Come detto precedentemente ero stato colpito da un virus che mi criptava tutti i files ma avevo dubbi che si trattasse di CTB perchè non avevo ricevuto richiesta di riscatto. Invece successivamente ho aperto un file di testo che ho trovato casualmente in C: (READ ME.Txt) e c'era scritto di inviare una mail con un codice ad un certo indirizzo mail, e che sarebbero seguite istruzioni.
Poi ho fatto una ulteriore scansione con avira che ha trovato e messo in quarantena nuovi viru tipo ransom etc.
Pensavo fosse tutto a posto, invece quando ho riavviato il PC ho notato che il bastardo ha ricominciato a criptare altri files che si erano salvati!!
Avira adesso non trova più niente ma ho paura di riavviare il PC.
Aiuto!! Avete qualche procedura per disinfettare bene il PC?
Grazie in anticipo

intanto non riavviare il sistema ma usa un cd linux per vedere il disco fisso e salvare i file che non sono criptati (se per te sono importanti)

se invece nel pc non ci sono dati importatnti o hai delle copie

pialla tutto e reinstalla da zero a questo punto

Come detto precedentemente ero stato colpito da un virus che mi criptava tutti i files ma avevo dubbi che si trattasse di CTB perchè non avevo ricevuto richiesta di riscatto. Invece successivamente ho aperto un file di testo che ho trovato casualmente in C: (READ ME.Txt) e c'era scritto di inviare una mail con un codice ad un certo indirizzo mail, e che sarebbero seguite istruzioni.
Poi ho fatto una ulteriore scansione con avira che ha trovato e messo in quarantena nuovi viru tipo ransom etc.
Pensavo fosse tutto a posto, invece quando ho riavviato il PC ho notato che il bastardo ha ricominciato a criptare altri files che si erano salvati!!
Avira adesso non trova più niente ma ho paura di riavviare il PC.
Aiuto!! Avete qualche procedura per disinfettare bene il PC?
Grazie in anticipo

La richiesta di riscatto arriva solo quando tutti i documenti sul disco sono criptati (comprese immagini e filmati).

Prima te ne puoi accorgere perchè il PC diventa molto lento e il disco macina sempre (ma se hai SSD la procedura è molto più veloce e difficile da rilevare!)
E te ne accordi dal fatto che alcuni documenti non li riesci più ad aprire (perchè sono già stati criptati).
Percui appena si riscontrano questi sintomi, spegnere il PC, partire con un rescue disk, (o smontare il disco e montarlo su altro PC pulito, stando bene attenti a non aprire nessun file per non infettare anch'esso) e salvare tutto il salvabile.

@ ferdinando117:

come scritto anche da altri, il ragionamento è disarmante nella sua semplicità.


Se è un virus che cripta i dati (pdf, jpg,...), preparati pure generalmente a salutarli a meno che tu non voglia pagare il riscatto.


Capitolo infezione:
la rimozione non risulta impossibile specie facendo leva su appositi tool (HitmanPro (http://www.surfright.nl/en/hitmanpro/), Malwarebytes (http://it.malwarebytes.org/antimalware/),...)

Alla fine del processo ti troverai il PC tecnicamente pulito ma con i file di cui sopra sempre criptati (e, spesso e volentieri, nell'impossibilità anche volendo di recuperarli in un secondo momento pur pagando il riscatto perchè hai eliminato componenti necessari al virus per portare a termine il processo)


Lineare.



Come si fa inoltre noi a sapere quello che vuoi fare del tuo PC, quello che ci tieni, se è un PC di lavoro, se....???

Aiuto!! Avete qualche procedura per disinfettare bene il PC?
Grazie in anticipo
Io per essere sicurissimo di eliminarlo formatterei e non solo la partizione dove è installato Windows ma tutte le partizioni.
Metti che pensi di essere apposto e poi tra 4-5 giorni ti si ripresenta il problema?
Così almeno sei sicuro di eliminarlo.
Tanto ormai visto che il danno è fatto, almeno sei sicuro di essere ripulito.

Con un virus del genere, anche se l'antivirus mi dice che sono pulito, io non mi fiderei a continuare a usare il Pc senza prima un bel format.

Certamente con un virus del genere, sempre meglio una formattata generale.

Certamente con un virus del genere, sempre meglio una formattata generale.

io opterei per la colata nell'acciaio fuso :D

Certamente con un virus del genere, sempre meglio una formattata generale.
Io visto che ci ho avuto a che fare settimana scorsa, anche se mi sembra di non essermi preso nulla, da allora non ho più inserito chiavette nel Pc :D
E quando devo backuppare qualcosa (backup di file vari che ho fatto stasera) uso un normale dvd-rw.
Non mi fido nè a inserire hard disk (ne ho uno esterno con 40GB di foto e video vari) nè a inserire chiavette (in cui ci sono le copie documenti vari che ho anche qui sull'hard disk) :D

Cmq fino ad adesso (ci ho avuto a che fare una settimana fa) niente di anomalo. Ma appena noto qualcosa di strano tabula rasa e cancello e formatto tutto.

Certo massima attenzione ai dispositivi esterni, ma proprio per questo sarebbero da utilizzare delle soluzioni tipo queste

http://horizondatasys.com/en/products_and_solutions.aspx?ProductId=1#Features

http://www.horizondatasys.com/en/products_and_solutions.aspx?ProductId=18#Features

http://www.pcrx.com/it/system_protect/default.aspx

L'ultimo dovrebbe impedire la scrittura non autorizzata anche su dispositivi esterni

Non mi fido nè a inserire hard disk (ne ho uno esterno con 40GB di foto e video vari) nè a inserire chiavette (in cui ci sono le copie documenti vari che ho anche qui sull'hard disk) :D

Se hai bisogno solo di leggere i dati senza scrivere nulla di nuovo puoi abilitare la protezione da scrittura, in tal modo non sarà possibile per nessuno andare a cancellare/criptare i dati. Chiaramente l'operazione è reversibile

Aggiungi questa chiave al registro PRIMA di collegare la periferica:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Una volta che hai finito e scollegato la periferica, per ripristinare:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000

Se hai bisogno solo di leggere i dati senza scrivere nulla di nuovo puoi abilitare la protezione da scrittura, in tal modo non sarà possibile per nessuno andare a cancellare/criptare i dati. Chiaramente l'operazione è reversibile

Aggiungi questa chiave al registro PRIMA di collegare la periferica:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Una volta che hai finito e scollegato la periferica, per ripristinare:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000

Immagino tu l'abbia testato, non da problemi nella riattivazione in scrittura? Cmq è un sistema forse un po' macchinoso per utilizzare i dispositivi esterni, ma molto utile in chiave sicurezza.

Immagino tu l'abbia testato, non da problemi nella riattivazione in scrittura? Cmq è un sistema forse un po' macchinoso per utilizzare i dispositivi esterni, ma molto utile in chiave sicurezza.

beh puoi sempre usare chiavette usb con la protezione di scrittura hw :D

beh puoi sempre usare chiavette usb con la protezione di scrittura hw :D
E' vero, ma mi pare non se ne trovino facilmente in giro. Almeno io non ne ho viste. E poi c'è il problema HD esterni.

Se hai bisogno solo di leggere i dati senza scrivere nulla di nuovo puoi abilitare la protezione da scrittura, in tal modo non sarà possibile per nessuno andare a cancellare/criptare i dati. Chiaramente l'operazione è reversibile

Aggiungi questa chiave al registro PRIMA di collegare la periferica:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Una volta che hai finito e scollegato la periferica, per ripristinare:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000

Bè no per il momento non devo backuppare nulla, e sull'hard disk esterno più che altro ci sono foto, audio o video che non sto a guardare tutti i giorni.
I documenti (.doc, .txt, .pdf, email varie ecc.) invece li ho salvati sia su chiavetta (anzi su due chiavette in doppia copia perchè ho sempre paura che una delle due si possa rompere) e sia su questo hard disk.
Cmq visto che è passata una settimana da quando mi è arrivata la email con il virus e non è successo niente di strano, penso che tra qualche giorno ricomincerò a usare le chiavette.

Se dovesse ricapitarmi una email strana e dovessi obbligatoriamente usare un dispositivo esterno seguirò il tuo consiglio ;)

Immagino tu l'abbia testato, non da problemi nella riattivazione in scrittura? Cmq è un sistema forse un po' macchinoso per utilizzare i dispositivi esterni, ma molto utile in chiave sicurezza.

Che problemi dovrebbe dare? E' l'unica alternativa ad un write blocker e quello sì che può essere considerato "macchinoso" :D

Tutte le informazioni sulla chiave sono su Technet

StorageDevicePolicies\WriteProtect
By default, users can mount USB block storage devices on their computers and read from, or write to, these devices without limitation. However, administrators can restrict the ability of users to write to USB block storage devices.

To restrict users' ability to write to these devices, you can add the StorageDevicePolicies key and then add the WriteProtect DWORD value to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ registry key and configure it to 1. When this value is configured, the Windows driver for USB block storage devices rejects write requests to mounted USB block storage devices.

Vulnerability
An attacker could copy data to a removable USB device and steal it.

Countermeasure
Configure the WriteProtect value to 1, to prevent the computer from writing data to USB block storage devices.

Potential impact
This registry key provides partial mitigation of a serious threat. However, there are many other ways that a skilled attacker can steal data with a USB device. For example, a USB device can be programmed to enumerate as a non-block storage device (like a printer or CD-ROM device), which bypasses this control. Organizations that want to prevent the theft of sensitive data by users or attackers can use this entry as part of a broader security strategy, in conjunction with physical access controls and other measures to restrict access to writable USB devices.

Mettiti nei panni di un impiegato amministrativo che:
- non ha competenze tecniche in ambito IT
- riceve ogni giorno ordini e fatture (veri) da clienti e fornitori (e di certo non conosce tutti per nome)

Ti sembra ancora una cosa così stupida ?


Nel mondo lavorativo la posta hai bisogno di riceverla da chiunque, non solo dai tuoi contatti.

se, come spesso accade, sono mail di questo tenore

http://i57.tinypic.com/1zfn97l.jpg

ritengo che 500€ di riscatto siano troppo POCHI...

se, come spesso accade, sono mail di questo tenore

http://i57.tinypic.com/1zfn97l.jpg

ritengo che 500€ di riscatto siano troppo POCHI...

Se una mail del genere arriva in ufficio da me, almeno il 95 % degli impiegati la apre !

Eh, non gli fanno nessuna formazione in tal senso, spero che a monte, vengano filtrate !

Se una mail del genere arriva in ufficio da me, almeno il 95 % degli impiegati la apre !

Eh, non gli fanno nessuna formazione in tal senso, spero che a monte, vengano filtrate !

perdonami, sono dei dementi oltre che estremamente superficiali nello svolgimento del loro lavoro.

EDIT importante:
aprirla è un conto, abboccare un altro dato che è sufficiente leggere le prime righe per notare che sembra scritta da qualcuno sotto ANFETAMINA, o no?
http://www.hwupgrade.it/forum/showpost.php?p=42189468&postcount=9

perdonami, sono dei dementi oltre che estremamente superficiali nello svolgimento del loro lavoro.

EDIT importante:
aprirla è un conto, abboccare un altro dato che è sufficiente leggere le prime righe per notare che sembra scritta da qualcuno sotto ANFETAMINA, o no?
http://www.hwupgrade.it/forum/showpost.php?p=42189468&postcount=9
Bè in email è abbastanza facile prevenire visto che: 1) la email farlocca si riconosce subito 2) mai aprire allegati provenienti da email strane; ma se un domani lo facessero che lo puoi beccare pure semplicemente navigando?
Magari con qualche pop-up strano che ti si apre durante la navigazione te lo installa sul pc e ti cripta i files.
In quel caso si che sarebbero stracavoli amari visto che diventa più difficile prevenire.
Anzi forse qualche versione già c'è, dato che mi pare di aver letto in questo thread che ferdinando117 un virus simile che cripta i files se l'è beccato proprio navigando e senza aprire nessun allegato in email.

bravo, mai sentito parlare degli exploit? (e contro questi non c'è sapienza che tenga, ma non a caso esistono strumenti di contrasto dedicati)...

es di exploit che ha veicolato CTB-Locker fino a qualche gg fà (e forse tutt'ora),
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html



Nessuna pietà invece per il capitolo mail scritte "da fulminati"...

E i 500€?

In definitiva, GENEROSI perchè con dei polli cosi' (non a caso Vanna Marchi ha fatto miliardi)...

bravo, mai sentito parlare degli exploit? (e contro questi non c'è sapienza che tenga, ma non a caso esistono strumenti di contrasto dedicati)...

es di exploit che ha veicolato CTB-Locker fino a qualche gg fà (e forse tutt'ora),
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html
Bè si, infatti anni fa quando usavo ancora Internet Explorer un virus me l'ero preso proprio navigando.
E neanche su chissà quali siti strani, ma facendo normali ricerche con google o visitando forum.
Però non mi aveva criptato nessun file per fortuna :D

Ecco mi ero beccato sto virus qua: http://www.hwupgrade.it/forum/showthread.php?t=1406170

Che poi ho risolto formattando la partizione dove risiedeva Windows.
Cioè non è tanto il fatto di beccarmi un virus che preoccupa (un bel formattone nella partizione dove risiede Windows e lo elimini), ma il fatto che cripta i files quello si che è preoccupante.

Mica tanto, scusa chi è che apre gli eseguibili con pdf.exe?
oppure una fattura che finisce in .cab?
Certamente gente inesperta che non sa cosa voglia dire eseguire un applicazione palesemente malevola dentro una mail.

come cliccare sui link alfanumerici che venivano inviati con libero... alcuni li aprono per curiosità e per stupidità (o ingenuità? )

E poi barricarsi in casa... non mi pare un esempio calzante anzi è esagerato come termine perché vuol dire fare di tutta un erba un fascio ovvero tutte le mail che arrivano sono pericolose.

perdonami, sono dei dementi oltre che estremamente superficiali nello svolgimento del loro lavoro.

EDIT importante:
aprirla è un conto, abboccare un altro dato che è sufficiente leggere le prime righe per notare che sembra scritta da qualcuno sotto ANFETAMINA, o no?
http://www.hwupgrade.it/forum/showpost.php?p=42189468&postcount=9

Lo so...
Ma nessuno gli ha eruditi, in tal senso, gli hanno a malapena insegnato ad usare i programmi lavorativi evidentemente la direzione non lo calcola come problema !

Oggi una mia collega, mi è arrivata un mail da [nomestrano]@mail.ru e c'è un documento allegato...

CANCELLALA SUBITO

Non vorrei andare troppo OT (eventualmente apro una discussione specifica), ma come mai da qualche giorno non mi compare più nella barra di stato l'icona di HitmanPro.Alert?? In altre parole non è più tra i processi in esecuzione ma io non l'ho mica disinstallato...:eek:

Gli antivirus sono indubbiamente diventati inefficaci tranne forse quelli Cloud: dico “forse” perché bisogna valutare caso per caso la loro effettiva efficienza in rapporto alla reattività di aggiornamento dell’engine del Cloud stesso; sugli AV Cloud però resta aperto il problema non da poco della privacy, con particolare riferimento alla gestione e alla sicurezza dei dati presenti sul PC.

Scartati gli AV Cloud, l’unica difesa efficiente contro le minacce conosciute e sconosciute è (e sempre sarà) una difesa pro-attiva in cui è l’utente a dover decidere cosa fare e cosa non fare.
Esattamente. La differenza non la fa l'AV, ma il comportamento dell'utente davanti al computer.

se, come spesso accade, sono mail di questo tenore

http://i57.tinypic.com/1zfn97l.jpg

ritengo che 500€ di riscatto siano troppo POCHI...

In questo caso si tratta di TorrentLocker

mi domandavo questo tipo di virus come si comporta di fronte a dei file .doc rinominati a cui è stata cambiata l'estensione in .docu e l'estensione è associata al programma di scrittura

li ignora perchè quella estensione non rientra tra quelle che cripta o li esamina per vedere l'header e decidere di criptarli?

i file di testo contenuti in cartelle nascoste li ignora o li cripta?

se le cartelle vengono nascoste con dei programmi di terze parti tipo http://www.hidefolders.org/ il virus può accedervi e criptare?

se uno crea una iso partendo da una cartella contenente del file di testo il virus ignora il file iso contenente le copie dei file di testo?

Ci sono in giro molte varianti di questi trojan, è ragionevole pensare che molte altre ne usciranno in futuro, e non è detto si comportino tutte allo stesso modo. Tutte le tecniche da te citate sono accorgimenti che possono essere utili a proteggere i tuoi dati, ma tieni a mente che nessuna ti protegge al 100% se il codice del virus è sufficientemente evoluto.

Cavolo a me il giorno prima. Mi pare che fosse il 29. Avevo mandato anche il file su virustotal per analizzarlo dato che Avira me lo segnava come pulito:

https://www.virustotal.com/it/file/703089dd1f673c2b949e9f81684bed5339d29383ad02d6c5696e31684ce0fd86/analysis/1422399026/


Anzi pardon era il 27 gennaio. Non so se fosse questo famigerato CTB locker, ma la email era quasi uguale identica a quella arrivata friscoss.

Interessante. La mia collega ha contratto il CTB-LOCKER il giorno 27 gennaio di mattina. Intorno alle 12:00 scaricai l'allegato cab da altro PC per inviarlo a virus total e solo 2 antivirus lo riconoscevano come tale. Certamente non lo facevano Symantec, kaspersky, avg, trendmicro. La tua scansione è alle 22 però...

Ciao dal mio tapatalk

Mica tanto, scusa chi è che apre gli eseguibili con pdf.exe? oppure una fattura che finisce in .cab

la maggior parte della gente che utilizza supinamente un sistema operativo che, come impostazione di default, ti nasconde le estensioni dei files.
;)

la maggior parte della gente che utilizza supinamente un sistema operativo che, come impostazione di default, ti nasconde le estensioni dei files.
;)
:asd:

la maggior parte della gente che utilizza supinamente un sistema operativo che, come impostazione di default, ti nasconde le estensioni dei files.
;)

La maggior parte della gente le estensioni visibili le sovrascrive allegramente.

cmq non capisco come funzioni l'attacco linkato alla pagina precedente, dove chiede di aprire una pagina web...

un conto è scaricare ed eseguire un scr, ma aprire un link? cosa dovrebbe succedere al seguito? serve sempre un eseguibile da scaricare...


altra domanda: tempo fa ricevetti una mail, aveva un allegato, capii subito che era un virus ma scaricai la mai per curiosità, aveva un zip o rar e dentro c'era un file con estensione a me sconosciuta ma ricordo che iniziava con la P mi pare .pst o qualcos'altro.... poteva essere un file eseguibile??

chiaramente non l'ho lanciato, mi sembra che ho provato ad aprirlo con notepad... ma poi ho cancellato tutto...
----
un mio consiglio invece è quello di controllare la mail prima di scaricarla sul pc con gli eventuali allegati... io uso un programmino che si chiama poptray... controlla la mail e premette di cancellarla direttamente sul server... prima di aprire il client di posta

.pst -> file di dati di outlook. E' un contenitore, non puoi aprire con notepad ma con MS outlook.

Oggi mi chiama un cliente... ho una cartella in rete con encrypted :doh:

Vado da lui e scopro per il virus ha lavorato solo per 2 min ma non su tutto, desktop e una cartella in rete, tutto il resto stranamente è a posto. Recupero in rete i file con il backup e nel pc dell' utente che ha MS Essentials come AV.... ho recuperato i file dalla copia shadow, tutto il resto era ok; un punto a favore per MSE!
Che :ciapet: !!!

P.S. 2 gg fa un' altro con AVAST... mail aperta perchè lavora con corrieri... un disastro!!! rifatto tutto! :( AVAST punto a sfavore

Vi dico la mia esperienza
Mi chiama il mio vecchio principale e mi dice che tutti i suoi files del NAS sono rovinati e non vengono aperti
Vado da lui e vedo che la maggiorparte di questi files sul NAS sono stati tutti rinominati aggiungendo dopo l'estensione questa dicitura id_0626406387_fud@india.com
Pero' sul suo pc non si e' aperta nessuna finestra per un pagamento o altro
Allora tramite email ho contattato chiunque sia al fud@india.com chiedendo se era possibile decriptare i files e dopo qualche giorno mi risponde che era possibile dopo aver pagato 1400 euro in bitcoin.
Anzi mi ha chiesto anche di appoggiare un files criptato su un hosting in modo che vedeva se l'operazione di decriptazione era possibile
Sono due giorni che sto aspettando una sua risposta
Secondo voi e' lo stesso virus di cui si parla in questo tread?

Ecco la risposta integrale della sua email

Hello! The cost of obtaining a decoder and a unique key to decrypt your files is 1400 euros in Bitcoins, so that you can check the availability of the decoder and the key , load the example of an encrypted file on file sharing sendspace.com, and send us the link, after decryption, we will send it along with the details.

è un'estorsione bella e buona...

è un virus simile, d'altronde ho letto da qualche parte che su tor è in vendita il dropper del virus... chiunque potrebbe comprarselo per diffonderlo e guadagnarci...

nn avrai intenzione di pagare spero!!

Se fosse per me non prenderebbero una lira
Solo che mi metto nei panni di chi come il mio amico ha una ditta con tutti i files delle presenze computi disegni cad ecc ecc
Quindi files importanti per il buon proseguimento dell'attivita'

Ora pero' vorrei provare con qualche programma di recupero files cancellati
Solo che essendo un nas ha due dischi in raid con file system proprietario che non viene riconosciuto dal pc

.pst -> file di dati di outlook. E' un contenitore, non puoi aprire con notepad ma con MS outlook.


mi viene un dubbio, io nn uso outlook...

ma aprendo un pst si può prendere il virus? pst è un eseguibile??

mi viene un dubbio, io nn uso outlook...

ma aprendo un pst si può prendere il virus? pst è un eseguibile??

Se non ricordo male il pst non viene associato ad alcuna applicazione. Quindi non si può eseguire

Sì apre solo da Outlook e purtroppo è una estensione che viene criptata da ctb locker quindi bisogna avere i backup anche di questi Files

Vi dico la mia esperienza
Mi chiama il mio vecchio principale e mi dice che tutti i suoi files del NAS sono rovinati e non vengono aperti
Vado da lui e vedo che la maggiorparte di questi files sul NAS sono stati tutti rinominati aggiungendo dopo l'estensione questa dicitura id_0626406387_fud@india.com
Pero' sul suo pc non si e' aperta nessuna finestra per un pagamento o altro
Allora tramite email ho contattato chiunque sia al fud@india.com chiedendo se era possibile decriptare i files e dopo qualche giorno mi risponde che era possibile dopo aver pagato 1400 euro in bitcoin.
Anzi mi ha chiesto anche di appoggiare un files criptato su un hosting in modo che vedeva se l'operazione di decriptazione era possibile
Sono due giorni che sto aspettando una sua risposta
Secondo voi e' lo stesso virus di cui si parla in questo tread?

Ecco la risposta integrale della sua email

Hello! The cost of obtaining a decoder and a unique key to decrypt your files is 1400 euros in Bitcoins, so that you can check the availability of the decoder and the key , load the example of an encrypted file on file sharing sendspace.com, and send us the link, after decryption, we will send it along with the details.

Anche a me è successa la stessa identica cosa!
Nessun allegato ricevuto, nessuna mail, nessun file aperto e nessuna richiesta di pagamento e mi sono ritrovata i file con la scritta finale fud@india.com
Non tutti, circa metà in D:/ forse perché mi sono accorta in tempo.

Ho un file Outlook di back-up di fine 2014, avendo gmail posso recuperare in Outlook le mail di questi mesi in modo da riordinarle come prima in un unico programma con sottocartelle?

Per gli altri file ho provato di tutto ma non funziona niente. Non so cosa fare:cry:

New crypto ransomware <extension>.id-<number>_fud@india.com (http://www.bleepingcomputer.com/forums/t/568295/new-crypto-ransomware-extensionid-number-fudindiacom/)

Se è vero che

Nessun allegato ricevuto, nessuna mail, nessun file aperto e nessuna richiesta di pagamento [...]
(quest'ultimo aspetto davvero strano...),

non rimane che pensare ad un Exploit* o ad un'altra infezione che ha veicolato anche...



* visitando un indirizzo web apparentemente innocente con un PC in qualche modo vulnerabile perchè [...], si è stati reindirizzati in maniera invisibile verso [...] attivando a nostra insaputa [...], ecc...

Ciao a tutti,
riferito come "preso" non si sa come pochi gg fà, è Cryptowall V.3.
Acceso AVG free trova "eqnCsuba.exe".
Se avete prove sono disponibile, il contenuto del disco non interessa.
(Xp Sp3 con Centrino Duo)

poveracci, c'è ancora gente con XP?? :D


"preso non si sa come" → te lo spiego io che sono sapiente:
è come avere rapporti non protetti con un malato conclamato di AIDS e stupirsi se si raccatta qualcosa...

non rimane che pensare ad un Exploit* o ad un'altra infezione che ha veicolato anche...



* visitando un indirizzo web apparentemente innocente con un PC in qualche modo vulnerabile perchè [...], si è stati reindirizzati in maniera invisibile verso [...] attivando a nostra insaputa [...], ecc...

Angler EK, mentre nel caso fud[@]india.com viene veicolato 1/2 mail

https://www.f-secure.com/weblog/archives/00002795.html

Ciao a tutti,
riferito come "preso" non si sa come pochi gg fà, è Cryptowall V.3.
Anche un mio collega stamattina si è preso qualcosa che sembra un Cryptowall (ha criptato i file sul disco e lasciato una richiesta di riscatto in tedesco :D ).
Anche lui non si spiega come l'ha preso, dice che non ha aperto mail strane e non ha visitato siti particolari.

L'antivirus aziendale Symantec non si è accorto di niente.

cryptowall 3.0 era quello che ho piallato su un notebook poco tempo fa...

cmq ho installato system protect come consigliato qui ma il servizio mi freeza il pc... navigando...:muro:

cryptowall 3.0 era quello che ho piallato su un notebook poco tempo fa...

cmq ho installato system protect come consigliato qui ma il servizio mi freeza il pc... navigando...:muro:
Intendi questo System Protect?

http://www.pcrx.com/it/system_protect/default.aspx

L'ho usato una volta e non mi dava alcun problema, se non quello dei continui prompt di accesso a qualsiasi directory che avevo protetto :D

si, intendo proprio quello...

mi si freeza il pc e devo terminare il servizio da taskmanager...

lo fa quando navigo con ie e firefox aperti ma anche una volta, aprendo un pdf...

non ho provato a proteggere cartelle... anche perchè me lo ha fatto subito... ora l'ho ancora su ma se continua dovrò toglierlo...

(xp sp3)

si, intendo proprio quello...

mi si freeza il pc e devo terminare il servizio da taskmanager...

lo fa quando navigo con ie e firefox aperti ma anche una volta, aprendo un pdf...

non ho provato a proteggere cartelle... anche perchè me lo ha fatto subito... ora l'ho ancora su ma se continua dovrò toglierlo...

(xp sp3)
Se continua così ti conviene toglierlo.

Non ho capito se la versione @india si può fare qualcosa

Non sono uno specialista di malware, ma credo che la migliore protezione contro questo tipo di malware, più di qualsiasi HIPS, sia proprio quella di bloccare determinate directory dove risiedono dati sensibili. In questo modo credo che si stia assolutamente tranquilli. Per quanto possa essere valido un HIPS, bisogna sempre affidarsi alle sue capacità di riconoscimento, tenendo presente anche le possibili evoluzioni e mutazioni del virus.

Mi sembra avessi specificato che non sono uno specialista di questo genere di programmi :asd: però sapevo che gli HIPS lavorano sul comportamento dei processi, più che sulle directory o sul tipo di malware. Per questo avevo usato il termine riconoscimento. Ma allora in definitiva, questo programma farebbe le stesse cose di System Protect, almeno lato directory.

Vi posto anch'io la mia esperienza... Sul mio pc xp sp3 sono stati criptati vari file, ma dallo sfondo del desktop si parla di europay@india,com come eventuale mittente per il decoding e la key. Che fare?

Vi posto anch'io la mia esperienza... Sul mio pc xp sp3 sono stati criptati vari file, ma dallo sfondo del desktop si parla di europay@india,com come eventuale mittente per il decoding e la key. Che fare?

paghi o ti attacchi

oppure prova a chiedere a dr web sostengono di aver trovato il modo di decriptare ma chiedono anche loro un pagamento

http://www.decryptolocker.it/


QUANTO COSTA DECRIPTARE I MIEI DATI

Pagherai 70 euro solo quando ti dimostreremo che è possibile decriptare i tuoi file!

In questo importo sono compresi:

L'analisi dei file ricevuti e, se ripristinabili, creazione del tool creato per il tuo caso specifico di infezione per il recupero di tutti i tuoi file criptati

Il supporto in teleassistenza per lanciare il tool di recupero

Il Software Dr.Web CureIt! per la pulizia del computer infetto da eseguire prima di lanciare il tool di recupero.

1 Licenza antivirus Dr.Web Security Space valida 12 mesi (valore di euro 34,90) da installare subito sul tuo PC per evitare di essere colpito nuovamente da virus di tipo ransomware.

Vi aggiorno: tramite shadowexplorer il mio tecnico ha cancellato il virus e sul registro ha eliminato per ogni file criptato la voce che criptava il file... Rinominando poi i vari file il problema è stato risolto. Mi scuso per come ho descritto il procedimento ma non sono un esperto

Vi aggiorno: tramite shadowexplorer il mio tecnico ha cancellato il virus e sul registro ha eliminato per ogni file criptato la voce che criptava il file... Rinominando poi i vari file il problema è stato risolto. Mi scuso per come ho descritto il procedimento ma non sono un esperto

Si riesce a capire qualcosa di più? Per chi non ne capisce molto è arabo

In ufficio ha colpito diverse cose in rete, si sta cercando di capire da dove è partito, dobbiamo trovare il pc infetto che lavora e cripta i file in rete.

Chi ha il pc infetto provi con shadow explorer e ci faccia sapere.

Su windows 7 e 8 in pratica tutti i file di office hanno una specia di backup (shadow= ombra) Il programma shadow explorer trova l'ombra (sana) del file originale (infetto), fa una comparazione e ne estrae la chiave di decriptazione. A questo punto con questa chiave si puo decriptare file per file in tutto il pc.

Provate e fateci sapere.

Sì più o meno credo sia stato lo stesso procedimento, tranne per il fatto che chi mi ha risolto il problema ha dovuto anche agire nel registro

Su windows 7 e 8 in pratica tutti i file di office hanno una specia di backup (shadow= ombra) Il programma shadow explorer trova l'ombra (sana) del file originale (infetto), fa una comparazione e ne estrae la chiave di decriptazione. A questo punto con questa chiave si puo decriptare file per file in tutto il pc.

1. La copia shadow non decripta proprio niente, al massimo sostituisce il file ordinario (in questo caso criptato) con la copia shadow.

2. Come è stato detto un miliardo di volte questa soluzione non è sempre valida, anzi con le ultime versioni del virus è del tutto inutile..

3. Quando un file viene crittografato non vi è alcun modo di poterlo decrittare se non con la sua chiave, che in questo caso è custodita nei server dei cyber criminali.

che shadowexplorer trovi l'ombra sana faccia il confronto e trova la chiave di decriptazione mi è nuova:D

speriamo sia così, ma mi risulta che le shadow vengono eliminate...

la storia di maytor è da verificare... ma hai ritrovato tutti i file??? perchè se si allora quella variante india non cancella le shadow... buon per voi

@Phoenix, grazie, lo proverò sicuramente;)

rieccomi qui...

purtroppo malware defender mi manda in crash il pc...
nulla da fare...

ho provato ed ho avuto un paio di bsod, inizialmente dopo l'installazione, quando chiede di scaricare le kernel qualcosa... sia che rispondo si, sia che rispondo no va in bsod.. allora ho provato con mod provvisoria, sembra funzionare ma probabilemnte perchè il servizio associato non è avviato...

quindi quando riavvio in normale va sempre in bsod... bad pool header
evidentemente quando avvia il servizio...

qualche altro consiglio???:help:

Io ho provato a inviare un file criptato (finisce con @india.com) in questo sito
https://decryptcryptolocker.com
la risposta datami è "Il file non sembra essere infetto da Cryptolocker"

Provate pure voi.

guarda, credo di avere un problema hardware perchè non riesco ad installare alcuni antivirus, mi vanno tutti in bsod, avast e anche il microsoft... comodo lo installa ma è lentissimo e mi ricordo che mi dava problemi...

ad ogni modo ho provato ad installare malwarprotector anche da mod provvisoria, quindi senza internet attivo, e ho provato a mettere in mnormal mode (nel caso fosse learning mode il problema) e andava in bsod lo stesso se riavviavo normalmente....

Non sono riuscito a riprendere tutti i file a causa di una sovrascrittura delle estensioni o roba del genere... In pratica per colpa mia che ho cambiato estensione a gruppi di file contemporaneamente tramite cmd

Buongiorno a tutti ragazzi.
Ho una domanda da sistemista alle prime armi quale sono. Ho letto in giro che è possibile creare una GPO globale in grado di selezionare determinati file exe( che poi, alla fine, è quello che fa partire il virus) così da dover sempre accettare eventuali exe non appartenenti a suddetta GPO, è arginare così, il problema a monte. qualcuno è in grado di aiutarmi?
Saluti

Mi aggiungo alle vittime, un pc in un ufficio di un amico è stato colpito e ha pure criptato i dati del suo backup nel nas di rete.... :cry:

eccoci... studio professionale totalmente off, ultimo backup più di un anno fa. Software gestionale che usa gli archivi in formato .mdb quindi persi anche questi, svariati migliaia di documenti definitivamente persi. L'amico giura di non aver aperto alcuna email.

http://dapoli.duckdns.org/foto/virus_1.jpg

Mi aggiungo alle vittime, un pc in un ufficio di un amico è stato colpito e ha pure criptato i dati del suo backup nel nas di rete.... :cry:

Scusami ma al nas di rete era assegnata una lettera di unità, era mappato? Perchè se si propaga sul nas di rete allora si propaga anche in rete agli altri pc e questo è un casino serio serio...

della serie non ci resta che piangere

ma se non è arrivato con un'email come ha fatto ad entrare e attivarsi?
navigazione web? chiavetta di cliente/collega già infetta?

Come è stato scritto anche in questa discussione, mi pare di aver letto da qualche parte - ma potrei anche sbagliare - che il metodo di propagazione non si limita alla sola email, ma anche a vulnerabilità del browser (plugin come flashplayer non aggiornati, javascript, ecc..). Pertanto, come da sempre è auspicabile, tenere sempre aggiornati plugin, java, antivirus, antimalware e fare gli aggioramenti di sicurezza classificati come importanti del sistema operativo.

p.s. colgo l'occasione per fare una piccola osservazione che non vuole diventare polemica: questo topic sta diventando un pò troppo pieno di spazzatura, molte persone vengono a dire che sono stati infettati e propongono addirittura soluzioni che, ovviamente, non esistono. Consiglio a tutti di prendersi un pò di tempo per leggere almeno i primi post di questa discussione, onde evitare inutili osservazioni già fatte e informazioni errate o distorte.

Scusami ma al nas di rete era assegnata una lettera di unità, era mappato? Perchè se si propaga sul nas di rete allora si propaga anche in rete agli altri pc e questo è un casino serio serio...

Devo chiedere, ha criptato solo la cartella a cui l'utente aveva accesso, tutte le altre sono sane, anche gli altri pc in rete non hanno problemi.

qui su cryptofortress
http://www.lexsi-leblog.com/cert-en/cryptofortress.html

Come è stato scritto anche in questa discussione, mi pare di aver letto da qualche parte - ma potrei anche sbagliare - che il metodo di propagazione non si limita alla sola email, ma anche a vulnerabilità del browser (plugin come flashplayer non aggiornati, javascript, ecc..). Pertanto, come da sempre è auspicabile, tenere sempre aggiornati plugin, java, antivirus, antimalware e fare gli aggioramenti di sicurezza classificati come importanti del sistema operativo.



ma è certificata questa cosa??? ad ogni modo c'è bisogno di un file da scaricare che esegua la crittazione..


Non sono riuscito a riprendere tutti i file a causa di una sovrascrittura delle estensioni o roba del genere... In pratica per colpa mia che ho cambiato estensione a gruppi di file contemporaneamente tramite cmd

quello che scrivi non è chiaro.... rinominando un file non lo perde...
il file è perso solo se è criptato... qualsiasi estensione abbia


PS: tra i gratuiti quale mi consigliate di antivirus?? ora sto vedendo bitdefender, sempre che riesca ad installarlo...

Il trend emergente delle nuove varianti dei cryptomalware sarà (ma già è) la propagazione su percorsi di rete non mappati, vedi ad esempio:
CryptoFortress, a TorrentLocker clone that also encrypts unmapped network shares
www.bleepingcomputer.com/forums/t/569157/cryptofortress-a-torrentlocker-clone-that-also-encrypts-unmapped-network-shares

OK, allora siamo inguaiati :muro:

eccoci... studio professionale totalmente off, ultimo backup più di un anno fa.
Lo studio sarà professionale, ma il responsabile IT lo è molto meno. :D
Ma, virus e malware a parte, questa gente lo sa che gli hard disk con il tempo si possono anche guastare ?

Lo studio sarà professionale, ma il responsabile IT lo è molto meno. :D
Ma, virus e malware a parte, questa gente lo sa che gli hard disk con il tempo si possono anche guastare ?

hard disk? cosa sono gli hard disk? responsabile IT? ma se ha sempre fatto tutto il figlio della vicina che ha un cugino che è un hacker :D :D :D
...purtroppo ha funzionato realmente così... :cry:

Come è stato scritto anche in questa discussione, mi pare di aver letto da qualche parte - ma potrei anche sbagliare - che il metodo di propagazione non si limita alla sola email, ma anche a vulnerabilità del browser (plugin come flashplayer non aggiornati, javascript, ecc..). Pertanto, come da sempre è auspicabile, tenere sempre aggiornati plugin, java, antivirus, antimalware e fare gli aggioramenti di sicurezza classificati come importanti del sistema operativo.
E se uno li disattiva che succede?
Javascript manco ce l'ho installato mentre di flasplayer ho il pepperflash di Chrome, ma sinceramente frega un cavolo di tenerlo attivato.
Con sto flashplayer più che cagate non vedi, e youtube visto che mi vanno tutti i video a scatti non lo uso manco più (se proprio voglio vedermi un video di youtube uso smplayer che non mi da problemi).
E' indispensabile tenerlo attivato per navigare o tranne che per le cavolate e i mille mila popup animati non serve a un caxxo? Se lo disattivo navigo ugualmente no?
Non vedrò le cagate animate nei vari siti, ma frega un cavolo :D

edit: appena disattivato il flashplayer di chrome. si navighi tranquillamente lo stesso. però bisogna vedere se ti infetta lo stesso anche avendolo disattivato. in teoria no giusto?

Buongiorno a tutti ragazzi.
Ho una domanda da sistemista alle prime armi quale sono. Ho letto in giro che è possibile creare una GPO globale in grado di selezionare determinati file exe( che poi, alla fine, è quello che fa partire il virus) così da dover sempre accettare eventuali exe non appartenenti a suddetta GPO, è arginare così, il problema a monte. qualcuno è in grado di aiutarmi?
Saluti

La cosa a cui dovresti puntare è di obbligare i tuoi utenti a mettere i documenti "conclusi" in una condivisione di sola lettura.
Ovvero: finisco il lavoro X: lo ordino e lo metto da qualche parte sul server, dove gli utenti hanno i soli permessi di lettura e scrittura/aggiunta file. Non modifica/cancellazione.
Le credenziali di utenze con permessi di modifica/cancellazione su quelle condivisioni le tieni tu e ben pochi altri, che vanno istruiti adeguatamente (ovvero spiegagli che sono perfettamente identificabili e che se sbagliano qualcosa vieni a linciarli).

Ti consiglio di fare così perchè avrai i documenti ordinati secondo una logica, nessuno (a parte quei pochi) li potranno spostare con un drag&drop assassino - che è una gran cosa, i backup diventano meno pesanti, e sopratutto risolvi una volta per tutte il problema dei virus/crpytovirus/utontiCheCancellanoPerSbaglio.....

Se fai altri tipi di intervento specifico (e aggiungerei perfettamente funzionante) per un certo ransomware finisce che rimani scoperto per la prossima variante....

E se uno li disattiva che succede?
Javascript manco ce l'ho installato mentre di flasplayer ho il pepperflash di Chrome, ma sinceramente frega un cavolo di tenerlo attivato.
Javascript non si installa, è una funzione supportata nativamente da tutti i browser. Ci sono le estensioni tipo NoScript per attivarla o disattivarla in maniera selettiva in funzione del sito.

La cosa a cui dovresti puntare è di obbligare i tuoi utenti a mettere i documenti "conclusi" in una condivisione di sola lettura.
Ovvero: finisco il lavoro X: lo ordino e lo metto da qualche parte sul server, dove gli utenti hanno i soli permessi di lettura e scrittura/aggiunta file. Non modifica/cancellazione.
Le credenziali di utenze con permessi di modifica/cancellazione su quelle condivisioni le tieni tu e ben pochi altri, che vanno istruiti adeguatamente (ovvero spiegagli che sono perfettamente identificabili e che se sbagliano qualcosa vieni a linciarli).

Ti consiglio di fare così perchè avrai i documenti ordinati secondo una logica, nessuno (a parte quei pochi) li potranno spostare con un drag&drop assassino - che è una gran cosa, i backup diventano meno pesanti, e sopratutto risolvi una volta per tutte il problema dei virus/crpytovirus/utontiCheCancellanoPerSbaglio.....

Se fai altri tipi di intervento specifico (e aggiungerei perfettamente funzionante) per un certo ransomware finisce che rimani scoperto per la prossima variante....
Ti dico francamente, penso sia più facile mille altre cose, che spiegare agli utenti come classificare il file o tutti i lavori in suddette cartelle. A noi è successo questo tramite mail SDA, che oltretutto, era scritto in un italiano pessimo. Ovviamente una persona ci ha creduto. Il virus ha cryptato tutto il suo hard disk, unità mappate di rete e il server delle stampanti (questa come sia successa rimane un mistero)
Ovviamente ripristinato tutto tramite shadow copy tranne suddetto hard disk. Sto cercando da giorni un modo/maniera di sbloccare tutto, ma ovviamente senza risultato... Quindi a livello di GPO non posso nulla? L'idea di bloccare gli eseguibili è sensata, secondo te?

A livello di gpo puoi usare tantissime tecnologie.
Puoi "bovinamente" cambiare le associazioni ai file, puoi usare le software restriction policies, puoi usare applocker, puoi fare in modo che le cartelle dei profili utente non hanno i privilegi di esecuzione. Puoi anche semplicemente svuotare i file temporanei degli utenti al logout (in genere aiuta mica poco, sia con malware, sia con javerie malefiche).
Ma non pensare di risolvere del tutto. E' probabile che la cosa non funziona sempre e che in poco tempo diventa un incubo da gestire.
Immaginati di essere inondato di richieste di assistenza perchè a caso qualche eseguibile (legittimo) non funziona. Al secondo giorno cederai alla tentazione di disattivare qualche protezione, che ti avrebbe protetto dal ransomware del terzo giorno.

Il succo del discorso è che spesso si tende a proteggere gli utenti e i loro pc, non i dati aziendali e/o utente.

Non sto dicendo che fare qualcosa di quanto sopra sia sbagliato, anzi, ma non risolvi il cuore del problema.
Se stabilisci una gerarchia dei permessi per le condivisioni, un ordine di come i dati vengono gestiti e archiviati in un colpo solo affronti i seguenti problemi:
- stabilisci cosa sono dati aziendali e cosa dati utente (nel 99% dei casi c'è casino)
- di conseguenza stabilisci dove i dati devono stare
- stabilisci dei profili di autorizzazione, ovver che tipo di ruolo ha accesso a cosa (solitamente piace al management)
- stabilisci che ruolo hanno gli utenti, mettendoli in appositi gruppi
- i dati aziendali diventano quantitativamente molto meno esposti a spostamenti/cancellazioni volontarie, involontarie e a virus/malware vari
- i tuoi utenti mediamente perderanno meno tempo a cercare i dati (solitamente questo è il motivo cardine che si usa per convincere il managemente a riorganizzare la gestione dei dati)
- i collegamenti tra files rimangono consistenti
- con il giochino dell'archiviazione che ti dicevo ti risparmi un mare di paranoie del tipo: "Ok per i file su cui gli utenti han lavorato questa settimana. Ma chi mai ha visto se i dati di due anni fa sono ancora integri...."
- diminuisci la mole di dati da backuppare quotidianamente
- mediamente velocizzi i tempi di restore dei dati.
Non è roba che si fa in pochi giorni, è questione che solitamente richiede il coinvolgimento di chi si occupa di privacy, va testata estensivamente prima di essere implementata. Ma sopratutto va pensata bene in base alle necessità che avete.

Altra cosa, che spesso non si fa: un amministratore di dominio, server, o quant'altro di importante, non ha nessun motivo di fare login sui pc degli utenti esposti a mail "enlargeyour***hole", navigazione su siti porno e quant'altro. Puoi tranquillamente definire degli utenti locali che sono amministratori locali dei pc (e basta). Se devi fare manutenzione usi tali utenze.
Allo stesso modo le utenze dei dovrebbero avere privilegi (usando i gruppi) solo su dati ben determinati che stanno sui server.

Infine: lascia perdere le shadow copies..... fai i backup, e falli pensando a velocizzare i tempi di restore. Ovvero: sono comode e se vuoi usale, ma i restore si fanno con i backup che possibilmente stanno "lontano" dai server di produzione.

....per le stampanti... l'utenza che ha "criptato le stampanti" che privilegi aveva sul server di stampa? :D

Javascript non si installa, è una funzione supportata nativamente da tutti i browser. Ci sono le estensioni tipo NoScript per attivarla o disattivarla in maniera selettiva in funzione del sito.
ah pensavo che dovesse essere installato.
vabbè cmq se uno disabilita sia java che flashplayer dovrebbe essere esposto a meno rischi?
tanto come dicevo, per l'uso che faccio io del pc, non mi servono praticamente a un caxxo.

A livello di gpo puoi usare tantissime tecnologie.
Puoi "bovinamente" cambiare le associazioni ai file, puoi usare le software restriction policies, puoi usare applocker, puoi fare in modo che le cartelle dei profili utente non hanno i privilegi di esecuzione. Puoi anche semplicemente svuotare i file temporanei degli utenti al logout (in genere aiuta mica poco, sia con malware, sia con javerie malefiche).
Ma non pensare di risolvere del tutto. E' probabile che la cosa non funziona sempre e che in poco tempo diventa un incubo da gestire.
Immaginati di essere inondato di richieste di assistenza perchè a caso qualche eseguibile (legittimo) non funziona. Al secondo giorno cederai alla tentazione di disattivare qualche protezione, che ti avrebbe protetto dal ransomware del terzo giorno.

Il succo del discorso è che spesso si tende a proteggere gli utenti e i loro pc, non i dati aziendali e/o utente.

Non sto dicendo che fare qualcosa di quanto sopra sia sbagliato, anzi, ma non risolvi il cuore del problema.
Se stabilisci una gerarchia dei permessi per le condivisioni, un ordine di come i dati vengono gestiti e archiviati in un colpo solo affronti i seguenti problemi:
- stabilisci cosa sono dati aziendali e cosa dati utente (nel 99% dei casi c'è casino)
- di conseguenza stabilisci dove i dati devono stare
- stabilisci dei profili di autorizzazione, ovver che tipo di ruolo ha accesso a cosa (solitamente piace al management)
- stabilisci che ruolo hanno gli utenti, mettendoli in appositi gruppi
- i dati aziendali diventano quantitativamente molto meno esposti a spostamenti/cancellazioni volontarie, involontarie e a virus/malware vari
- i tuoi utenti mediamente perderanno meno tempo a cercare i dati (solitamente questo è il motivo cardine che si usa per convincere il managemente a riorganizzare la gestione dei dati)
- i collegamenti tra files rimangono consistenti
- con il giochino dell'archiviazione che ti dicevo ti risparmi un mare di paranoie del tipo: "Ok per i file su cui gli utenti han lavorato questa settimana. Ma chi mai ha visto se i dati di due anni fa sono ancora integri...."
- diminuisci la mole di dati da backuppare quotidianamente
- mediamente velocizzi i tempi di restore dei dati.
Non è roba che si fa in pochi giorni, è questione che solitamente richiede il coinvolgimento di chi si occupa di privacy, va testata estensivamente prima di essere implementata. Ma sopratutto va pensata bene in base alle necessità che avete.

Altra cosa, che spesso non si fa: un amministratore di dominio, server, o quant'altro di importante, non ha nessun motivo di fare login sui pc degli utenti esposti a mail "enlargeyour***hole", navigazione su siti porno e quant'altro. Puoi tranquillamente definire degli utenti locali che sono amministratori locali dei pc (e basta). Se devi fare manutenzione usi tali utenze.
Allo stesso modo le utenze dei dovrebbero avere privilegi (usando i gruppi) solo su dati ben determinati che stanno sui server.

Infine: lascia perdere le shadow copies..... fai i backup, e falli pensando a velocizzare i tempi di restore. Ovvero: sono comode e se vuoi usale, ma i restore si fanno con i backup che possibilmente stanno "lontano" dai server di produzione.

....per le stampanti... l'utenza che ha "criptato le stampanti" che privilegi aveva sul server di stampa? :D
La nostra gerarchia grosso modo, è già gestita così. Ognuno ha le proprie facoltà e poche persone possono far "tutto". Un account amministrativo di dominio è l'unico modo per accedere a qualunque dato. Pochi utenti possono installare qualcosa by itself, infatti sono inondato di queste richieste, poco male comunque. I server essenzialmente sono già divisi dal lato client, e i backup girano in base a necessità ben strutturate. Il problema di questo virus mi nasce quando, mappate le unità di rete, dove ogni singolo utente può accedere solo a determinate cose, mi vengono visti come HDD e questo mi crypta tutto.
Per la cronaca, il server delle stampanti non era mappato, aveva solo un richiamo per i driver, senza cartelle o simili mappate by GPO

vedo che questo cryptofortess ha come target anche gli iso

domanda se si ha una copia non crittografata del file e la copia crittografata, tecnicamente si potrebbe riuscire a trovare la chiave di decriptazione?

Anche a me è arrivato questo virus (tramite mail di "Avviso di SDA" - non so se Cryptolocker, Torrentlocker o altri di quel tipo -), ma non avendo nemmeno aperto la mail (essendo io sempre mooolto sospettosa) ho evitato l'infezione e tutto il resto. Temporaneamente però, a quanto leggo... visto che questo dannato virus si diffonde anche tramite vulnerabilità.
Io ho sempre tutto aggiornato (S.O - Win 7, KIS, Flash Player e Firefox), ma c'è qualcos'altro che potrei fare per evitare l'infezione?
Certo, mal che vada ho 2 immagini della partizione primaria del disco primario (formato .gho, visto che uso Norton Ghost), tutti i dati della seconda partizione e del secondo HDD al sicuro (su un disco fisso montato fisicamente nel PC ma non collegato e su un hard disk esterno, anche lui non collegato quando non serve), e mal che vada formatto tutto, però preferirei evitare di trovarmi in tale situazione...

...e quindi, grazie a queste poche selezionate persone, complice una disattenzione, una vulnerabilità non fixata o un bell'exploit 0-day, anche il malware può fare “tutto”.



Come volevasi dimostrare: le gerarchie di accesso ai dati sono fallimentari lato sicurezza, anche perché un malware ben scritto per fare danni non ha bisogno di permessi amministrativi ma solo di quelli di esecuzione.



A questo punto, se devi comunque intervenire ogni volta che c'è da installare qualcosa, direi che la miglior strategia possibile è impedire l'avvio di tutto quel che non è in una whitelist sia per quanto riguarda il processo in sé, sia per quanto riguarda l'accesso dei singoli eseguibili a cartelle/file: un malware bloccato in esecuzione e per di più impossibilitato a leggere i percorsi di rete e a manipolare fisicamente i dati è efficace come un fermaporte in una giornata senza vento.



No.

Il malware può fare tutto no, ha fatto danni si, ma non ha bloccato l'azienda, mi ha solo dato problemi per quanto riguarda il singolo individuo e le cartelle di rete a cui aveva accesso.
L'idea della whitelist era esattamente quello a cui pensavo, anche perché, gli utenti non devono e non hanno motivo di installare qualcosa sul pc che prima non venga approvato.
Non colgo la sottigliezza del paragone con il ferma porte, perdonami
Il malware dev'essere bloccato prima dell'esecuzione, non mentre la fa!

Un malware può fare tutto sì, anche se l'esecuzione parte da un utente limitato, e in che modo? magari tramite privilege escalation via exploit? guadagnandosi così pieni diritti amministrativi con tutte le conseguenze del caso (poi voglio proprio vedere se ti salveranno quei quattro permessi di cartone impostati sulle directory).

I permessi su un server remoto, dove le utenze amministrative sono distinte e isolate tra client e server, non salvano in misura uguale a quella del caso che hai citato.

...che è esattamente quello che ho affermato più e più volte: basta leggere con attenzione anche gli interventi degli altri, prima di rispondere. Casomai, il discorso sul blocco in esecuzione, e lo dico in maniera schietta quanto amichevole, dovresti farlo a te stesso, visto il fallimento delle politiche di sicurezza da te impostate nell'azienda di cui sopra, con il malware mandato allegramente in esecuzione; il che, francamente, non stupisce, viste le impostazioni descritte nei tuoi precedenti interventi, assolutamente inadeguate a far fronte a qualsiasi malware degno di questo nome...e la prova è che il ransomware è stato eseguito e lasciato attivo a far danni, seppur limitati...altro che bloccato prima dell'esecuzione...

Prima di sentenziare sull'operato di Freeze imho dovresti aver dovuto tener presente che potrebbe aver a che fare con ambienti di una certa complessità. Dove, per intenderci, non ci si può permettere di bloccare un certo reparto sotto una scadenza importante, a causa di qualche aggiornamento dell'ultim'ora (caso classico).
Ci sono realtà in cui si può spingere tantissimo sulle protezioni da implementare, in altre assolutamente no.
IMHO, se Freeze ha dovuto reinstallare un solo pc e i dati è riuscito a ripristinarli tutti (roba da mezza giornata in tutto), ha poco da essere criticato. Non può di certo correre dietro agli utenti, nè a protezioni da manutenere costantemente. Se pian piano introduce migliorie ben vangano, ma di base il suo lavoro è garantire - per quanto possibile - continuità operativa agli utenti, non ostacolarli nel lavoro e/o fargli perdere tempo con sessioni di testing.

hard disk? cosa sono gli hard disk? responsabile IT? ma se ha sempre fatto tutto il figlio della vicina che ha un cugino che è un hacker :D :D :D
...purtroppo ha funzionato realmente così... :cry:

Allora non bisogna lamentarsi......

Apprezzo sia la critica, sia la difesa. Le politiche non le ho impostate io, siamo 5 sistemisti, di cui io il più giovane ( ti parla un ragazzo di 20 anni, che è riuscito ad entrare nel mondo IT da poco meno di 1) politiche già stabilite antecedenti a me. Ebbene sì, non possiamo bloccare tutta l'azienda solo perché un utente menefreghista ha aperto una mail idiota così, giusto per. La mia domanda era puramente relativa alle GPO, precludendo il fatto o meno di essere stato più o meno bravo nel mio operato ( abbiamo circa 800 pc tutti connessi, e solo 1 bloccato, chiamami giovane o ingenuo, ma il danno è stato limitato

Sentenziare? Ho solo riportato i fatti accaduti aggiungendo qualche considerazione.

Riguardo alla complessità di gestione di certi ambienti di lavoro siamo d'accordo e ci aggiungerei sopra anche la piaga degli utonti, statisticamente onnipresenti in queste grandi realtà: però, troppo spesso, entrambe le situazioni sono utilizzate dagli IT nostrani quale scusa prêt-à-porter per mascherare carenze formative e mancanza di competenza nel settore.



...andiamo dal tizio dell'utenza che si è visto crittografare tutti i dati di lavoro, poi facciamogli un bel sorriso parlando di “successo” delle strategie di sicurezza del Reparto IT, e vediamo cosa risponde…



È proprio quello che si dovrebbe fare - visto che si è pagati per farlo - cosa che in realtà Freeze sta già facendo, quando afferma che:
“Pochi utenti possono installare qualcosa by itself, infatti sono inondato di queste richieste... ”
...ergo, visto che è un IT presente e coscienzioso che vuole fare al meglio il proprio lavoro, può aggiungere, sopra questa prima linea di difesa già impostata, tutte le linee di difesa possibili ed immaginabili senza alterare significativamente il carico di lavoro…



Speriamo che i virus writers dei nuovi ransomware adottino la stessa flemmatica timeline…
Beh, Phoenix, critiche sempre utili, in quanto almeno, fanno sempre migliorare. Se devo dire, l'utente non si è reso conto della gravità del problema, quindi è un discorso esterno al mio. Diciamo che, obbiettivamente, si dovrebbe fare un corso agli utenti sui pericoli provenienti dal mondo Internet (ho utenti che pensano che Internet sia tipo una nuvoletta nel nulla).
Scusami, ti rigiro la domanda, come ti saresti comportato? Te lo chiedo perché magari, avendo sicuramente più esperienza di me, avrei solo che da imparare.
Tieni presente che, ribadisco, su 13/15 sedi e circa 800 pc, e una marea infinita di server, solo 1 client e 2 cartelle di rete ad esso associate sono state criptate e prontamente ristabilite, in mezza giornata.
Saluti

http://punto-informatico.it/4233302/PI/News/cryptolocker-ransomware-variante-videoludica.aspx

http://punto-informatico.it/4233302/PI/News/cryptolocker-ransomware-variante-videoludica.aspx
Azzz vabbè che ormai non gioco da anni, ma io non pagherei mai un riscatto per recuperare il salvataggio di un gioco :D
Lo ricomincio daccapo e buona notte.

Si si, ti ripeto, c'è solo da imparare dagli utenti più esperti, e le critiche, beh aiutano assai ;)
Ora stiamo cercando qualche via per arginare il problema, non semplice, del menefreghismo degli utenti ( si, quest ultimo era in black list IT ;) )
Virtualizzare il client di posta e gli eseguibili, in che modo perdonami? Potrebbe essere una bella cosa, ma così facendo devo creare 800 macchine in più solo per dare accesso alla posta agli utenti?

Azzz vabbè che ormai non gioco da anni, ma io non pagherei mai un riscatto per recuperare il salvataggio di un gioco :D
Lo ricomincio daccapo e buona notte.

non si limita solo ai salvataggi dei giochi ovviamente inoltre pare che si diffonda tramite mail ma sfruttando vulnerabilità dei browser e di flash player

TeslaCrypt, nome con cui è stata battezzata la nuova variante di CryptoLocker, è progettato per fare la scansione dei dischi locali alla ricerca di ben 185 diverse tipologie di file inclusi immagini, documenti, database, codice sorgente e altro

Configurato correttamente cosa significa in pratica ?

Mi associo alla domanda.. Sembra una bella idea..

non si limita solo ai salvataggi dei giochi ovviamente inoltre pare che si diffonda tramite mail ma sfruttando vulnerabilità dei browser e di flash player

TeslaCrypt, nome con cui è stata battezzata la nuova variante di CryptoLocker, è progettato per fare la scansione dei dischi locali alla ricerca di ben 185 diverse tipologie di file inclusi immagini, documenti, database, codice sorgente e altro
Bè si ovvio che colpisce praticamente quasi tutto quello che hai sul PC.
Però come dicevo il salvataggio del gioco sarebbe l'ultimo dei miei pensieri, se per sfiga dovessi beccarmi sto virus.
Personalmente una cosa che mi farebbe un po' girare le scatole è se mi criptasse le email visto che ne avrò un centinaio, o ancora peggio se mi criptasse le foto personali.
Cmq fortunatamente di entrambi li ho in backup anche su un secondo hard disk, su chiavetta e le foto anche masterizzate su dvd-r.
E io uso il PC per cazzeggio (per cui quasi tutta roba inutile e cmq di poco valore) non oso immaginare la mega rottura di palle di chi con il computer ci lavora.

Cosa significa in pratica?..che mi avete fatto scrivere un mezzo papiro? ;)

Questo è il settaggio (imho) corretto dei parametri principali di sandboxie:

Su “Impostazioni dell'area virtuale”:

- Mostra il nome dell'area virtuale nella barra del titolo
- Aggiungi un bordo colorato intorno alle finestre
- Nessun recupero veloce
- Elimina automaticamente il contenuto dell'area virtuale
- Cartelle automatiche: solo la directory del software da eseguire nell'area virtuale (*)
oppure:
- Programmi automatici: solo l'exe del programma da eseguire nell'area virtuale
- Accesso internet: solo se necessario al funzionamento e solo per il programma in area virtuale, altrimenti: “Nessun programma può accedere ad internet”
- Avvio/esecuzione dei programmi: 1 solo programma per area virtuale (**) + exe collegati, se necessari (es. Firefox.exe – plugin-container.exe) posti nella stessa area
- Limitazione diritti: Power User
- Accesso diretto: 1 singola directory per il salvataggio (reale) dei dati, con percorso non localizzato sul disco di boot (ma solo se l'applicazione necessita di salvataggio dei dati)
- Accesso diretto: solo se necessario! - inserire il path della directory (o parte di essa) del programma in esecuzione: N.B. da settare in caso di malfunzionamento del software in area virtuale o se il software deve obbligatoriamente salvare dei dati all'interno della propria cartella di installazione
- Account utente: inserire nella lista degli abilitati solo l'utente corrente
- Percorso dell'area virtuale: qualsiasi percorso (purché non localizzato sul disco di boot)

Su “Impostazioni programma”:

- Avvia automaticamente il programma nell'area virtuale (dovrebbe essere già settato)
- Chiudi gli altri programmi dopo aver chiuso questo programma principale


(*) Solo versione registrata
(**) Aree virtuali multiple: solo versione registrata

3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1570797

Qualcuno conosce questi signori?

http://www.decryptolocker.it/

Anche a me è arrivato questo virus (tramite mail di "Avviso di SDA" - non so se Cryptolocker, Torrentlocker o altri di quel tipo -), ma non avendo nemmeno aperto la mail (essendo io sempre mooolto sospettosa) ho evitato l'infezione e tutto il resto. Temporaneamente però, a quanto leggo... visto che questo dannato virus si diffonde anche tramite vulnerabilità.
Certo, mal che vada ho 2 immagini della partizione primaria del disco primario (formato .gho, visto che uso Norton Ghost), tutti i dati della seconda partizione e del secondo HDD al sicuro (su un disco fisso montato fisicamente nel PC ma non collegato e su un hard disk esterno, anche lui non collegato quando non serve), e mal che vada formatto tutto, però preferirei evitare di trovarmi in tale situazione...
Io ho sempre tutto aggiornato (S.O - Win 7, KIS, Flash Player e Firefox), ma c'è qualcos'altro che potrei fare per evitare l'infezione?



Bè, prova a fare anche così:


http://s9.postimg.org/z8fr9d15n/condom_ethernet.jpg (http://postimg.org/image/z8fr9d15n/)

Bè, prova a fare anche così:


http://s9.postimg.org/z8fr9d15n/condom_ethernet.jpg (http://postimg.org/image/z8fr9d15n/)

io sarei più per l'astinenza :D

Salve gente. Esistono casi di cryptolocker da link mail spam? Perché nel mio ufficio hanno cominciato a cliccare anche su quelle mail e adesso mi trovo un trojan Rootkit.gen. Non so se sia un ransomware però prima di riavviare il PC che è in rete vorrei saperlo.

Grazie

EDIT. Ma se io ho un server su cui tengo i file in condivisione e i client puntano al server con semplici link \\server\documenti sono protetto da un eventuale infezione dei client o no?

io sarei più per l'astinenza :DPer alcuni, anche questa soluzione sarebbe auspicabile:
http://thumbs.dreamstime.com/z/le-forbici-hanno-tagliato-il-cavo-rj45-della-rete-23431584.jpg

Bè, prova a fare anche così:


http://s9.postimg.org/z8fr9d15n/condom_ethernet.jpg (http://postimg.org/image/z8fr9d15n/)
:rotfl: :rotfl: :rotfl: :rotfl:

io sarei più per l'astinenza :D
:D :D

vedo che questo cryptofortess ha come target anche gli iso

domanda se si ha una copia non crittografata del file e la copia crittografata, tecnicamente si potrebbe riuscire a trovare la chiave di decriptazione?

Questo no, ma mi sono un attimo divertito con un hard disk criptato con il cryptofortress e mi sono spiegato il perchè della velocità di criptazione di questo virus (forse :D ). Intanto il virus ha criptato i file con le estensioni .dat, .gif, .jpg, .txt, .png, .html, .rtl, .doc, .bmp, .htm, .css, .rtf, .ldb, .xml, .od, .one, .pdf, .xlsx, .docx, .exe (ma non tutti!, ha criptato tutti gli .exe di pacchetti di installazione, gli eseguibili di office ma non WORD.EXE e pochissimi altri), .da_, .cab, .bak, .flv, .ppt, .000, .emf, .avi, .mpg, .mdb, .zip, tutti con estensione aggiunta .frtrss.
La cosa che mi ha colpito, e che anche qualcuno di voi ha notato, è la velocità di criptazione dei file, pochi minuti per svariati gigabyte di dati su una macchina che tutto è escluso che veloce comprese periferiche USB e di rete se mappate (anche se criptofortress dovrebbe essere in grado di criptare anche share di rete non mappate).
Ho notato che ad ogni riavvio il virus controlla se i file sono criptati, altrimenti provvede, sono arrivato a questo perchè il virus copia in ogni cartella contenente i file criptati, dei file con le istruzioni per la decriptazione in vari formati e precisamente un file .txt, un file .png, un file .html e un file .url. Questi file al riavvio vengono criptati dal virus e sostituiti con dei nuovi uguali quindi sono gli unici file che al momento, in assenza di backup, posso avere in mano nelle due versioni, criptata e non criptata.
Ho analizzato, più per curiosità che per altro, i file con un editor hex scoprendo che, in realtà, il virus non cripta l'intero file ma solo una sua piccola parte iniziale, lasciando pressochè intatto il resto, ecco spiegata la velocità di criptazione di questo "animale". Criptare un file di pochi kb è uguale che criptare un film .avi di 2gb altrimenti ci impiegherebbe un bel po di tempo a fare il lavoro. Vi allego le schermate dell'editor esadecimale, come potete vedere dall'offset 0x98f del file .txt, il file è rimasto intatto e non criptato, lo stesso dicasi per il file in .html dall'offset 0x1226. E' solo per condividere, capisco che anche così si arrivi a poco... :muro:

http://dapoli.duckdns.org/foto/txt_crypted.png

http://dapoli.duckdns.org/foto/txt_decrypted.png

http://dapoli.duckdns.org/foto/html_crypted.png

http://dapoli.duckdns.org/foto/html_decrypted.png

mim14c la tua deduzione, benché non abbia capito bene il programma da te usato (non l'ho guardato nemmeno bene a dir la verità) è molto interessante oltre che plausibile... in effetti criptando solo pochi bytes di ogni file si rende ugualmente illeggibile lo stesso file (salvo, forse speciali software di recupero, i quali però recupererebbero eventualmente solo la parte in chiaro, ovviamente), ad ogni modo, bella "scoperta". ;)

p.s. per allegare le immagini nel forum utilizza servizi di upload esterni come postimage o simili

mim14c la tua deduzione, benché non abbia capito bene il programma da te usato (non l'ho guardato nemmeno bene a dir la verità) è molto interessante oltre che plausibile... in effetti criptando solo pochi bytes di ogni file si rende ugualmente illeggibile lo stesso file (salvo, forse speciali software di recupero, i quali però recupererebbero eventualmente solo la parte in chiaro, ovviamente), ad ogni modo, bella "scoperta". ;)

p.s. per allegare le immagini nel forum utilizza servizi di upload esterni come postimage o simili

Ciao, ho utilizzato un computer su cui è installata una distribuzione linux dedicata all'analisi forense, il software nello specifico è Bless, un editor esadecimale.
Le immagini sono "depositate" su un mio server personale :)

Sfruttando la preziosa intuizione/opera di mim14c, mettendo a confronto una serie di file criptati con il medesimo algoritmo ed i relativi file originari, secondo voi è possibile risalire alla chiave di criptazione (algoritmo), ovviamente tenendo conto solo del codice hex che racchiude il file e tralasciando i metadati quali informazioni sulla data e l'ora di creazione, tanto per citarne alcuni? :confused:

Non è possibile in nessun modo risalire alla chiave, a meno che qualcuno non scopra un bug clamoroso nell'algoritmo crittografico utilizzato.

Confermo quanto detto da Parnas72, in nessun modo è possibile risalire alla chiave privata necessaria alla decriptazione. Tenete presente che una parte della chiave pubblica con cui vengono criptati i dati, viene generata tenendo conto anche della data e ora che segna la macchina in quel momento, dalla capacità dell'HD e dallo spazio occupato e da altri parametri che rendono, naturalmente, la chiave univoca per quella macchina e solo per quella. L'unico modo è un loro errore di programmazione (ma a questo punto qualcuno l'avrebbe scoperto). Una seria policy di backup è ancora l'unica soluzione.

Accolgo, ahimè con rammarico, le vostre risposte... Grazie...

ragazzi non so se CTB locker è il mio caso, però sono in alto mare.
Ho formattato il pc, qualcuno dice che se prima c'era speranza di trovare la chiave privata nel registro ora non c'è più.
Intanto ho tutti i documenti di studio e lavoro criptati.


se qualcuno vuole fare giusto un test questa la versione di un file che avevo su uno spazio web, rimasta intatta
https://www.dropbox.com/s/6aq1fq3oxhg30jl/back_ok.jpg?dl=0

questa la versione criptata
https://www.dropbox.com/s/32fir28ga1bkt6d/back.jpg?dl=0

sono disperato..

ragazzi non so se CTB locker è il mio caso, però sono in alto mare.
Ho formattato il pc, qualcuno dice che se prima c'era speranza di trovare la chiave privata nel registro ora non c'è più.
Intanto ho tutti i documenti di studio e lavoro criptati.


se qualcuno vuole fare giusto un test questa la versione di un file che avevo su uno spazio web, rimasta intatta
https://www.dropbox.com/s/6aq1fq3oxhg30jl/back_ok.jpg?dl=0

questa la versione criptata
https://www.dropbox.com/s/32fir28ga1bkt6d/back.jpg?dl=0

sono disperato..

Ti hanno detto una fesseria, se la chiave privata fosse memorizzata nel registro, questa discussione sarebbe chiusa da un pezzo.
La chiave privata, purtroppo, è sul server del virus writer.
Non si può risalire alla chiave di decriptazione anche avendo i due file per il confronto.
Se hai le copie di backup sei salvo, altrimenti non ti resta che cedere al ricatto e pagare.
Sempre se stiamo parlando di Cryptolocker.
Oltre ad avere i file criptati, dovresti aver ricevuto un qualche messaggio di riscatto per la decriptazione.

Oltre ad avere i file criptati, dovresti aver ricevuto un qualche messaggio di riscatto per la decriptazione.

no non ho ricevuto nessuna schermata ransom, se avessi i backup di tutti i file non starei qui.
Posso solo recuperare qualche file e fornire l'originale (prima dell'attacco) e il criptato, come ho già fatto.

ragazzi non so se CTB locker è il mio caso, però sono in alto mare.
Ho formattato il pc, qualcuno dice che se prima c'era speranza di trovare la chiave privata nel registro ora non c'è più.
Intanto ho tutti i documenti di studio e lavoro criptati.


se qualcuno vuole fare giusto un test questa la versione di un file che avevo su uno spazio web, rimasta intatta
https://www.dropbox.com/s/6aq1fq3oxhg30jl/back_ok.jpg?dl=0

questa la versione criptata
https://www.dropbox.com/s/32fir28ga1bkt6d/back.jpg?dl=0

sono disperato..

Non mi si apre nessuna delle due immagini :rolleyes:

Non mi si apre nessuna delle due immagini :rolleyes:

ti ho zippato i due file
http://www.filedropper.com/immagine

ti ho zippato i due file
http://www.filedropper.com/immagine

Ho dato un'occhiata ai due file, per me sono due file completamente diversi e a differenza di Cryptofortress, nessun byte è uguale nei due file, dal primo all'ultimo sono tutti diversi.
Il fatto che nessun "riscatto" o avviso ti sia comparso mi è nuovo, se qualcuno ha fatto in modo che i tuoi file siano criptati dovrebbe darti anche la possibilità di recuperarli, dietro pagamento, ma qualcosa dovrebbero chiederti, altrimenti è solo un dispetto di qualcuno e basta.
Che tipi di file sono stati criptati? Puoi dirmi le estensioni che ti sono state criptate?

grazie dell'interessamento.
Contro ogni possibilità e speranza, grazie alla community di bleepingcomputer.com sono riuscito a risolvere quasi tutto (mentre scrivo il tool fornito mi sta decrittando tutti i file, esclusi i .php..)
Il malware era una variante di PClock CryptoLocker.

Ragazzi, a chi non riesce a capire come riavere i file, cercate di individuare precisamente il vostro malware e controllate sul forum di cui sopra se c'è un thread apposito.

Ciao, ieri sono stato da un cliente e neanche lui ha le istruzioni per decryptare.... quindi non si sa la chiave pubblica.

1° Suo errore: l' ha fatto lavorare 7 ore
2° errore, appena si è accorto non ha staccato la rete (eppure sai quante volte l' ho avvertito di questo virus e come opera?)
3° errore/problema copie shadows disabilitate dal virus
4° l' AV ha rimosso il virus e poi ha riabilitato le copie shadows facendone alcune con l' ora successiva all' infezione -> i file hanno i virus

Ciao, ieri sono stato da un cliente e neanche lui ha le istruzioni per decryptare.... quindi non si sa la chiave pubblica.

1° Suo errore: l' ha fatto lavorare 7 ore
2° errore, appena si è accorto non ha staccato la rete (eppure sai quante volte l' ho avvertito di questo virus e come opera?)
3° errore/problema copie shadows disabilitate dal virus
4° l' AV ha rimosso il virus e poi ha riabilitato le copie shadows facendone alcune con l' ora successiva all' infezione -> i file hanno i virus

come ho detto nel post sopra: hai individuato precisamente il malware?

Ciao, ieri sono stato da un cliente e neanche lui ha le istruzioni per decryptare.... quindi non si sa la chiave pubblica.

1° Suo errore: l' ha fatto lavorare 7 ore
quindi il virus ci ha messo 7 ore per criptare tutti i file? Di che quantità di dati parliamo? Su che macchina?
2° errore, appena si è accorto non ha staccato la rete (eppure sai quante volte l' ho avvertito di questo virus e come opera?)
sempre se parliamo del virus cryptolocker, staccare la rete non serve a nulla se non a isolare il pc infetto, ma il virus lavora anche offline.
3° errore/problema copie shadows disabilitate dal virus
4° l' AV ha rimosso il virus e poi ha riabilitato le copie shadows facendone alcune con l' ora successiva all' infezione -> i file hanno i virus

I file recuperati dalla copia shadow sono infetti? Non capisco a cosa servirebbe un file jpg infetto? Non certo per la propagazione del virus.

No ha fatto in fretta visto che è un ultrabook con SSD.

staccare la rete serve a non criptare i dati in giro sulle condivisioni di rete.
Spegnere il pc ti blocca la modifica dei file. Scusa se è poco.

L' AV ha riabilitato le copie shadows 4 ore dopo l' incidente, le copie shadow non servono a niente se hanno i files criptati all' interno.

Il problema è che non c'è la chiave pubblica nelle varie cartelle e nemmeno le istruzioni e non so come procedere per recuperare files. Stavolta sono ca$$i.

Quando si prende questo virus bisogna spegnere subito il pc/notebook, non si è ancora capito?

Quando si prende questo virus bisogna spegnere subito il pc/notebook, non si è ancora capito?

no, almeno non nel mio caso.
Alla fine della criptazione ad esempio una variante di cryptolocker ti lascia un file enc_files.txt con l'elenco completo dei file criptati, che è fondamentale.
Lo stesso vale per la ransom note, credo venga memorizzata alla fine dell'attacco, e anche questa è utile per capire quale malware ti ha attaccato di preciso.
Bloccando il processo rischi di non avere anche quei pochi indizi che avresti potuto avere..

sarebbe interessante capire di che variante si tratta

@omihalcon, anche se le probabilità che si tratti dello stesso sono poche, controlla se c'è un file enc_files.txt in c:\user\tuoutente.
Poi controlla che la ransom note sia effettivamente assente, controlla di non avere nessuno di questi file:
install_tor.url
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTION.HTML
DECRYPT_INSTRUCTION.URL
HELP_DECRYPT.HTML
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
HELP_DECRYPT.URL

oppure se hai una cartella
%AppData%\WinCL

Grazie, Lunedì verifico.
Pensi che ripristinare il Virus dalla quarantena di MSE possa essere utile?
La variante con cui è stato riconosciuto il virus è Critroni ma l' estensione è un file .ghe.....
Su bleepingcomputer.com non è quella l' estensione. Spero che non sia stata presa una nuova variante :(

Per mia esperienza se spegni subito il PC, con Win7 hai diverse possibilità di recuperare i dati con le copie shadows. In ambito aziendale poi si sa che sul desktop non bisogna tenere niente d' importante perchè se succede qualcosa si perde tutto, o almeno avere una copia di scorta sul server

http://i.imgur.com/6t6LoDd.jpg

PC del mio collega, infettato venerdi e che ha reso illeggibile praticamente tutta la cartella Documenti (alcuni file anche piuttosto importanti) :doh: Ha aperto un allegato .zip da una mail tra l'altro nemmeno troppo sospetta... Ovviamente vano ogni mio tentativo di recupero (anche perchè ho scoperto solo dopo essere una bastardata di virus). Staccato dalla rete e messo in quarantena. Oggi (o domani) dovrebbe passare il nostro sistemista ma dubito riesca a trovare una soluzione, nel caso, se avete qualche consiglio utile da proporre che non sia pagare o dare fuoco al piccì... :stordita:

Copie shadows se funzionano e poi guarda qui se riesci a far qualcosa:

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Un cliente ha appena preso una variante del CTB Locker, ora tutti i files sono criptati e hanno estensione .bjwsupa :doh:
Ovviamente il pc è quello di una ditta e contiene l'intero archivio di documenti/fatture e non hanno fatto alcun backup nell'ultimo anno.....:muro:

I ragazzi di www.decryptolocker.it mi hanno aiutato in passato con un paio di casi ma i files erano criptati con estensione .encrypted, provo a sentirli ugualmente se non c'è altra soluzione :fagiano:

P.S: le copie shadow ovviamente non funzionano.

EDIT: al momento decryptolocker.it non ha una soluzione per questo caso :cry:

@Emanuele666
mi dispiace, ma i dati ormai sono andati persi. Puoi provare con un carving per vedere se recuperi qualcosa. Ma ci credo poco.

Purtroppo non c'è soluzione ancora a questo maledetto.

@Emanuele666
mi dispiace, ma i dati ormai sono andati persi. Puoi provare con un carving per vedere se recuperi qualcosa. Ma ci credo poco.

Purtroppo non c'è soluzione ancora a questo maledetto.

hai idea di cosa voglia dire per una persona che ha documenti importanti leggere un messaggio del genere?:mbe:
@Skullcrusher Come dice omihalcon, prova a postare su bleepingcomputer.com nella sezione adatta. Leggi tutte le info che trovi su questo malware e cerca ogni più piccolo indizio lasciato sul pc. E comunque non formattare, spesso info preziose sono nascoste nel pc. Anche se ora non c'è soluzione, non è detto che in futuro non venga trovata.

hai idea di cosa voglia dire per una persona che ha documenti importanti leggere un messaggio del genere?:mbe:
@Skullcrusher Come dice omihalcon, prova a postare su bleepingcomputer.com nella sezione adatta. Leggi tutte le info che trovi su questo malware e cerca ogni più piccolo indizio lasciato sul pc. E comunque non formattare, spesso info preziose sono nascoste nel pc. Anche se ora non c'è soluzione, non è detto che in futuro non venga trovata.

Posso dirti a malincuore di essere "stato investito" di questo problema, ho salvato tutto per un "domani non si sa mai", ma la triste realtà è purtroppo, allo stato attuale, quella che ho detto prima.
Per Cryptolocker non c'è al momento soluzione per decriptare i dati, lo puoi leggere dai post precedenti. Rimuovere il virus si può ma i documenti restano criptati. La chiave privata è sul server di chi ha scritto il virus. Tutto qui.
Naturalmente mi dispiace per chi ha perso i dati, ma è inutile alimentare speranze che al momento non esistono.

La mia novità è che il cliente sta pagando per il recupero dei dati.
Ho trovato un file con la chiave pubblica utilizzata e purtroppo siamo costretti dato che ci sono dei dati importanti da recuperare.

Per fortuna mi ha fatto decryptare 2 files e la procedura è andata a buon fine i file sono leggibili e vanno bene, sono quelli secondo il cliente.

Ora c'è tutta una menata per avere i 3 bitcoin di pagamento ed è un casino con i siti indicati.

Per tutti se non trovate la chiave pubblica utilizzata fate una ricerca sul PC dei file di testo .txt dovreste trovare quasi subito un file con il nome !decrypt con le istruzioni da seguire.

La mia novità è che il cliente sta pagando per il recupero dei dati.
Ho trovato un file con la chiave pubblica utilizzata e purtroppo siamo costretti dato che ci sono dei dati importanti da recuperare.

Per fortuna mi ha fatto decryptare 2 files e la procedura è andata a buon fine i file sono leggibili e vanno bene, sono quelli secondo il cliente.

Ora c'è tutta una menata per avere i 3 bitcoin di pagamento ed è un casino con i siti indicati.

Per tutti se non trovate la chiave pubblica utilizzata fate una ricerca sul PC dei file di testo .txt dovreste trovare quasi subito un file con il nome !decrypt con le istruzioni da seguire.

Mi dispiace, spero almeno possa servire da lezione per attuare una seria policy di backup.

@Emanuele666
mi dispiace, ma i dati ormai sono andati persi. Puoi provare con un carving per vedere se recuperi qualcosa. Ma ci credo poco.

Purtroppo non c'è soluzione ancora a questo maledetto.

Non formattare assolutamente!
Segui la mia indicazione precedente.
Io ho fatto per precauzione una clonazione settore per settore in modo da avere una copia di riserva dei dati precedenti ma per il test ho usato il disco originale per avere la signature corretta.

Chiedo per chi ha avuto esperienza, che file viene dato e come si procede dopo?
ti fa scegliere la cartella di decriptazione oppure senza il file di testo con la lista siamo fregati?

Mi dispiace, spero almeno possa servire da lezione per attuare una seria policy di backup.

Guarda il backup sul server sarebbe servito fino lì, ho chiesto se riusciva ad andare avanti senza i file criptati sul PC e mi ha risposto, che ne aveva assolutamente bisogno.

Perciò io non ho cancellato niente solo spostato qualche file per precauzione.
Detto questo questa persona è ben conscia del danno subito e dei 730euro di riscatto.

Il mio messaggio deve considerarsi utile per quelli che come me si sono trovati davanti ad un pc ripulito dall' AV ma con i dati utente inutilizzabili e senza chiave pubblica a portata di mano.

Per Cryptolocker non c'è al momento soluzione per decriptare i dati, lo puoi leggere dai post precedenti. Rimuovere il virus si può ma i documenti restano criptati. La chiave privata è sul server di chi ha scritto il virus..

veramente come ho già detto la mia variante era PClock Cryptolocker, ed ho recuperato i file pur avendo formattato.
Ragazzi, cercare questo non costa nulla: se avete un file enc_files.txt nella vostra cartella utente, siete fortunati ed avete questa specifica variante, che ha un tool per la decrittazione.

veramente come ho già detto la mia variante era PClock Cryptolocker, ed ho recuperato i file pur avendo formattato.
Ragazzi, cercare questo non costa nulla: se avete un file enc_files.txt nella vostra cartella utente, siete fortunati ed avete questa specifica variante, che ha un tool per la decrittazione.

Sono contento per te, non avevo capito che si trattava di quella variante.

Sono contento per te, non avevo capito che si trattava di quella variante.

per questo è fondamentale ricercare più dettagli ed info possibili ed individuare la specifica variante, la mia non è la sola ad avere un tool.
Tra l'altro per me che avevo formattato, il tool non ha trovato alcuna info sul sistema riguardo al malware e mi ha dato un messaggio d'errore all'avvio. Pensavo così di aver bruciato l'ultima possibilità formattando, invece ho contattato l'autore del tool che mi ha spiegato come usarlo nel mio caso. Quando ho visto che i file si andavano decriptando non ci potevo credere :stordita:

per questo è fondamentale ricercare più dettagli ed info possibili ed individuare la specifica variante, la mia non è la sola ad avere un tool.
Tra l'altro per me che avevo formattato, il tool non ha trovato alcuna info sul sistema riguardo al malware e mi ha dato un messaggio d'errore all'avvio. Pensavo così di aver bruciato l'ultima possibilità formattando, invece ho contattato l'autore del tool che mi ha spiegato come usarlo nel mio caso. Quando ho visto che i file si andavano decriptando non ci potevo credere :stordita:

Bene, il mio ultimo "animale" è cryptofortress e purtroppo non c'è niente da fare.

un tool per la decrittazione, ovviamente non è garantito che funzioni sempre

https://noransom.kaspersky.com/

Su pc W7 HP affetto da cryptwall ho recuperato i dati in questo modo:

-ho installato da penna usb il programma http://www.shadowexplorer.com che mi ha permesso di accedere alle copie "shadow" che il sistema operativo esegue automaticamente (se il relativo servizio è regolarmente avviato...)

-con il comando "export" ho esportato le cartelle utente "desktop" e "documenti" nella cartella "pubblica"

-ho dato una ripulita standard prima con "ccleaner" poi con "malware bytes".

Quando il proprietario verrà a riprendersi il pc vedremo se manca qualcosa dai dati recuperati.

saluti,
k

Un mio cliente si è appena preso questo "bellissimo" virus e per l'esattezza la versione nuova l'ultima.... ci sono dati aziendali e purtroppo non hanno backup... provato i vari metodi sia quelli di Kaspersky, emisoft, dr.web, panda e il sito free ma nessuno riesce a decryptare i file.. ora il cliente sta valutando di pagare il riscatto perche sono file aziendali troppo importanti.. se ho qualche notizia in merito vi aggiorno..

Un mio cliente si è appena preso questo "bellissimo" virus e per l'esattezza la versione nuova l'ultima.... ci sono dati aziendali e purtroppo non hanno backup... provato i vari metodi sia quelli di Kaspersky, emisoft, dr.web, panda e il sito free ma nessuno riesce a decryptare i file.. ora il cliente sta valutando di pagare il riscatto perche sono file aziendali troppo importanti.. se ho qualche notizia in merito vi aggiorno..

Riesci a postare la schermata, se c'è, della richiesta di riscatto, o se sai la variante esatta? Grazie.

Riesci a postare la schermata, se c'è, della richiesta di riscatto, o se sai la variante esatta? Grazie.

è l'ultima versione quella che ti chiede il riscatto e hai 5 prove gratuite di decriptazione.. la versione non te la so dire perche cambia random l'estensione dei file.. provato anche da recovery nulla.. l'unica al momento è pagare il riscatto.. se vuoi ti pubblico la key di bitcoin che mi da..

"I tuoi documenti, foto, dati e altri file importanti sono stati criptati con la crittografia forte e chiave univoca, generati per questo computer.
Chiave privata di decodifica e' memorizzata su un server segreto e nessuno puo' decifrare i file fino a quando si paga per ottenere la chiave privata.
Se viene visualizzata la finestra principale di Loker, segui le istruzioni sul loker.
Se non visualizzate nulla, sembra che voi o il vostro antivirus abbiate eliminato il programma loker.
Ora avete l'ultima possibilita' di decifrare i file.

Apri Edit o Edit nel tuo browser. Sono porte pubbliche al server segreto.

Se hai problemi con porte, utilizza la connessione diretta:

1. Scaricare Tor Browser dalla http://torproject.org.
2. Nel Browser Tor aprire la Edit
Si noti che questo server e' disponibile solo tramite Tor Browser.
Riprova tra 1 ora se il sito non è raggiungibile.
Copia e incolla la seguente chiave pubblica nel form di ingresso sul server.

7QHY2ND-FLAKZEA-SG2KYVM-SSDLURM-73XZZV7-XUHHSHY-VEML6CM-SZIGDEU
232735D-GWZAPGV-XXOHUBX-JWROFEJ-PNIIIQK-ZMUC2IS-LPFSM7A-QIJ4ITC
GUTOASK-DLBHT4Z-ICSR2PX-WIUMFDF-SJOEKPM-45F2VYW-W33N7LX-3F3P6NB
Segui le istruzioni sul server.

key bitcoin: Edit

raga come faccio a capire se il virus ha terminato la sua opera di criptazione o meno?
ho lanciato malwarebyte fatta la procedura
mi trovo alcune foto nella cartella criptate e altre non criptate
come faccio a capire se le altre verranno criptate o meno???

Non formattare assolutamente!
Chiedo per chi ha avuto esperienza, che file viene dato e come si procede dopo?
ti fa scegliere la cartella di decriptazione oppure senza il file di testo con la lista siamo fregati?

Uppo la richiesta. chi fa formattato come ha fatto a recuperare i dati?

Ho novità positive, ci aggiorniamo lunedì che faccio le verifiche ma dovrebbe essere tutto a posto o quasi. :D

Ho una file criptato, e lo stesso file originale su un altro pc.
C'è qualche programma che tramite il confronto dei due file, riesce a capire la chiave di decriptatura?

il file criptato ha estensione ".drjcjvg"

Grazie molte

L' estensione non c'entra la criptazione dipende dalla chiave privata.

Omi hai trovato una soluzione?

Si, ma devo ancora andare dal cliente.
Cmq dopo che il pagamento è andato a buon fine è arrivato via mail il file .exe per decriptare tutto e ha rimesso tutto a posto anche se i file erano da un' altra directory sull' HD (devo solo verificare che sia veramente tutto ok e che non ci sia niente in giro di non decriptato) perchè ho solo avuto un colloquio telefonico.

Quindi c'è speranza solo che bisogna avere quel famoso file .txt come ha postato PnP dove è scritta la chiave pubblica, la pagina da visualizzare su TOR Browser e il codice alfanumerico dove fare il pagamento con la l'agenzia estera dei bitcoin.

:D

Cmq aspettate che riesca a fare le mie verifiche

Si, ma devo ancora andare dal cliente.
Cmq dopo che il pagamento è andato a buon fine è arrivato via mail il file .exe per decriptare tutto e ha rimesso tutto a posto anche se i file erano da un' altra directory sull' HD (devo solo verificare che sia veramente tutto ok e che non ci sia niente in giro di non decriptato) perchè ho solo avuto un colloquio telefonico.
Ah, vabbè, hanno pagato. Allora ci credo che sono riusciti a recuperare i file.

Ma tu speri di recuperare i file senza pagare :rotfl: :rotfl:

Mi dispiace ma non è così.
Forse non hai seguito bene la mia storia dove il virus è stato ripulito dall' antivirus e ha riattivato le copie shadows con i file criptati.

Se non trovi il file di testo con scritto la chiave e dove contattare, come fai?
Se fosse possibile recuperare allora non avrebbe senso avere programmi di cryptazione.
Non sto difendendo i pirati, ma se ti capita quella persona che aveva tutto sul desktop perchè non ha la struttura aziendale abbastanza grossa da permetterselo e non ha fatto i backup allora che fai formatti e vaffa?

Non funziona così, quello lo fai con i privati non in ambito professionale anche se il cliente ha una struttura da sfigato.
Con questo è capitato così con altri non c'è stato bisogno perchè si è recuperato tutto dai backup anche se hanno perso la giornata di lavoro. E' da Dicembre che ho a che fare ogni tanto con questo virus e le sue evoluzioni.

Ma tu speri di recuperare i file senza pagare :rotfl: :rotfl:

Mi dispiace ma non è così.
Forse non hai seguito bene la mia storia dove il virus è stato ripulito dall' antivirus e ha riattivato le copie shadows con i file criptati.

Se non trovi il file di testo con scritto la chiave e dove contattare, come fai?
Se fosse possibile recuperare allora non avrebbe senso avere programmi di cryptazione.
Non sto difendendo i pirati, ma se ti capita quella persona che aveva tutto sul desktop perchè non ha la struttura aziendale abbastanza grossa da permetterselo e non ha fatto i backup allora che fai formatti e vaffa?

Non funziona così, quello lo fai con i privati non in ambito professionale anche se il cliente ha una struttura da sfigato.
Con questo è capitato così con altri non c'è stato bisogno perchè si è recuperato tutto dai backup anche se hanno perso la giornata di lavoro. E' da Dicembre che ho a che fare ogni tanto con questo virus e le sue evoluzioni.

quoto tutto.. in ambito aziendale è una cosa completamente diversa.. l'importante sono i dati..

Ma tu speri di recuperare i file senza pagare :rotfl: :rotfl:

Mi dispiace ma non è così.
Se leggi qualche post più indietro, c'è chi è riuscito a farlo. Dipende ovviamente dalla particolare versione del malware e da quanto è "furba".

Personalmente, penso che in ambito aziendale chi non ha i backup dei dati importanti è uno sprovveduto. Questa volta è stato il malware, la prossima volta gli si può rompere un disco, ma prima poi i dati li perde.

quoto tutto.. in ambito aziendale è una cosa completamente diversa.. l'importante sono i dati..
Se l'importante sono i dati, allora perchè non c'era un backup ? :D

Se leggi qualche post più indietro, c'è chi è riuscito a farlo. Dipende ovviamente dalla particolare versione del malware e da quanto è "furba".

Personalmente, penso che in ambito aziendale chi non ha i backup dei dati importanti è uno sprovveduto. Questa volta è stato il malware, la prossima volta gli si può rompere un disco, ma prima poi i dati li perde.

si le vecchie versioni si ma quelle tradotte in italiano (la nuova versione) impossibile recuperare i file decriptati.. comunque mi sono tenuto un sample per provare piu avanti..

Se l'importante sono i dati, allora perchè non c'era un backup ? :D

hai ragione non era un mio cliente altrimenti li obbligo a fare il backup..

Lunga vita ai truffatori finchè c'è chi paga...

Esistono centri di recupero dati se è per quello se si rompe il disco.
Prima di menzionare il famoso software che si trova in rete se fossi informato sapresti già che non va da un pezzo con le versioni da dicembre in poi.
Prima di dare aria alla bocca o usare le dite dovreste contare fino a 1000.

Io ho la coscienza pulita per quello che è successo visto che il mio backup su server andava e i bravi siete solo voi :D e non pensate che alcuni utenti "normali" si dimenticano di fare il backup del proprio computer.
Quando un utente usa male il pc c'è poco da fare: è come saper guidare. Chi lo fa male prima o poi un incidente lo farà. Ho parlato di guidare male non di inesperienza... sai quelli che stanno a sinistra o al centro in autostrada, in rotonda si buttano dentro, non rispettano il codice e parcheggiano alla ca$$o?

Esistono centri di recupero dati se è per quello se si rompe il disco.Certo, una soluzione a buon mercato e che sicuramente ti garantisce il recupero dei dati. :)
E se invece l'operatore fa un clic di troppo e cancella la cartella sbagliata ? Ah già, ci sono i software di undelete e le copie shadow.
Quindi abbiamo appurato che il backup non serve. :D

Prima di menzionare il famoso software che si trova in rete se fossi informato sapresti già che non va da un pezzo con le versioni da dicembre in poi.
Prima di dare aria alla bocca o usare le dite dovreste contare fino a 1000.Prima di tutto fai un bel respiro, che qui nessuno ti sta attaccando.
Poi faccio notare che io non ho menzionato nessun software specifico, ma ho solo fatto notare davanti alle tue grasse risate che, con certe varianti, è possibile recuperare i file.
Nel tuo caso non si poteva ? Mi spiace per te e per la tua azienda, ma resto dell'idea che, in ambito professionale, perdere dati per la mancanza di un piano di backup adeguatamente strutturato non è sfortuna, ma un'inadeguatezza dei processi aziendali.

Io ho la coscienza pulita per quello che è successo visto che il mio backup su server andava e i bravi siete solo voi :DEh, utilissimo il backup sul server, se i dati non sono sul server :D

Salve a tutti, un mio collega ha contratto l'infezione da ctb-locker. So già che per i file non ci sono grosse speranze, tuttavia dato che l'utente in questione utilizzava Windows 7 , pensavo di poterlo aiutare utilizzando le copie shadow, purtroppo l'ultima variante del virus elimina con un uno script aggiuntivo anche le copie shadow. Ho pensato una cosa. Ma la copia shadow essendo di per se un file con una sua estensione , non potrebbe essere recuperabile tramite un software tipo recuva, stellar, undelete ecc.. ? e quindi una volta recuperato ripristinare la versione precedente del file criptato? Se questa strada è percorribile , dove si trovano fisicamente i file shadow? Grazie a tutti
jax83 è online

Esistono centri di recupero dati se è per quello se si rompe il disco.
Prima di menzionare il famoso software che si trova in rete se fossi informato sapresti già che non va da un pezzo con le versioni da dicembre in poi.
Prima di dare aria alla bocca o usare le dite dovreste contare fino a 1000.

Io ho la coscienza pulita per quello che è successo visto che il mio backup su server andava e i bravi siete solo voi :D e non pensate che alcuni utenti "normali" si dimenticano di fare il backup del proprio computer.
Quando un utente usa male il pc c'è poco da fare: è come saper guidare. Chi lo fa male prima o poi un incidente lo farà. Ho parlato di guidare male non di inesperienza... sai quelli che stanno a sinistra o al centro in autostrada, in rotonda si buttano dentro, non rispettano il codice e parcheggiano alla ca$$o?

Certo, una soluzione a buon mercato e che sicuramente ti garantisce il recupero dei dati. :)
E se invece l'operatore fa un clic di troppo e cancella la cartella sbagliata ? Ah già, ci sono i software di undelete e le copie shadow.
Quindi abbiamo appurato che il backup non serve. :D

Prima di tutto fai un bel respiro, che qui nessuno ti sta attaccando.
Poi faccio notare che io non ho menzionato nessun software specifico, ma ho solo fatto notare davanti alle tue grasse risate che, con certe varianti, è possibile recuperare i file.
Nel tuo caso non si poteva ? Mi spiace per te e per la tua azienda, ma resto dell'idea che, in ambito professionale, perdere dati per la mancanza di un piano di backup adeguatamente strutturato non è sfortuna, ma un'inadeguatezza dei processi aziendali.

Eh, utilissimo il backup sul server, se i dati non sono sul server :D

Facciamo basta :read:

in windows 8 c'è l'account kid in cui è possibile bloccare i programmi tamite il family safety

io non ho mai provato a creare un account kid ma potrebbe mitigare l'esecuzione di eseguibili maligni come questo?

Ho appena dato la triste notizia alla mia amica che purtroppo non posso recuperare i dati. Qualcuno poi è riuscito a risolvere?

Mi pare che sia stato scritto tutto. Se per te risolvere vuol dire senza pagare, prova a ripristinare seguendo le guide segnalate in precedenza. Altri modi non ci sono attualmente.

Nel PC di un mio amico,all'interno della cartella utente,sono presenti questi files.

BullseyecoverageError.txt.ecc.exx
HELP_DECRYPT
HELP_DECRYPT.PNG.ecc.exx
HELP_DECRYPT.TXT.ecc.exx
HELP_DECRYPT.URL
HELP_RESTORE_FILES
HELP_RESTORE_FILES_rxyty

C'è la possibilità di recuperare i doc e le foto oppure deve rassegnarsi?

Salve a tutti, un mio collega ha contratto l'infezione da ctb-locker. So già che per i file non ci sono grosse speranze, tuttavia dato che l'utente in questione utilizzava Windows 7 , pensavo di poterlo aiutare utilizzando le copie shadow, purtroppo l'ultima variante del virus elimina con un uno script aggiuntivo anche le copie shadow. Ho pensato una cosa. Ma la copia shadow essendo di per se un file con una sua estensione , non potrebbe essere recuperabile tramite un software tipo recuva, stellar, undelete ecc.. ? e quindi una volta recuperato ripristinare la versione precedente del file criptato? Se questa strada è percorribile , dove si trovano fisicamente i file shadow? Grazie a tutti
jax83 è online

ci ho già provato e i risultati non sono stati esaltanti.

In pratica il file recuperato, non appena messo dentro la cartella system volume information insieme agli altri (fra l'altro dal minint di xp che è l'unico modo per manipolare tale cartella senza che il sistema vada in paranoia) semplicemente spariva.
Non chiedermi perché o percome lo so pure io che sembra più inverosimile delle promesse di un politico.
Comunque ammesso e non concesso che si possa fare, c'è da considerare che i file delle copie shadow non sono un vero backup dei dati, ma solo una specie di hash delle differenze. Quindi affinché il file di una copia shadow funzioni (in teoria!) occorre che ci siano tutte le copie shadow fatte da quel punto in poi

:read: Antivirus non aiuta molto. meglio provare di http://malwareprotectioncenter.com/2015/02/06/ctb-locker/

Io sono stato infettato pochi giorni fa da Help_Decrypt, sono stato violato anche l'hard disk esterno e ho perso tutti i file di enorme valore sia affettivo che materiale. Foto di famiglia, ricordi, ecc.
Ho fatto una denuncia che per quel che servirà però andava fatta, perché c'era una richiesta di riscatto.
Io però mi chiedo una cosa. Per quale motivo in tutte le ricerche in rete i risultati sono che l'unico software che può debellare questo virus è solo e sempre Spy Hunter? Dovunque si giri ti chiedono di scaricare Spy Hunter. Non vi viene un grosso dubbio? A me sta frullando per la testa che non si tratti solo di un caso.

Io sono stato infettato pochi giorni fa da Help_Decrypt, sono stato violato anche l'hard disk esterno e ho perso tutti i file di enorme valore sia affettivo che materiale. Foto di famiglia, ricordi, ecc.
Ho fatto una denuncia che per quel che servirà però andava fatta, perché c'era una richiesta di riscatto.
Io però mi chiedo una cosa. Per quale motivo in tutte le ricerche in rete i risultati sono che l'unico software che può debellare questo virus è solo e sempre Spy Hunter? Dovunque si giri ti chiedono di scaricare Spy Hunter. Non vi viene un grosso dubbio? A me sta frullando per la testa che non si tratti solo di un caso.

di qualsiasi virus sembra che spy hunter sia un tocca sana solo che

http://www.infoeinternet.com/2014/spyhunter-come-eliminarlo-definitivamente/

oggi mi sono gia capitati 2 clienti con la nuova versione.. tra l'altro un sito per comprare bitcoin lo hanno chiuso e ora il limite è di 1 bitcoin.. ma.. sempre piu strano..

dalla vostra esperienza, le varie versioni cryptano solo le cartelle condivise in rete che trovano in esplorazione rete o anche quelle che sono nascoste, di cui bisogna digitare l'indirizzo esatto nella barra indirizzo?

per esempio il NAS ha le cartelle:

- cartella1
- cartella2
- cartella3

esplora risorse si vede solo

//NAS/cartella1
//NAS/cartella2

per accedere alla cartella3 bisogna digitare manualmente //NAS/cartella3
altrimenti non è possibile visualizzarla nella rete

sono a rischio infezione anche nella cartella3?

Ho un pc infettato da CryptoLocker, ho rimosso l'infezione ma non ho trovato un modo per recuperare i files, le copie di shadow non esistono (windows 8.1) ma non so se siano state rimosse dal virus o se si sarebbe dovuta attivare qualche funzione prima. Mi sembra di capire che non esista un metodo per recuperare i dati all'infuori di quello a pagamento...ma dopo aver contattato una persona per il recupero, mi sono sorti molti dubbi...
Voi che esperienza avete?

su internet si trova un certo dottore del , chiede 70E per il recupero dei file, invii 2 file criptati e loro te l re-inviano non cryptati per farti vedere che riescono e dopo paghi, ma praticamente mi saranno arrivati almeno 3-4 indirizzi email diversi da cui mi rispondevano, a me questa cosa mi fa storcere il naso, e poi non ho usufruito del servizio perchè l'azienda aveva recuperato i file da altri pc

su internet si trova un certo dottore del , chiede 70E per il recupero dei file, invii 2 file criptati e loro te l re-inviano non cryptati per farti vedere che riescono e dopo paghi, ma praticamente mi saranno arrivati almeno 3-4 indirizzi email diversi da cui mi rispondevano, a me questa cosa mi fa storcere il naso, e poi non ho usufruito del servizio perchè l'azienda aveva recuperato i file da altri pc

Ecco perfetto, io ho scambiato delle email con un tizio che, dopo avermi rimandato a tempo record i 2 files decriptati, non ha fatto altro che ripetere "ora cancello il caso", non rispondendo mai chiaramente, prima ha detto delle cose poi delle altre...la richiesta è stata sempre di 70€ come da te riportato per l'acquisto di una licenza e per il lavoro svolto...alla fine mi ha mandato a quel paese con linguaggio colorito. Vorrei pubblicare le mail omettendo il mittente...
Sono in una condizione di indecisione totale, nn so se cedere o perdere tutto e buonanotte. Tra l'altro una delle società che aveva offerto il servizio di rimozione sul web (fire....) offre supporto solo ad i propri clienti. Ma avendoli contattati voglio provare a chiedere ugualmente.

ti ho risposto in privato per i dettagli, fammi sapere

Ma siete sicuri che non siano sempre loro?

Un mio cliente l'ho ha preso di nuovo (Bolletta dell' Enel fasulla) e stavolta c'era anche una mail per contattarli, cosa che di solito facevano loro dopo il pagamento ti rispondevano sull' indirizzo mail indicato nel pagamento.

:ciapet:

Stavolta avevo il backup e il cliente non ha perso neanche quei 300 file perché:
ha spento immediatamente il PC come mia indicazione,
Le copie shadow sono rimaste attive
aveva il backup del desktop sul server, attenzione il virus ha intaccato la cartelle in rete (in quel minuto di funzionamento) ma avevo il backup del giorno precedente :ciapet:

rimozione in modalità provvisoria con rete con un applicativo NORTON + MBAM. Sembra che combofix non sia efficace con questo virus.

Ho contratto anche io questo virus tremendo. Oltre ai due file how_decrypt presenti nelle cartelle, non trovo chiavi di codifica txt o richieste di riscatto. Molti file doc, pdf, jpg sparsi su 3 hardisk non sono più accessibili e i miei due sistemi operativi xp e win7 danno problemi, chrome e Firefox non si aprono, acrobat e ms word mi dicono memoria insufficiente od altri problemi strani. Anche le email di Outlook express in xp non sono accessibili. File con estensioni strane non ne ho.

Ora ci mancava pure la finta bolletta dell'ENEL (ricevuta anche io oggi).....
Ma i soldi veri cominceranno a farli quando proporranno copie gratuite di Supersex e/o affini, "clicca qui per scaricare"...............

una piccola buona notizia

http://brescia.corriere.it/notizie/cronaca/15_luglio_08/diffondevano-virus-che-prende-ostaggio-pc-sette-denunciati-ff1901e8-255f-11e5-85c7-ee55c78b3bf9.shtml

anche se dubito fossero i soli

Eccoci, infettati in azienda da una mail da "ENEL"... dicono di NON aver aperto l'allegato, ma solo la mail da Outlook di office2010 con WIn7 PRo sempre aggiornati!!

CHIEDO:
1) mettendo una copia di dati, via linux, su una partizione in EXT4 sono al "sicuro"??
2) Possibile che sia attivato il virus senza doppio click sull'allegato??
3) se il NAS collegato NON è connesso come "Unità direte" ma accedo via gestione risorse ed un collegamento sul desktop a \\192.168.0.100\DATI sono comunque attaccabili i dati sul nas anche se NON sto in quel momento sulla cartella DATI del Nas?

Grazie1000

Ecco perfetto, io ho scambiato delle email con un tizio che, dopo avermi rimandato a tempo record i 2 files decriptati, non ha fatto altro che ripetere "ora cancello il caso", non rispondendo mai chiaramente, prima ha detto delle cose poi delle altre...la richiesta è stata sempre di 70€ come da te riportato per l'acquisto di una licenza e per il lavoro svolto...alla fine mi ha mandato a quel paese con linguaggio colorito. Vorrei pubblicare le mail omettendo il mittente...
Sono in una condizione di indecisione totale, nn so se cedere o perdere tutto e buonanotte. Tra l'altro una delle società che aveva offerto il servizio di rimozione sul web (fire....) offre supporto solo ad i propri clienti. Ma avendoli contattati voglio provare a chiedere ugualmente.

Guarda ti rispondo io visto che mi hai chiamato in causa:
Facciamo così: non pubblichiamo solo la mia ultima email ma pubblichiamo tutte le email comprese le tue di offese e insinuazioni. Le cose bisogna dirle tutte fino in fondo.
Ho 53 anni e sono uno dei titolari di s-mart società di distribuzione software che tra l'altro è distributore nazionale di Dr.Web (l'unico antivirus al mondo ad esser riuscito ad isolare la traccia del criptolocker e a dare questo servizio di decriptazione). Come distributore sono obbligato a prestare assistenza e a dare in Italia questo tipo di servizio agli utenti Dr.Web (per questo dobbiamo dare una licenza antivirus a chi non ce l'ha) ma credetemi ne farei volentieri a meno dal momento che abbiamo dovuto impiegare in modo fisso 3 persone me compreso ad occuparsi di tutte le richieste che ci arrivano tutti i giorni. Se consideri che per portare a termine un caso e inviare la soluzione impieghiamo 3 ore e spesso dobbiamo fare sessioni di teleassistenza al cliente perche non è capace di portare a termine le operazioni capirai che 35€ di rimborso non coprono neanche il costo dei due dipendenti.
L'unica grande soddisfazione sono le svariate centinaia di email di ringraziamento (disponibili alla visione ) per avergli ridato i files in chiaro.

Questa mie righe per sgombrare ogni dubbio: siamo un azienda seria che ha in tutta italia circa 1500 rivenditori di prodotti di informatica che ogni giorno ci acquistano le licenze di tutti i software che distribuiamo e che, da distributori Dr.Web forniamo anche questo servizio.
Tra l'altro il CEO di Dr.Web , Mr. Boris Sharov sara a Firenze il 21 luglio per parlare con la Polizia e l'intelligence italiana per dare una mano su questo ransomware e sugli altri che verranno.

Chiudo queste righe perche non voglio annoiare nessuno dicendoti che comprendo che tu sia angosciato per la perdita dei tuoi dati, ma se interpelli qualcuno per avere un aiuto e cercare una soluzione (e noi te la diamo al 100%) devi anche accettare il modo di lavorare di questo qualcuno, al limite sei libero di dire "non mi interessa grazie", non di polemizzare, insinuare e offendere le persone che dalle 8 la mattina alle 8 di sera diventano matte per risolvere i problemi della gente (spesso ci sono aziende che ti mandano la contabile alle 19,00 e vogliono il tool in serata quando tu sei gia a casa con la tua famiglia...... e sono talmente disperate che alla fine ti convincono a riaprire l'ufficio per mandargli il tool)

Giusto per ristabilire la verità dei fatti, senza polemica con nessuno ma con il diritto di spiegare che non siamo criminali, ne approfittatori ma seri professionisti IT che lavorano con entusiasmo
Alessandro Papini
network srl Firenze
www.networksrl.net
alessandro@nwkcloud.com

molto interessante...

ma quindi potete fornire la chiave di decrittazione (perchè di quello si tratta) per qualunque variante dei ransomware?

qui
http://www.ilsoftware.it/articoli.asp?tag=Esiste-una-soluzione-per-Cryptolocker_11949
si dice che potete trovare la soluzione soltanto per uno (chiedo perchè l'articolo è vecchio)

ne approfitto per una domanda in tema: io sul mio pc nelle mie mail non ho mai ricevuto finte bollette e raramente mail con allegati strani, però ricevo molte email che contengono link, ho appena cancellato una mail con link a messaggio wazzup (che non uso)
devo aver paura anche di quelle mail?
è chiaro che se il link ti scarica qualcosa sul pc è pericoloso, ma solamente aprire un link, quindi una pagina web, può infettarmi?

grazie ;)

Guarda ti rispondo io visto che mi hai chiamato in causa:
Facciamo così: non pubblichiamo solo la mia ultima email ma pubblichiamo tutte le email comprese le tue di offese e insinuazioni. Le cose bisogna dirle tutte fino in fondo.
Ho 53 anni e sono uno dei titolari di s-mart società di distribuzione software che tra l'altro è distributore nazionale di Dr.Web (l'unico antivirus al mondo ad esser riuscito ad isolare la traccia del criptolocker e a dare questo servizio di decriptazione). Come distributore sono obbligato a prestare assistenza e a dare in Italia questo tipo di servizio agli utenti Dr.Web (per questo dobbiamo dare una licenza antivirus a chi non ce l'ha) ma credetemi ne farei volentieri a meno dal momento che abbiamo dovuto impiegare in modo fisso 3 persone me compreso ad occuparsi di tutte le richieste che ci arrivano tutti i giorni. Se consideri che per portare a termine un caso e inviare la soluzione impieghiamo 3 ore e spesso dobbiamo fare sessioni di teleassistenza al cliente perche non è capace di portare a termine le operazioni capirai che 35€ di rimborso non coprono neanche il costo dei due dipendenti.
L'unica grande soddisfazione sono le svariate centinaia di email di ringraziamento (disponibili alla visione ) per avergli ridato i files in chiaro.

Questa mie righe per sgombrare ogni dubbio: siamo un azienda seria che ha in tutta italia circa 1500 rivenditori di prodotti di informatica che ogni giorno ci acquistano le licenze di tutti i software che distribuiamo e che, da distributori Dr.Web forniamo anche questo servizio.
Tra l'altro il CEO di Dr.Web , Mr. Boris Sharov sara a Firenze il 21 luglio per parlare con la Polizia e l'intelligence italiana per dare una mano su questo ransomware e sugli altri che verranno.

Chiudo queste righe perche non voglio annoiare nessuno dicendoti che comprendo che tu sia angosciato per la perdita dei tuoi dati, ma se interpelli qualcuno per avere un aiuto e cercare una soluzione (e noi te la diamo al 100%) devi anche accettare il modo di lavorare di questo qualcuno, al limite sei libero di dire "non mi interessa grazie", non di polemizzare, insinuare e offendere le persone che dalle 8 la mattina alle 8 di sera diventano matte per risolvere i problemi della gente (spesso ci sono aziende che ti mandano la contabile alle 19,00 e vogliono il tool in serata quando tu sei gia a casa con la tua famiglia...... e sono talmente disperate che alla fine ti convincono a riaprire l'ufficio per mandargli il tool)

Giusto per ristabilire la verità dei fatti, senza polemica con nessuno ma con il diritto di spiegare che non siamo criminali, ne approfittatori ma seri professionisti IT che lavorano con entusiasmo
Alessandro Papini
network srl Firenze
www.networksrl.net
alessandro@nwkcloud.com

Illustrissimo Alessandro Papini, tutti quanti ci svegliamo la mattina ed andiamo a fare il nostro lavoro...che spesso si conclude ben oltre le ore previste dai contratti e neanche retribuite.
Da persona che ha lavorato nel settore ed a contatto con il pubblico dico con cognizione di causa che a mio modesto e personale avviso il fatto che tu svolga bene il tuo lavoro non ti desime dall'essere chiaro e disponibile con i clienti, se hai scelto di fare questo e sei tu che hai un contatto con il pubblico hai l'obbligo morale e professionale di essere chiaro e disponibile, a maggior ragione se hai un cuore così grande da riaprire un ufficio dopo le 8 per aiutare il disperato di turno. Le persone, sopratutto se disperate non sono lucide, uno dei tuoi compiti dovrebbe essere rassicurarle e non mandarle a quel paese.
Per quanto riguarda il discorso economico, nulla da dire, il pane si deve portare a casa, ma faccio notare che all'uscita del virus due colossi della sicurezza hanno offerto per lungo tempo un servizio gratuito per la decriptazione dei files, ad oggi altre grandissime società forniscono tool gratuiti per la rimozione di infezioni di ogni genere, diciamo che chiunque potrebbe rimuovere virus e ripulire un PC gratuitamente ma molti preferiscono pagare qualcuno perchè non si ritengono in grado o prechè non hanno tempo e preferiscono pagare il servizio, ma lo fanno per scelta, nel caso di questo virus non c'è possibilità di scelta o paghi oppure paghi....e qualcuno ne approfitta per imporre la sua licenza.

Detto questo spero che non porti rancore nei miei confronti come io non ne porto nei tuoi ma rivendico solo la libertà che tutti stiamo perdendo o abbiamo perso.

Il ransomware spacciato via finta email dell'enel ha fatto danni anche da queste parti, la schermata di "riscatto" mi pare sia uguale alla variante chiamata "torrentlocker", ma l'ultimo tool di decrittazione reperibile online non è in grado di ripristinare i files.
In particolare a me interesserebbe ripristinare pochi files excel, che purtroppo non facevano parte del backup programmato ma risiedevano su una penna usb, ho le copie dei files crittati, più una quantità notevole di backups dei file sia cifrati che non (se fossero utili per recuperare la chiave).
Se qualcuno sa darmi un aiuto a riguardo mi mandi un messaggio anche privato :)

cmq quelli infettati dalla bolletta enel, se non sbaglio hanno preso i responsabili, italiani, fare denuncia e chiedete i danni...

apritegli il C:ciapet: e ballateci dentro :D

cmq quelli infettati dalla bolletta enel, se non sbaglio hanno preso i responsabili, italiani, fare denuncia e chiedete i danni...

apritegli il C:ciapet: e ballateci dentro :D

Si, in definitiva la cosa migliore è chiedere i danni a quelli che lo hanno veicolato:
per gli altri:
non porto rancore a nessuno stai tranquillo, le cose se dette con civiltà sono sempre utili ad un confronto e anche se non sono daccordo apprezzo i punti di vista degli altri.
Per il resto tutte le varianti di
cryptolocker
cryptol0ker
teslacrypt
alfacrypt
@india.com
sono da noi trattare e curabili con alte percentuali
rimane fuori al momento il cryptowall e il ctb

Salve ragazzi, poco fa ho preso anche io questo virus, il pc è stato acceso una mezzoretta, il tempo di salvare il salvabile e formattare, anke se ho subito notato che file come word, excel, ect erano decriptati. Mi chiedo ora, ho altri hard disk nel pc(tra cui uno con OS e altri solo dati), formattato l'hd infetto sono al sicuro? Nel senso, se pur avesse infettato altri file su altri hd, il virus potrebbe continuare ad infettare ? Grazie per le eventuali risposte.

Per tentare di recuperare qualcosina, mi hanno suggerito di usare Easy recovery della Ontrack. Non sò se possa essere utile per l'ultima versione del cryptolocker che non cancella più i file prima di criptarli.

Per il resto tutte le varianti di
cryptolocker
cryptol0ker
teslacrypt
alfacrypt
@india.com
sono da noi trattare e curabili con alte percentuali
rimane fuori al momento il cryptowall e il ctb

io formattai un pc con cryptowall 2

scusa se insisto, ma voi trovate la chiave di decrittazione? quindi è possibile trovarla?

io ricevo molte email che contengono link, ho appena cancellato una mail con link a messaggio wazzup (che non uso)
devo aver paura anche di quelle mail?
è chiaro che se il link ti scarica qualcosa sul pc è pericoloso, ma solamente aprire un link, quindi una pagina web, può infettarmi?

Non riesco a capire quale tipo di variante io ho preso. A me i file non sono rinominati ma criptati.

Quando c'era il virus avevo per ogni cartella infetta, 2 file dal nome di How_decrypt.

Quello che ho perso sono le email di outlook express in formato dbx oltre a tutti i .doc, docx, pdf, jpg, alcuni avi e mp4, gli archivi zip, rar.

Sono stati risparmiati i .txt e i programmi già estratti e tutte quelle cartelle dove i due file how_decrypt non erano presenti.

Non riesco a capire quale tipo di variante io ho preso. A me i file non sono rinominati ma criptati.

Quando c'era il virus avevo per ogni cartella infetta, 2 file dal nome di How_decrypt.

Quello che ho perso sono le email di outlook express in formato dbx oltre a tutti i .doc, docx, pdf, jpg, alcuni avi e mp4, gli archivi zip, rar.

Sono stati risparmiati i .txt e i programmi già estratti e tutte quelle cartelle dove i due file how_decrypt non erano presenti.

è criptowall 3 e purtropp al momento non esiste soluzione

Da parte mia vi posso dire che se i file criptati sono pochi basta salvarli e si può procedere anche da un altro pc.
Se si vuole però la certezza che i files vengano tutti decriptati specie se l' infezione si è sparsa pesantemente in rete e per molto tempo, allora la macchina deve essere funzionante.

Ho trovato anch' io una versione con istruzioni in inglese in cui le estensioni erano normali ma i files non si aprivano.
Antivirus COMODO ma la macchina non era utilizzabile, praticamente piantata anche in modalità provvisoria, è stata reinstallata su nuovo HD visto che c'era un backup valido.

io formattai un pc con cryptowall 2

scusa se insisto, ma voi trovate la chiave di decrittazione? quindi è possibile trovarla?

io ricevo molte email che contengono link, ho appena cancellato una mail con link a messaggio wazzup (che non uso)
devo aver paura anche di quelle mail?
è chiaro che se il link ti scarica qualcosa sul pc è pericoloso, ma solamente aprire un link, quindi una pagina web, può infettarmi?

Assolutamente si. Ti veicolano su un server infetto e in un attimo ti scarica l' infezione.
Alcuni lo hanno preso preso anche da PDF reali e immagini da siti indicizzati da google, non da mail.
Occhio!

Ci risiamo, altro giro, altro conoscente. Questo ha aperto una falsa bolletta enel (devo dire però, a differenza dei soliti fake, fatta bene in un italiano validissimo, quindi opera di luridi malintenzionati connazionali).
Il virus si autoreclamizza come Crypt0L0cker, cripta di tutto, tranne txt e poco altro, persino l'hard disk delle macchine virtuali viene criptato.

Ho provato a contattare ale1962. Purtroppo in piccole aziende come quelle, il backup si fa, ma con scadenze troppo dilatate.

Notifico altro caso di attacco Crypt0L0cker (scritto così nei txt e html lasciati nelle cartelle colpite) tramite falsa mail enel con allegato.
File criptati su tutta la rete (5 pc)
Dati recuperati solo in parte dai backup per cui ho inviato alcuni file infetti al fornitore antivirus per tentarne il recupero.

Fortuna che alcune cartelle dei backup sono state interamemte risparmiate forse perchè quando è comparsa la schermata dell'infezione sul pc infetto il cliente ha staccato subito la spina al pc

nche il crypt0locker si rimette in chiaro

Ciao a tutti
Mi sapete dire quale versione di Crypt0L0cker rinomina i file con .aaa dopo averli ovviamente criptati?

Ciao e grazie ...

C'è un tool per decodificare i files a seconda della versione?

Salve a tutti. purtroppo mio padre si dev'essere beccato una qualche variante del malware in oggetto: dico una qualche varriante in quanto ci sono alcuni punti strani:

1 - i file corrotti si trovano tutti nella cartella desktop, ma non tutti i file presenti in quella cartella sono stati crittografati;

2- l'estensione dei file non è cambiate (leggevo in rete che quelli crittografati hanno estensione crypto o encripted)

rimedi; c'è qualcosa che possa fare, al di là del formattare tutto?

Grazie

Salve a tutti. purtroppo mio padre si dev'essere beccato una qualche variante del malware in oggetto: dico una qualche varriante in quanto ci sono alcuni punti strani:

1 - i file corrotti si trovano tutti nella cartella desktop, ma non tutti i file presenti in quella cartella sono stati crittografati;

2- l'estensione dei file non è cambiate (leggevo in rete che quelli crittografati hanno estensione crypto o encripted)

rimedi; c'è qualcosa che possa fare, al di là del formattare tutto?

Grazie
prova questo http://www.hwupgrade.it/forum/showthread.php?p=42368844#post42368844

salve ragazzi, io per prevenire l'infezione con cryptowall ho associato i file .scr a Notepad++ cosi ora qualunque .scr io parta me lo apre in un testo incomprensibile ma almeno cosi facendo blocco evito l'infezione?

sul mio pc non uso screensaver, semplicemente spengo il monitor dopo 15minuti quindi non credo capitino problemi

che ne dite?puo tornare utile o è una boiata pazzesca?grazie

No, servirà ben poco, a volte si propaga via pagine web infette (javascript?) oppure aprendo allegati nelle mail

Occhio ragazzi altra buttata, stavolta mail della bolletta Telecom.

http://www.meganeclub.it/gallery/albums/userpics/12375/Bolletta_Telecom_fasulla_Virus_Cryptolocker.png


Dati tutti inventati.

Occhio a non cliccare in fondo dove ci si rimuove dalla mail list, anche lì ci si collega al sito con il virus

C'è scritto "pagare entro il 31/09/2015" ? Veramente ? :hic: :tapiro:

C'è scritto "pagare entro il 31/09/2015" ? Veramente ? :hic: :tapiro:

se paghi il 32 chissà che interessi di mora che ti applicano :D

Si ma la gente clicca lo stesso! :doh:

Buonasera a tutti.
Temo di essere incappato in una nuova variante.
Ho aperto una discussione: http://www.hwupgrade.it/forum/showthread.php?p=42891899

Questo virus mi preoccupa......
Sul PC ho moltissimi dati (foto audio video ecc...) per cui vorrei evitare di fare il backup anche di quelli che non sono necessari.
Per fare un pò di prevenzione, ho pensato di installare Paragon ExtFS e spostare i dati che devono essere solo letti, nelle partizioni EXT4 che creerò al posto delle altre NTFS che ho attualmente.
Le partizioni verranno montate, in Windows, normalmente con le lettere, ma differentemente da quelle NTFS possono essere montate dalla finestra di Paragon in sola lettura.
Se si vuole scrivere in esse bisogna per forza farlo smontando e rimontando con i diritti di scrittura dall'interno di Paragon.
Rimarrei un'unica partizione di dati NTFS (da dove avvio i programmi portabili) di cui ho già il backup.
Se il virus dovesse entrare nel sistema lo ripristino in 15 minuti con le copie fatte con Driver Snapshot. Ovviamente dovrò sbattermi un pò quando dovrò scrivere nelle partizioni EXT4 smontandole e rimontandole, però penso che così dovrei risolvere.
Che ne pensate?

ragazzi dovrei aiutare un amico infetto da questo odioso virus, ormai il pc è infetto da parecchio e già più di qualcuno ha provato a ripulirlo non so cosa hanno fatto, credo siano rimasti solo i file criptati da 'riparare'...eventualmente conoscete una bella guida da seguire? o i programmi efficaci per rifare una bella pulizia? tipo provo una passata con combofix ecc ecc....

la variante poi, chissà qual è....i file sono rinominati con .zqxagqa

Una volta che i file sono criptati non c'è nessun programma per recuperarli, inutili gli antivirus o le scansioni, sono persi per sempre. É stato spiegato più volte.

per sempre no, ci sono varie varianti del virus e ci sono dei tools per la decriptazione dei file, è solo da capire la chiave in base al tipo di infezione

Avanti Savoia!
Allora....




Come mai questi tools "gratuiti" non sono ancora saltati fuori?
:mc:

questo è un esempio di alcune varianti.....

PClockCRYPTOLOOKER
New PClock CryptoLocker Ransomware discovered - News
Alcuni utenti di bleepingcomputer sono riusciti a trovare una soluzione , tranne che per alcune varianti che sono in continua evoluzione.
Come procedere:
PClock cripta i files con una chiave a 2048 bit creando un documento di testo localizzato in %*UserProfile%\enc_files.txt
controllare se è presente tale file.Da lì si noteranno i files criptati.
cartella del malware:
%AppData%\WinCL\WinCL.exe
(C:\Users\tuo nome utente\AppData\Roaming\wincl\wincl.exe)
cancella le shadow copy(tasto destro sul file>proprietà>versioni precedenti cancellate)
da notare che l'infezione in continua evoluzione può cambiare il percorso dell'eseguibile.

Tool della emsisoft
http://emsi.at/DecryptPClock2
Salvare il tool sul desktop.
Doppio click e il programmino ricercherà automaticamente %*UserProfile%\enc_files.txt list.
premere su DECRYPT.
Lasciate lavorare il tool e al termine creerà un file criptato originale rinominato in *.decbake un nuovo file decriptato nella cartella stessa.
Se il tool vi mostra messaggi di errori o similari , la variante non è supportata o il programma anti-malware usato ha eliminato il file.

Altre varianti del ransom
CRYPTORBIT
CryptorBit and HowDecrypt Information Guide and FAQ
Non cancella le shadow copy.Tool per il ripristino dei files
http://download.bleepingcomputer.com...yptorBitV2.zip


CRYPTOWALL
CryptoWall and HELP_DECRYPT Ransomware Information Guide and FAQ
cancella le shadow copy.Crea questi files
HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, e HELP_DECRYPT.URL
non ci sono tools per il recupero.

COINVAULT
The CoinVault Ransomware Information Guide and FAQ
Non cancella le shadow copy , potete utilizzare un software di recupero dal web per tentare di ripristinare i files (tipo Recuva).

CTB-LOCKER
CTB Locker and Critroni Ransomware Information Guide and FAQ
Crea i seguenti files
!Decrypt-All-Files.bmp
!Decrypt-All-Files.txt
non ci sono tools per il recupero dei files.

TESLACRYPT/ALPHACRYPT
http://www.bleepingcomputer.com/viru...re-information
Possibilità di recupero files : usare il seguente tool http://www.dropbox.com/s/abcziurxly2...coder.zip?dl=0
è in grado di decriptare i files con estensione
.EXX .EZZ. .ECC.
Se il tool ha fatto il suo lavoro sarà sufficiente cliccare su DECRYPT ALL

CRYPTOLOCKER
http://www.bleepingcomputer.com/viru...re-information
Quello che conosciamo che cripta i files con estensione .encrypted
Il tentativo di recupero files è in base alla variante , inviate il file e la vostra email qui
https://www.decryptcryptolocker.com/
vi saranno date istruzioni sempre via email se ci sono successi.

TORRENTLOCKER
http://www.bleepingcomputer.com/foru...ocker-copycat/
Cripta i vostri files con la crittografia AES.
Il tool per il recupero files : http://download.bleepingcomputer.com...ntUnlocker.exe
necessità però di una copia del file non criptata.

in ogni caso alcune persone leggendo su internet hanno recuperato comunque i propri file grazie a DR Web, comprando la licenza e mandando dei file da analizzare

C'è una cosa che non capisco...
Un file CAB non è un semplice archivio compresso? Come può installarsi qualcosa semplicemente aprendo un archivio compresso? :confused:

Dr web è un servizio giustamente a pagamento, non un tool gratuito.
Quelli dove hai scritto "non ci sono tools per il recupero" sono i più diffusi perciò c'è poco da fare.

Perciò o aspetti quelli di bleepingcomputer oppure dr web oppure ciccia

Da questi signori
https://www.decryptcryptolocker.com/
ho inviato qualche files ma non hanno mai risposto.
A me e ai miei clienti non piace mandare in giro per il web file propri, ora non so gli altri e se non ripsondono, neanche con riposta negativa, il giudizio è molto negativo.

be se uno deve recuperare dei propri file personali penso che a pagamento o no non si faccia dei problemi, dove c'è scritto non ci sono tools per il recupero non so se dr web è in grado di operare, la guida è presa dal web ma deduco che appunto non ci sono soluzione free no a pagamento, che poi appunto provare dr web significhi comprare la licenza se non sbaglio quindi neanche tanto chissà che spesa

per quanto riguarda il file compresso.....magari come si decomprime parte l'autoplay per chi ce l'ha....bo.....oppure è semplicemente un finto .cab come i finti pdf che la gente apre, cioè i file chiamati fattura.PDF con estensione nascosta ovviamente ma sono fattura.pdf.exe e ovviamente il disattento lo apre senza problemi

salve a tutti. questa notte ho lasciato il mio pc di casa acceso e al mattino ho trovato tutti i file criptati e una schermata che mi dice che sono stati criptati con RSA 2048. c'è modo di recuperare i file?? vi prego datemi qualche speranza

salve a tutti. questa notte ho lasciato il mio pc di casa acceso e al mattino ho trovato tutti i file criptati e una schermata che mi dice che sono stati criptati con RSA 2048. c'è modo di recuperare i file?? vi prego datemi qualche speranza

non possiamo darti speranze :(

Come posso procedere? Posso provare qualche soluzione prima di formattare tutto?

Come posso procedere? Posso provare qualche soluzione prima di formattare tutto?

Prova a inviare 2 o 3 file criptati al supporto drweb. Speranza vana ma tentar non nuoce.

sii più preeciso... una o due pagine indietro ci sono alcune varianti, e per alcune ci sarebbero le soluzioni...

Ho lasciato il pc acceso per qualche ora collegato ad internet e al ritorno ho trovato il messaggio con la richiesta di riscatto per decriptare i files. Andando a usare l'esplora risorse ho visto che tutti i file (ed in partitolare .doc e .jpg) hanno una seconda estensione.ccc

Ma come l' hai preso? Non è che il virus entra così da solo... :rolleyes:

A dire il vero stavo vedendo un film in streaming su pir***str*****

hai un pvt

Ciao ragazzi, il PC di mio padre si è infettato con una variante del malware, tutti i file sono criptati CCC!!! :mc:

E' corretto pensare che l'unica possibile soluzione sia DrWeb?

Alcuni documenti sono davvero importanti da recuperare, anche a pagamento!!!

Salve ragazzi, anch'io mi son trovato tanti tipi di file crispati,
esempio: *.jpg.ccc, *.doc.ccc e così via. Purtroppo mi ha infettato anche l'HD
esterno dove archivio le mie foto (+ di 2000). Sul web nè ho lette tante fra le quali, come dice Aletlinfo proverò su Dr.Web l'antivirus russo. Chiedo se qualcuno conosce la giusta procedura, quella di mandare loro dei files criptati.
Grazie Buona Notte

Ieri credo di essermi beccato anch'io questo malware sul mio pc principale. Ho letto buona parte del 3d, ed ho già trovato suggerimenti preziosi, ma avrei bisogno di un po' di aiuto, se possibile. :( In particolare sul come identificare la variante, per vedere se ho qualche chance di decriptare i file o meno.
Peraltro non mi pare di aver visto countdown sul popup. Secondo voi se lascio passare qualche giorno rischio seriamente di non recuperare mai più nulla dei file criptati? Perchè nel tentare procedure alternative, il mio obiettivo è quello di non precludermi definitivamente la possibilità di decriptare i file pagando.
Al momento vorrei procedere così: stacco i due drive (uno con C e l'altro con altre partizioni) attaccati al momento dell'infezione, poi installo win 8 su un disco pulito, poi spengo il pc e collego uno degli hard disk infettati (direi l'ssd con la partizione di sistema), con lo scopo di cercare di identificare la variante esatta di cryptolocker, e vedere se posso risolvere da me, oppure se devo ricorrere a dr web (tramite il sito decryptolocker.it, che però prima di lunedì presumo non prenderà in carico il mio problema), od in ultima analisi valutare se pagare gli autori del virus... Non ho nemmeno letto quanto chiedevano.
Secondo voi va bene questo iter? E cosa devo cercare se attacco il disco infetto su un PC pulito dove perciò non dovrebbe partire il popup? riesco a capire che variante di cryptolocker ho preso, e quali sono le istruzioni per decriptare il file (in particolare costo, tempo residuo - importantissimo-, e procedura)?
Cosa posso fare di "semplice" per evitare subito il contagio sul nuovo SO sull'hard disk pulito? Es tolgo autoplay, aumento l'UAC al massimo etc....

Sotto vi aggiungo qualche dettaglio sul mio caso.



hai un pvt

Se hai buone dritte potresti mandarlo anche a me per cortesia?


Salve ragazzi, anch'io mi son trovato tanti tipi di file crispati,
esempio: *.jpg.ccc, *.doc.ccc e così via. Purtroppo mi ha infettato anche l'HD
esterno dove archivio le mie foto (+ di 2000). Sul web nè ho lette tante fra le quali, come dice Aletlinfo proverò su Dr.Web l'antivirus russo. Chiedo se qualcuno conosce la giusta procedura, quella di mandare loro dei files criptati.
Grazie Buona Notte

Ma tu ti rivolgi al sito italiano con la procedura descritta su decryptolocker.it o proprio direttamente a dr web?


Prova a inviare 2 o 3 file criptati al supporto drweb. Speranza vana ma tentar non nuoce.

Stessa domanda anche a te: intendi il sito italiano di cui sopra, o parli di un altro sito di supporto?


A dire il vero stavo vedendo un film in streaming su pir***str*****

Io ieri ho beccato (pare) questo malware, ed in effetti stavo guardando un film in streaming (ma non sul sito che dici tu, almeno mi pare). D'altro canto non ho cliccato (e mai l'ho fatto) su alcun allegato mail sospetto.
Sei riuscito a capire che variante è il tuo?
io essendomene accorto "in diretta" del problema ho spento subito tutto, per lo meno per non infettare altri computer in rete.



sii più preeciso... una o due pagine indietro ci sono alcune varianti, e per alcune ci sarebbero le soluzioni...

Ciao, come faccio ad essere più preciso anch'io? Come posso identificare con certezza quale variante di cryptolocker ho beccato? Io non ho nemmeno approfondito bene se nel mio caso è una sciocchezza o se davvero ha criptato i file, perchè prima mi son beccato un popup ma poi, controllando, i file si aprivano. Solo che dopo qualche minuto ho visto che si stavano modificando le icone sul desktop, ed i file non si aprivano più. Ma a quel punto ho spento il pc senza procedere ad ulteriori approfondimenti al fine di limitare i danni.
Ho agito così perchè inizialmente ho evitato di cliccare sul messaggio e le istruzioni comparse sullo schermo, perchè avendo letto più volte di questi ransomware, sapevo che senza cliccare su dei file non potevano lanciare l'azione di criptaggio file. Pertanto temevo di lanciare il virus proprio cliccando sui link o sui popup comparsi. Ma quando ho visto che anche i miei file sul desktop stavano cambiando le icone (chessò, da icona del file word a rettangolo bianco) allora ho spento tutto, sperando di limitare i danni, sia nel mio pc che in rete. Peraltro avevo pochissimo spazio residuo sui vari dischi, qundi mi chiedo come abbia fatto a cifrare tutto.

Poi iniziando a leggere ieri notte (passata quasi insonne a farmi una cultura più approfondita) dal telefonino (santo Note 4!) ho visto che possono partire da siti anche non maliziosi ma compromessi. E l'unico che può aver creato il problema era uno di questi siti per lo streaming.

Salve ragazzi, anch'io mi son trovato tanti tipi di file crispati,
esempio: *.jpg.ccc, *.doc.ccc e così via. Purtroppo mi ha infettato anche l'HD
esterno dove archivio le mie foto (+ di 2000). Sul web nè ho lette tante fra le quali, come dice Aletlinfo proverò su Dr.Web l'antivirus russo. Chiedo se qualcuno conosce la giusta procedura, quella di mandare loro dei files criptati.
Grazie Buona Notte

Ciao, se ti riferisci alla procedura passando per il sito italiano la trovi scritta abbastanza chiaramente qui:

http://www.decryptolocker.it/

Se invece vuoi inviare direttamente a dr web in russia non saprei.

Non so se c'è differenza di costi: il sito italiano chiede 70€ (ma credo solo se ti decriptano i file, per inviarti la "cura"). Il sito russo non ho idea.

Ma è ancora in circolazione questo virus?
A me fortunatamente sono 6-7 mesi che non arrivano più email strane. L'ultima mi sarà arrivata prima dell'estate.
Menomale :D
Cmq io sempre cestinate mai aperte. Anzi non apro nemmeno lo zip o il cab, per vedere cosa c'è dentro, lo cestino direttamente.
Qualche volta prima di cancellarlo l'ho mandato in analisi su virustotas.com e tutte le volte si trattava sempre o di un virus o di un malware.

A quanto pare non basta evitare di aprire gli allegati nelle mail. Alcuni pare l'abbiano preso navigando su Internet. Quindi mi chiedo se è il caso di eseguire il browser in una sandbox tipo Sandboxie. Così facendo si eviterebbe di far scrivere direttamente sui dischi ad eventuali malware che si avviano dal browser... che ne pensate?

Ragazzi, nessuana risposta ai miei dubbi? Qui il tempo scorre... E devo agire e prendere una decisione :(

Provo a fare delle domande veloci e riassuntive del discorso più lungo fatto nei precedenti post:

1) Che faccio invio i dati all'intermediario italiano di dr web, od a quello russo? Qualcuno qui dentro ha risolto? Se si con che tempistiche e, soprattutto, quali risultati? Se li mando oggi avrei bisogno di una risposta domani in mattinata, altrimenti dovrò organizzarmi diversamente.

2)C'è possibilità che se li invio direttamente a dr web tramite il sito internazionale possano rispondere più velocemente?

3) Se avvio uno dei dischi infettati come disco secondario su un altro pc o tramite un cd live di ubuntu, riesco ad identificare la variante di cryptolocker ed il tempo che mi rimane prima che cancellino la chiave di decriptazione dai server, pur non visualizzando più il popup con le "istruzioni"? (Popup che comunque non mi pare avesse un conto alla rovescia).

4) Cosa posso guardare di preciso per capire la variante che ho beccato, a parte le estensioni dei file criptati ed i file di testo che dovrebbero esserci con le istruzioni (che spero non comportino ulteriori propagazioni di infezione su altri pc)? Il tutto, ripeto, considerando che non voglio avviare il pc infetto, e quindi cercherò di fare tutto da un live cd di ubuntu (peccato che non lo sappia usare quasi per nulla, quindi ogni operazione richiederà tempo per apprendere le procedure ed i comandi). Pertanto il popup non comparirà.

5) se monto uno dei 2 dischi infettati e criptati su Ubunto live CD, c'è possibilità che il processo di encrypting possa proseguire? (Lo so alcune di queste domande sono abbastanza stupide, ed in condizioni normali ne conoscerei anche la risposta, ma devo ammettere che al momento sono abbastanza nel pallone, anche perchè non ho capito quanto tempo mi rimane per risolvere prima che la chiave sia definitivamente cestinata).

Grazie a chiunque potrà darmi qualche indicazione celermente.

PENSO che avviando Linux (o addirittura un Windows pulito, insomma un sistema operativo pulito), specialmente se NON risiede sul disco infetto, il malware non si dovrebbe, in teoria, attivare. Sarà pur sempre un eseguibile, o comunque una libreria DLL, o magari un batch, che da qualche parte si dovrà avviare, e un sistema pulito non dovrebbe contenere le istruzioni per avviarlo.

Questo potrebbe essere importante, in quanto magari con Windows saresti più a tuo agio ed eseguiresti le operazioni più confortevolmente.
E poi esiste anche Bart PE, che è un CD live di Windows.

Non ho capito comunque cosa vorresti tentare come soluzione fai da te.

Vedi se è possibile, con Windows o Linux, montare una partizione o tutto il disco in sola lettura, in modo da non permettere scritture sul disco e quindi neanche la prosecuzione del criptaggio.
Se non trovi altri metodi, leggevo qui (link (https://technet.microsoft.com/it-it/library/cc766465%28v=ws.10%29.aspx)) che DiskPart ha l'opzione readonly per farlo, ma io lo conoscevo come tool a riga di comando per partizionare e formattare le partizioni, e non ho capito bene se si può fare, quindi stai attento.
Qui (link (http://pureinfotech.com/2012/05/26/mount-a-drive-to-a-folder-path-command-line-gui/)) è indicato come montare un drive in una cartella con DiskPart.

Se non è possibile, potresti fare un'immagine della partizione o del disco infetto (con Acronis True Image o simili), e lavorare su quella. Tra l'altro un'immagine mi pare sia possibile montarla in sola lettura, ed inoltre in tal modo avresti comunque un backup del disco (file criptati e file non ancora criptati!). Questo però potrebbe sottrarre tempo impiegabile, non so come, ma diversamente, in vista di un'eventuale scadenza della chiave di decodifica sui server degli autori del malware.

A dire il vero stavo vedendo un film in streaming su pir***str*****

ma quel sito ti ha chiesto di scaricare un File(quindi il viruz) come "codec" o "aggiornare flash" ???

Ciao, se ti riferisci alla procedura passando per il sito italiano la trovi scritta abbastanza chiaramente qui:

http://www.decryptolocker.it/

Se invece vuoi inviare direttamente a dr web in russia non saprei.

Non so se c'è differenza di costi: il sito italiano chiede 70€ (ma credo solo se ti decriptano i file, per inviarti la "cura"). Il sito russo non ho idea.
_______________________________________________________________Ho letto da qualche parte che i Russi chiedono molto meno...€.14... però devi comprare la versione completa dell'antivirus link:
https://estore.drweb.com/promo/offer/?item=xiEaMY3fJRq1+/5Sjo5ABA&product=ss
ora io non ho tempo di starci dietro e, capendo pochissimo d'inglese, devo rimandare. A me sono stati criptati tutti i file di office e quelli foto, video ecc.
l'estensione dei miei files è ad. esempio inverno.jpg.ccc mentre il virus è Tesla Crypt ransomware.
Ciao e Buona Fortuna a tutti.
--------------------------------------------------------------------------
Ho scritto al sito italiano Dr.Web il quale mi ha risposto che, al momento non ci sono soluzioni per i file *.ccc

Ragazzi vi ringrazio per le informazioni. premesso che sto scrivendo sotto dettatura vocale dal telefonino sarò breve perché sono parecchio stanco.
oggi ho fatto un po' di passi avanti. alla fine ho collegato l ssd ad un live cd Ubuntu e con non poca fatica ho montato tutto in sola lettura ed ho scoperto che il virus mio è crypt0L0cker quello scritto con due zeri al posto delle o. i file sono tutti criptati con estensione .encrypted mentre il nome originale del file e la sua posizione non è cambiata. il countdown da quello che ho capito parte soltanto da quando clicchi per andare sul loro sito, ma il tempo per decidere non è comunque molto. mi chiedono €300. nel frattempo ho contattato dr web.
Duandaro se posso darti una mano compatibilmente con i casini che sto passando io adesso te la do volentieri. peraltro tieni presente che mandare i file a dottor web è una cosa abbastanza semplice non richiede grosse abilità linguistiche per cui se ti serve un minimo di supporto te lo do io che ho appena proceduto con questo iter. In attesa di risposta cercherò sul forum lì per vedere se trovo qualche soluzione fai da te.

Ragazzi, per seguire la procedura dr web quindi è sufficiente acquistare il loro Antivirus a 14 euro (o offerta del momento) per poi contattarli ed inviargli due files??

Inviato dal mio SM-G900F utilizzando Tapatalk

salve ragazzi
beccato pure io questo maledetto malaware :cry:
ho letto di tutto in internet. Teoricamente mbam dovrebbe scovarlo o sbaglio? E pare però che le ultime versioni del malaware non permettano un recupero dei files criptati o sbaglio? Leggevo poi che bloccando gli eseguibili quando localizzati in AppData potrebbe aiutare, voi che dite?
In ultima analisi, cosa consigliereste di fare?
Grazie

Un mio amico lo ha beccato venerdì. Tutti i file rinominati e con estensione .ccc

Ho visto anche io che questo Dr.Web riesce a decriptare i files.

Qualcuno lo ha provato negli ultimi giorni?

Lo ha preso ieri sera un mio cliente, se ne sono accorti oggi alle 12! :doh:
Vediamo come si evolve, abbiamo i backup
:fuck:

Il pc lo formatto.

Scusate la mia domanda ma non sto capendo più se viene ancora beccato per via e mail o semplicemente navigango su siti, o navigando su siti che richiedono di scaricare ed istallare qualcosa ....... la mia domanda nasce dal semplice fatto che se viene preso navigando cosi senza una ragione la cosa diventa preoccupante :eek: :eek: :eek: :eek: qualcuno sa illuminarmi ?
grazie a tutti in anticipo ...

Lo ha preso ieri sera un mio cliente, se ne sono accorti oggi alle 12! :doh:
Vediamo come si evolve, abbiamo i backup
:fuck:

Il pc lo formatto.
E fai bene. Indubbiamente l'arma migliore contro questo infame virus sono i backup dei dati, in virus in se e per se non è devastante per il sistema come i virus classici, ma lo è per i dati, Se tutti avessero dei backup dei dati, questo virus scomparirebbe in breve tempo, ma purtroppo non è così.

Ultimamente l'epidemia di Cryptolcker si sta dilagando a macchia d'olio, oramai mi arrivano 2 o 3 PC al giorno che se lo sono beccato! :doh:

:fuck: Taci, alle 15 mi chiama un altro e anche lui tombola! :doh:

16giga di dati in rete e sul server, è andata bene che il backup ha ripristinato tutto a stanotte e il gestionale ha tenuto i nuovi dati, evidentemente teamsystem scrive modifiche su nuovi files.
Cmq il cliente deve verificare tutti gli inserimenti della mattinata e anche questo PC da formattare.

Abbiamo cautelato tutti i clienti dopo i primi casi di criptolocker con doppio backup, su nas e su dispositivo esterno estraibile :sofico:

Cara Microsoft e HP :fuck: a voi e quando avete tolto quelle bellezze che si chiamavano NT backup e i nastri rimovibili.
Esce Windows 2008 e i tecnici ma no... a che servono i nastri... tutto su rete su NAS ti vendi i blade NAS...

Si, si poi quando il cliente nella fattispecie il super direttore si accorge dopo 6 ore del virus e mi dice "ma man mano non aprivo più i files" e si è diffuso su tutta la rete dopo mi spiegano cosa ci faccio con un blade che non serve a niente visto che devo pagare lo stesso. :D :D

Ora NAS e RDX removibile a manetta e i dati in casa non fuori in chissà quale server sperduto fuori dalla giurisdizione italiana.

Ultimamente l'epidemia di Cryptolcker si sta dilagando a macchia d'olio, oramai mi arrivano 2 o 3 PC al giorno che se lo sono beccato! :doh:

a questi del pomeriggio 3 mail in successione tutte con lo zip malefico img.zip e nel campo A: una marea di gente.
certo che a volte basterebbe un pò di cervello.

a questi del pomeriggio 3 mail in successione tutte con lo zip malefico img.zip e nel campo A: una marea di gente.
certo che a volte basterebbe un pò di cervello.
Ma hanno avviato il contenuto (con che estensione?) dello zip?
Lo hanno semplicemente estratto e si è avviato da solo anche senza doppio click sui file?
Perché avevo letto che ad alcuni è addirittura bastato anche solo salvare lo zip (alcuni parlavano di un cab) sull'hard disk!