Ransomware: Prevenzione e soluzioni

[FiorDiLatte]

Quote:

Originariamente inviato da top secret

Pensate che riuscirò mai a recuperare i miei file?

Grazie in anticipo e scusate l'intromissione.

Prova questo tool chissà che..............


https://success.trendmicro.com/solut...or#collapseSix


bye

[Unax]

non so se è già stato segnalato

https://blog.360totalsecurity.com/en...acry-released/

[Dark345]

Nessuna novità per Cerber non v1??

[thewebsurfer]

forse non ha senso segnalarlo perché mi pare che quella variante risolta non giri più (il thread è del 2015), ma lascio la valutazione all'autore del thread se inserirlo o no nella lista:
PClock cryptolocker

https://www.bleepingcomputer.com/for...re-discovered/

(so per certo che il tool funziona perché l'ho usato personalmente, e cmq Fabian e bleepingcomputer sono una garanzia)

[EZU64]

Pc ufficio (non gestito da me ) che fa anche da server infettato. L'estensione è
.NO_MORE_RANSOM . Evidentemente all'autore non manca il senso dell'umorismo. In rete ho trovato un tool ma la email dell'autore è diversa.
Per vostra esperienza l'uso di non tools appropriati compromette altri tentativi di recupero tipo eventuali files originali cancellati?

[Frix00]

Quote:

Originariamente inviato da EZU64

Pc ufficio (non gestito da me ) che fa anche da server infettato. L'estensione è
.NO_MORE_RANSOM . Evidentemente all'autore non manca il senso dell'umorismo. In rete ho trovato un tool ma la email dell'autore è diversa.
Per vostra esperienza l'uso di non tools appropriati compromette altri tentativi di recupero tipo eventuali files originali cancellati?

hmm secondo me no

[thewebsurfer]

Quote:

Originariamente inviato da EZU64

Pc ufficio (non gestito da me ) che fa anche da server infettato. L'estensione è
.NO_MORE_RANSOM . Evidentemente all'autore non manca il senso dell'umorismo. In rete ho trovato un tool ma la email dell'autore è diversa.
Per vostra esperienza l'uso di non tools appropriati compromette altri tentativi di recupero tipo eventuali files originali cancellati?

certo che potrebbe.
Se il tool prende i file infetti e li sovrascrive tentando di decrittare con algoritmi sbagliati al posto del file ti trovi un guazzabuglio che non recupererai mai più. Non tutti i tool sono evoluti e fanno tutti i check che vorresti.

@Frix00 se non siamo sicuri di ciò che diciamo in questi casi delicati è meglio tacere. Ricordo quando presi anni (before it was cool) fa un ransomware in un forum di sicurezza un tizio disse testualmente "massì puoi formattare la partizione del SO, tanto i file nell'altra partizione sempre lì sono"

[guidgip]

Salve a tutti ragazzi, sono stato colpito anche io da un ransomware. In particolare ad essere colpito non è stato il mio PC ma il NAS D-Link DNS-320 che possiedo e che aveva una falla conosciuta proprio a questo tipo di malware. Fatto sta che mi ha bloccato tutti i files di immagini, i files word, i pdf e quant'altro. Fortunatamente avevo una copia di backup di buona parte del contenuto del nas, tuttavia parecchie cose purtroppo non avevo fatto in tempo a salvare e ora sono impossibili da aprire. Le estensioni non sono state modificate, pertanto non sono riuscito a capire che tipo di ransomware si sia insediato nel NAS e se è possibile decriptare i files. Qualcuno può darmi una mano a capirci di più?

[gabmac2]

è possibile che questo tipo di minaccia attacchi senza nessun tipo di interazione con l' utente?
(allegati, siti pericolosi ecc.....)

[akrasir]

Salve a tutti,di recente sono stato anch'io infettato da questo virus;praticamente ha colpito i miei file musicali e video.Ha praticamente aggiunto ad ogni file l'estensione .IGDM.Ho fatto fare le varie scansioni a diversi antivirus citati nei vari siti,ma nulla tutto trovano tranne questo stra maledetto virus;ho provato a guardare i vari processi attivi sul pc,ma nulla.Qualcuno di voi,ha già avuto a che fare con questa variante? Grazie

[SoldatoBiancaneve]

Quote:

Originariamente inviato da akrasir

Salve a tutti,di recente sono stato anch'io infettato da questo virus;praticamente ha colpito i miei file musicali e video.Ha praticamente aggiunto ad ogni file l'estensione .IGDM.Ho fatto fare le varie scanzioni a diversi antivirus citati nei vari siti,ma nulla tutto trovano tranne questo stra maledetto virus;ho provato a guardare i vari processi attivi sul pc,ma nulla.Qualcuno di voi,ha già avuto a che fare con questa variante? Grazie

non è assolutamtne detto che trovi un virus in esecuzione... il file che ha criptato tutto potrebbe essere già cancellato e non cì'è bisogno che sia in esecuzione una volta che ha criptato tutto... sul pc dovresti trovare però traccia del ransom, ovvero un file dove ti viene chiesto denaro per decriptare...

ad ogni modo qui

https://www.free-uninstall.org/how-t...files/?lang=it

https://www.google.it/search?q=igdm+...utf-8&oe=utf-8

trattano l'argomento, pare che si riesca a decriptare... in bocca al lupo e facci sapere

[aeroxr1]

Il pc del mio cognato è stato infettato con un ramsoware.

Gli aveva persino corrotto il bootloader

Corretto quello sono riuscito a rientrare nella macchina, ma da quel che ho visto è praticamente tutto criptato.

Il ramsoware foxsocy encryptor e dai motori di ricerca online mi sembra non ci sia niente da fare per decriptare i file..

[SoldatoBiancaneve]

facendo una rapida ricerca si troverebbe un certo combo cleaner... provato??


https://www.pcrisk.it/guide-per-la-r...tor-ransomware

[orsa99]

Ci sono alcuni ransomware verso i quali non si può far nulla per recuperare i files criptati...ad esempio CryptoLocker....lo beccai nel lontano 2014 sono passati 6 anni e i files restano sul pc criptati

[aeroxr1]

Quote:

Originariamente inviato da SoldatoBiancaneve

facendo una rapida ricerca si troverebbe un certo combo cleaner... provato??


https://www.pcrisk.it/guide-per-la-r...tor-ransomware

per ora quello che ho fatto è stato, entrare in modalità provvisoria e disabilitare l'avvio in automatico di un software che si era autoaggiunto.

Messo windows 10 sopra windows 7 in modo da riparare i file di registro che erano stati corrotti.

Fare un check con malwarebytes e eset scanner online (trovato qualcosa come 300 file pericolosi..)

Installatogli adblocker come estensione di chrome

Ora faccio la scansione con questo cc cleaner.

Vi aggiorno grazie

[giovanni69]

Quote:

Originariamente inviato da orsa99

Ci sono alcuni ransomware verso i quali non si può far nulla per recuperare i files criptati...ad esempio CryptoLocker....lo beccai nel lontano 2014 sono passati 6 anni e i files restano sul pc criptati

Scusami ma immagino che siano uscite diverse soluzioni nei successivi 7 anni dal moemento in cui è stato effettuato il reverse engineering da parte di Kyrus Technologies.

[orsa99]

Quote:

Originariamente inviato da giovanni69

Scusami ma immagino che siano uscite diverse soluzioni nei successivi 7 anni dal moemento in cui è stato effettuato il reverse engineering da parte di Kyrus Technologies.

Giovanni e dove? Non ho mai trovato nulla in rete!

[giovanni69]

All'epoca c'era pure un sito su cui caricare il file e cercava di decriptarlo. Adesso forse il tutto è stato sostituito da società che fanno il lavoro oppure è stato chiuso (FireEye / Fox-IT ) . Dipende quanto sono importanti quei files per te.

https://www.thewindowsclub.com/list-...ecryptor-tools
https://www.bynarycodes.com/decrypt-...er-ransomware/
https://heimdalsecurity.com/blog/ran...ryption-tools/

Iscriviti a qualche blog o forum specifico (es. Kaspersky Club) per vedere se ci sono state evoluzioni.

O prova con un file criptato caricandolo qui:
https://www.emsisoft.com/ransomware-decryption-tools/

[orsa99]

Quote:

Originariamente inviato da giovanni69

All'epoca c'era pure un sito su cui caricare il file e cercava di decriptarlo. Adesso forse il tutto è stato sostituito da società che fanno il lavoro oppure è stato chiuso (FireEye / Fox-IT ) . Dipende quanto sono importanti quei files per te.



O prova con un file criptato caricandolo qui:
https://www.emsisoft.com/ransomware-decryption-tools/

Ci sono diverse versioni di Cryptolocker all'epoca beccai una versione più recente: CTB-locker e dall'analisi sul sito emsisoft risulta non ancora decriptabile.

[ferrybotte]

buongiorno ragazzi,

spero di essere nella sezione giusta ..

da un po' di tempo quando eseguo la scansione con il mio Malware Bytes Free trovo sempre Trovigo e company..

le mie domande, prevedibilmente, sono:

come posso averlo preso dato che sono attentissimo a scaricare e cliccare in giro

2. se è come mi sembra nella cartella di chrome basta disinstallare Google Chrome e poi installarlo di nuovo per eliminarlo?

3. che cos'è esattamente?

4. Domanda Fondamentale: mi può spiare le cartelle in C? non credo sia un ransomware né una cosa grave: il mio dubbio principale è che questo o altri file possano spiare in qualche modo anche i documenti nelle cartelle offline ..

sarei disposto ad attivare anche una versione a pagamento di un buon programma se fossi sicuro che può garantirmi protezione attiva. Il problema è che a quanto pare tutti i programmi stanno andando in versione abbonamento tot al mese anziché con la vecchia licenza lifetime.
capisco il loro interesse ma per me da cliente è una cosa che non posso accettare..

inoltre ho letto che la combo win 10 defender + malwarebytes free è comunque ottima.. giusto?

Quote:

Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data scansione: 18/08/21
Ora scansione: 19:29
File di log: *******-****-****-****-************.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1292
Aggiorna versione pacchetto: 1.0.44226
Licenza: Free

-Informazioni sistema-
SO: Windows 10 (Build 19043.1165)
CPU: x64
File system: NTFS
Utente: *******\****

-Riepilogo scansione-
Tipo di scansione: Ricerca elementi nocivi
Scansione avviata da: Manuale
Risultati: Completata
Elementi analizzati: 375237
Minacce rilevate: 4
Minacce messe in quarantena: 0
Tempo impiegato: 9 min, 18 sec

-Opzioni di scansione-
Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Analisi euristica: Attivata
PUP: Rilevare
PUM: Rilevare

-Dettagli scansione-
Processo: 0
(Nessun elemento nocivo rilevato)

Modulo: 0
(Nessun elemento nocivo rilevato)

Chiave di registro: 0
(Nessun elemento nocivo rilevato)

Valore di registro: 0
(Nessun elemento nocivo rilevato)

Dati di registro: 0
(Nessun elemento nocivo rilevato)

Flusso di dati: 0
(Nessun elemento nocivo rilevato)

Cartella: 1
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Nessuna azione intrapresa, 473, 455258, , , , , ,

File: 3
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nessuna azione intrapresa, 473, 455258, 1.0.44226, , ame, , 7DDED1AC1B79A268FB832E2DF73641BA, 8FEC87087F9168C1D6CC86F82C916771B73435F4EA32FBDE140A7CE105DC0679
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Nessuna azione intrapresa, 473, 455258, 1.0.44226, , ame, , 841D3FB81EDBD9298703BBB9DD8C36B8, 4C139C6F377D7C3D0B7231C57CC097063F2EB4810784E4F2894FD21544486659
PUP.Optional.Conduit, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nessuna azione intrapresa, 193, 454832, 1.0.44226, , ame, , 7DDED1AC1B79A268FB832E2DF73641BA, 8FEC87087F9168C1D6CC86F82C916771B73435F4EA32FBDE140A7CE105DC0679

Settore fisico: 0
(Nessun elemento nocivo rilevato)

WMI: 0
(Nessun elemento nocivo rilevato)


(end)

grazie