di %, un Sandbox potrebbe arrivare a proteggerci dalla stragrande maggioranza dei rischi (il 99%?), ma se ci si imbatte anche solo in quell'1% più "atipico"...



E' chiaro che ho fatto importanti semplificazioni nel ragionamento e spero anzi di aver chiarito qualcosa.

Con questa configurazione di sicurezza “multi-strato” difficilmente un malware come CTB-Locker riuscirebbe ad infettare il sistema e a cifrare i file dell’utente.

Grazie, sei stato chiaro e utile.:cool:

La verità è che si sono molte realtà che lavorano ancora con sistemi obsoleti , ditte che non hanno una propria email ed usano quelle free tipo libero e compagnia varia , piene di spam e menate varie. Basterebbe una mail certificata con 2-3 filtri per non incorrere in questi casini.

Basterebbe che usassero Blur (ex DoNotTrackMe) coi relativi filtri email e sarebbero già un passo avanti. Io da due anni che lo uso, non ho più visto una sola email di spam. Prima avevo la casella impestata di porcherie, senza fare quasi nulla, bastava navigare.

Salve a tutti. Ho provato a infettare un VM con ctb. Ho avviato il .SRC ma ricevo un messaggio di errore di win (XP) e nulla più. I file di test sul desktop non sono ancora stati toccati. Dopo quanto dovrebbe lanciarsi il virus?
Grazie

Nel tuo caso la spiegazione è probabilmente più banale:
non esegue le fasi a valle perchè dotato di sistemi che verificano in primo luogo se gira o meno in un ambiente virtuale, è il caso ad es di cryptowall 2, http://blogs.cisco.com/security/talos/cryptowall-2

"Provided the anti-VM and anti-emulation checks pass, the Cryptowall malware is decrypted and installed on the system".

Quello sopra, peraltro, è senza ombra di dubbio un "momento di vulnerabilità" di un software come Sandboxie.

Dato che all'esecuzione isolata non fa seguito nulla (per il check di cui sopra), l'utente potrebbe essere indotto a liberarlo dal jail...e ZAC!, puntuale arrivano i file criptati! :D




Lezione:
anche un software come questo, se il PC è in mano a certi utenti,...

non ricordo ma windows non mette un blocco agli eseguibili provenienti da internet quindi anche tramite mail che ti avvisa e ti chiede di eseguirlo

se uno apre un finto pdf che è un scr non dovrebbe apparire l'avviso del blocco e la richiesta di sbloccare per eseguire?

Capitata una variante ancora più bastarda di sto virus su un notebook che mi hanno portato...
Mi era già capitato su un'altro fisso, in cui ero riuscito a rimuoverlo lanciando in sequenza i vari Avast, Combofix, ADWcleaner, malwarebytes, ccleaner.
I file già criptati ormai erano andati ma almeno ho salvato metà disco.

Questa volta invece niente da fare, ho lanciato tutti questi programmi, il PC sembrava pulito, ma in realtà continuava a criptare dati, fino a che non ha finito ed è uscito sul desktop un file di testo co n la fadidica scritta:

Cos’è successo ai vostri file?
Tutti i vostri file sono stati crittografati con la chiave pubblica RSA a 2048 bit con l’aiuto del programma CryptoWall 3.0.
Per sapere di più sulla crittografia con la chiave pubblica RSA a 2048 bit clicca qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)


Che cosa significa questo?
Ciò significa, che la struttura e i dati all’interno dei vostri file sono stati irrevocabilmente modificati, e voi non potrete lavorare con loro, leggere o vedere il loro contenuto,
è come perderli per sempre, ma con il nostro aiuto potrete ripristinarli.


Com’è potuto succedere?
Appositamente per voi, sul nostro server segreto è stata generata una coppia di chiavi RSA a 2048 bit – una pubblica e una privata.
Tutti i vostri file sono stati crittografati con la chiave pubblica, che è stata inviata sul vostro computer tramite Internet.
La decriptazione dei vostri file è possibile solo con l’aiuto della chiave privata e del programma speciale, che si trovano sul nostro server segreto.


Che cosa devo fare?
Ahimè, se nel tempo stabilito, non si prendono i provvedimenti necessari, le condizioni per ottenere la chiave privata e il programma speciale saranno modificate.
Se i vostri dati sono davvero molto importanti per voi, vi consigliamo di non perdere il tempo prezioso cercando altre soluzioni, perché essi non esistono.


Per avere istruzioni più specifiche vi preghiamo di visitare la vostra pagina personale. Di seguito sono indicati alcuni indirizzi che rinviano alla vostra pagina: xxxx

Se per qualche motivo gli indirizzi non sono accessibili, dovete eseguire i seguenti passi:
1.Scaricare e installare il Tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.Dopo la corretta installazione del browser, bisogna avviarlo ed attendete l’inizializzazione.
3.Inserire nella barra degli indirizzi: xxxx
4.Seguite le istruzioni indicate sul sito.


Le informazioni che possono essere utili:
La vostra pagina personale: xxxx
La vostra pagina personale (utilizzando TOR): xxxx
Il vostro codice personale (se aprite il sito internet (o il sito internet TOR) direttamente): xxxx

Prima che si completasse Avast bloccava di continuo un'infezione da:

URL: http://(stringa random che cambi sempre)/preview/
Infezione: URL:Mal
Processo: C\:windows\Explorer.exe

http://i.imgur.com/qncq0rQ.jpg

Ma tanto continuava a criptare (nonostante avessi già fatto girare vari antivirus e antispyware), finchè non ha criptato tutto, compreso lo screenshot che ho appena postato.

Non se se è una variante nuova rispetto a quella di gennaio ma non mi pare ci siano sostanziali differenze, se l'obbiettivo è rimuovere il virus e questo non riesce c'è sempre la formattazione (che in ogni caso, sebbene evitabile, è sempre la via più sicura per avere la garanzia che ogni infezione venga rimossa); se l'obbiettivo era recuperare i file criptati come abbiamo visto non è una novità perché essi senza la chiave sono perduti.


-------------------
p.s. (soprattutto alla cortese attenzione di nV 25 :D ): ho riscontrato che da quando ho installato l'HitmanPro.Alert spesso al primo avvio di Firefox o Thunderbird essi mi vanno in crash e l'unico modo per farli partire è riavviare il pc. Potrebbe essere anche un caso ma intanto notifico questo problema...

Non se se è una variante nuova rispetto a quella di gennaio ma non mi pare ci siano sostanziali differenze, se l'obbiettivo è rimuovere il virus e questo non riesce c'è sempre la formattazione (che in ogni caso, sebbene evitabile, è sempre la via più sicura per avere la garanzia che ogni infezione venga rimossa); se l'obbiettivo era recuperare i file criptati come abbiamo visto non è una novità perché essi senza la chiave sono perduti.


-------------------
p.s. (soprattutto alla cortese attenzione di nV 25 :D ): ho riscontrato che da quando ho installato l'HitmanPro.Alert spesso al primo avvio di Firefox o Thunderbird essi mi vanno in crash e l'unico modo per farli partire è riavviare il pc. Potrebbe essere anche un caso ma intanto notifico questo problema...

Si ma il fatto che il virus non sia stato rilevato da nessun software, e continuasse indisturbato a criptare dati nonostante avessi fatto girare Avast (all'avvio), AVG, Combofix, ADWCleaner, e Malwarebytes è preoccupante...

Come è ancora più preoccupante che sti antivirus non servano ad un tubo e queste schifezze riescano a passare. :muro:

Si ma il fatto che il virus non sia stato rilevato da nessun software, e continuasse indisturbato a criptare dati nonostante avessi fatto girare Avast (all'avvio), AVG, Combofix, ADWCleaner, e Malwarebytes è preoccupante...
Come è ancora più preoccupante che sti antivirus non servano ad un tubo e queste schifezze riescano a passare. :muro:

Quando un virus è nuovo in generale gli antivirus devono avere il tempo di aggiornare le contromisure.. Ad ogni modo avere l'antivirus non significa essere al sicuro al 100%. E' un pò come per i virus del corpo umano, a volte le nostre difese bastano, altre volte serve infettarsi per fare gli anticorpi...
Inoltre come ho detto, in casi di infezioni gravi dove sono stati compromessi più file o processi del sistema operativo una formattazione può essere la soluzione migliore.

Per quanto riguarda il tuo caso specifico, hai fatto queste scansioni dalla modalità provvisoria almeno? Perché già cambierebbe un pò il discorso..

Quando un virus è nuovo in generale gli antivirus devono avere il tempo di aggiornare le contromisure.. Ad ogni modo avere l'antivirus non significa essere al sicuro al 100%. E' un pò come per i virus del corpo umano, a volte le nostre difese bastano, altre volte serve infettarsi per fare gli anticorpi...
Inoltre come ho detto, in casi di infezioni gravi dove sono stati compromessi più file o processi del sistema operativo una formattazione può essere la soluzione migliore.

Per quanto riguarda il tuo caso specifico, hai fatto queste scansioni dalla modalità provvisoria almeno? Perché già cambierebbe un pò il discorso..

con virus del genere mai eseguire una scansione da windows, usate sempre un rescue disk

p.s. (soprattutto alla cortese attenzione di nV 25 :D ): ho riscontrato che da quando ho installato l'HitmanPro.Alert spesso al primo avvio di Firefox o Thunderbird essi mi vanno in crash e l'unico modo per farli partire è riavviare il pc. Potrebbe essere anche un caso ma intanto notifico questo problema...

Rispondo velocemente dal cell:
é necessario conoscere il sistema operativo, se sono in funzione altri prog di sicurezza in Real time e, non ultimo, l'errore preciso che si produce.

Solo con questi elementi si può contattare il supporto (é necessario conoscere anche la build precisa di hp.a 3).

Infine:
parli di crash dei programmi in oggetto e non di BSOD, giusto?

Se vuoi rispondimi pure in pvt

A me già da 5-6 mesi stanno arrivando delle email strane con allegati strani e ogni volta l'allegato l'ho sempre cancellato.
Un paio di volte però senza scompattare il file l'ho esplorato con winrar per vedere cosa conteneva.
All'interno c'era un file .scr che ovviamente non ho eseguito.
Come ci si accorge di essere infetti da questo virus? Io fino ad oggi non ho notato nulla di anomalo.
Per esempio ho svariati file .pdf, qualche .doc, più vari file .txt sul Pc ma li apro tranquillamente per cui non mi sembrano criptati.

é necessario conoscere il sistema operativo, se sono in funzione altri prog di sicurezza in Real time e, non ultimo, l'errore preciso che si produce.

OS: Win 7 Ultimate
Antivirus in realtime: AVG Free
errore preciso:
http://s27.postimg.org/56isicv8f/Immagine.jpg (http://postimg.org/image/56isicv8f/)
hp.a: v 3.0.25 build 143, Release Candidate


Infine:
parli di crash dei programmi in oggetto e non di BSOD, giusto?
Certo crash, non BSOD (ancora mai avuta una, quando ci sono quelle mi preoccupo e non poco..)

OS: Win 7 Ultimate
Antivirus in realtime: AVG Free
errore preciso:
http://s27.postimg.org/56isicv8f/Immagine.jpg (http://postimg.org/image/56isicv8f/)
hp.a: v 3.0.25 build 143, Release Candidate

quindi, crashano quei due programmi che hai detto "nel silenzio generale di HP.A"? (=senza che HP.A produca alcun tipo di report tipo: attacco intercettato tal dei tali, modulo che ha generato l'errore bla bla bla)...
(Se si, in visualizzazione eventi alla voce HitmanPro trovi i dettagli)

Prova anche la 155 (http://www.wilderssecurity.com/threads/hitmanpro-alert-support-and-discussion-thread.324841/page-164#post-2460629) e al limite domani mi ricontatti


------------
EDIT 19/2

Provato Firefox/TB in VM (8.1) *senza AVG* con la build155 e non riscontro problemi di alcun tipo

Salve. Anch'io ho avuto un problema simile e vorrei un vostro parere. In particolare non capisco se il mio PC è stato infettato da Cryptolocker e famiglia oppure si tratta di qualcos'altro.
Mi spiego meglio: dopo aver visitato siti "poco sicuri" mi si è spento il PC per interruzione della corrente elettrica. Al riavvio lo sfondo era cambiato e entrando nelle cartelle "immagini" o "documenti" vedevo i nomi dei files che cambiavano rapidamente uno dopo l'altro, con nomi lunghi e senza senso e sempre con estensione .xtbl.
Son riuscito ad interrompere questo micidiale processo facendo immediatamente un ripristino configurazione di sistema ad una data sicura precedente.
Poi ho fatto una scansione con avira che ha rilevato un virus (TR/Tinba.A.488) che è stato messo in quarantena. Poi la situazione si è stabilizzata, non è successo più niente.
Andando a fare poi la conta dei morti e dei feriti ho notato che non vedo più nessuna mail dentro Outlook Express (perchè probabilmente sono state tutte criptate e cambiata estensione.
Circa i tre quarti dei file dentro documenti sono stati anch'essi criptati e illeggibili.
A differenza di altri non ho ricevuto richieste di riscatto, ne avvisi di criptazione. In nessun file ho letto Blocked o simili.
Per decriptare i file ho provato la soluzione di inviare un file compromesso a Decryptcryptolocker ma risponde che non è un file di cryptolocker. Anche altri tentativi con le utility di kaspersky non hanno dato risultati.
Inoltre io ho un PC vecchio con sistema operativo windows XP che non tiene copia dei file passati.
Vi sarei grato se qualche esperto potesse darmi un parere in merito a questa situazione.
A presto

La richiesta di "riscatto" non è uscita perchè lo hai eliminato prima che finisse. Comunque l'estensione casuale di 4 caratteri non è di CTB Locker, potresti provare con questo: http://support.kaspersky.com/viruses/disinfection/8547.
Però di diverse varianti di questi virus ce ne saranno in giro a migliaia.

A me già da 5-6 mesi stanno arrivando delle email strane con allegati strani e ogni volta l'allegato l'ho sempre cancellato.
Un paio di volte però senza scompattare il file l'ho esplorato con winrar per vedere cosa conteneva.
All'interno c'era un file .scr che ovviamente non ho eseguito.
Come ci si accorge di essere infetti da questo virus? Io fino ad oggi non ho notato nulla di anomalo.
Per esempio ho svariati file .pdf, qualche .doc, più vari file .txt sul Pc ma li apro tranquillamente per cui non mi sembrano criptati.
Nessuno che mi sa rispondere? :(
Come dicevo mi sono già arrivate parecchie email con allegati strani e un paio di volte ho aperto l'allegato (non l'ho eseguito il file .scr ma ho solo aperto il file .zip per vedere cosa c'era dentro e anche a me ogni volta capita che all'interno dello zip c'è proprio un file .scr). Ho controllato la cartella documenti, la cartella immagini e la cartella video, ma non noto nulla di strano. I files li continuo ad aprire tranquillamente.
Per cui dovrei essere tranquillo?

Se non noti nulla di strano vuol dire che è tutto ok... se fossi infetto te ne accorgeresti subito (file criptati)

Se non noti nulla di strano vuol dire che è tutto ok... se fossi infetto te ne accorgeresti subito (file criptati)
ok menomale :D
Cmq aprendo solo lo zip o il cab, ma senza eseguire il file .scr contenuto all'interno non si dovrebbero correre rischi giusto?

La richiesta di "riscatto" non è uscita perchè lo hai eliminato prima che finisse. Comunque l'estensione casuale di 4 caratteri non è di CTB Locker, potresti provare con questo: http://support.kaspersky.com/viruses/disinfection/8547.
Però di diverse varianti di questi virus ce ne saranno in giro a migliaia.

Grazie per la risposta Parnas, ma purtroppo le utility di Kaspersky le avevo già provate.
Comunque mi confermi che il caso è un pò particolare... anch'io non credo che si tratti di CTB Locker anche perchè non è arrivato con una mail. E per questo mi aggrappo alla speranza che si possano decriptare i file...
Spero che qualcuno mi illumini.
Potrebbe essere utile un file di LOG?

p.s. (soprattutto alla cortese attenzione di nV 25 :D ): ho riscontrato che da quando ho installato l'HitmanPro.Alert spesso al primo avvio di Firefox o Thunderbird essi mi vanno in crash e l'unico modo per farli partire è riavviare il pc. Potrebbe essere anche un caso ma intanto notifico questo problema...

a me dopo hitman pro alert il SO rileva gli hard disk esterni solo su gestione disco, ogni volta che ne inserisco uno devo attribuirgli una lettera ........... :doh:

solo gli hd, questo non accade con le pen

Innanzi tutto grazie per i chiarimenti, sono esattamente quelli da te descritti i passaggi con cui ha operato il "maligno"...ma il fatto è che il mio pc non ha mai avuto a che fare con bitcoin e non credo disponga di dati per verificarne eventuali indirizzi.
Inoltre la finestra attiva col timer è stata liquidata rapidamente.

Per rendere un attimino su come arriva questa nuova variante ecco gli screen della Mail ricevuta, un file txt apribile senza problemi e un file Cab da maneggiare con cautela.
http://s14.postimg.org/za2nagejl/Cattura.jpg
http://s9.postimg.org/g1qpbk227/Cattura1.jpg
porca miseria a me una roba del genere è arrivata giusto un mese fa (era più o meno verso fine gennaio) :eek:
mi ha insospettito il fatto che c'era un ordine da tipo 5000 euro (mai fatti in vita mia ordini così grossi) e il fatto che non sapevo chi caxxo fosse il mittente di quella email
e anche a me c'era l'allegato .cab che ovviamente ho subito cestinato, non l'ho nemmeno esplorato con winrar
all'epoca non sapevo di questo virus così pericoloso.

cmq d'ora in avanti non sto nemmeno ad aprirli con winrar per vederne il contenuto (non vorrei che in futuro con una variante ancora più pericolosa anche la sola esplorazione con winrar ti porta all'infezione)

anni fa c'era un altro virus che criptava

http://en.wikipedia.org/wiki/PGPCoder

http://www.megalab.it/2930

porca miseria a me una roba del genere è arrivata giusto un mese fa (era più o meno verso fine gennaio) :eek:
mi ha insospettito il fatto che c'era un ordine da tipo 5000 euro (mai fatti in vita mia ordini così grossi) e il fatto che non sapevo chi caxxo fosse il mittente di quella email
e anche a me c'era l'allegato .cab che ovviamente ho subito cestinato, non l'ho nemmeno esplorato con winrar
all'epoca non sapevo di questo virus così pericoloso.

cmq d'ora in avanti non sto nemmeno ad aprirli con winrar per vederne il contenuto (non vorrei che in futuro con una variante ancora più pericolosa anche la sola esplorazione con winrar ti porta all'infezione)

Un email tipo questa è arrivata anche a me il 30-1-2015 in windows live mail e siccome non credo a babbo natale l'ho subito eliminata. Aveva un allegato con estensione cab. Poi sono andato nella webmail ed eliminata anche lì. Siccome mi era succeso un "fatto strano" verso il 24-1-2014 nel senso che lasciando il mio PC al figlio della mia compagna e lui collegò un suo hd esterno e ci lavorò un oretta buona da solo e poi dovendo scollegarlo intervennì io facendo una scansione con la mia AV McAffe Internet Security che rilevò nel suo hd un "programma potenzialmente indesiderato" prontamente eliminato e messo in quarantena. Al riavvio del mio PC trovai diverse cose modificate. Sistemate le variazioni apportate incomincia ad analizzare il mio PC e non trovai nulla di infezioni solo il log di AdwCleaner rilevò alcune cose ed aprì un thread nella sezione Antivirus e Sicurezza per poterlo far leggere da persone più esperte di me http://www.hwupgrade.it/forum/showthread.php?t=2699334 con il supporto di Unax.
Nel frattempo era il 12-2-2015 andando a guardare nella cronologia del mio antivirus mi accorsi che negli elementi in quarantena c'era e posto immagine:

( scusate ma non sono pratico nel carcare l'immagine qui non mi viene
la vedo solo come allegato in fondo al post ... imparero' sic )



corrisponde esattamente con l'arrivo della email infetta 30-1-2015 nel mio PC, comunque quel giorno non notai notifica del mio antivirus.
Adesso che tutto sia normale certo qualche dubbio mi rimane anche se non ho nulla di criptato. Vedro' nel proseguo.
Buona giornata.
N.B. Aggiungo che nella webmail di Libero questo servizio mi segnalò l'email come di "phishing".

L'antivirus ti ha rilevato il CTB locker nel messaggio e-mail. Niente di male, anzi ha fatto il suo lavoro.

L'antivirus ti ha rilevato il CTB locker nel messaggio e-mail. Niente di male, anzi ha fatto il suo lavoro.

Beh certo lo "pago" ... comunque bene ciao e buon pranzo Parnas.

Un email tipo questa è arrivata anche a me il 30-1-2015 in windows live mail e siccome non credo a babbo natale l'ho subito eliminata.
Cavolo a me il giorno prima. Mi pare che fosse il 29. Avevo mandato anche il file su virustotal per analizzarlo dato che Avira me lo segnava come pulito:

https://www.virustotal.com/it/file/703089dd1f673c2b949e9f81684bed5339d29383ad02d6c5696e31684ce0fd86/analysis/1422399026/


Anzi pardon era il 27 gennaio. Non so se fosse questo famigerato CTB locker, ma la email era quasi uguale identica a quella arrivata friscoss.

porca miseria a me una roba del genere è arrivata giusto un mese fa (era più o meno verso fine gennaio) :eek:
mi ha insospettito il fatto che c'era un ordine da tipo 5000 euro (mai fatti in vita mia ordini così grossi) e il fatto che non sapevo chi caxxo fosse il mittente di quella email
E dopo quella lista assurda di presunti acquisti ti pregano anche di aprire un file. Mi sembra un sistema anche piuttosto stupido di inviare malware. Bisogna essere proprio fuori di se anche solo per leggere quella roba :asd: Comunque le caselle email andrebbero protette con programmi di filtraggio appositi, in modo da ricevere solo posta da contatti fidati o da chi vuoi tu, eliminando totalmente lo spam.

E dopo quella lista assurda di presunti acquisti ti pregano anche di aprire un file. Mi sembra un sistema anche piuttosto stupido di inviare malware. Bisogna essere proprio fuori di se anche solo per leggere quella roba :asd:Mettiti nei panni di un impiegato amministrativo che:
- non ha competenze tecniche in ambito IT
- riceve ogni giorno ordini e fatture (veri) da clienti e fornitori (e di certo non conosce tutti per nome)

Ti sembra ancora una cosa così stupida ?

Comunque le caselle email andrebbero protette con programmi di filtraggio appositi, in modo da ricevere solo posta da contatti fidati o da chi vuoi tu, eliminando totalmente lo spam.
Nel mondo lavorativo la posta hai bisogno di riceverla da chiunque, non solo dai tuoi contatti.

Mettiti nei panni di un impiegato amministrativo che:
- non ha competenze tecniche in ambito IT
- riceve ogni giorno ordini e fatture (veri) da clienti e fornitori (e di certo non conosce tutti per nome)

Ti sembra ancora una cosa così stupida ?


Nel mondo lavorativo la posta hai bisogno di riceverla da chiunque, non solo dai tuoi contatti.
Lo ripeto, anche in ambito lavorativo è possibile discernere questa spazzatura da un'email legittima. E comunque proprio perché si tratta di lavoro, si dovrebbe fare ancora più attenzione a quello che si clicca.