Virus che ha criptato tutti i file

[gigagi]

Salve ragazzi ho il seguente problema..il pc di un amico è infettato da un virus che gli ha praticamente criptato tutti i file(o almeno così sembra)!!!non si riesce ad aprire nessun file.il nome del file è cambiato ad esempio da:

foto.jpg in foto.jpg.EnCiPhErEd

inutile sottolineare che rinominando il file eliminando la parte in più (.EnCiPhErEd) non risolve il problema....il file cmq non si apre.
all'interno di tutto le cartelle c'è un file di testo "HOW TO DECRYPT FILES.TXT" e all'interno c'è scritto questo:

Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be
careful when you enter the code!

girando su internet ho trovato questi link che però non aiutano granchè:
http://slo-tech.com/forum/t514157
http://www.securelist.com/en/descriptions/old313444
http://groups.google.com/a/googlepro...il/qo0xd0MM1Z8
http://forum.hr/showthread.php?p=38886654

il problema + grosso è che anche salvando i dati per formattare sono illeggibili!ho messo qualche file su una pendriver per aprirli da un altro pc ma non si aprono.

qualche idea???ve ne sarei grato!

[xcdegasp]

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[gigagi]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.13.26, on 10/04/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utente\Desktop\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\SYSTEM32\blank.htm
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [sfagent] C:\Programmi\Fighters\sfagent.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: HOW TO DECRYPT FILES.txt (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk.EnCiPhErEd
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk.EnCiPhErEd
O4 - Global Startup: HOW TO DECRYPT FILES.txt
O4 - Global Startup: WL-U356M Configuration Utility.exe.lnk.EnCiPhErEd
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programmi\SUPERAntiSpyware\SASCORE.EXE

--
End of file - 3366 bytes

[jahnfree]

in un pc ho risolto seguendo le indicazioni a questo link (che anche tu riportavi);

http://groups.google.com/a/googlepro...il/qo0xd0MM1Z8

il tutto sta nel lanciare quell'applicazione da riga di comando con i parametri:
-k 85

alla fine devi fare un po' di pulizia, ma almeno torni in possesso dei tuoi file!

[nV 25]

Quote:

Originariamente inviato da xcdegasp

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

ciao, x.:

ho paura che seguendo le regole di sezione il nostro amico riesca giusto a debellare l'infezione ma non a ripristinare i file cifrati, sempre che il processo sia possibile.

Per la decifratura, infatti, o usa i (pochi) tool dedicati o nada...

[nV 25]

come indicato da jahnfree, la soluzione dovrebbe essere il tool di DrWeb indicato nel post sotto,
http://forums.majorgeeks.com/showthread.php?t=257283

...altrimenti, addio file cifrati...

[Chill-Out]

PhotoRec http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

[nV 25]

Quote:

Originariamente inviato da Chill-Out

PhotoRec http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

senza offesa, ma che ci dovrebbe fare con quel file?

Il tizio, infatti, si trova con una serie di file cifrati e non cancellati erroneamente, ecc.
Di conseguenza, ha la possibilità di effettuare regolarmente il log on e "lavorare" ma senza disporre più di file quali ad es. quelli con estensione jpg.

Ergo, o usa un tool che decifri il cifrato o quei file li può cestinare.

[Chill-Out]

Quote:

Originariamente inviato da nV 25

senza offesa, ma che ci dovrebbe fare con quel file?

Il tizio, infatti, si trova con una serie di file cifrati e non cancellati erroneamente, ecc.
Di conseguenza, ha la possibilità di effettuare regolarmente il log on e "lavorare" ma senza disporre più di file quali ad es. quelli con estensione jpg.

Ergo, o usa un tool che decifri il cifrato o quei file li può cestinare.

Serve per recuperare il file originali.

[nV 25]

si, auguri:
se sono criptati voglio vedere che recupera...


Cmq ok, sarebbe cortese una risposta dell'autore del thread per farci sapere come è finita la storia...

[Chill-Out]

Quote:

Originariamente inviato da nV 25

si, auguri:
se sono criptati voglio vedere che recupera...


Cmq ok, sarebbe cortese una risposta dell'autore del thread per farci sapere come è finita la storia...

quelli che sono stati eliminati dal virus dopo averli criptati, di sicuro ci vorrà del tempo, quindi bisogna armasi di pazienza.

[nV 25]

mua, sarà che vado sempre ad intuito e quindi non conosco nei dettagli cosa accade dietro le quinte xò, a logica, se cripto un file non "stocco" l'originale da qualche parte in modo che sia cmq recuperabile per altre vie...

Lo cifro e basta e quindi, sempre a logica, o paghi o ti servi di appositi tool di rimozione e decifratura:
ricordo infatti il tempo della 1° variante del GpCode (testata anche da me + volte in prevenire ecc ecc) dove non esistevano vie di mezzo...


Cmq non è per polemizzare, sia chiaro, ma per permettermi anche a me di capire meglio le cose pertanto, se dovesse riuscire percorrendo anche altre vie (ma ne dubito), ben venga!

[nV 25]

ok, riconosco di aver detto fesserie:
la pagina di Kaspersky relativa al GpCode.ak mi ha permesso di fare luce sul processo*...

Pace e bene, fratelli



* è il limite che emerge quando si cerca di concentrarsi solo sull'aspetto della prevenzione...

[march82]

In ufficio abbiamo lo stesso identico problema!

Ho provato a lanciare il file te94decrypt.exe con -k 85, l'ho interrotto prima che finisse di fare tutti i file per capire se funzionavano, ma niente da fare... I file sembrano decriptati, ma quando vai ad aprirli non funzionano.

Inoltre, cosa strana, guardando su esplora risorse in modalità "anteprima" per i jpg mi fa vedere l'immagine, ma quando la apro con qualsiasi programma niente...

Cosa posso provare?

Ah, ulteriore problema, anche decisamente grosso! Il server fa il backup giornaliero su un hard disk esterno, però stanotte quando è partito ha anche copiato dei file già criptati. Ora l'ho staccato dal server e dall'alimentazione. Non è che il backup ha salvato anche il virus e ora si rischia di perdere tutti i file dall'hard disk esterno?

Grazie mille!

[xcdegasp]

se esegue il backup del sistema operativo è certo che sia stato salvato anche il virus..
oltre a quello giornaliero avete anche il backup settimanle, giusto?

[march82]

Quote:

Originariamente inviato da xcdegasp

se esegue il backup del sistema operativo è certo che sia stato salvato anche il virus..
oltre a quello giornaliero avete anche il backup settimanle, giusto?

Il backup non è del sistema operativo, ma solo di alcune cartelle che usiamo come archivio e di quelle dei vai profili dei computer.

Comunque si, abbiamo anche il backup settimanale. In ogni caso in quello giornaliero del 12 aprile sono criptati solo alcuni file.

Grazie!

[nV 25]

google sembra mostrare una situazione di rapida diffusione di questo malware a livello globale...

[nV 25]

http://www.f-secure.com/weblog/archives/00002347.html

http://about-threats.trendmicro.com/...=TSPY_ZBOT.IUV

[xcdegasp]

Quote:

Originariamente inviato da march82

Il backup non è del sistema operativo, ma solo di alcune cartelle che usiamo come archivio e di quelle dei vai profili dei computer.

Comunque si, abbiamo anche il backup settimanale. In ogni caso in quello giornaliero del 12 aprile sono criptati solo alcuni file.

Grazie!

con il profilo utente copi anche il virus
allora potreste ripristinare il profilo utente prima di qualche giorno fa' e conseguentemente i file che ora risultano criptati..
per il recovery io useri un cd e non direttamente l'hdd

[gigagi]

Problema risolto ecco i passi che ho seguito:

ho seguito tutti i passaggi elencati alla voce "solution" di questo link:
http://about-threats.trendmicro.com/...=TSPY_ZBOT.IUV

Poi ho usato Malwarebyte e Superantispyware.
Per ultimo ho usato il programma "te94decrypt.exe" (ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)
che dopo una lunga scansione mi ha ripristinato tutti i file "illeggibili" lasciando comunque anche la copia di quest'ultimo criptato.
il programma una volta scaricato deve essere eseguito da START ESEGUI c:\te94decrypt.exe -k 85

alla fine ho ricercato tutti i file "anche quelli nascosti" che avevano l'estenzione criptata (.EnCiPhErEd) e li ho eliminati ed ho ricercato ed eliminato tutti le copie del file TXT (presente oramai in tutte le cartelle del PC) in cui veniva chiesto del versamente dei 50.