|
|
|
|
Strumenti |
05-05-2016, 10:30 | #301 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5999
|
ho rifatto il test ieri ed in effetti il comportamento è come descrivi tu non appare l'avviso ma negli eventi viene rilevato il blocco con il codice evento 865
non so però perchè sempre ieri per due volte il blocco, attraverso l'operazione pianificata eseguita come admin, veniva bypassato per l'eseguibile e per gli exe contenuti nella medesima cartella forse perchè avevo solo fatto il restart di explorer ma non il riavvio? comunque le policy erano queste defaultlevel a 0 blocca tutto tranne ciò che è autorizzato sotto [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths] Codice:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers] "DefaultLevel"=dword:00000000 "ExecutableTypes"=hex(7):41,00,55,00,54,00,00,00,41,00,33,00,58,00,00,00,41,00,\ 44,00,45,00,00,00,41,00,44,00,50,00,00,00,42,00,41,00,53,00,00,00,42,00,41,\ 00,54,00,00,00,43,00,48,00,4d,00,00,00,43,00,4d,00,44,00,00,00,43,00,4f,00,\ 4d,00,00,00,43,00,50,00,4c,00,00,00,43,00,52,00,54,00,00,00,45,00,58,00,45,\ 00,00,00,48,00,4c,00,50,00,00,00,48,00,54,00,41,00,00,00,49,00,4e,00,46,00,\ 00,00,49,00,4e,00,53,00,00,00,49,00,53,00,50,00,00,00,4d,00,44,00,42,00,00,\ 00,4d,00,44,00,45,00,00,00,4d,00,53,00,43,00,00,00,4d,00,53,00,49,00,00,00,\ 4d,00,53,00,50,00,00,00,4d,00,53,00,54,00,00,00,4d,00,53,00,48,00,00,00,4d,\ 00,53,00,48,00,31,00,00,00,4d,00,53,00,48,00,32,00,00,00,4d,00,53,00,48,00,\ 58,00,4d,00,4c,00,00,00,4d,00,53,00,48,00,31,00,58,00,4d,00,4c,00,00,00,4d,\ 00,53,00,48,00,32,00,58,00,4d,00,4c,00,00,00,4f,00,43,00,58,00,00,00,50,00,\ 43,00,44,00,00,00,50,00,49,00,46,00,00,00,50,00,53,00,31,00,00,00,50,00,53,\ 00,31,00,58,00,4d,00,4c,00,00,00,50,00,53,00,32,00,00,00,50,00,53,00,32,00,\ 58,00,4d,00,4c,00,00,00,50,00,53,00,43,00,31,00,00,00,50,00,53,00,43,00,32,\ 00,00,00,52,00,45,00,47,00,00,00,53,00,46,00,43,00,00,00,53,00,43,00,52,00,\ 00,00,53,00,48,00,53,00,00,00,55,00,52,00,4c,00,00,00,56,00,42,00,00,00,56,\ 00,42,00,53,00,00,00,56,00,42,00,45,00,00,00,57,00,53,00,43,00,00,00,57,00,\ 53,00,00,00,57,00,53,00,46,00,00,00,4a,00,53,00,00,00,4a,00,53,00,45,00,00,\ 00,41,00,50,00,50,00,4c,00,49,00,43,00,41,00,54,00,49,00,4f,00,4e,00,00,00,\ 47,00,41,00,44,00,47,00,45,00,54,00,00,00,44,00,4f,00,43,00,4d,00,00,00,44,\ 00,4f,00,54,00,4d,00,00,00,58,00,4c,00,53,00,4d,00,00,00,58,00,4c,00,54,00,\ 4d,00,00,00,58,00,4c,00,41,00,4d,00,00,00,50,00,50,00,54,00,4d,00,00,00,50,\ 00,4f,00,54,00,4d,00,00,00,50,00,50,00,41,00,4d,00,00,00,52,00,53,00,50,00,\ 50,00,00,00,53,00,4c,00,44,00,4d,00,00,00,00,00 "PolicyScope"=dword:00000001 "TransparentEnabled"=dword:00000002 "AuthenticodeEnabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-008390A4B13A}] "ItemData"="C:\\Program Files (x86)" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-0280D0843A46}] "ItemData"="C:\\WINDOWS\\*.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-34614D484530}] "ItemData"="C:\\Program Files" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-353646434040}] "ItemData"="C:\\WINDOWS\\system32" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-40270D3B3B41}] "ItemData"="C:\\WINDOWS\\system32\\*.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-461B161A5220}] "ItemData"="C:\\WINDOWS"
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 05-05-2016 alle 10:41. |
05-05-2016, 21:05 | #302 |
Senior Member
Iscritto dal: Dec 2010
Messaggi: 429
|
ho analizzato il tablet asus T100 in modalità prov con malwarebytes e kaspersky removal tool però non trovano il virus! l'estensione è .crypt
perché? Variante: .crypt Sistema Operativo: win 8.1 Livello UAC: si Anti-Ransomware e/o Criteri di gruppo: no (antivirus AVG) Veicolo di infezione: boh Provider di posta: libero Macro di Office: boh Ad-Block: si Flash: si Java: boh |
06-05-2016, 07:40 | #303 |
Senior Member
Iscritto dal: Oct 2004
Città: Palermo
Messaggi: 2757
|
Scusate forse dico una cosa stupida...ma io utente medio che utilizza lo smartphone per tutto, non posso controllare la posta dal mio telefono così da evitare qualsiasi problema ?
Inviato dal mio SM-G900F utilizzando Tapatalk |
06-05-2016, 12:31 | #304 |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18115
|
Certo che puoi controllare la posta con lo smartphone (poi magari becchi il ransomware anche lì), se è per quello puoi controllarla anche da un internet point, ma perché?
|
06-05-2016, 15:14 | #305 |
Senior Member
Iscritto dal: Oct 2004
Città: Palermo
Messaggi: 2757
|
Ah, quindi lo becco anche con android ? Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...
Inviato dal mio SM-G900F utilizzando Tapatalk |
06-05-2016, 15:30 | #306 | |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18115
|
Non lo becchi, puoi beccarlo.
https://www.google.it/search?q=ranso...AY3F8AfZgonADQ Così come non lo prendi sicuramente su windows, puoi prenderlo su windows. E non muori sicuramente di infarto o a causa di un incidente automobilistico. Puoi morire di infarto o a causa di incidente automobilistico. Quote:
Mi chiedo a cosa servono discussioni come queste se il risultato è ottenere utenti così ansiosi sull'argomento, invece di utenti più consapevoli della questione e che hanno capito quali strategie di prevenzione adottare. |
|
06-05-2016, 15:34 | #307 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5999
|
Quote:
che poi anche un dispositivo mobile possa essere vittima di virus di varia natura è possibile anche se meno usuale rispetto a sistemi windows ma sono i comportamenti che fanno la differenza come con le malattie sessuali se fosse così semplice che basta consultare le mail da un dispositivo mobile per evitare tutti i rischi.... |
|
06-05-2016, 16:03 | #308 | |
Senior Member
Iscritto dal: Oct 2004
Città: Palermo
Messaggi: 2757
|
Quote:
Cmq mi sa che devo leggere meglio, mi sarà sfuggito qualcosa... |
|
09-05-2016, 15:12 | #309 | |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Quote:
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 09-05-2016 alle 15:15. |
|
09-05-2016, 15:45 | #310 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5999
|
Quote:
anche gli antivirus che con l'euristica riuscivano a bloccare molte varianti anche se non presenti nelle firme oramai debbono alzare bandiera bianca con tutte le loro gui colorate e piene di animazioni ed icone, uno spreco di ram e processore in piena regola
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 09-05-2016 alle 15:53. |
|
09-05-2016, 18:34 | #311 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
Editato visto che agli occhi di molti sarebbe risultato troppo fuori tema
Ultima modifica di Averell : 09-05-2016 alle 23:16. |
10-05-2016, 07:49 | #312 | |
Senior Member
Iscritto dal: Jan 2010
Messaggi: 37005
|
Quote:
|
|
10-05-2016, 08:36 | #313 | |
Senior Member
Iscritto dal: Apr 2003
Città: Genova
Messaggi: 17505
|
Quote:
Mi sembra che a oggi l'unica vera salvezza sia una pianificazione attenta, precisa e frequente di backup su supporti esterni. Inviato dal mio Nexus 5 utilizzando Tapatalk
__________________
PSU Corsair 520HX | Case Corsair Graphite T380 Black | Mobo AsRock Z97E ITX/AC | CPU Intel i5 4690 | Dissi Noctua NH-L12 | RAM Corsair Vengeance 16Gb DDR3 | GPU Msi GTX 970 Gaming 4G | SSD Crucial MX100 256 Gb + HDD WD 500Gb | Tasietra Logitech G910 | Mouse Logitech G502 Lightspeed | Cuffie Logitech G935 | Monitor LG IPS237L | Profilo Steam | Btag: BelzeHWup#1129 | |
|
10-05-2016, 11:38 | #314 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5999
|
Quote:
|
|
10-05-2016, 12:22 | #315 |
Senior Member
Iscritto dal: Apr 2003
Città: Genova
Messaggi: 17505
|
No, a una pagina web "irfanferdinan-qualcosa.html".
__________________
PSU Corsair 520HX | Case Corsair Graphite T380 Black | Mobo AsRock Z97E ITX/AC | CPU Intel i5 4690 | Dissi Noctua NH-L12 | RAM Corsair Vengeance 16Gb DDR3 | GPU Msi GTX 970 Gaming 4G | SSD Crucial MX100 256 Gb + HDD WD 500Gb | Tasietra Logitech G910 | Mouse Logitech G502 Lightspeed | Cuffie Logitech G935 | Monitor LG IPS237L | Profilo Steam | Btag: BelzeHWup#1129 | |
10-05-2016, 14:37 | #316 |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1747
|
tutti i file mi risultano criptati (tranne immagini e video).
Estensione file .crypt Ho fatto rirpristino di configurazione di sistema e tutto è rimasto così tranne la schermata desktop che prima del rirpristino aveva uno sfondo con una immagine probabilmente del virus. C' qualche soluzione?
__________________
venduto sul forum iphone 3G ad AntonioBest, notebook ASUS a400 a icarosat, custodia INCIPIO per Iphone a longjohn1988, iphone 3Gs ad Tony_Montana91, Samung D900i ad Arkark, HTC Diamond ad Umbi69, Huawei P9lite ad uazzamerican, Apple Airpods ad majittiell |
10-05-2016, 15:38 | #317 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Prima pagina questa sconosciuta...
L'estensione .crypt è comune ad una serie di varianti come CryptXXX, Gomasom, CrypBoss per citarne quelle che si possono decriptare come da sezione Quali varianti è possibile decriptare? Prova con i tool che trovi facilmente su google ( es. Emsisoft Decrypter for Gomasom ) e spera che la variante sia quella giusta.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
10-05-2016, 15:44 | #318 | |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1747
|
Quote:
__________________
venduto sul forum iphone 3G ad AntonioBest, notebook ASUS a400 a icarosat, custodia INCIPIO per Iphone a longjohn1988, iphone 3Gs ad Tony_Montana91, Samung D900i ad Arkark, HTC Diamond ad Umbi69, Huawei P9lite ad uazzamerican, Apple Airpods ad majittiell |
|
10-05-2016, 15:58 | #319 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Fammi la cortesia di leggere la prima pagina altrimenti scriviamo sempre le solite cose ( c'è scritto come identificare la variante; tramite sito ID-Ransomware, con l'estensione ma non è il tuo caso perché è comune oppure tramite il nome dei file che lascia per tutto il PC esempio "decrypt_readme.txt" ) se poi qualcosa non ti è chiaro o hai dei dubbi sicuramente qualcuno ti aiuterà nel percorso.
P.S. L' .exe da un "errore", cerca di essere più vago la prossima volta
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
10-05-2016, 16:10 | #320 | |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 1747
|
Quote:
CryptXXX 2.0 p.s. per l'exe del tool di prima mi dice esattamente: the decrypyion key for your systm cold not be found. please attempt to drag and drop both an encrypted...
__________________
venduto sul forum iphone 3G ad AntonioBest, notebook ASUS a400 a icarosat, custodia INCIPIO per Iphone a longjohn1988, iphone 3Gs ad Tony_Montana91, Samung D900i ad Arkark, HTC Diamond ad Umbi69, Huawei P9lite ad uazzamerican, Apple Airpods ad majittiell |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:53.