Ciao a tutti, un mio amico è incappato su questo incredibile virus preso tramite email ricevuta da un corriere (non cliccate sui link e non scaricate nulla)...
Ora siamo riusciti ad eliminare il virus ma purtroppo tutti i file sono rimasti criptati (topo: nomefile.doc.encrypted e non ci sono back-up)...
E anche alcuni software sono ovviamente bloccati...

Qualcuno di voi sa se esiste un modo per decriptare questi file?

Ho trovato questo sito ma nulla:
https://www.decryptcryptolocker.com/

Spero in voi...!!!
Grazie

Ho trovato questo sito ma nulla:
https://www.decryptcryptolocker.com/


allora le speranze di decrittarli sono prossime allo zero, per il momento.

ci ho provato pure io a mandare i file infetti ma nisba ..me li ritorna sempre indietro ...in poche parole ti rilasciano un software e un codice di sblocco per i file cryptati ..ma per il momento lo vedo inutile

Qualcuno di voi sa se esiste un modo per decriptare questi file?

Ho trovato questo sito ma nulla:
https://www.decryptcryptolocker.com/

Spero in voi...!!!
Grazie

Shadow Copy? Forse è possibile recuperare la versione precedente del file.

Shadow Copy? Forse è possibile recuperare la versione precedente del file.

non credo ..cmq lo provo

Ragazzi anche a due miei conoscenti.
Stessa cosa con la mail del corriere.

ad uno gli sto formattando il PC da ZERO, all' altro sono appena stato a prendergli il PC... mi chiama e fa:
-non riesco a aprire i file PDF.... non mi vanno i file word...

fammi collegare rispondo... il file non si aprono (file sconosciuto...) F5 sul desktop.... TAAC .encrypted

SPEGNI IL PC!!!

:muro: :muro:

Ragazzi anche a due miei conoscenti.
Stessa cosa con la mail del corriere.

ad uno gli sto formattando il PC da ZERO, all' altro sono appena stato a prendergli il PC... mi chiama e fa:
-non riesco a aprire i file PDF.... non mi vanno i file word...

fammi collegare rispondo... il file non si aprono (file sconosciuto...) F5 sul desktop.... TAAC .encrypted

SPEGNI IL PC!!!

:muro: :muro:

Ciao, hai trovato una soluzione?
Io ancora nulla

No, purtroppo in entrambi i casi ho formattato e utilizzato un nuovo disco. :(
Ti dico che nel secondo caso avevo un' azienda ferma perché si è propagato in rete sulla cartella comune e ho dovuto usare il backup del giorno prima per i file criptati.
E' una brutta bestia e ho avvisato altre aziende di stare attenti alle mail sospette (quelle dei corrieri) e in quelle con link strani alfanumerici.

Speriamo bene perché nel secondo caso è pure presente un virus rootkit che non andava via, ma in entrambi i casi ho sostituito l' intero disco per sicurezza e anche nel caso si trovi un rimedio nel futuro.

No, purtroppo in entrambi i casi ho formattato e utilizzato un nuovo disco. :(
Ti dico che nel secondo caso avevo un' azienda ferma perché si è propagato in rete sulla cartella comune e ho dovuto usare il backup del giorno prima per i file criptati.
E' una brutta bestia e ho avvisato altre aziende di stare attenti alle mail sospette (quelle dei corrieri) e in quelle con link strani alfanumerici.

Speriamo bene perché nel secondo caso è pure presente un virus rootkit che non andava via, ma in entrambi i casi ho sostituito l' intero disco per sicurezza e anche nel caso si trovi un rimedio nel futuro.

credo non era il caso sostituire il vecchio hdd ...è capitato pure al sottoscritto con doversi clienti ( il virus si presentava per @ come mittente addirittura SDA) ..ho formattato il disco a basso livello un paio di volte per sicurezza su un macchina con Linux ....e per il momento sta andando tutto ok
cmq il virus in se per se non è difficile debellarlo ..il problema sono solo i file criptati

La sostituzione è stata fatta in modo da poter recuperare qualcosa dalla vecchia installazione perché alcune cose erano in chiaro ancora. Inoltre se fra qualche tempo si troverà un metodo per decriptare allora ecco che il vecchio hd tornerà utile.

"Ti dico che nel secondo caso avevo un' azienda ferma perché si è propagato in rete sulla cartella comune e ho dovuto usare il backup del giorno prima per i file criptati.
E' una brutta bestia e ho avvisato altre aziende di stare attenti alle mail sospette (quelle dei corrieri) e in quelle con link strani alfanumerici."



Buonasera sig. Omihalcon,
Volevo sapere un cosa molto tecnica: dal momento che si apre la mail dell'SDA (con esecuzione del file)
al momento dell' infezione totale del SERVER, quanto tempo passa? E' immediata l'infezione o puo' stare in "incubazione" per giorni? La saluto cordialmente! Grazie.

La sostituzione è stata fatta in modo da poter recuperare qualcosa dalla vecchia installazione perché alcune cose erano in chiaro ancora. Inoltre se fra qualche tempo si troverà un metodo per decriptare allora ecco che il vecchio hd tornerà utile.

si hai fatto bene a salvarlo ...ma il recupero se un domani ci sarà l'antidoto , dovresti farlo sulla stessa macchina , visto che il virus ha usato anche l'id della macchina per criptare i file ...cmq la vedo dura

Oggi altra ondata, due clienti. Sempre mail di sda il problema è che cripta i file mdb quindi capite bene il danno. Per fortuna pst sono ok.

Per Sig. Ophelia999, purtroppo sembra un'esecuzione molto veloce, roba di qualche secondo ma mi è stato anche detto che si apre una finestra nera (shell dos.../?). Purtroppo non l'ho visto in azione ma solo i postumi.

Qualche minuto.
Cryptolocker che io sappia comincia ad agire appena avviato l'eseguibile. Per prima cosa "guarda" quali sono i dischi fissi (quindi anche le unità di rete connesse che hanno una lettera identificativa) e poi comincia a piallare.
A quanto pare non infetta direttamente pennette USB o simili (provato io collegando una penna USB a un PC infetto per "prelevare" l'exe e caricarlo su VirusTotal).

Di solito, dischi di rete parzialmente compromessi (ovviamente solo le cartelle a cui l'utente aveva accesso in scrittura), PC dell'utente da piallare.
Per i dischi di rete, fortunatamente di solito in azienda c'è un backup. Per assurdo, fa più danni nelle case che nelle ditte.

Also, se una share è collegata come \\nomeserver\nomeshare che io sappia Cryptolocker la ignora (ma non vorrei dire una boiata).

Già che ci siamo, ne approfitto per chiedere qua: considerando che i dati ormai son persi e che Kaspersky Rescue Disk non lo rimuove (o almeno, non del tutto che io sappia)... Un paio di passate con Killdisk (http://www.killdisk.com/downloadfree.htm) bastano per eliminare ogni traccia del bastardo, giusto?

almeno per prevenire

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

Nessuna novità sul recupero dei file criptati?

No ma mi hanno detto che se paghi ti danno anche un supporto per recuperare i dati.

purtroppo si è aggiornato nella potenza e nel nome :muro:
http://www.hwupgrade.it/forum/showthread.php?t=2697349

Affermato altri due ha colpito. .. mail di falso bonifico per yonder e pezzi indomani ci. .. in allegato un file cab...

Usate questa guida,
http://deletemalware.blogspot.it/2015/01/how-to-remove-ctb-locker-virus-and.html

per decriptare usate shadowexplorer

http://www.shadowexplorer.com/downloads.html

praticamente andiamo a recuperare i file da qualche giorno prima.Comunque seguite quella guida.

Per eliminarlo comunque ho usato malwarebytes e poi ho usato shadowexplorer per recuperare i file
Saluti!
Raoul

Usate questa guida,
http://deletemalware.blogspot.it/2015/01/how-to-remove-ctb-locker-virus-and.html

per decriptare usate shadowexplorer

http://www.shadowexplorer.com/downloads.html

praticamente andiamo a recuperare i file da qualche giorno prima.Comunque seguite quella guida.

Per eliminarlo comunque ho usato malwarebytes e poi ho usato shadowexplorer per recuperare i file
Saluti!
Raoul

Scusami quindi te personalmente sei riuscito a recuperare i file con shadowexplorer?
Però bisogna vedere il PC aveva shadowcopy attivo giusto?
Grazie mille

Inviato dal mio SM-N910F utilizzando Tapatalk

Le shadow copy non funzionano sempre anzi una variante le cancella

Confermo, tutte cancellate

Inviato dal mio SM-N910F utilizzando Tapatalk

C'era da aspettarselo.

Ragazzi esiste una soluzione per i .encrypted

https://www.facebook.com/pages/Cryptolocker-La-Soluzione/631997760235392?ref=hl

Se scrivete su questa pagina possono indirizzarvi al fine di trovare una soluzione