|
|
|
|
Strumenti |
28-01-2015, 10:46 | #1 |
Senior Member
Iscritto dal: Jul 2007
Messaggi: 361
|
CTB Locker - nuova variante del 27-01-2015 del famigerato virus
purtroppo da ieri mattina è in circolo questo virus distribuito tramite una mail che promette un rimborso su un ordine di materiale che può variare da caso a caso.
Il virus si installa aprendo il file allegato .cab che poi silentemente cripta tutti i file presenti sul vostro sistema (hard disk esterni collegati compresi). apparirà una schermata sul desktop che dice che seguendo una procedura e pagando una cifra vi danno la chiave per decripatare i file cosa che non ho ancora potuto verificare ma 90% non accadrà. vedi edit è un virus noto di cui in passato si sono trovate soluzione per il recupero dei file ma al momento non è possibile e addirittura molti antivirus anche con licenza non riconoscono il file infetto. apro questa discussione per confrontarci e vedere se si trovano rimedi. nel mentre fate occhio alle mail che aprite (ho sentito un'azienda che conosco di informatica e solo nella giornata di ieri hanno ritirato 7 computer. PS: su internet si trovano soluzioni come avviare in modalità provvisoria e installare Spyhunter ma il mio personale parere non è altro che un nuovo malware edit del 05/02/2014: nonostante moralmente non si possa ritenere corretto come ampiante discusso di seguito, riporto che in base alle varie segnalazioni all'interno della discussione, chi per estremo bisogno di recuperare i file, ha pagato il riscatto (250-1000€) è riuscito a decriptare i file seguendo con attenzione la corretta precedura. al momento nessun altro sistema sembra essere efficace compreso: -recupero shadow copy (puntualmente cancellate) -recupero dei file eliminati -vari programmi che promettono miracolosi recuperi Segnalo altresì che un utente ha messo a disposizione un tool per prevenire (abbinato ad un buon antivirus) attacchi simili Ultima modifica di Quaglia 17 : 05-02-2015 alle 14:46. Motivo: aggiornamento |
28-01-2015, 12:20 | #2 |
Member
Iscritto dal: Mar 2005
Città: VINCHIATURO(CB)
Messaggi: 113
|
confermo presenza di 1 infezione ad un pc della mia azienda con nod32 originale aggiornato.
Aperta ieri da 1 mia collega, mail con presunta FALSA fattura e allegato .CAB. Dice di aver provato ad aprirlo, ma dice di non aver visto nulla. Stamattina tutti i suoi xls,doc pdf ecc ecc sono criptati... con una estensione : .ndjurki Secondo me qualcosa sarà uscito!!!!! aggiorno: stamattina, verso le 10,00, dopo la scoperta, ho fatto girare ccleaner e nod32 riaggiornato, ma non han trovato nulla di che, però ho fatto la prova a creare nuovi file doc ed excel, riavviato il pc e i file di prova non si erano infettatti. ma ad ora, 13,23 non ho più avuto modo di provare. Ultima modifica di riccese : 28-01-2015 alle 12:48. |
28-01-2015, 14:00 | #3 |
Senior Member
Iscritto dal: Jul 2007
Messaggi: 361
|
io purtroppo sono a quota 4 computer di conoscenti infettati che mi hanno contattato, ad ora l'unico consiglio è spegnere il pc il prima possibile
|
28-01-2015, 14:24 | #4 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5987
|
Quote:
a parte questo anche se rimuovessero l'infezione rimane il problema dei file criptati che nessun antivirus decripta
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 04-02-2016 alle 16:37. |
|
28-01-2015, 14:31 | #5 | |
Senior Member
Iscritto dal: Jul 2007
Messaggi: 361
|
Quote:
|
|
28-01-2015, 15:38 | #6 |
Member
Iscritto dal: Mar 2005
Città: VINCHIATURO(CB)
Messaggi: 113
|
ma una soluzione tampone sarebbe quella di tenere il pc infetto spento ?
Almeno finchè non esce una possibile soluzione ? |
28-01-2015, 16:43 | #7 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5987
|
non so se quel virus rimane residente ma se ha già criptato tutto quello che doveva il danno lo ha già fatto
|
28-01-2015, 18:52 | #8 |
Senior Member
Iscritto dal: Nov 2001
Messaggi: 3096
|
Ricevuta mail similare oggi..
eseguito scan su Virustotal poco fa... riconosciuto, tra i più famosi, solo da: AVG Ad-Aware Avast Avira BitDefender DrWeb ESET-NOD32 Emsisoft F-Secure GData McAfee Microsoft Norman Sophos TrendMicro-HouseCall pertanto una scansione col buon Avira free dovrebbe ripulire.. |
28-01-2015, 22:32 | #9 |
Senior Member
Iscritto dal: Sep 2002
Messaggi: 1643
|
Sì ma i dati sono già a donnine
__________________
Prepare for jump to lightspeed! Windows10 "is a service": che servizio del driver di stampa WSD: What a Shit Driver! |
28-01-2015, 22:55 | #10 |
Senior Member
Iscritto dal: Jul 2007
Messaggi: 361
|
Eh già il problema è che non viene fermato alla prima esecuzione
Inviato dal mio SM-N910F utilizzando Tapatalk |
28-01-2015, 23:33 | #11 |
Junior Member
Iscritto dal: Oct 2009
Messaggi: 7
|
Ieri mattina anche il PC di mio padre è stato infettato dal trojan in questione. In particolare in seguito all'esecuzione dell'allegato .cab, tutti i file (.doc .xls. jpg) contenuti nel PC hanno cambiato estensione in .kwyqbib, divenendo illeggibili.
Volevo chiedervi se conoscete aziende, possibilmente italiane, che si occupano di decriptare tali file. Vi ringrazio in anticipo... Saluti. |
28-01-2015, 23:39 | #12 |
Junior Member
Iscritto dal: Jan 2015
Messaggi: 12
|
Ciao a tutti, ho ben 5 aziende miei clienti con questo virus nel pc. Tutti l'hanno rimosso ma hanno l'intero hardisk criptato! Uno addirittura aveva un backup sull'esterno e il virus ha criptato anche quello!
So che attualmente non ci sono soluzioni ma secondo voi potrebbe evolversi la cosa? |
29-01-2015, 08:25 | #13 |
Member
Iscritto dal: Mar 2005
Città: VINCHIATURO(CB)
Messaggi: 113
|
altra domanda:
tutti i file sono criptati e qui amen !!! Ma se stamattina faccio girare la scansione approfondita di nod32, viene eliminato oppure no ? se viene eliminato, posso usare solo l'hd collegato dall'esterno su altro pc sano, per salvare i DB dei programmi di contabilità ? |
29-01-2015, 09:12 | #14 | |
Senior Member
Iscritto dal: Jan 2011
Città: Prima linea, posto 3
Messaggi: 4398
|
Quote:
Eccerto però che se faccio i backup su un disco fisso USB e poi lo lascio attaccato... CryptoLocker attacca solo i "dischi" montati con una lettera, che io sappia. Questo vuol dire che se tu fai i backup su \\altra_macchina_in_rete\backup (usando la share UNC, cosa che per dire Cobian può fare) CryptoLocker non te li tocca. Se tu invece monti \\altra_macchina_in_rete\backup in Windows con una lettera (ad esempio, che so, X:\ per intenderci), allora anche quel percorso diventa attaccabile (e compromesso se ti pigli CryptoLocker). A maggior ragione se i backup sono fatti su un disco USB sempre connesso al PC da backuppare, sono ancora più a rischio (soprattutto, mi auguro non siano dati 'sensibili' visto che il primo scemo di guerra che passa di lì può prendersi il disco USB e portarselo via ). Ora non so se questa nuova variante abbia "corretto" questa cosa (mi auguro bene di no ), ma sicuramente quella vecchia aveva questo "difetto" (che però ha permesso di recuperare tanti, tanti, tantissimi dati a chi aveva un sistema di backup solo un filo superiore al semplice "vabbé copio tutto su USB ecchisèvvistosèvvisto") cioè che le share UNC erano 'immuni'. Also, su 5 aziende nemmeno una con un backup funzionante? Non ci credo
__________________
Don't be evil
Unless you're trying to please your dictator. Ultima modifica di *aLe : 29-01-2015 alle 09:15. |
|
29-01-2015, 11:18 | #15 | |
Junior Member
Iscritto dal: Jan 2015
Messaggi: 1
|
Quote:
anche da me un casino. due pc infetti e due cartelle di rete condivise. qualcuno ha trovato una soluzione? |
|
29-01-2015, 11:56 | #16 |
Senior Member
Iscritto dal: Jul 2007
Messaggi: 361
|
Dicono che con shadowexplorer si può salvare i file, sto facendo delle prove
Inviato dal mio SM-N910F utilizzando Tapatalk |
29-01-2015, 11:59 | #17 |
Senior Member
Iscritto dal: Jun 2006
Città: tezze sul brenta(vi)
Messaggi: 1497
|
Ragazzi, anche tra i miei conoscenti (quelli che mi chiedono sempre aiuto quando hanno problemi di questo tipo), in 2 sono stati infettati.
Uno dei due ha bellamente deciso di perdere tutto e procedere con un formattone. L'altra invece ha una situazione grave, per fortuna il server dell'azienda con le cartelle condivise si è salvato, ma la persona purtroppo non aveva backup (nonostante mi sia raccomandato centinaia di volte), e sul suo pc erano salvati importanti dati sulla contabilità aziendale. Per questo motivo, nonostante io abbia cercato di far capire che non c'è nessuna garanzia di recuperare niente, neanche pagando il riscatto, la persona ha deciso di procedere al tentativo. Al momento stiamo aspettando che il wallet bitcoin si sincronizzi con la rete bitcoin, per poi procedere al trasferimento. So che a livello etico ed economico è una cosa demenziale pagare il riscatto, tuttavia la situazione è davvero delicata e alla fin fine visto che azienda e denari sono suoi, non ho certo il diritto di imporre io cosa fare a chi. Ho provato sia con i 5 file che automaticamente il malware permette di decrittare, sia con il singolo file a scelta che si può caricare mediante tor browser andando all'indirizzo del loro server, ed in entrambi i casi i files si sono sbloccati e sono pienamente funzionanti. In linea di massima entro sera dovremmo procedere all'operazione, sperando che non si riveli solo denaro gettato al vento. Vi saprò dire, perché credo che in qualunque caso un'informazione in più è meglio di una in meno... EDIT: aggiungo che l'ha preso circa 40 ore fa, nonostante il mcafee installato in azienda...
__________________
I MIEI FEEDBACK per il mercatino |
29-01-2015, 12:09 | #18 |
Senior Member
Iscritto dal: Jul 2007
Messaggi: 361
|
Capisco la situazione, ho casi analoghi, aspetto news
Inviato dal mio SM-N910F utilizzando Tapatalk |
29-01-2015, 12:18 | #19 | |
Senior Member
Iscritto dal: Jun 2006
Città: tezze sul brenta(vi)
Messaggi: 1497
|
Quote:
Lo dico perché l'altra il 27 gennaio verso le 23:00 si riusciva ad aprire il link dal tor browser. Ieri ho provato a riaprire il link dalle 12:30 alle 22:30 e non si apriva una mazza, poi verso le 23:00 ieri si è aperto. Adesso alle 13:00 è ancora offline. Non so neanche bene come funzioni la rete TOR, però apparentemente il server a cui fa riferimento il malware risponde solo dalla tarda serata in poi, durante la notte (potrebbe benissimo essere anche un problema di sovraccarico di accessi durante il giorno)... EDIT: ora mi si è aperto, quindi si tratta solo di un problema di sovraccarico...
__________________
I MIEI FEEDBACK per il mercatino Ultima modifica di dema86 : 29-01-2015 alle 12:52. |
|
29-01-2015, 13:34 | #20 |
Junior Member
Iscritto dal: Apr 2008
Messaggi: 14
|
CTB-LOCKER
NON SE NE SALTA FUORI.
HO IL PC IN AZIENDA COMPLETAMENTE FUORI USO PER QUANTO RIGUARDA I FILE SALVATI IN C ED IN E, OLTRE ALL'HARD DISK ESTERNO, CHE AL MOMENTO DEL "CONTAGIO" ERA DANNATAMENTE ACCESO. HO BISOGNO DI SAPERE SE ESISTE DAVVERO UN MODO AFFIDABILE PER RECUPERARE I FILES CRIPTATI. ANCHE PAGANDO. ATTUALMENTE, DA TOR, E' IMPOSSIBILE AVVIARE IL LINK CHE MI HANNO INVIATO. ALTRA ALTERNATIVA NON TROVO, PER IL MOMENTO. HO PAURA CHE TRASCORSE TOT ORE, MI SPARISCA TUTTO. . . TENIAMOCI IN CONTATTO. GRAZIE |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:12.