Un mio amico mi ha portato un HP Compaq Mini110, il pc al boot visualizza una pagina da consolle che dice:
"Attenzione è stata rilevata attività illecità.
Il sistema operativo è stato bloccato a causa di violazioni di legge italiana!
E' stato rilevato che dal suo computer sono stati effettuati lo spamming di contenuto pornografico e la frequenzenza (proprio cosi) di siti pornografici vietati..
Sul computer ci sono anche file video con contenuto pornografico!
Per sbloccare il suo computer bisogna pagare la multa pari a euro 50,00.
Il pagamento dovrà essere effettuato entro 24 ore. Se il pagamento non sarà fatto in tempo il vostro hard disk sarà formattato irrecuperabilmente e distruggerà tutti i file per sempre..
ETC..ETC.."

Poi elenca delle possibilità di pagamento tra cui l'aquisto di un voucher di UKASH che ti darà un codice di pagamento di 19 cifre che manderai via SMS ad un numero di cell che immediatamente di invierà un controcodice di sblocco.
L'hard disk su un live Mint Helena9 viene visto ma non presenta più alcuna partizione.
Inoltre il pc in questione ha l'etichetta di Microsoft sul fondo ed è talmente usurata che non solo non vedo il codice ma addirittura non capisco manco se è seven o Vista.
Pensate che La HP con il seriale è in grado di fornirvi il codice del S.O. Microsoft?
Consigliulteriori? In rete non ho trovato nulla a tal proposito.
Saluti

Un mio amico mi ha portato un HP Compaq Mini110, il pc al boot visualizza una pagina da consolle che dice:
"Attenzione è stata rilevata attività illecità.
Il sistema operativo è stato bloccato a causa di violazioni di legge italiana!
E' stato rilevato che dal suo computer sono stati effettuati lo spamming di contenuto pornografico e la frequenzenza (proprio cosi) di siti pornografici vietati..
Sul computer ci sono anche file video con contenuto pornografico!
Per sbloccare il suo computer bisogna pagare la multa pari a euro 50,00.
Il pagamento dovrà essere effettuato entro 24 ore. Se il pagamento non sarà fatto in tempo il vostro hard disk sarà formattato irrecuperabilmente e distruggerà tutti i file per sempre..
ETC..ETC.."

Poi elenca delle possibilità di pagamento tra cui l'aquisto di un voucher di UKASH che ti darà un codice di pagamento di 19 cifre che manderai via SMS ad un numero di cell che immediatamente di invierà un controcodice di sblocco.
L'hard disk su un live Mint Helena9 viene visto ma non presenta più alcuna partizione.
Inoltre il pc in questione ha l'etichetta di Microsoft sul fondo ed è talmente usurata che non solo non vedo il codice ma addirittura non capisco manco se è seven o Vista.
Pensate che La HP con il seriale è in grado di fornirvi il codice del S.O. Microsoft?
Consigliulteriori? In rete non ho trovato nulla a tal proposito.
Saluti

Ciao, in modalità provvisoria F8 stesso problema?

In realtà non puo esistere modalità provvisoria in quanto non solo non ci sono più file, ma addirittura, anche con Mint helena 9, non ci sono partizioni o i sistemi operativi che ho usato per analizzare il disco non riconoscono partizioni.
Sicuramente qualcosa c'è scritto nel disco in quanto il pc parte e mi esce quella schermata suddescritta, ma Gparted non vede partizioni.
Saluti

Sicuramente qualcosa c'è scritto nel disco in quanto il pc parte e mi esce quella schermata suddescritta, ma Gparted non vede partizioni.
Saluti

C'è assolutamente tutto, potresti fare un ripristino alle condizioni di fabbrica.

non è che sia quel worm che cripta l'hdd?

sta storia del pagare i 50€ mi puzza di quel ricatto:
https://www.pcalsicuro.com/main/2011/04/ritorna-il-trojan-che-sequestra-il-mbr/
io proverei a immettere un qualsiasi codice numerico di 14 cifre esempio: 12345678901234

se è questo il caso il pc riprenderà a funzionare come prima dell'infezione e si autopulisce dall'infezione..

Sicuramente è questo anche se ho provato con un codice generico è purtroppo non si sblocca.
Comunque ho trovato delle cose in merito su internet e cercherò di capirci qualcosa.
Vi tengo informati sullo sviluppo.
Saluti

allora prova con un rescue cd come avira antivir rescue system (http://www.hwupgrade.it/forum/showthread.php?t=1689812) oppure kaspersky rescue disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747)

li scaricherai e li masterizzerai da un pc sano, poi inserisci il cd e segui le indicazioni a video :)

ps: non usare vecchi cd rescue perchè ovviamente non saranno aggiornati

allora prova con un rescue cd come avira antivir rescue system (http://www.hwupgrade.it/forum/showthread.php?t=1689812) oppure kaspersky rescue disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747)

li scaricherai e li masterizzerai da un pc sano, poi inserisci il cd e segui le indicazioni a video :)

ps: non usare vecchi cd rescue perchè ovviamente non saranno aggiornati


Seguirò il tuo consiglio, spero solo stasera di avere un po di tempo da dedicare al problema.
A presto

In ogni caso per quello che leggo in giro questa è una nuova variante.
Infatti non ti chiede di chiamare ad un numero 899 o similari, ma di acquistare un voucher di UKASH da 50 euro e poi di comunicare il codice di pagamento con un sms ad un numero 327xxxxxx (non lo ho sottomano ma se puo servire lo inserirò nel post) successivamente sul cellulare da cui hai inviato l'sms ti dovrebbe arrivare un codice di sblocco.
Inoltre la schermata che ti appare all'avvio è scritta in Italiano a differenza di quanto letto in giro dove si parla di testo in inglese, infine come già segnalato non è sufficiente inserire un codice qualsiasi ho provato con un codice da 2 a 24 cifre ma nisba.
Ho masterizzato i cd provero con i CD RESCUE di AVIRA e KASPER.

In ogni caso per quello che leggo in giro questa è una nuova variante.
Infatti non ti chiede di chiamare ad un numero 899 o similari, ma di acquistare un voucher di UKASH da 50 euro e poi di comunicare il codice di pagamento con un sms ad un numero 327xxxxxx (non lo ho sottomano ma se puo servire lo inserirò nel post) successivamente sul cellulare da cui hai inviato l'sms ti dovrebbe arrivare un codice di sblocco.
Inoltre la schermata che ti appare all'avvio è scritta in Italiano a differenza di quanto letto in giro dove si parla di testo in inglese, infine come già segnalato non è sufficiente inserire un codice qualsiasi ho provato con un codice da 2 a 24 cifre ma nisba.
Ho masterizzato i cd provero con i CD RESCUE di AVIRA e KASPER.

Un mio amico mi ha portato un HP Compaq Mini110

Dov'è il lettore DVD in questo modello?

Non ha il lettore DVD, ma posso mettere l'HD su un PC fisso e bootare da DVD.
Penso che la scansione la faccia comunque.
Da quello che ho capito fanno la scansione ma non toccano il registro e comunque non modificano l'installazione presente sull'HD.
Penso si possa fare ma domani mattina ora sto per crollare.
Saluti

Purtroppo entrambi i CD Live segnalati riescono a risolvere il problema, in realtà manco vedono la partizione o le partizioni ( pare ci fosse anche la partizione di recovery).
Quindi non risolvono questo tipo di problema.
Saluti

prova un ripristino alle condizioni di fabbrica premendo f11 all'avvio di windows

Non ha il lettore DVD, ma posso mettere l'HD su un PC fisso e bootare da DVD.
Penso che la scansione la faccia comunque.
Da quello che ho capito fanno la scansione ma non toccano il registro e comunque non modificano l'installazione presente sull'HD.
Penso si possa fare ma domani mattina ora sto per crollare.
Saluti

Se metti l'HDD su un altro PC non ha senso ha utilizzare un LiveCD.

prova un ripristino alle condizioni di fabbrica premendo f11 all'avvio di windows

Il ripristino F11 non è possibile in quanto l'HDD non ha partizioni ( o almeno sono criptate e non visibili) e quindi nemmeno la partizione di recovery.
Siamo in ppresenza di una nuovissima versione di " Ransomware".
Grazie comunque.

Se metti l'HDD su un altro PC non ha senso ha utilizzare un LiveCD.

Su un altro PC lo metto, ma provvedo a staccare l'HDD originale per evitare di infettarlo non si sa mai, anche perchè siamo di fronte ad un qualcosa sconosciuto ai più.
Infatti le soluzioni trovate su internet sono per versioni precedenti e non fungono ( password a caso di 14 caratteri, password standard diffuse poi su internet "aaaaaaciip" "aaaaadabia")
Addirittura la procedura consigliata in questo post:
http://www.securelist.com/en/blog/208188032/And_Now_an_MBR_Ransomware
con l'uso Hiren's CD 10.2 e l'applicazione "Acronis Disk Director Suite 10.0.2160" mi si blocca all'analisi della partizione e esce dal prog dopo 2 ore.
Questi figli di buona donna hanno ideato questo ransomware e hanno fatto in modo di eludere tutte le soluzioni fin ora trovate per i precedenti ransom.
L'unica cosa di cui sono certo e che "Superfdisk" vede l'HD come 152626M Head 206 sector 19 e non riconosce ne LBA, ne CHS ne altro mi dice che c'è un errore nel HDD.
Per ora Vi saluto e comunque grazie della collaborazione.

Riesci ad indicarmi il numero di Cell al quale inviare il codice di sblocco?

Riesci ad indicarmi il numero di Cell al quale inviare il codice di sblocco?

Chiede di inviare il codice del voucher UKASH di € 50 al numero +37259534131 (numerazione lituana?), sullo stesso cellulare da cui invii l'sms riceverai il codice di sblocco.
Ciao

Chiede di inviare il codice del voucher UKASH di € 50 al numero +37259534131 (numerazione lituana?), sullo stesso cellulare da cui invii l'sms riceverai il codice di sblocco.
Ciao

Questi sono i possibili codici di sblocco:

CONTROL
IRAC
BOLITGOLOVA
PARALLEL
816908
SPAT
G9S6WOR
RAP100R
PLAYGIRL
SVADBA
POLYNOM
99885522
13910
SPEED
SALO
LOLA
GARDEN
TRAVKA
POKER
BANK
ALBERT
FRONT
APPLE
BMW
OPEL
GASH
710394RD
6014500
52509
31337
makak77
zpo4301
6920567
281056
003-001-005-111-995-995-995
777888
333000
16342131
068414741
MUSTGO
62nr253211
424424
70000001
70000004
abcdefgh
Спасибо.
STARCRAFT 2
GmbH
9300
9100
PROTOSS
21186533
123123
111000
avothui0
000111
456456
654654
852852
147741
tadam
herbert
CHILDREN OF DUNE
FRANK HERBERT
gbpltw
RAMMSTEIN

:sperem:

Ciao Chill-Out, anche io ho questa infezione, ma con i codici della tua ultima risposta il pc non si sblocca (non ho provato tutti i codici....) Forse e' una nuova variante di infezione? Fammi sapere se trovi un sistema per sbloccare il pc . grazie

Ciao Chill-Out, anche io ho questa infezione, ma con i codici della tua ultima risposta il pc non si sblocca (non ho provato tutti i codici....) Forse e' una nuova variante di infezione? Fammi sapere se trovi un sistema per sbloccare il pc . grazie

Stesso numero? Stesso messaggio?

Sì, esattamente come ha scritto l'altro utente, stesso numero di cellulare e stesso messaggi. Sei sicuro dei codici? Devo provarli tutti forse? Magari uno solo e' quello buono?

Ciao Chill-Out , ho provato tutti i codici da te suggeriti (tranne quello scritto in caratteri cirillici) ma nessuno ha funzionato. Sai se l'altro utente ha potuto pulire il suo pc?

Sì, esattamente come ha scritto l'altro utente, stesso numero di cellulare e stesso messaggi. Sei sicuro dei codici? Devo provarli tutti forse? Magari uno solo e' quello buono?

Mica me li sono sognati :D Io li proverei tutti ma non è detto che ci sia quello giusto :)



Ciao Chill-Out , ho provato tutti i codici da te suggeriti (tranne quello scritto in caratteri cirillici) ma nessuno ha funzionato. Sai se l'altro utente ha potuto pulire il suo pc?

Non lo so

Ciao, comunque ho risolto il problema con DiskExplorer NTFS: ho copiato il settore 1 del disco (contenente la tavola delle partizioni originale) sopra il settore 0 (contenente il Trojan.MBRLock), collegando il disco ad altro PC. Riavviato il pc e appaiono le 2 partizioni con tutti i file. Ora sto controllando con DrWeb che non ci siano file infetti rimasti sul disco. Grazie lo stesso, spero che sia utile ad altri. ciao

Non ho avuto modo di leggere la posta e quindi di provare i codici, in quanto ero fuori per lavoro.
Mi fa piacere che giobup2 abbia risolto e ti chiedo di essere più chiaro sulla modalità di risoluzione.
Hai collegato l'HDD infetto ad un PC sano, hai lanciato il programma DiskExplorer NTFS che ti consente, almeno così ho capito, di leggere i settori del disco anche se questo non è montato.
A questo punto hai copiato l'intero settore 1 sul settore 0.
Se mi dai conferma e anzi se riesci corredare il post con delle foto delle finestre del programma e se puoi delle allocazioni per evitare che un errore possa poi vanificare il tutto.
Grazie

Ciao big,
per motivi di tempo non posso dirti passo per passo come fare, ne' inserire schermate. Comunque con DiskExplorer NTFS di www.Runtime.org e' abbastanza semplice, si "apre" il drive infetto, si copia il settore 1 sul settore 0 (ricordati di abilitare la scrittura delle modifiche nelle Options), con l'aiuto della guida in linea dovresti riuscirci senza problemi. Io ho salvato il settore 0 ed il settore 1 in due file separati, poi ho inserito il contenuto del file col settore 1 al posto del settore 0. Ciao

Ho installato il programma DiskExplorer NTFS versione trial.
L'ho aperto ho settato modalità read/write da "tools" "option"; successivamente selezionare il drive cliccando su "drive" scegliere il disco (nel mio caso Il 3) cliccare "view" "has hex".
A questo punto vediamo il "sector 0" e il "sector 1" selezionare il sector 0 e cliccare con il tasto destro sulla parte selezionata (ble) "Copy" e poi "copy to file" salvare il settore in un file ( io l'ho chiamato Sector0), eseguire la stessa operazione per il settore 1 (chiamare il file sector1).
Ora abbiamo il backup dei 2 settori; se leggiamo il settore 1 nella parte destra vediamo le classiche diciture restituite da windows quando il boot fallisce (Invalid partition table Error loading operating system Missing operating system) da questo capiamo che nel settore 1 c'è la tabella delle partizioni spostata dal "RANSOMWARE".
Selezioniamo in ble il settore 0 cliccare con il Dx "paste to file" e scegliere il file del settore 1 (sector1). vedremo che nel settore 0 c'è ora la tabella delle partizioni.
Chiudere il programma disconnettere il disco ( se è collegato come nel mio caso in USB) o riavviare il PC.
Il disco è tuttora collegato come secondario e sto eseguendo scansione, vedo la partizione e il suo contenuto.
Non ho ancora provato a farlo bootare sulla sua macchina perchè il PC l'ho lasciato in cantinola, per ora ne visualizzo il contenuto e già sono contento.
Questo è il motivo per cui nel titolo ho scritto "risolto???" domani lo collego al mini pc e Vi faccio sapere.
Saluti

Ciao big,
per motivi di tempo non posso dirti passo per passo come fare, ne' inserire schermate. Comunque con DiskExplorer NTFS di www.Runtime.org e' abbastanza semplice, si "apre" il drive infetto, si copia il settore 1 sul settore 0 (ricordati di abilitare la scrittura delle modifiche nelle Options), con l'aiuto della guida in linea dovresti riuscirci senza problemi. Io ho salvato il settore 0 ed il settore 1 in due file separati, poi ho inserito il contenuto del file col settore 1 al posto del settore 0. Ciao

Avevo capito bene e l'ho fatto poi dopo aver preparato e pubblicato una miniguida mi sono reso conto della tua risposta.
Tanto non fa mai male.
Grazie comunque

Rimontato sul Minipc il sistema ha ripreso a funzionare.
Prima di montarlo l'ho scansionato con Avast, dal pc dove ho eseguito la sostituzione del "sector 0" e non ha trovato nulla, successivamente l'ho scansionato con "Avira CD rescue" aggiornato online in tempo reale e mi ha trovato 2 file infetti nella "\System Volume Information\_restore\xxx\A0068418.exe" definito "Trojan_horse TR/RANSOM.DV1.(rename)".
File che ho rimosso, ovviamente, prima di riavviare il sistema.
Concludo con il dire che, per ora, per questa ultima versione di "RANSOMWARE" nessun Cd di recupero, anche aggiornato, ha risolto il problema, ne ho provati 7.
La soluzione di sostituire l'MBR infetto con l'MBR originale, spostato dal ransom in un altro settore è veloce ed efficace.
Questa soluzione per quanto veloce e non particolarmente complessa è di per se molto rischiosa in quanto si rischia di compromettere il sistema definitivamente; per questo non mi assumo responsabilità pur rimanendo disponibile ad offrire qualsiasi aiuto e mettere a disposizione l'esperienza vissuta.
Un ringraziamento particolare a "giobup2" per il coraggio dimostrato, io ho avuto paura di collegarlo ad un PC con S.O. Windows, nonchè a "Chill-Out" che mi seguito e dato fiducia.

Saluti e grazie

P.S. per qualcuno dei MOD. Suggerirei di modificare o al completare il titolo del post magari aggiungendo la parola "Ransomware" per velocizzare la ricerca.

Salve a ttt,
non sono esperto di informatica e non riuscirei mai ad eliminare ransomware con le indicazione postate in questa discussione.
Ho provato a seguire le istruzioni riportate nel seguente link:
http://trojan-killer.net/it/las-operaciones-sobre-las-actividades-ilegales-se-detectaron-en-el-ordenador-virus-removal-guide/
Effettivamente corrisponde tutto e quindi pensavo di poter fare da solo, ma proprio all'ultimo c'è una una differenza tra le istruzioni ed il mio caso di specie:
il file denominato "shell" si trova già in explorer.exe continuare come indicato nella guida penso non serva a nulla o cmq non essendo sicuro di ciò che stavo facendo ho preferito chiedere a voi, prima di compromettere ancor più il pc.
Cosa devo fare? continuare con la modifica o cercare "contacts.exe" in modalità provvisoria in tutto il sistema?

Se la destinazione di "shell" è explorer.exe che significa?

E' successa la stessa cosa a mio cugino attirato da un sito che avrebbe dovuto fargli vedere delle performance di Belen. Almeno così mi ha raccontato.
L'ho mandato al laboratorio di pc di amici miei con stampata la procedura di risoluzione del problema suggerita in questa discussione. Santo Forum. :D

Cqm qsa è una cosa pazzesca.

Nel frattempo Vi informo che c'è stato l'aumento: a lui chiedono 100,00 € per lo sblocco. Si, sa la vita è sempre più cara e bisogna in qualche modo difendersi :D :D :D

Mi piacerebbe sapere se a tutti quelli che hanno beccato questi virus avevano installato un antivirus ed eventualmente sapere quale.

Io personalmente nella mia vita non ho mai installato antivirus e (mi tocco nel frattempo) non ne ho mai beccati. e sono uno che smanetta parecchio.
Tanto per capire fino a che punto conviene farsi inutilmente rallentare il pc con antivirus

E' successa la stessa cosa a mio cugino attirato da un sito che avrebbe dovuto fargli vedere delle performance di Belen. Almeno così mi ha raccontato.
L'ho mandato al laboratorio di pc di amici miei con stampata la procedura di risoluzione del problema suggerita in questa discussione. Santo Forum. :D

Cqm qsa è una cosa pazzesca.

Nel frattempo Vi informo che c'è stato l'aumento: a lui chiedono 100,00 € per lo sblocco. Si, sa la vita è sempre più cara e bisogna in qualche modo difendersi :D :D :D

Mi piacerebbe sapere se a tutti quelli che hanno beccato questi virus avevano installato un antivirus ed eventualmente sapere quale.



Io personalmente nella mia vita non ho mai installato antivirus e (mi tocco nel frattempo) non ne ho mai beccati. e sono uno che smanetta parecchio.
Tanto per capire fino a che punto conviene farsi inutilmente rallentare il pc con antivirus


Si effettivamente l'aumento c'è stato (100 €)
Io ho panda ma in quel momento evidentemente era distratto......)
Comunque sono riuscito a fare un'analisi completa ed ha rilevato:
arg263371
fsa296745
jag56901
tutti exe
li ha catalogati come sospetti....... e messi in quarantena.
Ad ogni avvio di windows ho 3 messaggi di errore relativi a quei exe perchè non li trova; come posso risolvere il problema?
grazie

Si effettivamente l'aumento c'è stato (100 €)
Io ho panda ma in quel momento evidentemente era distratto......)
Comunque sono riuscito a fare un'analisi completa ed ha rilevato:
arg263371
fsa296745
jag56901
tutti exe
li ha catalogati come sospetti....... e messi in quarantena.
Ad ogni avvio di windows ho 3 messaggi di errore relativi a quei exe perchè non li trova; come posso risolvere il problema?
grazie

Allega un log di HiJackThis/HiJackFree >> http://www.hwupgrade.it/forum/showthread.php?t=1599737

Come allegare un log >> http://www.hwupgrade.it/forum/showthread.php?t=1751598

Dunque, stesso problema sul pc di un mio amico, tra l'altro dell'ufficio con tutte le fatture e compagnia bella, accidenti....devo stare attento a non combinare guai se no sono rovinato, il virus è quello della guardia di finanza (ho aperto già una discussione senza prima accorgermi che c'era già questa...sorry), quello che chiede i 100€.

Ho collegato l'hd al mio pc e mi vede le partizioni, quindi eventualmente potrei già salvare tutto.

Se lo faccio avviare in provvisoria mi da schermata blu, mentre normalmente compare subito la videata dove chiede di inserire il codice che mi blocca subito il pc.

All'hd infetto collegato al mio pc sono state assegnate le lettere I e L.

Di norma la lettera I dovrebbe essere la C (dell'hd infetto) e la L la partizione secondaria.

Invece è l'esatto contrario.

E' il virus che ha combinato questo casino?

E, considerato che posso accedere alle partizioni, come devo procedere?

VIRUS CON AUMENTO DEI 100€ COME SI RISOLVE?

AIUTO

azzo che procedura. ma facilissima guarda. Vedi se riesci a riportare il pc a prima del problema. io ho risolto così. ripristino della configurazione devi fare

ragazzi è successo anche a me ieri, solo perchè avevo sospeso l'attività del Kaspersky, ho risolto con il riavvio e la scansione a fondo del disco ecco cosa ha trovato ed eliminato Kaspersky;

Tipo: altro malware (1)
UDS:DangerousObject.Multi.Generic

Tipo: software che può causare problemi (2)
not-a-virus:HackTool.Win32.Agent.heur
not-a-virus:HackTool.Win32.Agent.heur

Tipo: Programma Trojan (15)
Trojan-Dropper.Win32.Dapato.bdal
Exploit.JS.Pdfka.fof
Exploit.JS.Pdfka.fof
Backdoor.Win64.ZAccess.bh
Backdoor.Win32.ZAccess.aug
Backdoor.Win64.ZAccess.at
Trojan-Dropper.Win64.ZAccess.a
Backdoor.Win32.ZAccess.cjj
HEUR:Backdoor.Win64.Generic
HEUR:Backdoor.Win64.Generic
Trojan-Dropper.Win32.ZAccess.gh
Trojan-Dropper.Win32.Dapato.bdal
Trojan-Dropper.Win32.Dapato.bdal
Trojan-Dropper.Win32.ZAccess.gh
Trojan-Dropper.Win32.ZAccess.gh

Non hai configurato bene Windows, su questo forum ci sono parecchie guide da seguire in tal senso!

Nel mio caso,

con sistema operativo XP, non è stato risolto con Kaspersky però tutto è andato liscio dopo un semplicissimo ripristino della configurazione di sistema al giorno precedente dalla modalità provvisoria!!!

:O

Pazzesco!! A saperlo prima non perdevo tutto il pomeriggio ;)