CTB Locker - nuova variante del 27-01-2015 del famigerato virus

[dani1988]

Buongiorno a tutti,

Durante la mia assenza nel mese di gennaio anche in ufficio da me un computer è stato infettato.
il backup non è aggiornatissimo ma fortunatamente gran parte del lavoro dovrei riuscire a recuperarlo.
ora mi rimangono un po di dubbi:
-dopo aver scasionato e a quanto pare eliminato il virus mi rimane lo sfondo desktop con la scritta che il virus è stato debellato e per recuperare i file eseguire la procedura(è normale che rimanga la scritta oppure il virus non è ancora stato debellato) è sufficente eliminare e modificare lo sfondo?
-è meglio dare una formattata al tutto? o una volta elimato il virus dovrebbe tornare alla normalità?

vedrò di salvare i file che non son riuscito a recuperare tramite il backup sperando in un prossimo e breve futuro ci sia una soluzione per decriptarli nel frattempo seguo con molto interesse.

[Unax]

Quote:

Originariamente inviato da dani1988

Buongiorno a tutti,

Durante la mia assenza nel mese di gennaio anche in ufficio da me un computer è stato infettato.
il backup non è aggiornatissimo ma fortunatamente gran parte del lavoro dovrei riuscire a recuperarlo.
ora mi rimangono un po di dubbi:
-dopo aver scasionato e a quanto pare eliminato il virus mi rimane lo sfondo desktop con la scritta che il virus è stato debellato e per recuperare i file eseguire la procedura(è normale che rimanga la scritta oppure il virus non è ancora stato debellato) è sufficente eliminare e modificare lo sfondo?
-è meglio dare una formattata al tutto? o una volta elimato il virus dovrebbe tornare alla normalità?

vedrò di salvare i file che non son riuscito a recuperare tramite il backup sperando in un prossimo e breve futuro ci sia una soluzione per decriptarli nel frattempo seguo con molto interesse.

o mettono le mani sul database delle chiavi oppure a breve e nemmeno a lungo non ci sarà nessun metodo per decrittarli

[gd350turbo]

Quote:

Originariamente inviato da nV 25

premesso che certi utenti riuscirebbero ad infettarsi anche a computer spento (e badate che non è un semplice luogo comune vista la fantasia messa in campo da costoro, semplici geni della superficialità informatica), il capitolo prevenzione realizzato col-minimo-sforzo potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).


CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert

HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware



Quindi, una protezione a priori (proattiva) contro questi rischi.



Perchè se la protezione è rimessa all'Antivirus...

Ottima news / ottimo programma...

Mi sa che lo installo sui computer di moglie e figlia !

[dani1988]

scusate ma non ho ricevuto risposta alla domanda più importante

quando con gli antivirus il trojan viene eliminato rimane in ogni caso uno sfondo inerente o torna normale?
non capisco proprio se sia riuscito ad eliminarlo.

[omihalcon]

Quando lo rimuovi lo sfondo ritorna normale.
Se formatti ti perdi la possibilitò di ripristinare i dati, come se lo rimuovi. Quindi in questi casi devi avere un backup funzionante.

[il_nick]

Quote:

Originariamente inviato da gd350turbo

Ottima news / ottimo programma...

A proposito di questo programma (Hitman Pro Alert) segnalo che una volta installato esso rimane sempre in esecuzione. Ora, immagino che questo accade perché il processo deve essere protetto da eventuali stop da parte di altri processi o da parte dell'utente. Tuttavia per chi, come me, vuole tenere tutto sotto controllo e poter decidere di interrompere un processo (anche se importante) a mia discrezione, questo potrebbe essere un piccolo neo.
Qualcuno di voi ha trovato un modo eventualmente per arrestarlo senza doverlo disinstallare completamente?

[gd350turbo]

Quote:

Originariamente inviato da il_nick

A proposito di questo programma (Hitman Pro Alert) segnalo che una volta installato esso rimane sempre in esecuzione. Ora, immagino che questo accade perché il processo deve essere protetto da eventuali stop da parte di altri processi o da parte dell'utente. Tuttavia per chi, come me, vuole tenere tutto sotto controllo e poter decidere di interrompere un processo (anche se importante) a mia discrezione, questo potrebbe essere un piccolo neo.
Qualcuno di voi ha trovato un modo eventualmente per arrestarlo senza doverlo disinstallare completamente?

Sta sul computer di chi non si interessa di questo fatto...

[Quaglia 17]

Aggiorno la mia situazione confermando che su 4 pc visti non esistevano più le shadow copy.
In un altro caso pur essendo stato aperto l'allegato non capisco perché ma il virus non è partito (antivirus presente "panda" )

Inviato dal mio SM-N910F utilizzando Tapatalk

[il_nick]

Quote:

Originariamente inviato da gd350turbo

Sta sul computer di chi non si interessa di questo fatto...

La domanda era rivolta ad utenti più esperti..

[nV 25]

Quote:

Originariamente inviato da il_nick

A proposito di questo programma (Hitman Pro Alert) segnalo che una volta installato esso rimane sempre in esecuzione. Ora, immagino che questo accade perché il processo deve essere protetto da eventuali stop da parte di altri processi o da parte dell'utente. Tuttavia per chi, come me, vuole tenere tutto sotto controllo e poter decidere di interrompere un processo (anche se importante) a mia discrezione, questo potrebbe essere un piccolo neo.
Qualcuno di voi ha trovato un modo eventualmente per arrestarlo senza doverlo disinstallare completamente?

ora sarà un problema anche quello??

Ho capito che la domanda che poni è legittima ma, considerando che il fine principale della v3 è quello di coprire contro gli exploit (portati su programmi tradizionalmente vulnerabili ad attacchi di questo tipo, es i Browser e i suoi plugin [FlashPlayer], Java, Adobe reader,...) e che si è praticamente sempre on-line quando si usa un PC, non è una mossa intelligente sospendere la protezione visto che qualsiasi sito -in qualsiasi momento- potrebbe essere "pericoloso" (per veicolare malware tramite appunto exploit).


Insomma, non capisco perchè questa richiesta di controllo (di cosa, poi?) dovrebbe passare per la sospensione di uno strumento che deve lavorare in continuazione...

[il_nick]

Quote:

Originariamente inviato da nV 25

ora sarà un problema anche quello??

Ho capito che la domanda che poni è legittima ma, considerando che il fine principale della v3 è quello di coprire contro gli exploit (portati su programmi tradizionalmente vulnerabili ad attacchi di questo tipo, es i Browser e i suoi plugin [FlashPlayer], Java, Adobe reader,...) e che si è praticamente sempre on-line quando si usa un PC, non è una mossa intelligente sospendere la protezione visto che qualsiasi sito -in qualsiasi momento- potrebbe essere "pericoloso" (per veicolare malware tramite appunto exploit).


Insomma, non capisco perchè questa richiesta di controllo (di cosa, poi?) dovrebbe passare per la sospensione di uno strumento che deve lavorare in continuazione...

Scusa non capisco perché ti agiti tanto, se è un problema o meno per me, lo stabilisco io... Detto ciò, la mia domanda rimane comunque a tema, sto testando il programma (che mi auguro sia realmente utile) ed è mia prassi chiedermi le cose e scegliere come amministrarle; se ho troppi processi in esecuzione e mi serve killare dei processi potrei essere libero di selezionare anche questo; inoltre, se voglio fare un test scegliendo di infettarmi volutamente, devo poter essere libero di farlo. Se uno sa rispondere mi risponde, altrimenti tutto il resto è solo polemica inutile.

[nV 25]

altra cosa per chiarezza nei confronti di chi dovesse leggere e fosse magari digiuno del programma citato poc'anzi:

NON E' UN ANTIVIRUS ma un programma che risponde ad altri tipi di bisogni.

Secondo che utenti siete, quindi, non lo potete utilizzare in sostituzione dell'antivirus tradizionale! ma solo come (utilissimo) complemento!







Quindi, è chiarito anche questo punto.

[nV 25]

Quote:

Originariamente inviato da il_nick

Scusa non capisco perché ti agiti tanto, se è un problema o meno per me, lo stabilisco io...

sai l'inglese?

Se si, contatta direttamente gli sviluppatori cosi' gli fai presente che, dovendo essere libero di infettarti, hai bisogno di sospendere la protezione quando ti aggrada

http://www.wilderssecurity.com/members/erikloman.99034/

[gd350turbo]

Quote:

Originariamente inviato da nV 25

altra cosa per chiarezza nei confronti di chi dovesse leggere e fosse magari digiuno del programma citato poc'anzi:

NON E' UN ANTIVIRUS ma un programma che risponde ad altri tipi di bisogni.

Secondo che utenti siete, quindi, non lo potete utilizzare in sostituzione dell'antivirus tradizionale! ma solo come (utilissimo) complemento!


Quindi, è chiarito anche questo punto.

Appunto...
Utilissimo secondo me per il computer di moglie e figlia, che cliccano su tutto come se non ci fosse un domani !

[Parnas72]

Quote:

Originariamente inviato da nV 25

Insomma, non capisco perchè questa richiesta di controllo (di cosa, poi?) dovrebbe passare per la sospensione di uno strumento che deve lavorare in continuazione...

Tutti gli antivirus hanno dei servizi che restano sempre in esecuzione (appunto per prevenire il danno prima di doverlo curare), però danno sempre la possibilità di spegnere i controlli real-time. Non foss'altro perchè potrebbero prendere un abbaglio ed interferire con le attività legittime svolte sul pc, andare in conflitto con altri software, ecc. .

Tanto per fare un esempio stupido, le ultime versioni di Oracle Virtual Box mi vanno in conflitto con il Symantec Endpoint Protection (quelle vecchie invece funzionano).

[polloRS]

salve,
anche nell' azienda è arrivata una mail con un allegato e purtroppo è stata aperta, ha infettato la chiavetta USB e il server ( N: ).
ho provato subito con un programma di recupero file e putroppo ho recuperato solo il 5% circa. essendo l'ultimo backup risalente a 1 anno fa, abbiamo dovuto pagare, perhè c'erno centinaia di file .xls utilizzati per contabilità.
non è stato per niente facile pagare, essendo i siti molto difficili da raggiungere, ma con un po' di conoscenze personali informatiche, sono riuscito a venirne a capo. ho dovuto pagare 2.5 BTC (550euro circa), 15 minuti dopo il pagamento ho aggiornato la pagina e mi è stato dato il programma per decriptare.
l'ho copiato un un computer disconnesso, in cui ho messo anche tutti i file criptati e l'ho fatto girare. tutto ok alla fine, la difficoltà sta solo nel riuscire a collegarsi al sito e un po' di praticità nel comprare/trasferire BTC

la mail ingannevole conteneva un riepilogo di merce che ci doveva essere rimborsata per errato acquisto e scrivevano di aprire l'allegato .cab per poter avere maggiori informazione. dentro il .cab (cartella compressa) c'era un .scr, che all'esecuzione ha instantaneamente criptato tutto. l'antivirus (AVG) lo ha risconosciuto soltanto alla seconda esecuzione (effettuata in sicurezza).

se serve aiuto, chiedetemi pure

[nV 25]

Quote:

Originariamente inviato da polloRS

salve,
anche nell' azienda è arrivata una mail con un allegato e purtroppo è stata aperta, ha infettato la chiavetta USB e il server ( N: ).
ho provato subito con un programma di recupero file e putroppo ho recuperato solo il 5% circa. essendo l'ultimo backup risalente a 1 anno fa, abbiamo dovuto pagare, perhè c'erno centinaia di file .xls utilizzati per contabilità.
non è stato per niente facile pagare, essendo i siti molto difficili da raggiungere, ma con un po' di conoscenze personali informatiche, sono riuscito a venirne a capo. ho dovuto pagare 2.5 BTC (550euro circa), 15 minuti dopo il pagamento ho aggiornato la pagina e mi è stato dato il programma per decriptare.
l'ho copiato un un computer disconnesso, in cui ho messo anche tutti i file criptati e l'ho fatto girare. tutto ok alla fine, la difficoltà sta solo nel riuscire a collegarsi al sito e un po' di praticità nel comprare/trasferire BTC

la mail ingannevole conteneva un riepilogo di merce che ci doveva essere rimborsata per errato acquisto e scrivevano di aprire l'allegato .cab per poter avere maggiori informazione. dentro il .cab (cartella compressa) c'era un .scr, che all'esecuzione ha instantaneamente criptato tutto. l'antivirus (AVG) lo ha risconosciuto soltanto alla seconda esecuzione (effettuata in sicurezza).

se serve aiuto, chiedetemi pure

alla fine riconosciamo il valore sociale di questi malware, dai:
vuoi scommettere che in futuro farete backup dei dati sensibili con cadenza almeno mensile??

Non credo infatti che siate cosi' fessi da farvi trovare due volte con le mani nella marmellata, no?

[nV 25]

Quote:

Originariamente inviato da Parnas72

Tanto per fare un esempio stupido, le ultime versioni di Oracle Virtual Box mi vanno in conflitto con il Symantec Endpoint Protection (quelle vecchie invece funzionano).

problema noto e ampiamente dibattuto sul forum uff. di VBox.

Risiede nella nuova architettura di quest'ultimo (che dicono più improntata alla protezione dell'host) e non è generalmente risolvibile con la mera sospensione del servizio della soluzione antivirus adottata, per cui in questo caso...

[gd350turbo]

Quote:

Originariamente inviato da nV 25

alla fine riconosciamo il valore sociale di questi malware, dai:
vuoi scommettere che in futuro farete backup dei dati sensibili con cadenza almeno mensile??

Non credo infatti che siate cosi' fessi da farvi trovare due volte con le mani nella marmellata, no?

O anche prendere chi è deputato a leggere le email aziendali e tagliarli le mani !

[Mikon]

sapete se Comodo in proactive mode con la sandbox attiva ce la fa a bloccarlo prima che faccia danni ?