|
|
|
|
Strumenti |
10-04-2012, 18:04 | #1 |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 535
|
Virus che ha criptato tutti i file
Salve ragazzi ho il seguente problema..il pc di un amico è infettato da un virus che gli ha praticamente criptato tutti i file(o almeno così sembra)!!!non si riesce ad aprire nessun file.il nome del file è cambiato ad esempio da:
foto.jpg in foto.jpg.EnCiPhErEd inutile sottolineare che rinominando il file eliminando la parte in più (.EnCiPhErEd) non risolve il problema....il file cmq non si apre. all'interno di tutto le cartelle c'è un file di testo "HOW TO DECRYPT FILES.TXT" e all'interno c'è scritto questo: Attention! All your files are encrypted! You are using unlicensed programms! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code. You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code! girando su internet ho trovato questi link che però non aiutano granchè: http://slo-tech.com/forum/t514157 http://www.securelist.com/en/descriptions/old313444 http://groups.google.com/a/googlepro...il/qo0xd0MM1Z8 http://forum.hr/showthread.php?p=38886654 il problema + grosso è che anche salvando i dati per formattare sono illeggibili!ho messo qualche file su una pendriver per aprirli da un altro pc ma non si aprono. qualche idea???ve ne sarei grato!
__________________
EDIT by staff - no vendita prodotti informatici tramite firma e mail |
10-04-2012, 19:41 | #2 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
10-04-2012, 21:24 | #3 |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 535
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.13.26, on 10/04/2012 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\SUPERAntiSpyware\SASCORE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Analog Devices\Core\smax4pnp.exe C:\Programmi\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programmi\OpenOffice.org 3\program\soffice.exe C:\Programmi\OpenOffice.org 3\program\soffice.bin C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Utente\Desktop\HijackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\SYSTEM32\blank.htm O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [sfagent] C:\Programmi\Fighters\sfagent.exe O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - .DEFAULT User Startup: HOW TO DECRYPT FILES.txt (User 'Default user') O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.lnk.EnCiPhErEd O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk.EnCiPhErEd O4 - Global Startup: HOW TO DECRYPT FILES.txt O4 - Global Startup: WL-U356M Configuration Utility.exe.lnk.EnCiPhErEd O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programmi\SUPERAntiSpyware\SASCORE.EXE -- End of file - 3366 bytes
__________________
EDIT by staff - no vendita prodotti informatici tramite firma e mail |
11-04-2012, 18:22 | #4 |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 2
|
in un pc ho risolto seguendo le indicazioni a questo link (che anche tu riportavi);
http://groups.google.com/a/googlepro...il/qo0xd0MM1Z8 il tutto sta nel lanciare quell'applicazione da riga di comando con i parametri: -k 85 alla fine devi fare un po' di pulizia, ma almeno torni in possesso dei tuoi file! |
11-04-2012, 19:22 | #5 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
ho paura che seguendo le regole di sezione il nostro amico riesca giusto a debellare l'infezione ma non a ripristinare i file cifrati, sempre che il processo sia possibile. Per la decifratura, infatti, o usa i (pochi) tool dedicati o nada... |
|
11-04-2012, 19:32 | #6 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
come indicato da jahnfree, la soluzione dovrebbe essere il tool di DrWeb indicato nel post sotto,
http://forums.majorgeeks.com/showthread.php?t=257283 ...altrimenti, addio file cifrati... |
12-04-2012, 08:15 | #7 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
__________________
Try again and you will be luckier.
|
12-04-2012, 09:54 | #8 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Il tizio, infatti, si trova con una serie di file cifrati e non cancellati erroneamente, ecc. Di conseguenza, ha la possibilità di effettuare regolarmente il log on e "lavorare" ma senza disporre più di file quali ad es. quelli con estensione jpg. Ergo, o usa un tool che decifri il cifrato o quei file li può cestinare. |
|
12-04-2012, 10:32 | #9 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
12-04-2012, 10:47 | #10 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
si, auguri:
se sono criptati voglio vedere che recupera... Cmq ok, sarebbe cortese una risposta dell'autore del thread per farci sapere come è finita la storia... |
12-04-2012, 11:17 | #11 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
quelli che sono stati eliminati dal virus dopo averli criptati, di sicuro ci vorrà del tempo, quindi bisogna armasi di pazienza.
__________________
Try again and you will be luckier.
|
12-04-2012, 12:01 | #12 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
mua, sarà che vado sempre ad intuito e quindi non conosco nei dettagli cosa accade dietro le quinte xò, a logica, se cripto un file non "stocco" l'originale da qualche parte in modo che sia cmq recuperabile per altre vie...
Lo cifro e basta e quindi, sempre a logica, o paghi o ti servi di appositi tool di rimozione e decifratura: ricordo infatti il tempo della 1° variante del GpCode (testata anche da me + volte in prevenire ecc ecc) dove non esistevano vie di mezzo... Cmq non è per polemizzare, sia chiaro, ma per permettermi anche a me di capire meglio le cose pertanto, se dovesse riuscire percorrendo anche altre vie (ma ne dubito), ben venga! |
12-04-2012, 12:22 | #13 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
ok, riconosco di aver detto fesserie:
la pagina di Kaspersky relativa al GpCode.ak mi ha permesso di fare luce sul processo*... Pace e bene, fratelli * è il limite che emerge quando si cerca di concentrarsi solo sull'aspetto della prevenzione... |
12-04-2012, 14:58 | #14 |
Junior Member
Iscritto dal: Aug 2005
Messaggi: 13
|
In ufficio abbiamo lo stesso identico problema!
Ho provato a lanciare il file te94decrypt.exe con -k 85, l'ho interrotto prima che finisse di fare tutti i file per capire se funzionavano, ma niente da fare... I file sembrano decriptati, ma quando vai ad aprirli non funzionano. Inoltre, cosa strana, guardando su esplora risorse in modalità "anteprima" per i jpg mi fa vedere l'immagine, ma quando la apro con qualsiasi programma niente... Cosa posso provare? Ah, ulteriore problema, anche decisamente grosso! Il server fa il backup giornaliero su un hard disk esterno, però stanotte quando è partito ha anche copiato dei file già criptati. Ora l'ho staccato dal server e dall'alimentazione. Non è che il backup ha salvato anche il virus e ora si rischia di perdere tutti i file dall'hard disk esterno? Grazie mille! |
12-04-2012, 15:19 | #15 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
se esegue il backup del sistema operativo è certo che sia stato salvato anche il virus..
oltre a quello giornaliero avete anche il backup settimanle, giusto?
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
12-04-2012, 16:05 | #16 | |
Junior Member
Iscritto dal: Aug 2005
Messaggi: 13
|
Quote:
Comunque si, abbiamo anche il backup settimanale. In ogni caso in quello giornaliero del 12 aprile sono criptati solo alcuni file. Grazie! |
|
12-04-2012, 19:52 | #17 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
google sembra mostrare una situazione di rapida diffusione di questo malware a livello globale...
|
12-04-2012, 19:54 | #18 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
|
12-04-2012, 20:17 | #19 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
allora potreste ripristinare il profilo utente prima di qualche giorno fa' e conseguentemente i file che ora risultano criptati.. per il recovery io useri un cd e non direttamente l'hdd
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
13-04-2012, 21:14 | #20 |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 535
|
Problema risolto ecco i passi che ho seguito:
ho seguito tutti i passaggi elencati alla voce "solution" di questo link: http://about-threats.trendmicro.com/...=TSPY_ZBOT.IUV Poi ho usato Malwarebyte e Superantispyware. Per ultimo ho usato il programma "te94decrypt.exe" (ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe) che dopo una lunga scansione mi ha ripristinato tutti i file "illeggibili" lasciando comunque anche la copia di quest'ultimo criptato. il programma una volta scaricato deve essere eseguito da START ESEGUI c:\te94decrypt.exe -k 85 alla fine ho ricercato tutti i file "anche quelli nascosti" che avevano l'estenzione criptata (.EnCiPhErEd) e li ho eliminati ed ho ricercato ed eliminato tutti le copie del file TXT (presente oramai in tutte le cartelle del PC) in cui veniva chiesto del versamente dei 50.
__________________
EDIT by staff - no vendita prodotti informatici tramite firma e mail Ultima modifica di gigagi : 13-04-2012 alle 21:16. Motivo: digitazione errata |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:23.