CTB Locker - nuova variante del 27-01-2015 del famigerato virus

[Quaglia 17]

purtroppo da ieri mattina è in circolo questo virus distribuito tramite una mail che promette un rimborso su un ordine di materiale che può variare da caso a caso.
Il virus si installa aprendo il file allegato .cab che poi silentemente cripta tutti i file presenti sul vostro sistema (hard disk esterni collegati compresi).
apparirà una schermata sul desktop che dice che seguendo una procedura e pagando una cifra vi danno la chiave per decripatare i file cosa che non ho ancora potuto verificare ma 90% non accadrà. vedi edit
è un virus noto di cui in passato si sono trovate soluzione per il recupero dei file ma al momento non è possibile e addirittura molti antivirus anche con licenza non riconoscono il file infetto.

apro questa discussione per confrontarci e vedere se si trovano rimedi.

nel mentre fate occhio alle mail che aprite (ho sentito un'azienda che conosco di informatica e solo nella giornata di ieri hanno ritirato 7 computer.

PS: su internet si trovano soluzioni come avviare in modalità provvisoria e installare Spyhunter ma il mio personale parere non è altro che un nuovo malware

edit del 05/02/2014:
nonostante moralmente non si possa ritenere corretto come ampiante discusso di seguito, riporto che in base alle varie segnalazioni all'interno della discussione, chi per estremo bisogno di recuperare i file, ha pagato il riscatto (250-1000€) è riuscito a decriptare i file seguendo con attenzione la corretta precedura.
al momento nessun altro sistema sembra essere efficace compreso:
-recupero shadow copy (puntualmente cancellate)
-recupero dei file eliminati
-vari programmi che promettono miracolosi recuperi

Segnalo altresì che un utente ha messo a disposizione un tool per prevenire (abbinato ad un buon antivirus) attacchi simili

[riccese]

confermo presenza di 1 infezione ad un pc della mia azienda con nod32 originale aggiornato.

Aperta ieri da 1 mia collega, mail con presunta FALSA fattura e allegato .CAB. Dice di aver provato ad aprirlo, ma dice di non aver visto nulla. Stamattina tutti i suoi xls,doc pdf ecc ecc sono criptati... con una estensione : .ndjurki

Secondo me qualcosa sarà uscito!!!!!


aggiorno: stamattina, verso le 10,00, dopo la scoperta, ho fatto girare ccleaner e nod32 riaggiornato, ma non han trovato nulla di che, però ho fatto la prova a creare nuovi file doc ed excel, riavviato il pc e i file di prova non si erano infettatti. ma ad ora, 13,23 non ho più avuto modo di provare.

[Quaglia 17]

io purtroppo sono a quota 4 computer di conoscenti infettati che mi hanno contattato, ad ora l'unico consiglio è spegnere il pc il prima possibile

[Unax]

Quote:

Originariamente inviato da Quaglia 17

purtroppo da ieri mattina è in circolo questo virus distribuito tramite una mail che promette un rimborso su un ordine di materiale che può variare da caso a caso.
Il virus si installa aprendo il file allegato .cab che poi silentemente cripta tutti i file presenti sul vostro sistema (hard disk esterni collegati compresi).
apparirà una schermata sul desktop che dice che seguendo una procedura e pagando una cifra vi danno la chiave per decripatare i file cosa che non ho ancora potuto verificare ma 90% non accadrà.
è un virus noto di cui in passato si sono trovate soluzione per il recupero dei file ma al momento non è possibile e addirittura molti antivirus anche con licenza non riconoscono il file infetto.

apro questa discussione per confrontarci e vedere se si trovano rimedi.

nel mentre fate occhio alle mail che aprite (ho sentito un'azienda che conosco di informatica e solo nella giornata di ieri hanno ritirato 7 computer.

PS: su internet si trovano soluzioni come avviare in modalità provvisoria e installare Spyhunter ma il mio personale parere non è altro che un nuovo malware

a parte questo anche se rimuovessero l'infezione rimane il problema dei file criptati che nessun antivirus decripta

[Quaglia 17]

Quote:

Originariamente inviato da Unax

spyhunter e stopzilla sono più simili ad un rogue antivirus che ad un vero antimalware

ci sono ennemila siti con nomi accattivanti in inglese e anche in italiano del tipo rimuovi virus che pubblicizzano questi due software come i migliori al mondo

a parte questo anche se rimuovessero l'infezione rimane il problema dei file criptati che nessun antivirus decripta

esattamente. presentano anche bene come siti ma in realtà sono dei falsi aiuti

[riccese]

ma una soluzione tampone sarebbe quella di tenere il pc infetto spento ?
Almeno finchè non esce una possibile soluzione ?

[Unax]

non so se quel virus rimane residente ma se ha già criptato tutto quello che doveva il danno lo ha già fatto

[Delpi]

Ricevuta mail similare oggi..
eseguito scan su Virustotal poco fa...

riconosciuto, tra i più famosi, solo da:

AVG
Ad-Aware
Avast
Avira
BitDefender
DrWeb
ESET-NOD32
Emsisoft
F-Secure
GData
McAfee
Microsoft
Norman
Sophos
TrendMicro-HouseCall

pertanto una scansione col buon Avira free dovrebbe ripulire..

[omihalcon]

Sì ma i dati sono già a donnine

[Quaglia 17]

Eh già il problema è che non viene fermato alla prima esecuzione

Inviato dal mio SM-N910F utilizzando Tapatalk

[gpeter]

Ieri mattina anche il PC di mio padre è stato infettato dal trojan in questione. In particolare in seguito all'esecuzione dell'allegato .cab, tutti i file (.doc .xls. jpg) contenuti nel PC hanno cambiato estensione in .kwyqbib, divenendo illeggibili.
Volevo chiedervi se conoscete aziende, possibilmente italiane, che si occupano di decriptare tali file. Vi ringrazio in anticipo... Saluti.

[vascoseigrande]

Ciao a tutti, ho ben 5 aziende miei clienti con questo virus nel pc. Tutti l'hanno rimosso ma hanno l'intero hardisk criptato! Uno addirittura aveva un backup sull'esterno e il virus ha criptato anche quello!
So che attualmente non ci sono soluzioni ma secondo voi potrebbe evolversi la cosa?

[riccese]

altra domanda:
tutti i file sono criptati e qui amen !!!

Ma se stamattina faccio girare la scansione approfondita di nod32, viene eliminato oppure no ?
se viene eliminato, posso usare solo l'hd collegato dall'esterno su altro pc sano, per salvare i DB dei programmi di contabilità ?

[*aLe]

Quote:

Originariamente inviato da vascoseigrande

Uno addirittura aveva un backup sull'esterno e il virus ha criptato anche quello!

Sull'esterno intendi un disco USB?
Eccerto però che se faccio i backup su un disco fisso USB e poi lo lascio attaccato...

CryptoLocker attacca solo i "dischi" montati con una lettera, che io sappia.
Questo vuol dire che se tu fai i backup su \\altra_macchina_in_rete\backup (usando la share UNC, cosa che per dire Cobian può fare) CryptoLocker non te li tocca.
Se tu invece monti \\altra_macchina_in_rete\backup in Windows con una lettera (ad esempio, che so, X:\ per intenderci), allora anche quel percorso diventa attaccabile (e compromesso se ti pigli CryptoLocker).
A maggior ragione se i backup sono fatti su un disco USB sempre connesso al PC da backuppare, sono ancora più a rischio (soprattutto, mi auguro non siano dati 'sensibili' visto che il primo scemo di guerra che passa di lì può prendersi il disco USB e portarselo via ).

Ora non so se questa nuova variante abbia "corretto" questa cosa (mi auguro bene di no ), ma sicuramente quella vecchia aveva questo "difetto" (che però ha permesso di recuperare tanti, tanti, tantissimi dati a chi aveva un sistema di backup solo un filo superiore al semplice "vabbé copio tutto su USB ecchisèvvistosèvvisto") cioè che le share UNC erano 'immuni'.

Also, su 5 aziende nemmeno una con un backup funzionante? Non ci credo

[andlei]

Quote:

Originariamente inviato da *aLe

Sull'esterno intendi un disco USB?
Eccerto però che se faccio i backup su un disco fisso USB e poi lo lascio attaccato...

CryptoLocker attacca solo i "dischi" montati con una lettera, che io sappia.
Questo vuol dire che se tu fai i backup su \\altra_macchina_in_rete\backup (usando la share UNC, cosa che per dire Cobian può fare) CryptoLocker non te li tocca.
Se tu invece monti \\altra_macchina_in_rete\backup in Windows con una lettera (ad esempio, che so, X:\ per intenderci), allora anche quel percorso diventa attaccabile (e compromesso se ti pigli CryptoLocker).
A maggior ragione se i backup sono fatti su un disco USB sempre connesso al PC da backuppare, sono ancora più a rischio (soprattutto, mi auguro non siano dati 'sensibili' visto che il primo scemo di guerra che passa di lì può prendersi il disco USB e portarselo via ).

Ora non so se questa nuova variante abbia "corretto" questa cosa (mi auguro bene di no ), ma sicuramente quella vecchia aveva questo "difetto" (che però ha permesso di recuperare tanti, tanti, tantissimi dati a chi aveva un sistema di backup solo un filo superiore al semplice "vabbé copio tutto su USB ecchisèvvistosèvvisto") cioè che le share UNC erano 'immuni'.

Also, su 5 aziende nemmeno una con un backup funzionante? Non ci credo

anche da me un casino.
due pc infetti e due cartelle di rete condivise.
qualcuno ha trovato una soluzione?

[Quaglia 17]

Dicono che con shadowexplorer si può salvare i file, sto facendo delle prove

Inviato dal mio SM-N910F utilizzando Tapatalk

[dema86]

Ragazzi, anche tra i miei conoscenti (quelli che mi chiedono sempre aiuto quando hanno problemi di questo tipo), in 2 sono stati infettati.
Uno dei due ha bellamente deciso di perdere tutto e procedere con un formattone.
L'altra invece ha una situazione grave, per fortuna il server dell'azienda con le cartelle condivise si è salvato, ma la persona purtroppo non aveva backup (nonostante mi sia raccomandato centinaia di volte), e sul suo pc erano salvati importanti dati sulla contabilità aziendale.
Per questo motivo, nonostante io abbia cercato di far capire che non c'è nessuna garanzia di recuperare niente, neanche pagando il riscatto, la persona ha deciso di procedere al tentativo.
Al momento stiamo aspettando che il wallet bitcoin si sincronizzi con la rete bitcoin, per poi procedere al trasferimento.

So che a livello etico ed economico è una cosa demenziale pagare il riscatto, tuttavia la situazione è davvero delicata e alla fin fine visto che azienda e denari sono suoi, non ho certo il diritto di imporre io cosa fare a chi.

Ho provato sia con i 5 file che automaticamente il malware permette di decrittare, sia con il singolo file a scelta che si può caricare mediante tor browser andando all'indirizzo del loro server, ed in entrambi i casi i files si sono sbloccati e sono pienamente funzionanti.

In linea di massima entro sera dovremmo procedere all'operazione, sperando che non si riveli solo denaro gettato al vento.

Vi saprò dire, perché credo che in qualunque caso un'informazione in più è meglio di una in meno...

EDIT: aggiungo che l'ha preso circa 40 ore fa, nonostante il mcafee installato in azienda...

[Quaglia 17]

Capisco la situazione, ho casi analoghi, aspetto news

Inviato dal mio SM-N910F utilizzando Tapatalk

[dema86]

Quote:

Originariamente inviato da Quaglia 17

Capisco la situazione, ho casi analoghi, aspetto news

Inviato dal mio SM-N910F utilizzando Tapatalk

Non mancherò di segnalare eventuali sviluppi, ne approfitto per segnalare che apparentemente il server TOR del malware è offline nelle ore diurne.
Lo dico perché l'altra il 27 gennaio verso le 23:00 si riusciva ad aprire il link dal tor browser. Ieri ho provato a riaprire il link dalle 12:30 alle 22:30 e non si apriva una mazza, poi verso le 23:00 ieri si è aperto. Adesso alle 13:00 è ancora offline.

Non so neanche bene come funzioni la rete TOR, però apparentemente il server a cui fa riferimento il malware risponde solo dalla tarda serata in poi, durante la notte (potrebbe benissimo essere anche un problema di sovraccarico di accessi durante il giorno)...

EDIT: ora mi si è aperto, quindi si tratta solo di un problema di sovraccarico...

[Chibibi]

NON SE NE SALTA FUORI.
HO IL PC IN AZIENDA COMPLETAMENTE FUORI USO PER QUANTO RIGUARDA I FILE SALVATI IN C ED IN E, OLTRE ALL'HARD DISK ESTERNO, CHE AL MOMENTO DEL "CONTAGIO" ERA DANNATAMENTE ACCESO.
HO BISOGNO DI SAPERE SE ESISTE DAVVERO UN MODO AFFIDABILE PER RECUPERARE I FILES CRIPTATI. ANCHE PAGANDO.
ATTUALMENTE, DA TOR, E' IMPOSSIBILE AVVIARE IL LINK CHE MI HANNO INVIATO.
ALTRA ALTERNATIVA NON TROVO, PER IL MOMENTO.
HO PAURA CHE TRASCORSE TOT ORE, MI SPARISCA TUTTO. . .
TENIAMOCI IN CONTATTO.
GRAZIE