http://www.primonumero.it/attualita/primopiano/articolo.php?id=21273

sarà vero o solo per farsi pubblicità

Nell'articolo si parla di TeslaCrypt e del file key.dat... ma la variante del tesla che creava il file key.dat è vecchia di quasi 1 anno fa. Per quella variante del tesla vi sono gia i tool per recuperare i file.

Adesso circola il teslacrypt 3.0 e file criptati hanno estensione .micro :cry:

anche usare un provider di posta come gmail è consigliato!! mi sono accorto di avere 3 email nello spam con il file js e con l'avviso rivelato virus!

a me arrivate due mail solo ieri con file di 2kb in allegato... trovate in spam comunque...:fagiano:

Intanto su BleepingComputer l'utente BloodDolly dice:

"@All
The current state of decryption of TeslaCrypt 3 (.xxx, .ttt, .micro) is still the same, we can't recover any of the 7 private keys right now.

I wanted to collect encypted files from everyone infected here to be able to reach them if the solution will be found and it will not be universal for everyone. I didn't think that there will be so many people affected by TeslaCrypt 3 and currently I am not even able to answer to all messages, because you are sending them faster than I am able to answer to them. :)

I have to ask you to stop sending me PMs with a link to encrypted files by TeslaCrypt 3. I am still working on this problem and I will be working on it.



For the future decryption of your files you need only encrypted files, so you can format your system, etc. because everything important is already in the header of encrypted files".

Quindi per il TeslaCrypt 3 c'è ancora da aspettare.


bye

http://www.primonumero.it/attualita/primopiano/articolo.php?id=21273

sarà vero o solo per farsi pubblicità

Come già detto è un vecchio articolo, BloodDolly dice che per ripristinare in futuro i file .micro basteranno solo gli stessi, il file key.dat è inutile, quindi l'articolo è OLD. ;)


bye

veramente devastante, oggi ho levato il virus ad un'altra persona (era disperato), come al solito la rimozione facilissima, ma gli aveva criptato tutto aveva aperto l'email il 3 febbraio e se ne era accorto oggi! hd esterno tutto, copie di Shadow eliminate, e naturalente l'antivirus dormiva

veramente devastante, oggi ho levato il virus ad un'altra persona (era disperato), come al solito la rimozione facilissima, ma gli aveva criptato tutto aveva aperto l'email il 3 febbraio e se ne era accorto oggi! hd esterno tutto, copie di Shadow eliminate, e naturalente l'antivirus dormiva

Che antivirus? Io ho visto il TeslaCrypt3 su un AVG, e su Security Essential entrambi su XP.

bye

Che antivirus? Io ho visto il TeslaCrypt3 su un AVG, e su Security Essential entrambi su XP.

bye

avira aggiornato in win7, alla fine l'ho rimosso in modalità provvisoria con HitmanPro, inoltre mi sono stati molto d'aiuto autoruns e procexp per analizzare manualmente anche grazie alla funzione check su virustotal

Io ho usato tutti i tools possibili e ho rimosso il virus,ma ora ho tutti dei doc importantissimi da recuperare...Hanno tutti l'estensione MICRO e sono veramente disperato...Cmq al momento dell'infezione avira dormiva e MBAM idem :rolleyes: :mbe: :nono:

Come posso fare,sono veramente disperato :cry:

avira aggiornato in win7, alla fine l'ho rimosso in modalità provvisoria con HitmanPro, inoltre mi sono stati molto d'aiuto autoruns e procexp per analizzare manualmente anche grazie alla funzione check su virustotal

Anch'io uso l'Autoruns è un gran software, uso anche il vecchio hijackthis, io ho rimosso con Combofix e poi ho fatto una passata col malwarebytes, nessuno dei due però ha rimosso le migliaia di file di riscatto in formato .png .txt ed .html, ho dovuto usare il ccleaner per i file duplicati.
Mentre quel pacco di spyhunter che consigliano, per usarlo esigeva la registrazione o l'acquisto. :doh:

bye

Io ho usato tutti i tools possibili e ho rimosso il virus,ma ora ho tutti dei doc importantissimi da recuperare...Hanno tutti l'estensione MICRO e sono veramente disperato...Cmq al momento dell'infezione avira dormiva e MBAM idem :rolleyes: :mbe: :nono:

Come posso fare,sono veramente disperato :cry:

C'è da aspettare, tutto qui. Salvati i file .micro ed aspetta. :(



bye

Anch'io uso l'Autoruns è un gran software, uso anche il vecchio hijackthis, io ho rimosso con Combofix e poi ho fatto una passata col malwarebytes, nessuno dei due però ha rimosso le migliaia di file di riscatto in formato .png .txt ed .html, ho dovuto usare il ccleaner per i file duplicati.
Mentre quel pacco di spyhunter che consigliano, per usarlo esigeva la registrazione o l'acquisto. :doh:

bye

si i file help quanti!! (oggi circa 13.000) nel mio caso nemmeno hitman li ha levati, ho risolto con una semplice ricerca e selezionati tutti

Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Vi spiego l'idea che ho avuto, tutti questi cryptolocker in un modo o nell'altro aggiungono una nuova estensione al file criptato ( che sia .micro, .vvv, .ccc, .encrypted, .carattericasuali e così via ) e quando si crea un file con una estensione sconosciuta al sistema Windows la annota nel registro. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...

si i file help quanti!! (oggi circa 13.000) nel mio caso nemmeno hitman li ha levati, ho risolto con una semplice ricerca e selezionati tutti

Allora mi sa che ne ho dimenticati parecchi ancora, ma quel pc infetto era così lento......che ti passava la voglia.

Pensandoci bene questi malware crittografano molti file, pure le immagini stupide delle temp dei browser, se un software specifico utilizza un'immagine al suo interno per funzionare correttamente, renderà il software stesso instabile o inutilizzabile. Non sono troppo intelligenti questi malware, criptano tutti i file più comuni in tutti i path possibili. :mad:

Gli auguro tutto il male possibile a questi pirati informatici. :mad:

bye

Settimana infernale.:mad:
Ho 5 clienti con i file criptati in .micro :cry: . Ad alcuni gli hanno criptato tutti i documenti del computer e le unità mappate in rete (sul nas), ma a 2 è andata di lusso:

Numero file criptati in .micro

1) 11527 (computer locale) + 5241 (rete) AV: Microsoft Security Essential + Avira (non aggiornato)
2) 22237 (computer locale) AV: nessun antivirus (solo programmi anti-spyware Iobit)
3) 37974 (computer locale) AV: Trend
4) 16 (tutti nel cestino) AV: Virit Professional
5) 198 (computer locali) AV: Virit Professional (i file sono stati recuperati)

I 2 clienti che usano la versione a pagamento di virit, mi hanno chiamato perche' l'antivirus era scattato segnalando un possibile cryptomalware in un file con nome casuale EXE.
Quando sono andato dal cliente n. 4 aveva i file di "help_" del riscatto, ma cercando i file .micro ne aveva solo 16 e tutti nel cestino.
L'ultimo cliente ne aveva 198 con estensione .micro, ma erano nelle prime cartelle del disco C:
Il cliente ha contattato il supporto tecnico, si sono collegati in remoto e hanno recuperato i file criptati .
Da quello che mi hanno detto, se ho capito bene, se c'e' la protezione attiva nel momento dell'attacco del tesla, l'antivirus lo inibisce e riesce a prendere la chiave utilizzata per criptare i file. In questo modo loro hanno recuperato i file.

Mi sembra che anche Kaspersky e Hitman pro utilizzano una protezione simile:confused: .

Lunedì devo andare da un nuovo cliente che ha pagato il riscatto di 1000 Euro del tesla, perche' gli era scaduto il tempo per pagare e il riscatto si è raddoppiato,
non hanno copie di backup... sono disperati !!! :cry:

Sempre fare le copie di backup... e tenerle non collegate alla rete! ;)

Anch'io uso l'Autoruns è un gran software, uso anche il vecchio hijackthis, io ho rimosso con Combofix e poi ho fatto una passata col malwarebytes, nessuno dei due però ha rimosso le migliaia di file di riscatto in formato .png .txt ed .html, ho dovuto usare il ccleaner per i file duplicati.
Mentre quel pacco di spyhunter che consigliano, per usarlo esigeva la registrazione o l'acquisto. :doh:

bye

occhio a parlar male di spyhunter, hanno fatto causa ad un forum per una recensione

http://www.bleepingcomputer.com/announcement/frivolous-lawsuits/help-bleepingcomputer-defend-freedom-of-speech/

ragazzi ciao! E' ormai un po' che mi sto documentando circa questo ransomware e tutte le sue copie ma ancora non mi son chiare le seguenti cose (e non riesco in nessun modo a venirne a capo leggendo online):

1) Una volta preso il virus, ci si accorge di quest'ultimo solo a criptaggio avvenuto giusto? E ok, finito di imprecare cosa succede? Il virus scompare come ho letto o il rischio permane se collego unità esterne?
2) Ma è vero che questi virus attaccano anche Dropbox o è una cavolata??
3) Se mi accorgo di averlo, per evitare che continui a crittografare roba, basta che lascio il pc acceso staccato dalla rete o è del tutto inutile risiedendo, il virus, in locale?

Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Vi spiego l'idea che ho avuto, tutti questi cryptolocker in un modo o nell'altro aggiungono una nuova estensione al file criptato ( che sia .micro, .vvv, .ccc, .encrypted, .carattericasuali e così via ) e quando si crea un file con una estensione sconosciuta al sistema Windows la annota nel registro. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...

Mi sembra una bella idea, almeno contro il CryptoLocker e TeslaCrypter dovrebbe funzionare.

ragazzi ciao! E' ormai un po' che mi sto documentando circa questo ransomware e tutte le sue copie ma ancora non mi son chiare le seguenti cose (e non riesco in nessun modo a venirne a capo leggendo online):

1) Una volta preso il virus, ci si accorge di quest'ultimo solo a criptaggio avvenuto giusto? E ok, finito di imprecare cosa succede? Il virus scompare come ho letto o il rischio permane se collego unità esterne?
2) Ma è vero che questi virus attaccano anche Dropbox o è una cavolata??
3) Se mi accorgo di averlo, per evitare che continui a crittografare roba, basta che lascio il pc acceso staccato dalla rete o è del tutto inutile risiedendo, il virus, in locale?

1) quando il virus finisce di criptare tutto il disco si cancella, ma in alcuni casi che ho visto era ancora attivo. In questo caso provo a terminare il processo dal task manager.

2) Penso che il problema relativo a dropbox sia la sincronizzazione dei file, quindi ti fa le copie dei file criptati e ti cancella le buone.

3) Se ti accorgi di averlo... stacca immediatamente il cavo di rete, in modo da isolare il pc infetto . Dopo cerca di rimuovere il virus.

ma con cosa si rimuove? Combofix non funziona su windows 10, adwcleaner credo non lo rilevi...con cosa si puo eliminare?

Mi sembra una bella idea, almeno contro il CryptoLocker e TeslaCrypter dovrebbe funzionare.

Togli pure il dovrebbe ;)
Sinceramente mi sono documentato sui vari ransomware che utilizzano metodi di criptazione ( non c'è un vero e proprio elenco oppure non l'ho trovato ) e tutti quelli che ho visto aggiungono una nuova estensione predefinita o casuale, ne esiste qualcuno che non lo fa? Ho scritto 99% solo per questa eventualità ma in realtà non ho riscontri.

ma con cosa si rimuove? Combofix non funziona su windows 10, adwcleaner credo non lo rilevi...con cosa si puo eliminare?
usa hitman pro (nei primi 30 giorni è gratis) in modalità provvisoria con rete, e poi dai anche un'occhiata con autoruns per vedere se c'è qualcosa di sospetto, occhio a cosa elimini, nei miei casi il virus era sempre in appdata, in caso di sospetto scrivi qui o analizza con virustotal prima di eliminare
ps. naturalmente se fai con autoruns oltre ad eliminare il valore stringa del virus rimuovi anche il file dalla cartella scrivendo %appdata% (se si trova li)

Allora mi sa che ne ho dimenticati parecchi ancora, ma quel pc infetto era così lento......che ti passava la voglia.

Pensandoci bene questi malware crittografano molti file, pure le immagini stupide delle temp dei browser, se un software specifico utilizza un'immagine al suo interno per funzionare correttamente, renderà il software stesso instabile o inutilizzabile. Non sono troppo intelligenti questi malware, criptano tutti i file più comuni in tutti i path possibili. :mad:

Gli auguro tutto il male possibile a questi pirati informatici. :mad:

bye
poi dipende da quanto ha criptato dal numero di cartelle dato che lascia le sue tracce dei 3 file help ovunque
si infatti anche i temp tipo come hai detto le immagini, io alla fine faccio sempre una pulizia con ccleaner...

1) quando il virus finisce di criptare tutto il disco si cancella, ma in alcuni casi che ho visto era ancora attivo. In questo caso provo a terminare il processo dal task manager.

2) Penso che il problema relativo a dropbox sia la sincronizzazione dei file, quindi ti fa le copie dei file criptati e ti cancella le buone.

3) Se ti accorgi di averlo... stacca immediatamente il cavo di rete, in modo da isolare il pc infetto . Dopo cerca di rimuovere il virus.

Aggiungo:
2) se la cartella dropbox è mappata come unità di rete si, cripta tutto anche lì. Ad esempio onedrive è vista come una normale cartella con windows 8/10 se si ha account microsoft ed in questo caso il malware attacca.
Altrimenti no.

Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...

Per molti può essere banale, per me no, come fai?

Aggiungo:
2) se la cartella dropbox è mappata come unità di rete si, cripta tutto anche lì. Ad esempio onedrive è vista come una normale cartella con windows 8/10 se si ha account microsoft ed in questo caso il malware attacca.
Altrimenti no.

beh ma dropbox se non sbaglio o non è mai mappata o lo è sempre no? Quando installi il client di inserisce una cartella nel tuo profilo come fosse una cartella di sistema. In quel caso viene mappato qualcosa?

Non uso dropbox quindi non saprei, ma se è accessibile direttamente dal pc come cartella e non necessita di inserire password allora verrà criptato anche il contenuto della cartella dropbox.

Per molti può essere banale, per me no, come fai?

Se sei programmare non é difficile e posso pure spiegarlo, al momento non posso rilasciare nulla pubblicamente perché dovrei starci dietro con tutto quello che ne consegue.

L'ultimo cliente ne aveva 198 con estensione .micro, ma erano nelle prime cartelle del disco C:
Il cliente ha contattato il supporto tecnico, si sono collegati in remoto e hanno recuperato i file criptati .
Da quello che mi hanno detto, se ho capito bene, se c'e' la protezione attiva nel momento dell'attacco del tesla, l'antivirus lo inibisce e riesce a prendere la chiave utilizzata per criptare i file. In questo modo loro hanno recuperato i file.

Mi sembra che anche Kaspersky e Hitman pro utilizzano una protezione simile:confused: .

Lunedì devo andare da un nuovo cliente che ha pagato il riscatto di 1000 Euro del tesla, perche' gli era scaduto il tempo per pagare e il riscatto si è raddoppiato,
non hanno copie di backup... sono disperati !!! :cry:

Sempre fare le copie di backup... e tenerle non collegate alla rete! ;)

Mi sa che è una bufala, mi sa che quelli della tgsoft gli hanno ripristinato i file shadow, non è possibile facilmente recuperare la chiave di criptazione, perchè la chiave di criptazione magari non è presente nel pc infestato, quindi ho i miei dubbi che nessuno riesca a bloccare il TeslaCrypt3, mentre il VirITPro blocca l'infestazione e recupera pure la chiave al volo, è poco probabile, anzi pochissimo. ;)


bye

Ciao,

mi è giunta voce che anche in un sistema Mac con Windows virtualizzato via WMware, sharando il disco mac anche in scrittura il cryptolocker abbia criptato pure i file sul mac, per fortuna che costui aveva dei backup sul TimeCapsule. :fagiano: :rolleyes:


bye

Autodifesa?

https://www.youtube.com/watch?v=HayqiXgMOk4

Autodifesa?

https://www.youtube.com/watch?v=HayqiXgMOk4

avevo già visto questo video, niente dimostra che i file protetti con il software Kruptos 2 (protegge i file tramite crittografia), non vengono toccati perchè il virus non è programmato per quella estensione (k2p)

buongiorno ragazzi, un cliente mi ha portato un pc con problematiche segnalate via telefono che già mi hanno insospettito, e infatti alla fine tutti i file (Foto video musica ecc) erano cambiati con estensione .micro. tutto nato da un allegato mail...

su questo pc è installato avg con licenza regolare, ho usato alcuni antimalware ma niente.

spostando i file su hdd esterno e formattando il pc, pensate che almeno l'hard disk viene ripulito per bene?

inoltre, visto che attualmente non esiste una cura, posso lasciarli da parte in attesa di novità?

avevo già visto questo video, niente dimostra che i file protetti con il software Kruptos 2 (protegge i file tramite crittografia), non vengono toccati perchè il virus non è programmato per quella estensione (k2p)

Infatti mi sembrava una fesseria. :)

bye

buongiorno ragazzi, un cliente mi ha portato un pc con problematiche segnalate via telefono che già mi hanno insospettito, e infatti alla fine tutti i file (Foto video musica ecc) erano cambiati con estensione .micro. tutto nato da un allegato mail...

su questo pc è installato avg con licenza regolare, ho usato alcuni antimalware ma niente.

spostando i file su hdd esterno e formattando il pc, pensate che almeno l'hard disk viene ripulito per bene?

inoltre, visto che attualmente non esiste una cura, posso lasciarli da parte in attesa di novità?

Certo, puoi lasciarli dove vuoi. Formattando magari tranquillizzi il tuo cliente, ma è un passo eccessivo.

bye

Sarebbe una bastardata sulla bastardata se il teslacrypt o le varianti del CTB Locker riconoscessero i file criptati e li ricriptassero a loro volta. :mad: :doh:

Doddiamo vigilare, dobbiamo spiegare alle persone, i comuni utilizzatori di pc, che rischi corrono in rete, fare un pò di informazione, sempre banale per noi, ma di banale in questi virus non c'è nulla.


bye

Per la rimozione potete usare Norton Power Erase ma in modalità provvisoria e con il cavo di rete collegato.
vedo che in questa modalità il virus non agisce.
Fate la "scansione con reputazione" (cloud).
Si riavvia e tutto a posto (ma non decripta i files naturalmente)

mi sono appena accorto di avere tutti i files contenuti nella NAS con estensione .encrypted

Non domandatemi come me lo sono preso perchè non ne ho idea, probabilmente l'ho tirato giù dal muletto a cui è collegata la nas e da li ha cryptato l'intero contenuto.

Ora, bestemmie a parte, posso far qualcosa?

Infatti mi sembrava una fesseria. :)

bye
beh diciamo che è un modo indiretto per proteggersi, naturalmente non infallibile un domani una nuova versione potrebbe essere programmata anche per quella estensione o se nel momento dell'infezione i file sono "in chiaro non protetti" magari perchè si ci sta lavorando il danno è sempre fatto...

quella di vigilare sulle nuove estensioni è una misura che potrebbe essere raggirata nelle prossime versioni del virus

basterebbe che il virus invece di aggiungere l'estensione cambiasse il nome del file documento.doc in documento_cripto.doc

forse una contromisura sarebbe quella di cambiare l'estensione dei documenti

ad esempio da .doc a .cod e associarli al programma utilizzato, dubito che i virus di questo tipo guardino la tipologia di file per decidere se criptare o meno

oppure mettere una copia dentro ad un file zip protetto da password, il documento è modificabile dopo aver digitato la password

anche se il backup esterno rimane l'unica vera contromisura

mi sono appena accorto di avere tutti i files contenuti nella NAS con estensione .encrypted

Non domandatemi come me lo sono preso perchè non ne ho idea, probabilmente l'ho tirato giù dal muletto a cui è collegata la nas e da li ha cryptato l'intero contenuto.

Ora, bestemmie a parte, posso far qualcosa?

dovrebbe trattarsi del virus TorrentLocker ho trovato un articolo http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-torrentlocker-for-paid-customers-or-distributors/
a quanto pare dr web dovrebbe essere capace di decriptare i file
prova ad inviare una richiesta:
https://support.drweb.com/new/free_unlocker/for_decode/?lng=it

edit: guarda anche qua http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
c'è un link al TorrentLocker Decrypted

quella di vigilare sulle nuove estensioni è una misura che potrebbe essere raggirata nelle prossime versioni del virus

basterebbe che il virus invece di aggiungere l'estensione cambiasse il nome del file documento.doc in documento_cripto.doc


Potrebbero ma non l'hanno mai fatto, eppure sono anni che girano...ad esempio CryptoLocker nel tardo 2013, TeslaCrypt dal 2014 e così via, quelli che si basano sulla crittografia trovano riscontri dal 2012 soprattutto in Europa orientale

P.S. Ammesso che lo facessero, si può monitorare un directory/sottodirectory per i cambi di nome, nuovi file creati etc. Windows registra tutti questi eventi.

forse una contromisura sarebbe quella di cambiare l'estensione dei documenti

ad esempio da .doc a .cod e associarli al programma utilizzato, dubito che i virus di questo tipo guardino la tipologia di file per decidere se criptare o meno


E' risaputo che i ransomware leggono le estensioni e non l'header del file, sicuramente per una questione di velocità. Se faccio il tuo stesso ragionamento "è una misura che potrebbe essere raggirata nelle prossime versioni del virus"


oppure mettere una copia dentro ad un file zip protetto da password, il documento è modificabile dopo aver digitato la password

Lo zip verrebbe criptato a sua volta, rientra nelle estensioni. Concordo che il backup esterno rimane l'unica vera contromisura ma contro tutto, non solo i virus ma ad esempio danni hardware.

non sapevo che criptassero anche gli zip

criptano anche i volumi .tc di truecrypt o le partizioni criptate?

lo so se monti il volume ed il virus è attivo potrà accedere al volume e fare danni

e i file nascosti dentro a cartelle nascoste vengono ricercati e criptati?

e se uno aggiungesse l'estensione creata dai virus a dei documenti non criptati il virus lo riterrebbe criptato evitandodo di criptarlo per davvero?

è chiaro che se derminate contromisure prendessero piede negli utenti i creatori dei virus li programmerebbero tenendo conto di queste contromisure

Dipende dalle varianti ma purtroppo sì, anche i .tc vengono "infettati" e non si salvano nemmeno i vari hard disk virtuali come .vdi .vhd e .vmdk
Nascondere i file é inutile, certo se rinomini un file .encrypted viene salvato dal ransomware per il semplice fatto che non fa parte della lista, quindi avresti lo stesso risultato con una qualsiasi estensione inventata. Tanto per fare un'altro esempio i file criptati da EasyCrypt non verrebbero processati ma ci sono alcune varianti che includono oltre duecento estensioni, vedi tu.

Basterebbe modificare l'estensione dei nostri file in punto .xxx.exe (dove .xxx identifica il nostro tipo di file) gli exe non possono toccarli, ovviamente. :)


bye

Vabe quindi non ci resta che pazientare...Cmq si condivido l'idea di informare più gente possibile...ormai i comuni utilizzatori di pc si credono esperti perché usano face :D o scaricano file :Prrr:

Intanto:

https://www.youtube.com/watch?v=WOkUhGlXnRg
http://www.majorgeeks.com/files/details/malwarebytes_anti_ransomware.html
o

https://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/#comment-1545876

dovrebbe trattarsi del virus TorrentLocker ho trovato un articolo http://www.bleepingcomputer.com/forums/t/587362/drweb-quietly-decrypting-torrentlocker-for-paid-customers-or-distributors/
a quanto pare dr web dovrebbe essere capace di decriptare i file
prova ad inviare una richiesta:
https://support.drweb.com/new/free_unlocker/for_decode/?lng=it

edit: guarda anche qua http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
c'è un link al TorrentLocker Decrypted

grazie mille, sto intravvedendo un lieve bagliore in fondo al tunnel...
Ho provato col TorrentLocker Decrypted e mi ha trovato la chiave però il jpeg di prova che mi ha decriptato è comunque corrotto, cioè metà immagine è visibile, l'altra metà è gialla...
ora ho provato a inviare 4-5 files a Dr web... vediamo che dicono.
Comunque se non ho capito male questo torrentlocker è più curabile rispetto ad altri virus similari...

Mi sa che è una bufala, mi sa che quelli della tgsoft gli hanno ripristinato i file shadow, non è possibile facilmente recuperare la chiave di criptazione, perchè la chiave di criptazione magari non è presente nel pc infestato, quindi ho i miei dubbi che nessuno riesca a bloccare il TeslaCrypt3, mentre il VirITPro blocca l'infestazione e recupera pure la chiave al volo, è poco probabile, anzi pochissimo. ;)


bye

Mi sono informato meglio dal mio cliente e non si tratta di una bufala.
Nella versione a pagamento è incorporato una protezione pro attiva contro i criptomalware che individua un processo quando inizia a criptare i file.
Il sistema interviene al volo e va a bloccare il processo malevole.
Inoltre mi hanno spiegato che con l'aggiornamento di fine mese di Gennaio hanno implementato il sistema di beccare la chiave in memoria utilizzata per criptare dal Tesla 3.0. Dopo hanno utilizzato un tool per recuperare i file .micro attraverso la chiave catturata.

Se vai sul loro sito c'e' la news relativa: http://www.tgsoft.it/italy/news_archivio.asp?id=685
verso la fine c'e' scritto:
Posso decrittare i file .micro ?
Si a patto che Vir.IT eXplorer PRO sia stato installato prima dell'infezione da TeslaCrypt 3.0 e che abbia carpito le chiavi di codifica dei file che sono stati crittografati.


Ci sono altri prodotti con protezione pro attiva contro i criptomalware: kasperski, hitman pro e come hai tu riportato malwarebytes.

Quindi non è una cosa impossibile... ma possibilissima.

Salve ragazzi,

anche io ho un pc di un amico con lo stesso problema: tutti i file con estensione .micro! :muro:

Volevo formattare ma ho letto che forse si può anche evitare perchè usando tool opportuni si riesce ad eliminare il problema....ho letto di Norton Power Erase, HitmanPro, combofix...quali sono i passaggi da fare per essere sicuri di eliminare definitivamente tutti i problemi senza formattare?

I file possono restare sul PC in attesa di un possibile sw in grado di decodificarli?

Dipende dalle varianti ma purtroppo sì, anche i .tc vengono "infettati" e non si salvano nemmeno i vari hard disk virtuali come .vdi .vhd e .vmdk
Nascondere i file é inutile, certo se rinomini un file .encrypted viene salvato dal ransomware per il semplice fatto che non fa parte della lista, quindi avresti lo stesso risultato con una qualsiasi estensione inventata. Tanto per fare un'altro esempio i file criptati da EasyCrypt non verrebbero processati ma ci sono alcune varianti che includono oltre duecento estensioni, vedi tu.

le partizioni (non i volumi contenitori) criptate di truecrypt e simili però vengono viste come spazio non allocato finchè non vengono montate

anche se credo che i programmatori potrebbero programmare questi virus per riconoscere se una partizione è stata criptata

bisognerebbe vedere il codice ma forse questi virus hanno anche una lista di estensioni che devono evitare di criptare oltre alla lista di estensioni su cui devono agire

Inoltre mi hanno spiegato che con l'aggiornamento di fine mese di Gennaio hanno implementato il sistema di beccare la chiave in memoria utilizzata per criptare dal Tesla 3.0. Dopo hanno utilizzato un tool per recuperare i file .micro attraverso la chiave catturata.

Se vai sul loro sito c'e' la news relativa: http://www.tgsoft.it/italy/news_archivio.asp?id=685
verso la fine c'e' scritto:


Ci sono altri prodotti con protezione pro attiva contro i criptomalware: kasperski, hitman pro e come hai tu riportato malwarebytes.

Quindi non è una cosa impossibile... ma possibilissima.

Ok, bloccare il malware è un conto, ma risalire alla chiave di cifratura è un altro, infatti TGSoft dice:

Posso decrittare i file .micro ?
Si a patto che Vir.IT eXplorer PRO sia stato installato prima dell'infezione da TeslaCrypt 3.0 e che abbia carpito le chiavi di codifica dei file che sono stati crittografati.

Quindi può non carpirle, quindi DEVO avere il VirITPro installato e pagato, prima.
Mi sembra una trovata commerciale, quando fior di programmatori a livello mondiale, stanno cercando soluzioni non banali a questi ramsonware. :mc:


bye

per quanto riguarda le copie shadow posso recuperarle dopo che formattato ?

grazie mille, sto intravvedendo un lieve bagliore in fondo al tunnel...
Ho provato col TorrentLocker Decrypted e mi ha trovato la chiave però il jpeg di prova che mi ha decriptato è comunque corrotto, cioè metà immagine è visibile, l'altra metà è gialla...
ora ho provato a inviare 4-5 files a Dr web... vediamo che dicono.
Comunque se non ho capito male questo torrentlocker è più curabile rispetto ad altri virus similari...

probabilmente perchè il virus al momento della criptazione l'ha corrotto... (penso)
puoi provare con altri file il tools ti fa decriptare più file o è di prova?
si sei stato più fortunato diciamo è una variante più vecchia...
Salve ragazzi,

anche io ho un pc di un amico con lo stesso problema: tutti i file con estensione .micro! :muro:

Volevo formattare ma ho letto che forse si può anche evitare perchè usando tool opportuni si riesce ad eliminare il problema....ho letto di Norton Power Erase, HitmanPro, combofix...quali sono i passaggi da fare per essere sicuri di eliminare definitivamente tutti i problemi senza formattare?

I file possono restare sul PC in attesa di un possibile sw in grado di decodificarli?

leggi il mio post il virus è facile da togliere non devi formattare:
http://www.hwupgrade.it/forum/showpost.php?p=43350348&postcount=788

i file si certo li puoi lasciare in attesa anzi è consigliato!

Bisognerebbe vedere il codice ma forse questi virus hanno anche una lista di estensioni che devono evitare di criptare oltre alla lista di estensioni su cui devono agire

I codici sono più o meno pubblici. La logica vuole che avere una lista di estensioni da includere, cioè come fanno tutti i vari ransomware, significa che automaticamente vengono esclusi gli altri. Esempio se su un PC ho le estensione ABCDE e il ransoware ha tra nella sua lista ABC ovviamente DE vengono esclusi. Se ragionassero in maniera opposta cioè escludere DE e includere il resto al 99% il sistema operativo dopo l'infezione non sarebbe utilizzabile, cosa che i diffusori dei ransonwre non vogliono altrimenti il tizio infetto non può pagare.

per quanto riguarda le copie shadow posso recuperarle dopo che formattato ?

Non penso, ma non serve formattare. Segui le guide per la rimozione e sei sistemato.

bye

Dobbiamo aspettare:

There is no way of decrypting TeslaCrypt 3.0 .xxx, .ttt, or .micro variants at this time since they use a different protection/key exchange algorithm, a different method of key storage and the key for them cannot be recovered. Please read BloodDolly's reply in [url=http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/?p=3927451Post #933. If infected with any of these extensions, backup all your encrypted files and wait for solution.

bye

porco cane chissà quanto tempo ci vorrà:muro:

anche noi in azienda siamo stati colpiti...

la cosa che mi fa più incazzare è che Kaspersky Endpoint Security lo ha fatto passare come se nulla fosse !!!

fortuna nostra che facciamo il backup ogni notte...

probabilmente perchè il virus al momento della criptazione l'ha corrotto... (penso)
puoi provare con altri file il tools ti fa decriptare più file o è di prova?
si sei stato più fortunato diciamo è una variante più vecchia...



ho provato con un altro paio di file ma una volta decriptati risultano comunque corrotti. Ora ho lanciato RakhniDecryptor di kaspersky boh vediamo se trova qualcosa. Nel frattempo attendo con ansia una mail di risposta da Dr web...

:help:

comunque mi pare impossibile che non ci sia uno stracazzo di hacker che ha voglia di mettersi li e fare miliardi di dollari trovando la cura a sti cryptolocker... :mad:

ho provato con un altro paio di file ma una volta decriptati risultano comunque corrotti. Ora ho lanciato RakhniDecryptor di kaspersky boh vediamo se trova qualcosa. Nel frattempo attendo con ansia una mail di risposta da Dr web...

:help:

comunque mi pare impossibile che non ci sia uno stracazzo di hacker che ha voglia di mettersi li e fare miliardi di dollari trovando la cura a sti cryptolocker... :mad:

RSA A 2048 bit di chiave hai voglia.... l'algoritmo di cifratura è sicurissimo c'è poco da fare, anche il bruteforce è praticamente impossibile.... gli unici appigli che può avere un esperto di sicurezza (o tiger team / white hat che si voglia) sono ingeniuità nella gestione della chiave da parte dello scrittore del malware ma anche questi bachi vengono risolti man mano che il malware avanza

Dobbiamo aspettare:

There is no way of decrypting TeslaCrypt 3.0 .xxx, .ttt, or .micro variants at this time since they use a different protection/key exchange algorithm, a different method of key storage and the key for them cannot be recovered. Please read BloodDolly's reply in [url=http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/?p=3927451Post #933. If infected with any of these extensions, backup all your encrypted files and wait for solution.

bye

Esatto....aspettiamo ;)

Ciao a tutti,
Parlando del Malware cryptolocket in tutte le versioni... mi chiedevo se facendo così sono al sicuro PER IL RESTO delle cartelle:

Con NAS Synology, UNICO VOLUME, condiviso con samba in vari Windows e Linux:
1) Creo sul NAS una cartella chiamata “IN_LAVORAZIONE”, imposto come unico ad accedere, l’utente “LAVORO” in lettura e scrittura.
2) A questo utente “LAVORO” CHE NON sarà admin, NEGO l’accesso a tutto il resto del NAS.
3) Periodicamente, attraverso l’interfaccia WEB del NAS via DSM copio i dati della cartella “IN_LAVORAZIONE” nelle cartelle ARCHIO, BACKUP ecc.ecc.
Così facendo POSSO ESSERE sicuro che il virus mi cripti SOLO i dati nella cartella “IN_LAVORAZION”????

Questo ransomware sta facendo una strage!
Nelle ultime 2 settimane 4 pc di miei clienti infetti e pomeriggio devo andare in un'azienda che ha il server infetto, con ovvia perdita di tutti i documenti!
Speriamo che trovino una soluzione al più presto... :rolleyes:

RSA A 2048 bit di chiave hai voglia.... l'algoritmo di cifratura è sicurissimo c'è poco da fare, anche il bruteforce è praticamente impossibile.... gli unici appigli che può avere un esperto di sicurezza (o tiger team / white hat che si voglia) sono ingeniuità nella gestione della chiave da parte dello scrittore del malware ma anche questi bachi vengono risolti man mano che il malware avanza

guarda io non me ne intendo minimamente di sta roba però mi dico siamo nel 2016, riusciamo a far atterrare una sonda in una cometa, teleguidiamo missili con precisione al metro, acceleriamo particelle fino alla velocità della luce, facciamo in modo che una coppia dello stesso sesso possa procreare.... etc etc e non riusciamo a fermare sta gente/virus???
booooh

comunque leggendo la procedura del riscatto (299euro) era indicato come inviare un file di prova per avere la conferma che lo decriptano. L'ho inviato e subito mi è ritornato decriptato... ora personalmente il contenuto che ho perso non vale 299euro, però mi trovassi in condizioni critiche confesso che li pagherei senza troppe paranoie sti soldi...

comunque leggendo la procedura del riscatto (299euro) era indicato come inviare un file di prova per avere la conferma che lo decriptano. L'ho inviato e subito mi è ritornato decriptato... ora personalmente il contenuto che ho perso non vale 299euro, però mi trovassi in condizioni critiche confesso che li pagherei senza troppe paranoie sti soldi...

giocano proprio su questo. l'utente medio/smanettone si sbatte da solo/formatta e bona. le aziende possono anche finire sul lastrico se perdono tutti i dati... ok direte ci sono i backup... però sappiamo tutti come si lavori nella stragrande maggioranza delle aziende italiane...:muro: ed io sono in una di quelle in quel di panigale...:mc:

guarda io non me ne intendo minimamente di sta roba però mi dico siamo nel 2016, riusciamo a far atterrare una sonda in una cometa, teleguidiamo missili con precisione al metro, acceleriamo particelle fino alla velocità della luce, facciamo in modo che una coppia dello stesso sesso possa procreare.... etc etc e non riusciamo a fermare sta gente/virus???
booooh

Il problema è che una chiave di quel tipo è talmente lunga e complessa che non è possibile decriptarla con tempi umani. Occorre trovare qualche buco nella programmazione del malware ma non è così facile a quanto pare.
Piuttosto mi chiedo: essendo il pagamento fatto con bitcoin non è possibile risalire tramite "il numero" del bitcoin al suo utilizzatore? O quantomeno bloccarli tali conti?
Non conosco bene come funzionano ma dovrebbe essere una cosa tipo conto corrente a quanto ho capito.

Il problema è che una chiave di quel tipo è talmente lunga e complessa che non è possibile decriptarla con tempi umani. Occorre trovare qualche buco nella programmazione del malware ma non è così facile a quanto pare.
Piuttosto mi chiedo: essendo il pagamento fatto con bitcoin non è possibile risalire tramite "il numero" del bitcoin al suo utilizzatore? O quantomeno bloccarli tali conti?
Non conosco bene come funzionano ma dovrebbe essere una cosa tipo conto corrente a quanto ho capito.

esattamente! non riesci a decrittare ste chiavi? blocca direttamente le persone o i conti... cioè dai trovano Bin Laden e non beccano uno di questi? Ne basta uno, lo fracassi di mazzate e vedi che comincia a parlare... :asd:

per questo che mi dico che sembra strano...

edit. no non sono proprio un conto corrente, sennò sarebbe si troppo facile

probabilmente ci sono molti interessi economici dietro, anche da parte di chi dovrebbe garantire la sicurezza...insomma un magna magna che quindi non fà scattare un'azione punitiva
a buon intenditor....

Un amico,dopo che gli ho controllato e pulito il pc (infetto con Tc 3.0),non ha seguito il mio consiglio,ovvero aspettare una cura! Lo ha portato in un centro riparazione :mbe: 100% formattano e gli danno i doc su cd ma sempre in micro :D :D o sbaglio???!

Aggiornamento!! preventivo euro 200 per sost HD e Nuovo SO ahahahahahahhahaah Dati ovviamente persi :D:D:D:D:D:D

esattamente! non riesci a decrittare ste chiavi? blocca direttamente le persone o i conti... cioè dai trovano Bin Laden e non beccano uno di questi? Ne basta uno, lo fracassi di mazzate e vedi che comincia a parlare... :asd:

per questo che mi dico che sembra strano...

edit. no non sono proprio un conto corrente, sennò sarebbe si troppo facile

Immagino ma comunque ci dovrà essere un riferimento per il pagamento e quindi un conto da bloccare o studiare. Possibile che sia totalmente anonimo?

Un amico,dopo che gli ho controllato e pulito il pc (infetto con Tc 3.0),non ha seguito il mio consiglio,ovvero aspettare una cura! Lo ha portato in un centro riparazione :mbe: 100% formattano e gli danno i doc su cd ma sempre in micro :D :D o sbaglio???!

Aggiornamento!! preventivo euro 200 per sost HD e Nuovo SO ahahahahahahhahaah Dati ovviamente persi :D:D:D:D:D:D

mentre a te avrebbe offerto una birra...:mc: :sofico:

Ciao a tutti, ci sono cascato pure io e in un modo stupidissimo.

Questa mattina ho aperto uno dei miei due indirizzi mail ed ho trovato una fattura Telecom, quindi non mi sono insospettito, visto che la fattura ci arriva ogni mese. Il logo telecom era perfetto e ci sono cascato completamente. L'unica cosa strana era che la fattura non fosse allegata in pdf, ma fosse allegata una certella RAR, anche se, proprio perchè la mail mi arriva ogni mese, non mi sono insospettito. Ho scaricato la cartella, l'ho decompressa e all'intero c'era un file apparentemente con il logo di Acrobat, ma con il senno di poi sembrava effettivamente diverso. Ci ho cliccato sopra e il virus si è insinuato nel sistema, tanto che ad ogni riavvio mi compariva una grossa finestra che mi chiedeva di avviare una procedura per contattare determinate persone che avrebbero potuto aiutarmi. Poi facendo una ricerca google ho scoperto che si tratta di un pericolosissimo virus, CTB-Locker appunto, che oltre ad insinuarsi nel sistema va a crittografare i documenti, rendendoli inutilizzabili, cosa che è successa anche nel mio caso, e oi mascalzoni che si celano dietro questi assurdi malaware chiederebbero poi enormi somme di denaro per fornire la chiave di cifratura che renda i file di nuovo servibili.

Ho subito effettuato il ripristino della configurazione di sistema al 2 febbraio, procedendo poi alla scansione del sistema con ComboFix e avviando Ccleaner per eliminare file temporanei e chiavi di lettura erronee. Il virus sembra essere scomparso completamente, ma mi ha lasciato in regalo un30% circa dei file salvati crittografati, non utilizzabili, word, excel, power point, pdf e tutti gli altri. Trattandosi del computer principale di famiglia, nel quale ciascuno di noi ha salvato tantissimi file, la situazione è drammatica, perchè ci ritroviamo con un numero imprecisato di file non più consultabili, alcuni dei quali molto importanti perchè utilizzati per il lavoro o lo studio.

Da quello che ho letto questa storia va avanti da tantittimo tempo, quindi mi chiedo: è mai possibile che nel tremila non ci sia un modo per fermare questi soggetti, che sono dei delinquenti belli e buoni e che andrebbero chiusi in galera per 20 anni? Perchè passi far installare virus che ti bloccano il computer e ti costringono a formattare o a lunghe procedure, ma rendere inutilizzabili dei file è un atto deplorevole, viscido e anche psicologicamente devastante, visto che alcuni potrebbero perdere documenti indispensabili per la propria attività lavorativa, con il rischio di rimetterci denaro, tempo e stabilità psicologica. Lo fanno per soldi, certo, perchè soggetti disperati sono disposti a pager centinaia di euro per recuperare il maltolto, ma qui si sta esagerando e la cosa sta diventando inammissibile.

Al momento mi pare di capire che non si possa fare nulla, giusto? Nemmeno acquistando un software a pagamento tipo Dr.Web? Perchè ho letto che da gennaio 2016 anche questa strada non è più percorribile!

a me la telecom manda l'avviso che c'è la bolletta sul sito e io mi loggo e la vedo direttamente sul sito e se voglio la scarico

non mi manda direttamente l'allegato

poi se tu avessi la visualizzazioni delle estensioni dei file attivate ti saresti accorto che anche se l'icona era di un pdf l'estensione non era .pdf

mentre a te avrebbe offerto una birra...:mc: :sofico:

sì birra magari manco un gingerino di una marca discount

sì birra magari manco un gingerino di una marca discount

come ti capisco...:muro:

se faccio un backup su un nas con trasferimento ftp protetto da nome utente e password con acronis true image, ovviamente il nas non viene infettato, giusto?

Il problema è che una chiave di quel tipo è talmente lunga e complessa che non è possibile decriptarla con tempi umani. Occorre trovare qualche buco nella programmazione del malware ma non è così facile a quanto pare.
Piuttosto mi chiedo: essendo il pagamento fatto con bitcoin non è possibile risalire tramite "il numero" del bitcoin al suo utilizzatore? O quantomeno bloccarli tali conti?
Non conosco bene come funzionano ma dovrebbe essere una cosa tipo conto corrente a quanto ho capito.

il problema è che questi criminali usano metodi estremamente anonimi, il bitcoin è una moneta virtuale p2p cioè per farvi capire non serve nome e cognome o altro per aprirsi il conto ma solo un software installato nel pc, anche online semplicemente usando un user e psw,le transazioni sono tutte pubbliche nella blockchain ma risalire a chi appartiene il conto è quasi impossibile, oltre a questo i siti che usano per chiedere il riscatto sono degli hidden service di tor e anche qui le cose si fanno complicate per la natura di questi servizi anonimi...

Un amico,dopo che gli ho controllato e pulito il pc (infetto con Tc 3.0),non ha seguito il mio consiglio,ovvero aspettare una cura! Lo ha portato in un centro riparazione :mbe: 100% formattano e gli danno i doc su cd ma sempre in micro :D :D o sbaglio???!

Aggiornamento!! preventivo euro 200 per sost HD e Nuovo SO ahahahahahahhahaah Dati ovviamente persi :D:D:D:D:D:D

200 euro!! :eek: ma perchè sostituire l'hard disk? il virus gli ha criptato anche l'hardware :D

ormai arriva con indirizzi casuali
oggi mi arrivata un email da officine puzone

http://i.imgur.com/1bt6VnZ.jpg

mai sentita

:eek: :eek: :eek: :eek: :eek:

a me la telecom manda l'avviso che c'è la bolletta sul sito e io mi loggo e la vedo direttamente sul sito e se voglio la scarico

non mi manda direttamente l'allegato

poi se tu avessi la visualizzazioni delle estensioni dei file attivate ti saresti accorto che anche se l'icona era di un pdf l'estensione non era .pdf

A me la mandano sempre in allegato, così come la fattura di Sky, e posso leggerla direttamente dalla mia mail. Probabilmente dipenderà dal tipo di contratto o dal momento dell'attivazione.

Poi per carità, è stata una mia leggerezza il fatto di aprire un mail del genere e soprattutto il relativo allegati, ma era davvero molto simile a quella originale, nelle scritte, nel logo e negli spazi, non a caso è stata la primissima volta in cui ho preso un virus aprendo una mail, proprio perchè le mail che veicolano virus sono generalmente scritte in italiano maccheronico e hanno loghi e scritte comunque diverse dalle originali.

Resta comunque il fatto che posso arrivare a capire i virus normali, che ti fanno penare per qualche giorno ma poi in genere tutto si risolve, al massimo salvando i dati e formattando, ma qui si sta parlando di un progetto criminale atto a distruggere tutti i file presenti in un computer, provocando conseguenze terrificanti per chi si trova a perdere migliaia di file. Io tutti i documenti del computer fisso li salvo su una penna usb e poi sul portatile, ma gli altri familiari non sempre lo fanno, quindi le conseguenze sono irreversibili.

Comunque, quanto meno per adesso, non è proprio possibile recuperare, anche in parte, i file danneggiati? Perchè ho letto che almeno fino a dicembre si riuscivano a recuperare in qualche modo, ma da gennaio il malawere ha aumentato la virulenza e al momento i metodi precedenti non sono percorribili. Si può riuscire a recuperare quanto meno i file più importanti, senza dover sborsare centinaia di euro?

Comunque, quanto meno per adesso, non è proprio possibile recuperare, anche in parte, i file danneggiati? Perchè ho letto che almeno fino a dicembre si riuscivano a recuperare in qualche modo, ma da gennaio il malawere ha aumentato la virulenza e al momento i metodi precedenti non sono percorribili. Si può riuscire a recuperare quanto meno i file più importanti, senza dover sborsare centinaia di euro?
salvati i file esternamente su un hdd, oppure anche meglio una immagine totale del sistema.

poi se vuoi dei consigli, compra un nas se hai molti file grandi che giustamente non vuoi perdere (anche per una semplice rottura di un hard disk, non servono i virus), poi se hai pochi file fondamentali ti conviene usare un servizio cloud, tipo googledrive o onedrive, sincronizzazione non automatica ma manuale ogni tot di tempo, ormai la vita è sempre più digitale, i ricordi e i file di lavoro, non pagare riscatti ma investili in soluzioni di sicurezza

...

Al momento mi pare di capire che non si possa fare nulla, giusto? Nemmeno acquistando un software a pagamento tipo Dr.Web? Perchè ho letto che da gennaio 2016 anche questa strada non è più percorribile!

dipende da quale versione hai preso...
Dopo 3 giorni che bestemmio l'unica opzione che mi par di capire possa funzionare è scrivere una mail a: alessandro @ nwkcloud.com il quale mi ha risposto dopo 2 ore:
"mi invii 2 pdf o doc o xls (no docx no xlsx)
noi faremo l'analisi e le diremo se e come possiamo aiutarla"

Chiaramente sulla mia nas su 82.000 files non c'era manco un cazzo di pdf o word... ma vebbè.
Dr. web ho compilato il form online con la richiesta ma dopo 3 giorni è ancora ferma li...

Se sti 3-400 euro non ti pesano da morire fossi in te proverei a pagare. Ripeto solo se non ti cambiano la vita, se invece paghi non ti arriva la chiave e ti butti da un ponte lascia stare. ;)

Comunque, quanto meno per adesso, non è proprio possibile recuperare, anche in parte, i file danneggiati? Perchè ho letto che almeno fino a dicembre si riuscivano a recuperare in qualche modo, ma da gennaio il malawere ha aumentato la virulenza e al momento i metodi precedenti non sono percorribili. Si può riuscire a recuperare quanto meno i file più importanti, senza dover sborsare centinaia di euro?

che estensione hanno? se sono i .micro attualmente niente...

... e tutti quelli che ho visto aggiungono una nuova estensione predefinita o casuale, ne esiste qualcuno che non lo fa? Ho scritto 99% solo per questa eventualità ma in realtà non ho riscontri.

accaduto intorno a luglio 2015, su un pc di ditta con cui collaboro
criptati tutti i tipi di files di archivio (una parte del totale perché l'utente dopo un po' spense di brutto)
la richiesta di riscatto la visualizzava solo dal browser, l'utente non si era reso conto ed io stavo per fare una copia di back-up in sincronizzazione: avrei distrutto anche quel back-up sano!:

tutti i file criptati erano assolutamente rimasti con nome ed estensioni (e quindi icone) originali!

per fortuna provai ad aprire un file, beccando uno criptato, e quindi altri, sempre criptati, e allora disco con back-up sano allontanato in un'altra stanza (non si sa mai... :D )
però c'era la massima urgenza di ripartire, quindi controlli, format, copia clonezilla e rimesso bak archivi
ma non li avevo mai visti criptati senza cambiamenti... nella finestra del browser mi sembra si parlasse di cryptolocker, 2048bit, e di circa 2 bitcoin; altra cosa, non c'era nel pc nessuna mail arrivata o aperta in quel frangente con allegati o link che potessero essere la causa dell'infezione

:)

Gentilmente, vorrei sapere: se in un pc infetto ad esempio oggi, la persona non se ne accorge subito e spegne il pc quando ormai è troppo tardi e lo fa senza rimuovere prima l'infezione... cosa accade quando ad esempio il pc lo accende fra due giorni, inserendo una pendrive o hdd esterno? il virus è ancora attivo e può infettare altri dischi/pendrive che si collegano?

e allora disco con back-up sano allontanato in un'altra stanza

:sbonk:

Gentilmente, vorrei sapere: se in un pc infetto ad esempio oggi, la persona non se ne accorge subito e spegne il pc quando ormai è troppo tardi e lo fa senza rimuovere prima l'infezione... cosa accade quando ad esempio il pc lo accende fra due giorni, inserendo una pendrive o hdd esterno? il virus è ancora attivo e può infettare altri dischi/pendrive che si collegano?

perdonami ma che domanda è?:fagiano:
non sai neanche quanto e da cosa è stato infettato, e ti domandi se ci puoi collegare altri drive?
piuttosto isola il pc dalla rete (NON collegare altri dispositivi dato che non sai se l'attacco è finito) cerca di individuare la variante precisa come prima cosa.
Avvia il SO attaccato solo quando puoi farci qualcosa..

:sbonk:
Ti sei mai sentito chiedere "Ma se il pc è infetto, anche le chiavette vicine si infettano?" :asd: Io si, correva l'anno 2003 :sbonk:

salvati i file esternamente su un hdd, oppure anche meglio una immagine totale del sistema.

poi se vuoi dei consigli, compra un nas se hai molti file grandi che giustamente non vuoi perdere (anche per una semplice rottura di un hard disk, non servono i virus), poi se hai pochi file fondamentali ti conviene usare un servizio cloud, tipo googledrive o onedrive, sincronizzazione non automatica ma manuale ogni tot di tempo, ormai la vita è sempre più digitale, i ricordi e i file di lavoro, non pagare riscatti ma investili in soluzioni di sicurezza

Ti ringrazio delle dritte, però quello a cui ti riferisci riguarda la possibilità di archiviare i file in modi diversi dall'hd del computer, ma io in questo momento mi ritrovo con un 30% dei file danneggiati, quindi prima devo trovare un modo per decriptarli, per poi come dici giustamente tu, salvarli in altri dispositivi o utilizzanso una piattaforma come skydrive. Quindi d'accordo, meglio investire su soluzioni di sicurezza piuttosto che pagare riscatti, ma al momento con i file danneggiati devo prima trovare un modo per recuperarli, altrimenti mi ritroverei ad archiviare su altri dispositivi dei file corrotti. Quindi al momento devo assolutamente recuperare i file, ecco perchè chiedevo quale strada fosse percorribilie in questo senso, anche a pagamento, a patto che non siano cifre assurde. Per il futuro adotteremo senz'altro dei metodi alternativi al tenere tutto sull'hd del computer, anche se come dicevo io personalmente ho una copia di tutti o quasi i miei file su una pennina e sul mio portatile, il problema sono gli altri componenti della famiglia che non sempre usano questa accortezza.

dipende da quale versione hai preso...
Dopo 3 giorni che bestemmio l'unica opzione che mi par di capire possa funzionare è scrivere una mail a: alessandro @ nwkcloud.com il quale mi ha risposto dopo 2 ore:
"mi invii 2 pdf o doc o xls (no docx no xlsx)
noi faremo l'analisi e le diremo se e come possiamo aiutarla"

Chiaramente sulla mia nas su 82.000 files non c'era manco un cazzo di pdf o word... ma vebbè.
Dr. web ho compilato il form online con la richiesta ma dopo 3 giorni è ancora ferma li...

Se sti 3-400 euro non ti pesano da morire fossi in te proverei a pagare. Ripeto solo se non ti cambiano la vita, se invece paghi non ti arriva la chiave e ti butti da un ponte lascia stare. ;)

Ciao, ti ringrazio molto per aver raccontato la tua esperienza. I miei file hanno un'estensione .ftmmvsi. Come suggerito facendo una ricerca google, ho compilato anch'io il form su Dr.Web, ma al momento non ho ricevuto alcuna risposta. Ho quindi mandato una mail anche all'indirizzo alessandro @ nwkcloud.com presente su un sito che veniva suggerito su un altro forum, allegando due file .ppt, di Power Point, perchè non sapevo di preciso quale file dovessi appunto allegare, ma spero vadano bene. Ho mandato la mail ieri sera molto tardi, quindi ancora non mi hanno risposto, ma se mi dici che a te hanno risposto dopo 2 ore, sono fiducioso e mi auguro che mi possano rispondere in giornata. Tu cosa pensi di fare a questo punto, pagare? Io speravo di cavarmela con 150-200 euro, se mi dici 3-400 euro la cosa si fa più complessa, anche perchè si rischia di pagare per poi ritrovarsi con nulla in mano. Ci sono esperienze di persone che hanno sborsato la cifra richiesta, ottenendo la relativa chiave di cifratura?

che estensione hanno? se sono i .micro attualmente niente...

Ciao, tutti i file corrotti hanno estensione .ftmmvsi, estensione che non ho riscontrato tra quelle che si trovano leggendo forum e siti. Al momento suppongo quindi che non sia possibile fare nulla, vero? E' una tragedia, perchè si tratta non solo di documenti per studio/lavoro, ma anche di ricordi affettivi, come foto e video. In qualche modo devo assolutamente riuscire a recuperare, altrimenti mi ritroverei ad aver perso un buon 30% di documenti e file di grandissima importanza. Che siano maledetti questi delinquenti, distruggere documenti e ricordi delle persone credo sia la cosa più vile, schifosa e subdola che possa esserci e mi auguro che gli torni indietro al più presto tutto il male fatto. Certo che nel 2016 non si riesca a trovare una soluzione per fermare dei delinquenti che si divertono a distruggere la vita lavorativa e affettiva delle persone, o per recuperare quanto è stato danneggiato, è davvero singolare.

sulla console di trendmicro ho attivato questo intanto
http://i.imgur.com/Ge2xdTi.png

dovrebbe bloccarmi qualsiasi software che cripta.. se dovesse servirmi un software che cripta.. allora lo metterò tra le exception.

accaduto intorno a luglio 2015, su un pc di ditta con cui collaboro
...
tutti i file criptati erano assolutamente rimasti con nome ed estensioni (e quindi icone) originali!
...
nella finestra del browser mi sembra si parlasse di cryptolocker, 2048bit, e di circa 2 bitcoin


Stando a ciò che leggo sul web CryptoLocker è stato sconfitto già nel 2015. La nuova variante di CryptoLocker, TorrentLocker, aggiunge .encrypted ma stando a quello che dici alcune varianti si comportano in modo diverso, confermo il 99%

Ciao, tutti i file corrotti hanno estensione .ftmmvsi, estensione che non ho riscontrato tra quelle che si trovano leggendo forum e siti. Al momento suppongo quindi che non sia possibile fare nulla, vero? E' una tragedia, perchè si tratta non solo di documenti per studio/lavoro, ma anche di ricordi affettivi, come foto e video. In qualche modo devo assolutamente riuscire a recuperare, altrimenti mi ritroverei ad aver perso un buon 30% di documenti e file di grandissima importanza. Che siano maledetti questi delinquenti, distruggere documenti e ricordi delle persone credo sia la cosa più vile, schifosa e subdola che possa esserci e mi auguro che gli torni indietro al più presto tutto il male fatto. Certo che nel 2016 non si riesca a trovare una soluzione per fermare dei delinquenti che si divertono a distruggere la vita lavorativa e affettiva delle persone, o per recuperare quanto è stato danneggiato, è davvero singolare.

ti do ragione ma questo è un altro discorso, su internet non c'è volontà di nessuno di bloccare questi maledetti o di bloccarne altri, è pieno di sistemi di pagamenti non tracciabili, gruppi terroristici che aprono account social indisturbatamente, possibilità per chiunque di accedere al dark-deep web, ecc...

Ciao a tuti,
ma alla fine, l'allegato che formato è???? che estensione reale ha (A parte essere camuffato con .ZIP .PDF od altro!)

E' SOLO un JAVA???? SE NON ho JAVA installato su Windows7 sono al sicuro??
Posso forzare di aprire i .js o .jar con notepad???

Gentilmente, vorrei sapere: se in un pc infetto ad esempio oggi, la persona non se ne accorge subito e spegne il pc quando ormai è troppo tardi e lo fa senza rimuovere prima l'infezione... cosa accade quando ad esempio il pc lo accende fra due giorni, inserendo una pendrive o hdd esterno? il virus è ancora attivo e può infettare altri dischi/pendrive che si collegano?

Il malware rimane attivo finchè non lo togli, non so con certezza però, se collegando un'unità usb esterna in un secondo momento, il malware riinizi la sua crittografia anche sulle nuove unità disponibili, a rigor di logica sembrerebbe di sì, ma poco cambia. :rolleyes:

bye

Ciao,
ieri anche nel mio ufficio abbiamo preso credo una variante di questo virus, in pratica tutti i file del NAS sono stati criptati, in modo diverso dal solito (già ci era capitato circa un anno fa :muro: ) in pratica c'è il file originale (stessa estensione, ma criptato) ed un altro file che oltre al nome originale ha il suffisso .id-1173694163336179-paycrypt@aol.com, ho notato che questi file aggiuntivi hanno dimensioni diverse, in pratica se il file originale è superiore a 193Kb, questo è di 193Kb, se il file originale ha dimensioni minori, questo assume le stesse dimensioni dell'originale...
Altra cosa che non capisco, è che in ufficio abbiamo 5 pc, e nessuno di questi ha file criptati, ma solo il NAS (che ovviamente contiene le cosa più importanti!!)
Se avete idee o suggerimenti su come tentare un decrypt...
Grazie

bye bye

tutti i file criptati erano assolutamente rimasti con nome ed estensioni (e quindi icone) originali!


devono aver letto che x_Master_x controlla le nuove estensioni e hanno deciso di non aggiungere nuove estensioni ma di criptare e basta lasciando il nome e l'estensione originaria :D

però poi quando devono decriptare nel caso in cui uno paghi come fanno a stabilire con sicurezza quali sono i file criptati e quelli no?

decriptano tutti i file con le estensioni che in precedenza sarebbero stati criptate senza verificare?

Ciao a tuti,
ma alla fine, l'allegato che formato è???? che estensione reale ha (A parte essere camuffato con .ZIP .PDF od altro!)

E' SOLO un JAVA???? SE NON ho JAVA installato su Windows7 sono al sicuro??
Posso forzare di aprire i .js o .jar con notepad???

nella mail arrivata a mio padre in gmail e finita in spam l'allegato è zip e dentro c'è il .js che provvede a scaricare il malware e a lanciarlo o meglio provvedeva in quanto il dominio skuawill.com è stato disattivato oltre essere stato inserito nelle blacklist di google e firefox

perdonami ma che domanda è?:fagiano:
non sai neanche quanto e da cosa è stato infettato, e ti domandi se ci puoi collegare altri drive?
piuttosto isola il pc dalla rete (NON collegare altri dispositivi dato che non sai se l'attacco è finito) cerca di individuare la variante precisa come prima cosa.
Avvia il SO attaccato solo quando puoi farci qualcosa..

So come funzionano sto' tipo di ransomware e ci ho avuto già a che fare più di una volta. Ma in quelle situazioni non ho fatto toccare nulla e ho subito eliminato l'infezione. Era più che altro per sapere cosa succedesse precisamente in quella situazione. Perché mi interessa saperlo per un amica avvocato e nello studio in cui lavora stanno messi male in quanto a backup e protezione etc etc...

Mi rendo conto però che dipende dalla variante...

Ciao,
ieri anche nel mio ufficio abbiamo preso credo una variante di questo virus, in pratica tutti i file del NAS sono stati criptati

Che Nas utilizzate, marca e modello?

Era attivo un qualche servizio on-line che lo potrebbe aver compromesso?


bye

Ciao,
ieri anche nel mio ufficio abbiamo preso credo una variante di questo virus, in pratica tutti i file del NAS sono stati criptati, in modo diverso dal solito (già ci era capitato circa un anno fa :muro: ) in pratica c'è il file originale (stessa estensione, ma criptato) ed un altro file che oltre al nome originale ha il suffisso .id-1173694163336179-paycrypt@aol.com, ho notato che questi file aggiuntivi hanno dimensioni diverse, in pratica se il file originale è superiore a 193Kb, questo è di 193Kb, se il file originale ha dimensioni minori, questo assume le stesse dimensioni dell'originale...
Altra cosa che non capisco, è che in ufficio abbiamo 5 pc, e nessuno di questi ha file criptati, ma solo il NAS (che ovviamente contiene le cosa più importanti!!)
Se avete idee o suggerimenti su come tentare un decrypt...
Grazie


bye bye

si trovano informazioni solo su forum russi

Scusate, ma secondo voi una volta che il pc è stato infettato e i file purtroppo criptati, per eliminare il virus basta una scansione con malwarebytes o combifix o bisogna fare procedure più estreme (format ecc)?

si trovano informazioni solo su forum russi
Si ho letto alcuni forum (grazie google!) ma non mi sembrano abbiano soluzioni al momento, ne avevo trovato uno che suggeriva di usare il Panda decrypt, ma non funziona.

@FiorDiLatte
Il NAS è un D-Link DNS320, ed ha accesso ad internet protetto da password, ma come si faceva ad aprire l'eventuale script?!

Cmq stamattina ho scritto all'email paycrypt@aol.com, ora mi hanno risposto!

Hello. If you will pay today or tomorrow - the price will be 1.5 BTC. And if you will pay later - it'll be 3 BTC
Here wallet to pay: 1Hn7BLtvKzCxVrt24A2nMoburn1zvwwa24
If you want any guarantees, send me please two files - one with id and one without id and i'll decrypt it for test


Pay Crypt
paycrypt@aol.com

bye bye

... alcune varianti si comportano in modo diverso, confermo il 99%

d'accordissimo, infatti è stata una eccezione, capitata solo quella volta



...
però poi quando devono decriptare nel caso in cui uno paghi come fanno a stabilire con sicurezza quali sono i file criptati e quelli no?

decriptano tutti i file con le estensioni che in precedenza sarebbero stati criptate senza verificare?

probabilmente sì, ma non hanno per fortuna dovuto pagare quindi non ho risposta certa, e comunque rimane un'eccezione


l'ultimo ".micro" che ho visto prende pure per i fondelli (in inglese):
"... hai 2 soluzioni, la prima sperare nei miracoli, la seconda pagare..." :mad:

:)

Si ho letto alcuni forum (grazie google!) ma non mi sembrano abbiano soluzioni al momento, ne avevo trovato uno che suggeriva di usare il Panda decrypt, ma non funziona.

@FiorDiLatte
Il NAS è un D-Link DNS320, ed ha accesso ad internet protetto da password, ma come si faceva ad aprire l'eventuale script?!

Cmq stamattina ho scritto all'email paycrypt@aol.com, ora mi hanno risposto!

Hello. If you will pay today or tomorrow - the price will be 1.5 BTC. And if you will pay later - it'll be 3 BTC
Here wallet to pay: 1Hn7BLtvKzCxVrt24A2nMoburn1zvwwa24
If you want any guarantees, send me please two files - one with id and one without id and i'll decrypt it for test


Pay Crypt
paycrypt@aol.com

bye bye

503 eurini?

Leggo che ad alcuni di voi sono arrivate le istruzioni dei criminali che spiegano come ottenere la chiave di cifratura, dietro il pagamento di asurde somme di denaro, istruzioni che vengono richieste anche dal sito a cui inviare i 2 file per tentare di decriptarli. Nel mio caso non mi è arrivata alcun file di istruzioni, ma mi era apparsa un'enorme finestra sul desktop che mi invitata a procedere con una fantomatica scansione. Non mi è arrivata alcuna mail di istruzioni e non o trovato neppure file di istruzioni sul computer. A quel punto ho ripristinato la configurazione di sistema a 10 giorni fa e scannerizzato con ComboFix e il virus è stato debellato, lasciandomi però un 30-40% di file corrotti. Affinchè il sito indicato nelle pagine precedenti possa trovare una soluzione per ciascun caso, è assolutamente necessario inviargli, oltre a due file corrotti, anche le informazioni ricevute dai criminali? Io non ho queste informazioni, quindi ho inviato solo i due file. Risponderanno lo stesso, secondo voi?

Scusate, ma secondo voi una volta che il pc è stato infettato e i file purtroppo criptati, per eliminare il virus basta una scansione con malwarebytes o combifix o bisogna fare procedure più estreme (format ecc)?

Io ho effettuato il ripristino della configurazione di sistema al 2 febbraio, successivamente ho scansionato il sistema con ComboFix e infine ho ripulito file temporanei e chiavi di registro erronee con Ccleaner, selezionando, come tipo di cancellazione, quella sicura (lenta) - sovrascritura molto complessa (35 passaggi). Risultato: virus eliminato senza problemi, ma 1/3 dei file su harddisk corrotti, tra cui documenti word, powerpoint, excel, file pdf, immagini degli ultimi 10 anni e via di seguito. Una tragedia, insomma. Io per fortuna copio sempre tutti i miei file personali su una pennina e poi anche sul portatile, ma gli altri componenti della famiglia non hanno questa abitudine e quindi la situazione è grave, essendo stati corrotte anche 1/3 circa di tutte le foto salvate negli ultimi 10 anni almeno. Mi auguro che coloro che si prodigano per distruggere le vite e le professioni di persone ignare la cui unica colpa è quella di aver aperto un allegato, si vedano tornare indietro tutto con gli interessi molto presto.

503 eurini?

domanda niubba: ma la polizia postale non può far nulla co i dati della mail?
magari è già stata fatta.. però danno un numero di conto su cui pagare (ok btc difficilmenti tracciabili) mail di "supporto" e nessuno che riesca a prenderli?
son sicuro che se per sfiga dovessero infettare qualce pc di qualche corpo (finanza, esercito etc) il modo per trovarli vine fuori subito...
cmq spillare 500 euro a botta è un bel andare...:muro:

Hello. If you will pay today or tomorrow - the price will be 1.5 BTC. And if you will pay later - it'll be 3 BTC
Here wallet to pay: 1Hn7BLtvKzCxVrt24A2nMoburn1zvwwa24
If you want any guarantees, send me please two files - one with id and one without id and i'll decrypt it for test
Pay Crypt
paycrypt@aol.com

domanda niubba: ma la polizia postale non può far nulla co i dati della mail?
magari è già stata fatta.. però danno un numero di conto su cui pagare (ok btc difficilmenti tracciabili) mail di "supporto" e nessuno che riesca a prenderli?
son sicuro che se per sfiga dovessero infettare qualce pc di qualche corpo (finanza, esercito etc) il modo per trovarli vine fuori subito...
cmq spillare 500 euro a botta è un bel andare...:muro:
ripeto se nessuno degli enti competenti si muove, o non si vogliono sporcare le mani oppure dietro ci sono interessi troppo grossi.....
perchè è semplicemente impossibile che non si trovi una soluzione

Mi hanno appena risposto dalla mail alessandro@nwkcloud.com, presente sul sito collegato a Dr.Web, che promette di riuscire a decriptare buona parte delle estensioni dei file criptati, dicendomi che per l'estensione presente nel mio caso, cioè .ftmmvs, non esiste al momento alcuna soluzione. Ho chiesto quindi se secondo loro in futuro possa esserci il modo per riuscire a recuperare i file con questa estensione ed eventualmente tra quanto tempo. Mi auguro che riescano a darmi una speranza, perchè altrimenti le conseguenze sono devastanti, considerando il numero di file corrotti.

ripeto se nessuno degli enti competenti si muove, o non si vogliono sporcare le mani oppure dietro ci sono interessi troppo grossi.....
perchè è semplicemente impossibile che non si trovi una soluzione

be su quello non ci piove... resto dell'idea che se fossero bruciati i dati di uno studio legale qualcosa succederebbe...
ma per ora son solo i poveri cristi che ci cascano. (sto ancora aspettando la chiamata dei miei genitori e so che prima o poi succerà anche a loro...):muro:

devono aver letto che x_Master_x controlla le nuove estensioni e hanno deciso di non aggiungere nuove estensioni ma di criptare e basta lasciando il nome e l'estensione originaria :D


E' una variante vecchia, quelli evoluti mettono le estensioni :asd:


però poi quando devono decriptare nel caso in cui uno paghi come fanno a stabilire con sicurezza quali sono i file criptati e quelli no?


Il file viene criptato solo in parte e quindi guardano l'header, hanno sicuramente una "firma" all'interno che gli permette di capire un file infettato da uno non infettato.

Leggo che ad alcuni di voi sono arrivate le istruzioni dei criminali che spiegano come ottenere la chiave di cifratura, dietro il pagamento di asurde somme di denaro, istruzioni che vengono richieste anche dal sito a cui inviare i 2 file per tentare di decriptarli. Nel mio caso non mi è arrivata alcun file di istruzioni, ma mi era apparsa un'enorme finestra sul desktop che mi invitata a procedere con una fantomatica scansione. Non mi è arrivata alcuna mail di istruzioni e non o trovato neppure file di istruzioni sul computer. A quel punto ho ripristinato la configurazione di sistema a 10 giorni fa e scannerizzato con ComboFix e il virus è stato debellato, lasciandomi però un 30-40% di file corrotti. Affinchè il sito indicato nelle pagine precedenti possa trovare una soluzione per ciascun caso, è assolutamente necessario inviargli, oltre a due file corrotti, anche le informazioni ricevute dai criminali? Io non ho queste informazioni, quindi ho inviato solo i due file. Risponderanno lo stesso, secondo voi?

Nel tuo caso ho il dubbio che il malware non abbia completato il lavoro e per questo non hai i classici file di testo con le istruzioni (ogni file criptato di solito è accompagnato dal un file immagine ed uno di testo con le istruzioni, se non sbaglio anche da un collegamento web diretto ultimamente); lo testimonia che tu abbia potuto utilizzare il ripristino: il malware cancella tutti i punti di ripristino e le versioni precedenti dei file.
Insomma nella sfortuna sei stato fortunato.

Poi, riferendomi al post di VitAngelo:
i criminali nelle istruzioni danno il wallet
1Hn7BLtvKzCxVrt24A2nMoburn1zvwwa24
quello che chiedevo io nei precedenti post è: possibile che non si possa intervenire da questo wallet? Anche nell'ipotesi che sia realmente anonimo non può essere chiuso? Immagino che l'autore dell'attacco utilizzi questo wallet o al massimo pochi altri.
Se le autorità inizassero a chiudere i wallet vien da sè che il fenomeno sparirebbe da solo mano a mano non essendoci più convenienza.

Ho letto che tale virus si diffonde principalmente tramite mail. Ora vi chiedo:
1) Si prende anche navigando in altri siti oltre alle mail?
2) Se inavvertitamente si scarica il file/virus e non si avvia, ci si infetta ugualmente?
3) Quindi per essere infettati è sufficiente cliccare sul link, oppure serve cliccare e avviarlo?

Io ho un pc con questo virus ho passato combofix e malwarebytes.
Malwarebytes non a rilevato nulla mentre Combofix si, però nonostante questo all'avvio del pc compare sempre la pagina che indica il metodo di pagamento etc etc., quindi credo che tutto non sia stato eliminato.
Inoltre ho verificato i punti di ripristino e fortunatamente ve ne erano alcuni precedenti l'infezione.
Scelto uno ed effettuato il ripristino, al riavvio tutto è rimasto come prima.
Per quale motivo? Virus ancora presente?

Ho letto che tale virus si diffonde principalmente tramite mail. Ora vi chiedo:
1) Si prende anche navigando in altri siti oltre alle mail?
2) Se inavvertitamente si scarica il file/virus e non si avvia, ci si infetta ugualmente?
3) Quindi per essere infettati è sufficiente cliccare sul link, oppure serve cliccare e avviarlo?

Quello che ho sul pc è stato preso cliccando su un banner di aggiornamento java, almeno così mi è stato detto.

Scusatemi, forse non capisco. Per prendere il virus è sufficiente cliccare su un banner, un link o scaricare il file? Oppure è necessario anche avviare il file scaricato?

Dipende dalle varianti. C'è chi l'ha preso con un Pop-up navigando semplicemente.

Oppure scaricando l'allegato nell'email e aprendolo.

Io ho provato a scaricarmi un allegato, lo scompattato anche, ma non l'ho eseguito e l'infezione non è avvenuta. Oppure ci sono altre varianti sempre tramite email, senza allegato, ma un link da cliccare e in quel caso subito lo si prende.

Cmq ci sono vari metodi...

Nel tuo caso ho il dubbio che il malware non abbia completato il lavoro e per questo non hai i classici file di testo con le istruzioni (ogni file criptato di solito è accompagnato dal un file immagine ed uno di testo con le istruzioni, se non sbaglio anche da un collegamento web diretto ultimamente); lo testimonia che tu abbia potuto utilizzare il ripristino: il malware cancella tutti i punti di ripristino e le versioni precedenti dei file.
Insomma nella sfortuna sei stato fortunato.

Infatti, credo proprio che sia andata così. Io ho subito effettuato il ripristino della configurazione di sistema e la scansione con ComboFix, quindi il malawere è stato eliminato e non ha fortunatamente terminato l'opera, visto che solo il 30-40% dei file sono corrotti.

Nel mio caso inoltre per ciascun file criptato non ho un file immagine ed uno con le istruzioni, ma solo un fil, con icona bianca e con estensione cambiata.

Comunque controllando bene nella cartella documenti, in realtà proprio all'inizio della lista ho due file, uno immagine ed uno di testo, con le istruzioni su come pagare il "riscatto" e cioè:

I tuoi documenti, foto, dati e altri file importanti sono stati criptati
con la crittografia forte e chiave univoca, generati per questo computer.

Chiave privata di decodifica e' memorizzata su un server segreto e nessuno
puo' decifrare i file fino a quando si paga per ottenere la chiave privata.

Se viene visualizzata la finestra principale di Loker, segui le istruzioni sul
loker. Se non visualizzate nulla, sembra che voi o il vostro antivirus abbiate
eliminato il programma loker. Ora avete l'ultima possibilita' di decifrare i file.

Apri http://tmc2ybfqzgkaeilm.onion.cab o http://tmc2ybfqzgkaeilm.tor2web.org nel tuo browser.
Sono porte pubbliche al server segreto.

Se hai problemi con porte, utilizza la connessione diretta:

1. Scaricare Tor Browser dalla http://torproject.org/

2. Nel Browser Tor aprire la http://tmc2ybfqzgkaeilm.onion/.
Si noti che questo server e' disponibile solo tramite Tor Browser.
Riprova tra 1 ora se il sito non è raggiungibile.

Copia e incolla la seguente chiave pubblica nel form di ingresso sul server.
7KWAZ6B-EEY46R2-I5GSLBH-UWRUERL-WAUCYXR-ZKW7HTI-65K67ZO-RM4XFQR
27FD3C6-Y7GFGXN-IMKNNCM-HDR3CP5-7NY63JM-JER6WAV-M5L5GEZ-CWPIIEJ
ATPFYCF-S2RHGM6-YL6IUOG-YATSD5H-TDCHPEA-2LAQICA-WJQGPNC-GJWBVR4

Segui le istruzioni sul server.

Comunque secondo voi, anche per le estensioni a 7 lettere come nel mio caso, tra un mese, 6 mesi, un anno, si riuscirà prima o poi a decriptare questi file? E se sarà possibile, dovremmo rassegnarci al fatto di dover pagare centinaia di euro, oppure in futuro sarà possibile farlo anche gratuitamente? Da quello che leggo, nel caso di file criptati dal malawere Cryptolocker, in circolazione dal 2013, al momento è possibile recuperarli, anche se nell'immediato non era possibile farlo. Quindi si presuppone che prima o poi si dovrebbero riuscire a recuperare anche i file criptati dal più recente CTB-Locker, o sbaglio?

Comunque se si invia una mail all'indirizzo alessandro@nwkcloud.com, collegato a Dr.Web, risponde personalmente il responsabile, alessandro appunto, che nel mio caso ha detto che attualmente non è possibile decriptare file con quella estensione, ma che in futuro conta di riuscirci. Visto che risponde personalmente e che si dimostra disponibile a rispondere alle domande, credo che si tratti di persone piuttosto serie, quindi non penso che spariscano una volta inviato il pagamento e che quindi in futuro, qualora riescano a decriptare i file, pagando una certa cifra si dovrebbe riuscire a recuperare, senza rischiare che dopo aver ricevuto i due file decriptati di prova si effettui il pagamento e spariscano. Insomma, da questo punto di vista credo ci si possa fidare, fermo restando che mi pare di aver capito che si parli di cifre importanti e che quindi tutto debba essere ponderato in base al rapporto costi-benefici.

Ovviamente io non ho alcuna intenzione di pagare...
Quando ci è capitato la volta scorsa con Cryptokey, ci rivolgemmo alla polizia, e ci dissero che al momento non avevano una soluzione per ripristinare i files e che pagando avremmo commesso noi stessi un reato, oltre che, a detta loro, non avremmo mai avuto la chiave di decrypt. Ci invitarono quindi a fare formale denuncia, ma ci avrebbero trattenuto il pc per le dovute analisi... quindi non denunciammo ne pagammo, ma avendo una copia di backup di qualche mese precedente ci siamo arrangiati.
Anche adesso abbiamo un backup, seppure parziale, quindi se non si trovano soluzioni ci toccherà riarrangiarci :(

bye bye

Un ulteriore domanda. Entro quanto tempo ci si accorge che è avvenuta l'infezione? Dal momento dell'apertura del virus fino alla criptazione dei file?

Io ho un pc con questo virus ho passato combofix e malwarebytes.
Malwarebytes non a rilevato nulla mentre Combofix si, però nonostante questo all'avvio del pc compare sempre la pagina che indica il metodo di pagamento etc etc., quindi credo che tutto non sia stato eliminato.
Inoltre ho verificato i punti di ripristino e fortunatamente ve ne erano alcuni precedenti l'infezione.
Scelto uno ed effettuato il ripristino, al riavvio tutto è rimasto come prima.
Per quale motivo? Virus ancora presente?

Nel mio caso, il pc di un conoscente con teslacrypt 3.0, il file era annidato dentro la cartella %AppData% (era un file exe con nome strano) poi, dopo scansioni con malwarebyte e spyhunter (la versione free trova il virus e fa vedere dov'è così si può rimuovere manualmente) ho dovuto rimuovere tutte le migliaia di file help_* che si erano generati dal pc.

Inolte, nella cartella esecuzione automatica dell'utente sono presenti i file txt e html responsabili delle schermate all'avvio del pc. Vanno rimossi manualmente.

Ovviamente ogni file help_* è in una cartella in cui sono stai criptati i file,e come si sa, se dopo una scansione il sistema è instabile, è sempre meglio formattare.

Nel mio caso fortunatamente il virus non aveva criptato file essenziali per il funzionamento del sistema (win dows 8.1).

Un ulteriore domanda. Entro quanto tempo ci si accorge che è avvenuta l'infezione? Dal momento dell'apertura del virus fino alla criptazione dei file?

In teoria ci si accorge abbastanza in fretta perche l'uso della cpu e della ram schizzano alle stelle e il responsabile è un processo sconosciuto.

Temo che alla comparsa dei primi files .micro sia ormai troppo tardi.

Scusate, ma secondo voi una volta che il pc è stato infettato e i file purtroppo criptati, per eliminare il virus basta una scansione con malwarebytes o combifix o bisogna fare procedure più estreme (format ecc)?

Dipende se il virus ti ha criptato anche alcuni files di sistema tali da renderti instabile il sistema.

Prova: fai la scansione, elimina il virus e vedi se tutto è stabile.

In termini di tempo minuti, ore oppure giorni? Dall'apertura del file ai primi sintomi evidenti?
Vorrei capire i segnali.

In termini di tempo minuti, ore oppure giorni? Dall'apertura del file ai primi sintomi evidenti?
Vorrei capire i segnali.

Penso che una volta aperto il virus ormai è dentro. Quindi la cosa è istantanea.

L'unica se si ha il dubbio è scaricare process explorer che è un task manager avanzato e controllare se c'è qualche processo che non dovrebbe essere.

Appena parte il criptaggio ti accorgi perché il pc si rallenta e il disco fisso lavora a palla.

per chi vuole dare una controllata manualmente dopo aver eseguito i vostri software di rimozione automatica dovete (valido per il teslacrypt 3.0 dei .micro files):

con il software autoruns o da regedit:

andate su: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run e individuate il nome meryHmas, se presente segnatevi il file exe ad esso associato

guardate anche su:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ora scrivete %appdata% da esegui o da una qualsisi cartella nella barra dell'indirizzo e controllate se c'è l'exe precedentemente individuato

qui invece si mettono quei file del riscatto che partono all'avvio:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup (meglio conosciuta come esecuzione automatica)

sempre nel registro il virus crea le seguenti chiavi

HKEY_CURRENT_USER\Software\xxxsys
HKEY_CURRENT_USER\Software\[serie di numeri e lettere casuali] un esempio: 286424401E9182AE

Se dopo aver eseguito la scansione con i vari anti ci sono ancora queste voci naturalmente non è stato individuato, potete rimuovere anche manualmente in modalità provvisoria ma fatelo solo se sapete cosa fate a vostro rischio, non mi assumo responsabilità di eventuali danni

per finire non vi resta che eliminare tutti quei file Help facendo una ricerca in tutto il pc con il nome dei vostri file help

anche una pulizia con ccleaner o simili non fa male

io per non saper ne leggere ne scrivere andrei con un bel formattone

Vi rinnovo la domanda.

Secondo voi, anche per le estensioni di 7 lettere come nel mio caso, tra un mese, 6 mesi, un anno, si riuscirà prima o poi a decriptare questi file? E se sarà possibile, dovremmo rassegnarci al fatto di dover pagare centinaia di euro a chi produce le chiavi di decriptazione, oppure in futuro sarà possibile farlo anche gratuitamente? Da quello che leggo, nel caso di file criptati dal malawere Cryptolocker, in circolazione dal 2013, al momento è possibile recuperarli, anche se nell'immediato non era possibile farlo. Quindi si presuppone che prima o poi si dovrebbero riuscire a recuperare anche i file criptati dal più recente CTB-Locker, o sbaglio?

Nessuno può saperlo con certezza. Possiamo fare solo delle supposizioni. Ma vista la situazione finora, direi che quantomeno è auspicabile una cosa del genere, cioè il recupero, ma almeno all'inizio credo che sicuramente non sia possibile farlo con tool gratis.

Ma come è possibile che dopo aver eseguito un ripristino ad una data sicura il computer sia effettivamente tornato a quella data ma con i file criptati e il virus in funzione ?

Perché il ripristino non ha effetti sui file personali (foto,pdf, word ecc..)

per chi vuole dare una controllata manualmente dopo aver eseguito i vostri software di rimozione automatica dovete (valido per il tesla 3.0 dei micro files):

con il software autoruns o da regedit:

andate su: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run e individuate il nome meryHmas, se presente segnatevi il file exe ad esso associato

guardate anche su:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ora scrivete %appdata% da esegui o da una qualsisi cartella nella barra dell'indirizzo e controllate se c'è l'exe precedentemente individuato

qui invece si mettono quei file del riscatto che partono all'avvio:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup (meglio conosciuta come esecuzione automatica)

sempre nel registro il virus crea le seguenti chiavi

HKEY_CURRENT_USER\Software\xxxsys
HKEY_CURRENT_USER\Software\[serie di numeri e lettere casuali] un esempio: 286424401E9182AE

Se dopo aver eseguito la scansione con i vari anti ci sono ancora queste voci naturalmente non è stato individuato, potete rimuovere anche manualmente in modalità provvisoria ma fatelo solo se sapete cosa fate a vostro rischio, non mi assumo responsabilità di eventuali danni

per finire non vi resta che eliminare tutti quei file Help facendo una ricerca in tutto il pc con il nome dei vostri file help

anche una pulizia con ccleaner o simili non fa male

Le voci indicate non sono presenti, questo dopo aver riportato il pc ad un punto di ripristino anteriore al virus.
Ho anche eliminato tutti i file Help. Teoricamente il vrus non dovrebbe essere presente pero restano i file criptati.

Ripeto, quando si fa un ripristino di sistema, vengono rimosse applicazioni, app, driver, aggiornamenti etc... installati di recente che potrebbero essere la causa di eventuali problemi, ma i file personali non vengono toccati. quindi se al momento (ultima modifica e/o stato) ti ritrovi con i file criptati, anche eseguendo il ripristino, la situazione non cambia.

Io avevo letto che il virus va a cancellare le copie shadow che penso siano i punti di ripristino.
Nel pc in questione non sono cancellate e secondo alcuni pareri letti in giro avrei dovuto facilmente risolvere.
Così non pare invece.

Qualcuno appena si è accorto di aver beccato l'infezione, ha provveduto a spegnere subito il pc e poi successivamente ha fatto un riprisitino. Ma più che altro per cercare di togliere l'infezione o quantomeno limitarne i danni. I dati non li hanno recuperati in quel modo, semmai non si sono criptati tutti grazie al tempestivo intervento, ma per il resto i dati non è possibile recuperarli con un ripristino. O cmq se parliamo dei più recenti ransomware, molte tecniche che potevano funzionare con i precedenti ora, non hanno alcun effetto.

Beninteso sempre il discorso che il ripristino di sistema non tocca i file personali, ma li rimane nel suo ultimo stato/modifica.

Io avevo letto che il virus va a cancellare le copie shadow che penso siano i punti di ripristino.
Nel pc in questione non sono cancellate e secondo alcuni pareri letti in giro avrei dovuto facilmente risolvere.
Così non pare invece.

per vedere se ci sono ancora usa il software shadowexplorer

per vedere se ci sono ancora usa il software shadowexplorer

Ho provato ma chiede una versione di net framework che non si riesce ad installare.
Purtroppo il pc in questione ha problemi anche con windows update.

Ho provato ma chiede una versione di net framework che non si riesce ad installare.
Purtroppo il pc in questione ha problemi anche con windows update.

puoi provare ad attacarlo ad un'altro pc (dovrebbe funzionare sempre il software) ma comunque se si tratta di questi ultimi cryptovirus non c'è nulla da fare perchè cancellano le copie...

ps. per la mia mini guida che ho scritto prima non vale per tutte le versioni di cryptovirus ma solo per chi ha i file criptati .micro.

EDIT: ora che ci penso puoi anche verificare nella proprietà del file alla scheda versioni precedenti

Nessuno può saperlo con certezza. Possiamo fare solo delle supposizioni. Ma vista la situazione finora, direi che quantomeno è auspicabile una cosa del genere, cioè il recupero, ma almeno all'inizio credo che sicuramente non sia possibile farlo con tool gratis.

Ti ringrazio di aver risposto. In effetti immagino che il punto sia proprio questo e cioè che in futuro probabilmente sarà possibile decriptare i file, come è successo per i Malaware più obsoleti, ma difficilmente sarà possibile farlo gratuitamente, almeno subito dopo i primi tentativi di decriptazione. A quel punto tutto dipenderà dai costi che verranno propinati: se si tratterà di 100-150 euro credo che buona parte delle persone saranno disposti a spendere una cifra del genere per recuperare i propri file corrotti, al contrario se si tratterà di 300-400 euro la maggior parte delle persone darà per persi i file, a meno che non si tratti di documenti di vitale importanza dal punto di vista lavorativo o affettivo, perchè francamente la cifra sarebbe eccessiva, considerando poi che in questi casi, prima che il tool diventi gratis, non si avrà mai la certezza di ricevere la soluzione dopo aver fatto il bonifico e il rischio di perdere il denaro è sempre presente.

Ho provato ma chiede una versione di net framework che non si riesce ad installare.
Purtroppo il pc in questione ha problemi anche con windows update.

Ma di che windows stai parlando? ShadowExplorer funziona solo da Win7 in poi. Il teslacrypt3 è abbastanza recente come malware, è possibile che i siti da dove hai preso informazioni non sono aggiornati, e si riferiscono a varianti del TeslaCrypt vecchie.

Le copie shadow sono un conto, i punti di ripristino di sistema sono un altro, quest'ultimi salvano il registro di Windows ed alcuni file importanti al funzionamento del sistema. I ransomware recenti cancellano sì le copie shadow dei tuoi documenti, ma non i punti di ripristino di Windows, perchè se l'OS non è abbastanza stabile Tu non puoi pagare per riavere i tuoi file decryptati. ;)

bye

Ma di che windows stai parlando? ShadowExplorer funziona solo da Win7 in poi. Il teslacrypt3 è abbastanza recente come malware, è possibile che i siti da dove hai preso informazioni non sono aggiornati, e si riferiscono a varianti del TeslaCrypt vecchie.

Le copie shadow sono un conto, i punti di ripristino di sistema sono un altro, quest'ultimi salvano il registro di Windows ed alcuni file importanti al funzionamento del sistema. I ransomware recenti cancellano sì le copie shadow dei tuoi documenti, ma non i punti di ripristino di Windows, perchè se l'OS non è abbastanza stabile Tu non puoi pagare per riavere i tuoi file decryptati. ;)

bye

Esatto! Non se se sia una cosa fatta apposta o una coincidenza ma nell'ultimo periodo ci sono troppi siti che parlano di "soluzioni" e/o "cure" per questi Mw/RW!
Nella maggior parte dei casi sono siti farlocchi che tentano di farti scaricare altri Mw/Rw...Sono scritti malissimo anche se comprensibili,quindi credo siano i primi da evitare...I restanti siti sn "vecchi" come detto sopra..

bloccate questi domini tramite il file host o firewall:

--gutentagmeinliebeff.com--

--blizzbauta.com--

sono siti deposito di tesla crypt

francamente non capisco come google e siti che creano liste di siti di malware non li abbiano ancora messi in blacklist

analisi di due file scaricati dai suddetti siti

https://www.virustotal.com/en/file/25dcf42bbece6a18052b1e677efb3a040e9eaf4dd395c0bad1d6b72767bbf6ae/analysis/1455206669/

https://www.virustotal.com/en/file/25dcf42bbece6a18052b1e677efb3a040e9eaf4dd395c0bad1d6b72767bbf6ae/analysis/1455206669/

non capisco nemmeno perchè su virustotal lo stesso file è riconosciuto da kaspersky mentre su un servizio analogo metascan kaspersky fa cilecca pur avendo l'aggiornamento dlele firme ad oggi

https://www.metascan-online.com/#!/results/file/cdfc00e1a59f4cd6b457f5ac87e37743/regular

https://www.metascan-online.com/#!/results/file/8901d8bc404144c6acf1c822c9dba4a6/regular

fors e dipende dai settaggi di scansione

Ciao,

TGSoft dice sul TeslaCrypt3:

"Per questa particolare varianti di TeslaCrypt 3.0 (.micro) in Vir.IT (dalla versione 8.0.98) è stata implementata la possibilità di carpire la chiave di crittazione durante la fase di attacco del CryptoMalware. Questo permetterà il recupero dei file crittati da TeslaCrypt 3.0 ove Vir.IT abbia catturato la chiave utilizzata.
Per la decrittazione dei file è necessario il supporto tecnico TG Soft attraverso il tool Ninjavir.
Ricordiamo che il TeslaCrypt ad ogni esecuzione del malware utilizza una chiave di crittazione differente. Questo significa che ad ogni riavvio del computer con il malware attivo, al riavvio questo critterà i file con una chiave differente dalla precedente. Ad esempio, se su un computer infetto è stato eseguito il CryptoMalware e successivamente sono stati eseguiti 2 riavvii, i file saranno crittati con 3 chiavi differenti".

Sarebbe opportuno mettere queste info in prima pagina.

bye

Sto facendo qualche modifica alla mia soluzione "home-made" cambiando in parte l'approccio. Per prima cosa creando un database delle estensioni criptate conosciute:
http://i68.tinypic.com/200adk1.png

Già qui c'è un problema perché a nessuno è venuta l'idea di raggrupparle tutte...se ne ho saltata qualcuna e sicuramente è così ditemelo.

Comunque, se viene aggiunta una estensione presente nel database l'utente viene disconnesso in modo forzato automaticamente perchè si tratta sicuramente di un ransomware
http://i64.tinypic.com/2ekurg0.png

Se l'utente prova a fare il login appare una bella schermata nera della morte con un messaggio esplicativo della situazione in caso non ci fosse arrivato prima:
http://i64.tinypic.com/11uba1i.png

Poi rimane sempre tutto nella mani dell'utente. Infatti se l'estensione non presente nel database appare solo una notifica, mezza tagliata su Windows 10 ma non è un problema...
http://i68.tinypic.com/309q7g9.png

Sto facendo qualche modifica alla mia soluzione "home-made"Mitico master, è sempre un piacere leggerti :)

E' molto interessante il tuo approccio, è chiaro che non c'è un rimedio sicuro al 100% ma al momento potrebbe essere davvero efficace. L'unico rischio (non preventivabile, purtroppo) è che in futuro creino una variante che cripta modificando semplicemente il nome (es inserendo _cript) o che lo cripti senza modificarne nome ed estensione, rendendolo quindi indistinguibile ad occhio da uno normale. Tanto a loro basterebbe, una volta ricevuto il pagamento, mandare un software con la tua chiave privata che provi a decriptare "ignorantemente" tutti i files del disco, salvando quelli effettivamente recuperati in un'altra cartella.

Vista l'escalation di infezioni, tra i mille pagliativi :( per i clienti più trogloditi rinomino anche il vssadmin, sperando ovviamente che non esistano varianti che si portano il loro "da casa" :asd:

Sto facendo qualche modifica alla mia soluzione ...

Mitico master...

E' molto interessante il tuo approccio...

+1

L'unico rischio (non preventivabile, purtroppo) è che in futuro creino una variante che cripta modificando semplicemente il nome (es inserendo _cript) o che lo cripti senza modificarne nome ed estensione, rendendolo quindi indistinguibile ad occhio da uno normale

Mi hanno sollevato lo stesso interrogativo qualche pagina fa, Windows permette di monitorare molte cose tra cui la creazione di un file o la semplice rinominazione quindi anche in quel caso sarebbe intercettabile. Se non venisse modificato nome o estensione...sarebbe un bel problema di non facile soluzione.

P.S. Volendo non hanno bisogno dell'eseguibile di vssadmin, ci sono API-COM che operano a livello di sistema. Anche questo non lo puoi preventivare.

Mi hanno sollevato lo stesso interrogativo qualche pagina faPardon, mi dev'essere sfuggito!

P.S. Volendo non hanno bisogno dell'eseguibile di vssadmin, ci sono API-COM che operano a livello di sistema. Anche questo non lo puoi preventivare.Certo infatti li chiamo "pagliativi ignoranti"..però non costa nulla e ci vuole un secondo :asd: Metti che si infettino con uno che usa brutalmente quell'eseguibile e non soluzioni più complesse, limito un pò i danni :)

Se in uno studio in cui ci sono due professionisti che condividono la rete cablata con il router per internet (non so se si può definire lan), ma hanno server e programmi distinti, e uno prende il Cryptolocker, l'infezione si diffonde anche all'altro server?

Qual'è la vostra strategia di difesa contro questo virus? Io faccio minimo 3 backup su supporti differenti e uno non in sede, però non sono tranquillo. Voi come vi siete organizzati?

Se in uno studio in cui ci sono due professionisti che condividono la rete cablata con il router per internet (non so se si può definire lan), ma hanno server e programmi distinti, e uno prende il Cryptolocker, l'infezione si diffonde anche all'altro server?

No, solo se c'è un condivisione di cartelle in scrittura, meglio cmq sempre munirsi di un buon antivirus a pagamento, aumentare la protezione della navigazione con adblockplus, magari navigando con un browser diverso da IE o Edge. ;)

Il primo filtro siamo noi stessi, cmq. ;)


bye

Se non venisse modificato nome o estensione...sarebbe un bel problema di non facile soluzione.


Nel mio caso il file originale non è stato rinominato, ma solo criptato ed in più si è aggiunto un ulteriore file con lo stesso nome e suffisso .id-1173694163336179-paycrypt@aol.com, ma ho letto su altri forum che oltre l'id anche l'email del suffisso non è sempre la stessa

bye bye

Alla fine ho trovato da dove è partita la 'contaminazione' del mio NAS, si tratta di un PC su cui gira un software webserver, che non viene direttamente utilizzato (non ha tastiera, mouse ne video!) come è possibile che abbia preso il virus?! Nessuno da quel pc ha potuto cliccare su email infette o andare su siti infetti... non mi riesco a spiegare come sia potuto accadere! :muro:

bye bye

Vi faccio le seguenti domande x cercare di capire come difendersi da questo virus.
1) In uno studio con 2 professionisti che condividono la stessa rete connessa ad un solo router (solo x internet), ma non x dati o file. Hanno server e programmi diversi. Infatti anche se nella rete visualizzo che c'è un altro PC, non posso accedere (forse x password di accesso). Se un professionista si becca il virus, questo si propaga agli altri?
2) Se un PC ha un amministratore con password e un utente normale sempre con password, l'utente si becca il virus, questo si diffonde all'utente amministratore?
3) Se in un PC ci sono cartelle inaccessibili, alle quali si può accedere con password, il virus si propaga anche a quelle cartelle?
4) Se uso sandbox per internet è una valida soluzione?
5) Quali sono le vostre strategie di difesa?

Nel mio caso il file originale non è stato rinominato, ma solo criptato ed in più si è aggiunto un ulteriore file con lo stesso nome e suffisso .id-1173694163336179-paycrypt@aol.com, ma ho letto su altri forum che oltre l'id anche l'email del suffisso non è sempre la stessa

bye bye

Si ho visto. Per la tua variante l'estensione aggiunta sarebbe .com che è una estensione già riconosciuta da Windows quindi per come adesso il mio programma non verrebbe rilevata. Altre/nuove varianti usano invece .id-NUMERI-nome@email.biz ed in quel caso il .biz verrebbe rilevato.

Alla fine ho trovato da dove è partita la 'contaminazione' del mio NAS, si tratta di un PC su cui gira un software webserver, che non viene direttamente utilizzato (non ha tastiera, mouse ne video!) come è possibile che abbia preso il virus?! Nessuno da quel pc ha potuto cliccare su email infette o andare su siti infetti... non mi riesco a spiegare come sia potuto accadere! :muro:

bye bye

magari c'è qualche falla che viene usata per inviare sperando di beccate gli utenti

Vi faccio le seguenti domande x cercare di capire come difendersi da questo virus.
1) In uno studio con 2 professionisti che condividono la stessa rete connessa ad un solo router (solo x internet), ma non x dati o file. Hanno server e programmi diversi. Infatti anche se nella rete visualizzo che c'è un altro PC, non posso accedere (forse x password di accesso). Se un professionista si becca il virus, questo si propaga agli altri?
2) Se un PC ha un amministratore con password e un utente normale sempre con password, l'utente si becca il virus, questo si diffonde all'utente amministratore?
3) Se in un PC ci sono cartelle inaccessibili, alle quali si può accedere con password, il virus si propaga anche a quelle cartelle?
4) Se uso sandbox per internet è una valida soluzione?
5) Quali sono le vostre strategie di difesa?

1) no
2) dipende dai privilegi concessi: se l'utente può accedere e modificare i file che ti interessano e se non è richiesta un'autenticazione particolare allora si. Altrimenti no.
3) no
4) Direi di si se non lasci vie d'uscita dalla sandbox. Molti utilizzano ambienti virtuali per vedere cosa combini il malware direi che è un'ottima soluzione.
5) E' una cosa variabile che dipende da vari fattori ma essenzialmente: fare backup (possibilmente manuali) giornalieri su unità removibili non perennemente collegate al pc, utilizzare account non amministratore e con privilegi limitati (in poche parole che possa fare solo ciò che gli serve), mettere in chiaro le estensioni dei file per evitare di essere imbrogliati (un exe che appare come un pdf ecc...), buonsenso.
Personalmente ho impostato una policy sulle cartelle e sottocartelle appdata visto che al momento tutti ramsoware agiscono da quella posizione ma ovviamente basterebbe una nuova mutazione che agisca differentemente e non servirebbe a nulla.

In merito al punto 2), quindi se l'utente può accedere e modificare solo alcune cartelle e file, il virus si diffonderebbe solo a quelle e non ad altre a cui non può accedere. Giusto?
Per il punto 1), ero preoccupato perché un mese fa, il professionista con cui condividiamo solo l'accesso ad internet, ha beccato il virus ed io non sono stato toccato. Quindi posso stare tranquillo.
Grazie

Il malware è un programma come tutti gli altri e si comporta quindi come un normale programma: accede a tutto quello a cui può accedere e modifica tutto quello che gli è permesso di modificare.
Non tocca il sistema operativo e le normali funzioni (eccetto quelle che possono far ripristinare i dati criptati) visto che il loro unico scopo e farsi pagare.
Non mi risultano versioni che abbiano bypassato tali limitazioni al momento quindi di base dovrebbe funzionare così.
Ci sono altri utenti decisamente più esperti nel settore e magari un loro parere farà più chiarezza ma la situazione dovrebbe essere questa.

Si sta diffondendo alla velocità della luce...che ne pensate di cryptoPrevent? da www.footishit.com dovremmo concentrarci sulla prevenzione a questo punto...:(

Si sta diffondendo alla velocità della luce...che ne pensate di cryptoPrevent? da www.footishit.com dovremmo concentrarci sulla prevenzione a questo punto...:(

Premesso che il miglior antivirus è il buonsenso dell'utente stesso, cryptoprevent è utile perchè aggiunge una group policy per bloccare l'esecuzione di file .exe in %AppData% e nelle relative sottocartelle, poichè il 95% delle volte il virus risiede in quelle cartelle.

E' l'equivalente di creare delle group policy manualmente ma è utile per chi non ha dimestichezza con gli strumenti avanzati di windows.

Tra l'altro non sono sicuro al 100% che funzioni con le versioni home di windows perché non hanno la parte di gestione delle group policy infatti sul mio pc ad ogni avvio trovo cryptoprevent disattivato secondo me perchè non riesce a creare le policy. Invece sul pc con windows professional lo trovo attivato sempre.

Premesso che il miglior antivirus è il buonsenso dell'utente stesso, cryptoprevent è utile perchè aggiunge una group policy per bloccare l'esecuzione di file .exe in %AppData% e nelle relative sottocartelle, poichè il 95% delle volte il virus risiede in quelle cartelle.

E' l'equivalente di creare delle group policy manualmente ma è utile per chi non ha dimestichezza con gli strumenti avanzati di windows.

Tra l'altro non sono sicuro al 100% che funzioni con le versioni home di windows perché non hanno la parte di gestione delle group policy infatti sul mio pc ad ogni avvio trovo cryptoprevent disattivato secondo me perchè non riesce a creare le policy. Invece sul pc con windows professional lo trovo attivato sempre.

Ottimo...ovvio che la premessa, almeno per le e-mail se non si è certi del mittente...cancellare e soprattutto, non aprire gli allegati!!

Ieri hanno fatto vedere un servizio pure su striscia su questo temibile virus....ovviamente dando informazioni discutibili, magari potevano approfondire un pochetto di più...

Si ho visto. Per la tua variante l'estensione aggiunta sarebbe .com che è una estensione già riconosciuta da Windows quindi per come adesso il mio programma non verrebbe rilevata

Non veniva rilevata, ora sì :O
Ho aggiunto oltre alle varie estensioni anche il monitoraggio dell'intero HDD per i file creati, rinominati, spostati e così via.

[Filename]
001=.id-

http://i65.tinypic.com/2ed8ba8.jpg
Ora posso dire rileva il 99,5% dei ransomware, che brucino maledetti :asd:

in 10 secondi quanti file riesce a criptare?

sempre dagli stessi domini i file col nome 23.exe 25.exe 26.exe 80.exe 85.exe 93.exe 94.exe (scelgono sempre gli stessi nomi ma gli hash cambiano)

https://www.virustotal.com/it/file/a2c80e64735c54f7c68f86cbf387f39836bebadfa13c79508123ae4cd4e00887/analysis/1455385433/

https://www.virustotal.com/it/file/9837e9605ebf7924e1659544eea9d1f44232bb7b5cfbd233be8099d9c5484953/analysis/1455385360/

https://www.virustotal.com/it/file/fb910add8351fffd114644e720e9bf43dc511fa4e6dd648442c2d573cbf4cb15/analysis/1455382869/

https://www.virustotal.com/it/file/f7865edfd2be66e6583d37b7cb1878016b8f079187910a030683c45a88fb348c/analysis/1455385748/

https://www.virustotal.com/it/file/a8a40898b0aeb590712089e970fafe784e4e139b17418abf02bb2541d5501fc6/analysis/1455382950/

https://www.virustotal.com/it/file/e2f0005a5912f5fd3d66c51ecbb84bcad1d74ce4130bd6bea0c6aae2aaf4f242/analysis/1455384963/

https://www.virustotal.com/it/file/42fbc628afe5663ddbb4b862abf2ea13a15e060cf366df37a12dba7390d5cb05/analysis/1455384811/

Domanda difficile a cui non so darti risposta. Devi considerare che quella fase è la seconda. Quando il malware viene rilevato l'utente viene disconnesso subito, anche in questo caso quanto tempo ci vuole a disconnettere dipende dal PC, dai programmi in uso etc. in ogni caso è una disconnessione forzata quindi il tempo più breve possibile. Quella schermata appare se l'utente prova a ri-entrare nel suo account e in linea ipotetica viene eseguito prima di tutto, anche dello stesso explorer quindi ripeto in linea del tutto ipotetica quando vedi quella schermata il malware non dovrebbe essere in esecuzione e/o avviarsi in una fase successiva.

Magari puoi testare in ambiente virtuale per verificare la velocità di infezione. Sarebbe interessante.

Magari puoi testare in ambiente virtuale per verificare la velocità di infezione. Sarebbe interessante.

no meglio in un pc reale messo su all'uopo :D

In VM sarebbe possibile, tralasciando che non si hanno le prestazioni dell'Host, però non ci sono nemmeno i presupposti di un ambiente con i dati "reali" che il malware andrebbe a puntare, collezionare, criptare, il risultato potrebbe non fare testo. Anche se é interessante per verificare quanto sia efficace la contromisura non é un prova che farò in ogni caso.

Molti di quei ransomware controllano se sono eseguiti in vm, rifiutandosi di partire se la rilevano..testano il CPUID hypervisor bit, il Virtual BIOS DMI etc. Secondo me l'unico test abbastanza fedele alla realtà è ghostare un'installazione esistente, riversarla su un pc scollegato da internet e poi infettarsi.

Si sta diffondendo alla velocità della luce...che ne pensate di cryptoPrevent? da www.footishit.com dovremmo concentrarci sulla prevenzione a questo punto...:(

grazie del link :)

la prima "t" è da sostituire con "L", quindi:

http://www.foolishit.com/

è presente anche una versione free

Ho aggiunto un match parziale:

019=.hydracrypt_ID_*
020=.umbrecrypt_ID_*


Per le varianti che usano una parte fissa e una generata casualmente/basato sull'hardware o qualsiasi altra specifica interna hanno. Nello specifico quelle due varianti sono state già sconfitte:
Decrypter for HydraCrypt and UmbreCrypt available (http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/)
La cosa bella è che:

Unfortunately the changes made by the HydraCrypt and UmbreCrypt authors cause up to 15 bytes at the end of the file to be damaged irrecoverably

Quindi c'è pure il rischio, ammesso che l'utente paghi ( non deve, mai ) e ammesso sempre che il distributore fornisca la chiave di decriptazione, di non recuperare dei file.

Io invece sono infetto da

win32: Teslacrypt-w

che ho eliminato da più file con avast.

Solo che adesso mi trovo con tutti i file criptati in .vvv e non trovo una soluzione, montando anche winxp non posso usare shadowexplorer.

Che faccio?

Da quando ho capito, Mac OSX è immune, giusto?
Mi sembra però di aver capito, che in caso di macchina virtuale presente sul OSX, se viene infettata la macchina virtuale, automaticamente anche i file su OSX subiscono la stessa sorte (se presenti in cartelle condivise), giusto?

Sto facendo qualche modifica alla mia soluzione "home-made" cambiando in parte l'approccio. Per prima cosa creando un database delle estensioni criptate conosciute:
http://i68.tinypic.com/200adk1.png

Già qui c'è un problema perché a nessuno è venuta l'idea di raggrupparle tutte...se ne ho saltata qualcuna e sicuramente è così ditemelo.

Comunque, se viene aggiunta una estensione presente nel database l'utente viene disconnesso in modo forzato automaticamente perchè si tratta sicuramente di un ransomware
http://i64.tinypic.com/2ekurg0.png

Se l'utente prova a fare il login appare una bella schermata nera della morte con un messaggio esplicativo della situazione in caso non ci fosse arrivato prima:
http://i64.tinypic.com/11uba1i.png

Poi rimane sempre tutto nella mani dell'utente. Infatti se l'estensione non presente nel database appare solo una notifica, mezza tagliata su Windows 10 ma non è un problema...
http://i68.tinypic.com/309q7g9.png


Ci metterei anche .Crypt0l0cker e .Crypt0locker

Dopo ce lo passi? :sofico:


Domanda: ma se io creo un file .pippo tanto per passare uno zip a un mio conoscente via mail in modo da poterlo aprire sul pc remoto, lui mi spegne il PC?

Domanda: ma se io creo un file .pippo tanto per passare uno zip a un mio conoscente via mail in modo da poterlo aprire sul pc remoto, lui mi spegne il PC?
la risposta sembra essere già contenuta in un passaggio del pensiero che hai quotato,

se viene aggiunta una estensione presente nel database, (allora) l'utente viene disconnesso...

Che faccio?

2 moccoli??

Io invece sono infetto da

win32: Teslacrypt-w

che ho eliminato da più file con avast.

Solo che adesso mi trovo con tutti i file criptati in .vvv e non trovo una soluzione, montando anche winxp non posso usare shadowexplorer.

Che faccio?

Sei molto fortunato, é possibile decriptare i .vvv
Leggi questo post e ti invito a leggere le ultime pagine del thread se hai dubbi:
http://www.hwupgrade.it/forum/showpost.php?p=43234800&postcount=53

omihalcon,
Come ha detto Averell, in quel caso c'é solo una notifica di un file .pippo nel sistema, nulla più. Sul "ce lo passi" neache fosse uno stupefacente vediamo...

EDIT: Non trovo riscontri per le estensioni che hai consigliato, dove le hai viste?

ciao ragazzi,
in merito a questo cavolo di virus io mi ritrovo un pc con file criptati con estensione ".iefprac"

in google non trovo assolutamente nulla ricercando questa estensione.

ho risolto in parte il problema, ho rimosso il virus, recuperato parte dei files con "shadowexplorer" e poi con "panda ransomware" ho comparato un file sano ed uno corrotto e mi ha restituito un codice.

questo codice non so come utilizzarlo, non so che programma usare per decriptare tutti i file

Devi inziare a capire che tipo di variante hai. L'estensione è 7 caratteri generati casualmente, cerca nel PC dei .txt
Probabilmente è CTB Locker e al momento non c'è possibilità di decriptare i file, prova al limite con un software di recupero dati come PhotoRec della suite TestDisk.

si ma il codice che ho trovato come posso utilizzarlo per decriptare i file?
quando accedo a quel pc cerco e salvo il txt
grazie

Di nulla e se vuoi te lo ripeto, dipende dalla variante. Se è CTB Locker come credo non te fai nulla di quella stringa, magari fosse così semplice ma nella maggior parte dei casi non è così.

Di nulla e se vuoi te lo ripeto, dipende dalla variante. Se è CTB Locker come credo non te fai nulla di quella stringa, magari fosse così semplice ma nella maggior parte dei casi non è così.

si è ctb locker, me lo diceva la schermata appena preso il virus.
pensavo che portava a qualche soluzione quel codice...:muro:

Nuova variante del teslacrypt 3.0 che usa l'estensione .mp3

BleepingComputer: http://www.bleepingcomputer.com/news/security/new-teslacrypt-variant-now-uses-the-mp3-extension/

TG Soft: http://www.tgsoft.it/italy/news_archivio.asp?id=695

Ho aggiornato il metodo per adattarsi alle estensioni conosciute come .com di .id-NUMERI_email@india.com e quella nuova .mp3 di TeslaCrypt. Rimosso temporaneamente la verifica del nome perché non la usa nessuno, per ora. Aggiunta la verifica dell'header per colpa di queste varianti:
DMA Locker Strikes Back (https://blog.malwarebytes.org/intelligence/2016/02/dma-locker-strikes-back/)

La lista aggiornata:
http://i64.tinypic.com/2a5kkra.png

Comunque è una impresa starci dietro...troppe varianti con una cadenza quasi quotidiana, assurdo. Molto probabile che lascio perdere.

le case antivirus sono veramente in ritardo

file scaricati dal dominio gutentagmeinliebeff.com tramite wget

ieri il file 23.exe

https://www.virustotal.com/it/file/a2c80e64735c54f7c68f86cbf387f39836bebadfa13c79508123ae4cd4e00887/analysis/1455385433/

oggi

https://www.virustotal.com/it/file/b8f47ab969714d0b1ded92d9b2c84ca096281be626468a463c93b3541e371ad5/analysis/1455537673/

oppure per il file chiamato 25.exe

ieri (ieri solo pochi antivirus lo riconoscevano mentre oggi la lista degli antivirus si è ampliata, infatti cliccando su leggi gli ultimi noterete un numero maggiore di riconoscimenti)

https://www.virustotal.com/it/file/9837e9605ebf7924e1659544eea9d1f44232bb7b5cfbd233be8099d9c5484953/analysis/1455385360/

oggi

https://www.virustotal.com/it/file/9e4438ab454c5bc64e2b437287ddd2f03a165742ce75650f6c1844de2de47ed8/analysis/1455537892/

gli hash cambiano come potete notare e anche le dimensioni mi sembra

Sto facendo qualche modifica alla mia soluzione "home-made" cambiando in parte l'approccio. Per prima cosa creando un database delle estensioni criptate conosciute:


Già qui c'è un problema perché a nessuno è venuta l'idea di raggrupparle tutte...se ne ho saltata qualcuna e sicuramente è così ditemelo.

Comunque, se viene aggiunta una estensione presente nel database l'utente viene disconnesso in modo forzato automaticamente perchè si tratta sicuramente di un ransomware

Se l'utente prova a fare il login appare una bella schermata nera della morte con un messaggio esplicativo della situazione in caso non ci fosse arrivato prima:

Poi rimane sempre tutto nella mani dell'utente. Infatti se l'estensione non presente nel database appare solo una notifica, mezza tagliata su Windows 10 ma non è un problema...


@x_Master_x scusami, ma come fai a fare l'analisi delle estensioni , il logout e il blocco dell'account con messaggio? :eek:

master ma se qualcuno crea un file mp3 legittimo che succede?

voglio dire con il tuo metodo la sconnessione forzata accade solo quando ad un file viene aggiunta una estensione in più o semplicemente quando viene creato un file con quella estensione?

se l'utente copia un file canzone.mp3 parte la disconnessione? o succede solo con documento.doc.mp3?

scusate se sono cose già chieste ma vorrei capire un pò la situazione visto che questo ransomware (e le sue varianti) con il tempo invece di scemare a "cattiveria" aumenta; quello che vorrei capire è se c'è una sorta di lista delle cose da non fare per stare "tranquilli", perchè c'è gente che dice di averlo preso da pc in stand by e la cosa mi pare assurda.
Per ora su due pc che a casa abbiamo con Windows (7 il muletto, 10 il pc gaming) non è mai capitato nulla, e le precauzioni che usiamo sono queste:

DNS "sicuri" impostati sul router
Non apriamo link o allegati da e-mail, qualunque essi siano
Non visitiamo siti porno o di file sharing
adblock su tutti i browser
Non usiamo emule e affini
Non installiamo software senza fonti certe di affidabilità
Non scambiamo file tramite pendrive usb (diciamo che in questo caso non si è mai verificata la necessità e in ogni caso sarebbero controllate più volte)

Ora, viste queste precauzioni cos'altro potrebbe creare scompiglio?

La 'lista della spesa' elencata poc'anzi va integrata con la sola raccomandazione di tenere aggiornati i software più 'sensibili' (browser in primo luogo).

A quel punto, la probabilità di rimanere vittima di una delle numerose incarnazioni di questa famiglia di malware è praticamente trascurabile (ma non inesistente perchè resterebbe aperta un'ulteriore strada di infezione che io chiamo 'strada involontaria' in quanto indotta da una pressione esterna: un exploit)

@x_Master_x scusami, ma come fai a fare l'analisi delle estensioni , il logout e il blocco dell'account con messaggio? :eek:

Si chiama "programmare" non è il mio campo ma credo sia la parola giusta :asd:
Non ho capito la domanda

master ma se qualcuno crea un file mp3 legittimo che succede?
...
se l'utente copia un file canzone.mp3 parte la disconnessione? o succede solo con documento.doc.mp3?

Non a caso è una sezione a parte che si chiama DoubleExts cioè viene rilevato solo se .mp3 è preceduto da un'altra estensione qualsiasi a differenza delle altre sconosciute. Se ipoteticamente il malware rinominasse il file canzone.mp3 non verrebbe rilevato, bisognerebbe guardare se nell'header come nel caso di DMA Locker ci sia una stringa "generica", una firma che il malware appone nel file per differenziare i file infetti da quelli puliti

le raccomandazioni generiche per evitare i virus vanno bene per tutti i virus perchè vanno a diminuire la possibilità che un malware venga eseguito anche se non possono escluderla al 100%

ma per i ransomware l'unica vera difesa è il backup dei dati importanti misura che vale anche contro i guasti del disco fisso o altre tipologia di perdite di dati (cancellazione involontarie, sovrascrittura eccetera)

è l'unico modo per non sottostare al ricatto e non perdere i dati allo stesso tempo

c'è anche una considerazione da fare questo tipo di ricatti è stata resa possibile dalla nascita delle criptovalute che hanno reso semplice per il ricattatore ottenere il riscatto senza dover fisicamente raccogliere il denaro

se si diffonderà l'uso delle criptovalute vedremo anche richieste di riscatto per persone, animali, automobili, pagamenti di pizzo tramite bitcoin

già avvengono acquisti di droga, armi, pagamenti di sicari tramite bitcoin

sul sito deposito dei malware i file pur mantenendo lo stesso nome cambiano velocemente

https://www.virustotal.com/it/file/3941bda45a89a89f77ef6fc4b4a6397622528e506a20a05cb167707d4b5f1c4d/analysis/1455543938/

https://www.virustotal.com/it/file/a0870dfdaeb889d4285f4bba81fe5bd4fc76bcd0ceb3925d39c65298da5e4bda/analysis/1455543630/

notate che sono sempre gli stessi e pochi antivirus che li riconoscono

le raccomandazioni generiche per evitare i virus vanno bene per tutti i virus perchè vanno a diminuire la possibilità che un malware venga eseguito anche se non possono escluderla al 100%

ma per i ransomware l'unica vera difesa è il backup dei dati importanti misura che vale anche contro i guasti del disco fisso o altre tipologia di perdite di dati (cancellazione involontarie, sovrascrittura eccetera)

è l'unico modo per non sottostare al ricatto e non perdere i dati allo stesso tempo

c'è anche una considerazione da fare questo tipo di ricatti è stata resa possibile dalla nascita delle criptovalute che hanno reso semplice per il ricattatore ottenere il riscatto senza dover fisicamente raccogliere il denaro

se si diffonderà l'uso delle criptovalute vedremo anche richieste di riscatto per persone, animali, automobili, pagamenti di pizzo tramite bitcoin

già avvengono acquisti di droga, armi, pagamenti di sicari tramite bitcoin
si è vero, ho anche dimenticato di inserire il backup tra le misure di prevenzione. L'hdd con i backup importanti ce l'ho nel pc ma è staccato :D

edit: altra domanda, Linux è esente da questa problematica giusto? Perchè un'altra via per le persone che usano Windows per giocare/intrattenimento ma che usano anche Linux (nel mio caso Mint Cinnamon) potrebbe essere escludere l'uso di browser web su Windows prediligendo Linux per questo aspetto, lasciando a Win solo i client da gioco o i programmi imprescindibili che su Linux non ci sono. E' una soluzione un pò estrema ma nel mio caso è totalmente praticabile

Si chiama "programmare" non è il mio campo ma credo sia la parola giusta :asd:
Non ho capito la domanda



si, beh... niente se non è il tuo campo non puoi rispondermi.. credevo avessi costruito tu un programma che fa quelle operazioni.

sob

L'ho fatto io e ripeto non ho capito la domanda e cosa vuoi sapere :D

L'ho fatto io e ripeto non ho capito la domanda e cosa vuoi sapere :D

vuole sapere come fai?

hai creato un programma per fare ciò? con che linguaggio? eccetera

Ciao,
questto "virus" cripta anche file di backup generati attraverso software professionali tipo Acronis?
Mi spiego meglio...sul pc ci sono due hard disk....il software acronis effettua periodicamente un backup dell'intero sistema che salva sul secondo hard disk....il "virus" una volta entrato nel pc rende inservibile anche il file backup generato da acronis?
Grazie.

E' scritto da zero ed usa delle normalissime API implementate in Windows, in che modo vengono implementate dipende dal linguaggio di programmazione che uno conosce ma non posso mettermi a spiegare per filo e per segno come procedere visto che si trova tutto su MSDN. Devo davvero spiegare come fare un logout ( ExitWindowsEx function (https://msdn.microsoft.com/en-us/library/windows/desktop/aa376868(v=vs.85).aspx) ) o come tracciare il registro? ;)

playforum,
Dipende dalla variante, dalle estensioni che riconosce etc. quindi sì c'è una possibilità

Ciao,
questto "virus" cripta anche file di backup generati attraverso software professionali tipo Acronis?
Mi spiego meglio...sul pc ci sono due hard disk....il software acronis effettua periodicamente un backup dell'intero sistema che salva sul secondo hard disk....il "virus" una volta entrato nel pc rende inservibile anche il file backup generato da acronis?
Grazie.

dipende se viene programmato per farlo

acronis che estensione usa per i suoi backup o i suoi file immagine?

se quella estensione rientra tra quelle criptabili il virus cripterà

anche se dubito che si metterebbero a criptare un file immagine di diversi gigabyte

in effetti un modo per ingannare questi virus potrebbe essere anche quella di creare una copia di ogni singolo file dandogli però una estensione che i virus evitano tipo .dll o .exe

ad esempio se hai documento.doc puoi creare una copia documento.exe

ovviamente questo finchè non creeranno una variante che decide quali file criptare non in base all'estensione ma al reale contenuto del file

ma forse non creeranno mai una tale variante se non altro per una questione di economia criminale

un criminale intelligente non commette un'azione se il gioco non vale la candela anche se non tutti i criminali sono intelligenti però

ok, così è più chiaro. thx

Il codice che hai usato è pubblicabile? Per imparare.

per esempio: non riesco a rendermi conto di come fa il programma ad accorgersi che un file è rinominato in .qualcosa...

Come dicevo è tutto su MSDN, vedi Obtaining Directory Change Notifications (https://msdn.microsoft.com/en-gb/library/windows/desktop/aa365261(v=vs.85).aspx)

A proposito di programmazione, ma sarebbe complicato realizzare un applicativo per il backup che facesse:
- Ad una determinata ora ogni tot giorni;
- un cambio IP;
- backup di determinate cartelle di rete sul proprio hd (magari incrementale);
- e al completamento di nuovo un cambio IP.

In modo da tenerlo normalmente staccato dalla rete e solo in fase di backup connesso, per poi subito disconnettersi
Potrei provarci in Python, ma credo ci impiegherei mesi... :mad:

bye bye

Ransomware, decriptati Hydracrypt e Umbracrypt.

Altri due ransomware sono stati sconfitti grazie alla pubblicazione dei codici
sorgente su Pastebin.

:)

io con tesla 3.0 e file criptati con estensione micro ho possibilità??? :muro:

GRAZIE

Salve, sono nuovo del forum e non vorrei sembrare invadente né indurvi a ripetizioni ma ho bisogno di un primo aiuto.
Ieri mi si infetta il pc, antivir mi segnala la presenza del virus ma non lo blocca. Mi accorgo di avere i files criptati solo perché ne ho aperto uno a caso. L'estensione è *encrypted. Di impulso cerco di capire cosa fare, antivir intanto segnala altre infenzioni che rimuove. Installo Norton Power Erase da modalità provvisoria e lo avvio. Ho tutti i files criptati ho già contattato @nwkcloud che mi ha gentilmente risposto in pochi minuti.
Vi chiedo: fare scansione con NPE è stato sufficiente per eliminare cryptolocker? Ho fatto anche scan con antivi e non segnala più presenze malevoli.
I file che hanno lasciato in txt, png, doc che spiegano come pagare che fine devono fare?
Devo manualmente controllare in altre cartelle la presenza di files malevoli?
I tecnici che ho contattato parlano di formattazione e quindi perdita di dati, non ho intenzione di ricorrere a questo rimedio estremo...almeno per il momento e in attesa di risposta.
Ho provato a decriptare sulla pagina indicata dai criminali ma il file pdf risulta comunque danneggiato( quindi un motivo in più per non cedere al ricatto).
In sintesi che devo fare adesso?
Grazie per chi vorrà indicarmi la via da seguire.

nuova versione :

http://www.tgsoft.it/italy/news_archivio.asp?id=696

ragazzi cosa consigliate di usare per togliere il virus e poter copiare i file criptati.
devo per forza formattare ?

devo recuparare il pc di un amico infettato con .micro

ragazzi un'info....
c'è un mio amico, della serie so tutto io.
mi ha riferito che un suo conoscente ha beccato il virus una settimana fà, non so quale variante, e dice che è riuscito a recuperare tutti i files.
attenzione perchè è uno sparaballe micidiale.
è possibile ?, visto il bailamme sul forum credo sia una fesseria.

nel caso di infezione è meglio riavviare/spegnere il pc, oppure lasciarlo acceso per tentare di recuperare le copie shadow oppure utilizzare un software di recupero files ?

nuova versione :

http://www.tgsoft.it/italy/news_archivio.asp?id=696
dovrebbe essere un doc che si apre con un link all'interno, giusto ?
se è cosi bisogna essere proprio sbadati ad aprirlo

Interpellato Dr.Web questa è la loro risposta:

"Unfortunately, decryption is not feasible.

We are unable to decrypt files enciphered by this version of Encoder.761 malware.

Best regards, ___________
technical support department, Doctor Web, Ltd."

Emmò?!

ma di cosa ci si stupisce se:

nel 2016 c'è chi si ostina ad utilizzare ancora XP! (capitolo aziende mi interessa 0 e cmq le ricette esistono anche per quell'ambito)
l'UAC, quando disponibile, viene utilizzato nel migliore dei casi al livello di default (facilmente bypassabile in 8-) se non tenuto spento perchè visto come un disturbo...
si scarica qualsiasi mail (basta che respiri!)
non si fanno backup neppure a cadenza semestrale
non si aggiornano i programmi (Java, Flash in primo luogo e, a cascata, tutto il resto)
si crede che l'antivirus possa sopperire sempre alle deficienze dell'utente...

Ma di che volete ragionare!!!

ma di cosa ci si stupisce se:

nel 2016 c'è chi si ostina ad utilizzare ancora XP! (capitolo aziende mi interessa 0 e cmq le ricette esistono anche per quell'ambito)
l'UAC, quando disponibile, viene utilizzato nel migliore dei casi al livello di default (facilmente bypassabile in 8-) se non tenuto spento perchè visto come un disturbo...
si scarica qualsiasi mail (basta che respiri!)
non si fanno backup neppure a cadenza semestrale
non si aggiornano i programmi (Java, Flash in primo luogo e, a cascata, tutto il resto)
si crede che l'antivirus possa sopperire sempre alle deficienze dell'utente...

Ma di che volete ragionare!!!

ecco allora che prende piede l'unica ricetta possibile:

vi :read: infettate (con contestuale perdita di tutti i dati spesso vitali) = problemi vostri! (elegante mode ON)

E' la volta che poi (forse) farete tesoro dell'esperienza....

emmò? t'attacchi

non avete ancora capito che con le ultime versioni non c'è modo di decrittare senza pagare? e forse non ci sarà nemmeno in futuro tale possibilità

IMPORTANTE CONSIGLIO: usate i dns di norton connect safe per ridurre la possibilità che il pc si colleghi ai domini che ospitano questi virus

i produttori di antivirus sono delle gran teste di m. sempre dallo stesso dominio si scaricano nuove variante dello stesso virus ma con lo stesso nome

https://www.virustotal.com/it/file/a9628049f33c6a2c2148f8a4944b2ef70ce77a2b0f177ac7ef3fd4230cce57a4/analysis/1455647751/

https://www.virustotal.com/it/file/f44d0e55c0e7dcda0c5facd17917e712b5e0833f7f2ef2f8280755424c79a838/analysis/1455647813/

potrebbero tranquillamente inserirle rapidamente nelle loro firme

ragazzi un'info....
c'è un mio amico, della serie so tutto io.
mi ha riferito che un suo conoscente ha beccato il virus una settimana fà, non so quale variante, e dice che è riuscito a recuperare tutti i files.
attenzione perchè è uno sparaballe micidiale.
è possibile ?, visto il bailamme sul forum credo sia una fesseria.


Il problema di base è che questo non è IL virus ma UN virus. Nella ricerca di questi giorni ho contato 67 varianti diverse, non una, non due ma sessantasette! E sono sicuramente di più perché sono escluse dall'elenco quelle con estensione casuali / diffusione minima o che semplicemente non ho trovato visto che non esiste un elenco del genere. Di queste varianti se sei molto fortunato ( della serie ne trovi una di qualche anno fa e con i bug tipici delle prime release ) puoi decriptare i file. Se voi sapere se è una fesseria fatti dire la variante.

P.S. Se ti chiedi come mai sono così tante è perché c'è troppa gente che paga quindi è un sistema redditizio per gli autori, girano tanti soldi.


nel caso di infezione è meglio riavviare/spegnere il pc, oppure lasciarlo acceso per tentare di recuperare le copie shadow oppure utilizzare un software di recupero files?

Spegnere-riavviare il PC direttamente in modalità provvisoria senza rete, Hitman Pro o MBAM ( Malwarebytes Anti-Malware ) per l'eliminazione.
Il ransomware una delle prima cose che fa se non la prima ( dipende dalla variante ) è cancellare le copie shadow e poi procedere al cifratura dei dati. Lasciarlo agire equivale a peggiorare la situazione. Prima cosa controlli se la variante può essere decriptata e in che modo in caso servano dei file presenti sul PC, se no lo elimini e poi provi con un software di recupero come PhotoRec della suite TestDisk e se sul PC ci sono ancora le copie shadow. Conservare comunque i file criptati perchè in futuro non si sa mai anche se è sempre più difficile decriptarli.

Beh, solo se hai il loro antivirus funziona la decriptazione, altrimenti non si può fare nulla:

http://www.tgsoft.it/files/teslacrypt_3.0.mp4

bye

Spegnere-riavviare il PC direttamente in modalità provvisoria senza rete, Hitman Pro o MBAM ( Malwarebytes Anti-Malware ) per l'eliminazione.
Il ransomware una delle prima cose che fa se non la prima ( dipende dalla variante ) è cancellare le copie shadow e poi procedere al cifratura dei dati. Lasciarlo agire equivale a peggiorare la situazione. Prima cosa controlli se la variante può essere decriptata e in che modo in caso servano dei file presenti sul PC, se no lo elimini e poi provi con un software di recupero come PhotoRec della suite TestDisk e se sul PC ci sono ancora le copie shadow. Conservare comunque i file criptati perchè in futuro non si sa mai anche se è sempre più difficile decriptarli.
ma se si riavvia non consente al virus di completare tutta compromissione ?
poi considera che chi si becca il virus se dovesse fare come dici dovrebbe riavviare all'istante prima ancora di accorgersi di averlo preso perchè una volta beccato ormai si è già fritti
concordi ?

Se parliamo di un utente "normale" ed é quello a cui mi riferivo prima se ne accorge quando ormai il malware ha completato l'opera, che spenga il PC o lo riavvia a quel punto non cambia nulla. Se devo rimuovere una infezione preferisco agire dalla modalità provvisoria. Ammesso che se accorga prima perché dovrebbe aspettare che il virus completi l'opera e lasciare acceso il PC? A che pro? Peggiora solo la situazione già compromessa di suo, meglio intervenire il prima possibile.

A questo proposito, se leggi qualche pagina precedente ho fatto l'esempio di un metodo che mi permette di agire nelle primissime fasi dell'infezione in modo da ridurre i danni a minimo, non si sa mai.

quindi una volta infetti meglio spegnere ed andare in modalità provvisoria ?
ma cosi facendo l'hdd non viene scritto alterando i probabili file da recuperare con un software specifico ?

Non é una regola aurea. É la prima volta che sento che spegnere-accendere il PC sovrascrive i cluster di dati cancellati, sempre se il malware effettivamente li cancella e non li edita parzialmente on-the-fly. Comunque di solito i dati se non sono su un HDD diverso come minino sono in una partizione diversa da Windows e lo stesso sistema operativo usa una partizione separata per i file di boot, la famosa "Riservato per il sistema", proprio per evitare problemi.

Un pò di pubblicità negativa sugli infami di Enigma Software quelli di spyhunter per interderci:

http://www.bleepingcomputer.com/announcement/frivolous-lawsuits/help-bleepingcomputer-defend-freedom-of-speech/


bye

Non é una regola aurea. É la prima volta che sento che spegnere-accendere il PC sovrascrive i cluster di dati cancellati, sempre se il malware effettivamente li cancella e non li edita parzialmente on-the-fly.


Sono d'accordo con te, però considera che da Win Vista in poi, se non viene disabilitato, i sistemi operativi M$ usano un defrag automatico che in modo tasparente e "poco doloroso" deframmenta il disco a nostra insaputa, in teoria.


bye

Se qualcuno avesse ancora dei dubbi su quel ruba soldi di spyhunter:

http://www.bleepingcomputer.com/forums/t/550005/spyhunter-vs-malwarebytes-vs-iobit/

leggete bene!!!

quindi in definitiva se ci si infetta conviene spegnere tutto ?

Sì, conviene spegnere tutto, riavviare in provvisoria e rimuovere il malware, poi col calma provare a recuperare i dati cancellati con software specifici (testdisk 7.xx, ecc.).

bye

come lo vedi active@file recovery

Giorno a tutti....Ho appena letto questo articolo,lo condivido con voi più esperti sperando che sia cosa gradita...

http://thehackernews.com/2016/02/decrypt-ransomware-files.html

PS. ma avrò speranze per il recupero di file micro? :confused: :muro:

Nella ricerca di questi giorni ho contato 67 varianti diverse, non una, non due ma sessantasette!
Già..tra l'altro molti sono nati dalle ceneri di altri dopo il leak dei sorgenti, tipo Hydracrypt con Umbrecrypt..un vero bordello.

Riguardo alle estensioni, se ti interessano ne ho trovate altre:

.crypto
.AES256
.darkness
.kraken
.oshit
.kb15
.nochance
.cry
.vault
.exx
.frtrss
.locked

Grazie, qualcuna la conoscevo già ed era nell'elenco, altre no. La lista aggiornata ad oggi, chissà quanti ce ne sono ancora :doh:
http://i66.tinypic.com/308zg4w.png

Già..tra l'altro molti sono nati dalle ceneri di altri dopo il leak dei sorgenti, tipo Hydracrypt con Umbrecrypt..un vero bordello.

Riguardo alle estensioni, se ti interessano ne ho trovate altre:

.crypto
.AES256
.darkness
.kraken
.oshit
.kb15
.nochance
.cry
.vault
.exx
.frtrss
.locked

.vault era usata anche da Titan Quest (gioco tipo diablo) per il passaggio degli oggetti fuori game...:mc:

Riguardo alle estensioni, se ti interessano ne ho trovate altre:

.oshit92 minuti di applausi. :sofico:

I cryptolocker criptano di regola i file con estensione più usati, tipo office immagini archivi, ma se alcuni file non hanno estensioni, criptano anche quelli?

Detto altre volte, dipende sempre dalla variante. Alcuni se non la maggior parte utilizzano una lista di inclusioni per le estensioni ma ho incrociato altri che invece si preoccupano di non criptare cartelle di sistema ( Windows, Program Files etc. ) e file di sistema come .exe .dll etc. ed includono tutto il resto dei file quindi compresi anche quelli senza estensione. L'ultima "nata" .locky si preoccupa anche di mappare le unità di rete che venivano risparmiate dalle altre varianti.

P.S. Allora sono al sicuro se metto i documenti nella directory di Windows? No.

*aLe,
Credo tu gradisca anche l'ironia di .fuck? :D

scusate ma a qualcuno Dr web ha risposto?? io ho aperto il ticket l'8 di febbraio ma ancora non vedo risposte.... che io abbia sbagliato qualcosa?? :confused:

scusate ma a qualcuno Dr web ha risposto?? io ho aperto il ticket l'8 di febbraio ma ancora non vedo risposte.... che io abbia sbagliato qualcosa?? :confused:

Che variante hai Tu?

bye

Ciao a tutti,

anche io purtroppo ho un paio di computer infettati dal ransomware....:muro: , il virus credo sia stato eliminato ma rimangono le tracce e quello che vorrei sapere è come eliminarle.
Vi spiego, alcuni file sono stati criptati ma non mi interessa piu di tanto, quello che vorrei è

eliminare quei messaggi di help che compaiono tra le aperture del browser



[2] eiminare le finestre dei messaggi di help quando apro excel (compaiono anche solo aprendo il programma)



[3] eliminare i collegamenti di help sparpagliati nei menu di windows


i pc sono equipaggiati con windows XP

spero riusciate a darmi una mano, spero che condividere serva anche ad atri...:help:
Vi ringrazio

Ci mancavano i file criptati con estensione .locky

Da qualche giorno sta circolando il CryptoLocky:

TG Soft: http://www.tgsoft.it/italy/news_archivio.asp?id=696
BleepingComputer: http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
Fortinet: http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2

Che variante hai Tu?

bye

l'estensione è .encrypted credo sia o TorrentLocker oppure Crypt0l0cker, esattamente devo ancora capire... :help:

Da qualche giorno sta circolando il CryptoLocky:

...
BleepingComputer: http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
...

rafforza le difese immunitarie della gente per cui ha anche un ruolo sociale...

Scusate devo ancora capire se c'è qualche antivirus o software o azione specifica (tipo abilitare uac ecc...) più performante che riesca ad intercettare / bloccare l' apertura di qualche ransomware e quindi prevenire l'attacco...nello specifico vorrei capire se tra questi che propongo quali sarebbe meglio avere installati (fermo restando che noi siamo i primi a dover ragionare...) :

cryptoprevent
malwerbyte
hitman pro alert o antivirus


avira
bitdefender
avast
kaspersky internet o antivirus


altra cosa so per certo che l'importante è avere una protezione a livello di mail...il 90% di questi attacchi si diffonde durante l'aperura di mail non dovute...

grazie mille

scusate se mi ripeto

anche io purtroppo ho un paio di computer infettati dal ransomware.... , il virus credo sia stato eliminato ma rimangono le tracce e quello che vorrei sapere è come eliminarle.
Vi spiego, alcuni file sono stati criptati ma non mi interessa piu di tanto, quello che vorrei è
[1] eliminare quei messaggi di help che compaiono tra le aperture del browser
[2] elminare le finestre dei messaggi di help quando apro excel (compaiono anche solo aprendo il programma)
[3] eliminare i collegamenti di help sparpagliati nei menu di windows

i pc sono equipaggiati con windows XP

spero riusciate a darmi una mano, spero che condividere serva anche ad atri...
Vi ringrazio

Assicurati di aver ripulito bene le tracce dal registro , resetta il browser se possibile altrimenti occorre semplicemente reimpostare la pagina iniziale.
Se i link di help non sono eccessivi cancellali a mano, i file sparsi nelle varie cartelle necessariamente manualmente invece.
Per office anche un pc che avevo trattato aveva corrotto i programmi in questione e il riavvio del setup per la riparazione non è stato sufficiente: ho disinstallato e reinstallato, è la soluzione più rapida.

@xam4033
oltre alle normali azioni più volte ripetute (limitare i privilegi dell'account e backup manuali giornalieri possibilmente, mostrare le estensioni dei file conosciuti) tra i software da te citati direi:

malawarebytes (utile per ripulire dopo eventuali azioni dannose)

cryptoprevent (si occupa per te di settare le policy di esecuzione degli exe dalle cartelle solitamente usate: è molto efficace e ha una buona gestione e semplice gestione delle whitelist; per darti un'idea dopo che entra in azione non potresti più usare spotify se non lo metti in whitelist)

il resto è a tuo piacere, nel senso che se c'è qualcuno che ecelle nel rilevamento (mail in particolare come sottolinei) è da preferire ma penso che a breve lo faranno tutti vista la rapida escalation del malware e visti i soldini che stanno guadagnando.

ma come va settato cryptoprevent? lascio tutto di default?

Si, sostanzialmente va bene di default.
Tuttavia è buona cosa studiarsi i menù per vedere le varie funzioni in maniera tale da capire come fare.
Questo perchè ci sono diversi software che operano dalle stesse cartelle dei malware (spotify, origin, ecc...) e ti ritroveresti del software non funzionante senza capire perchè!

Scusate devo ancora capire se c'è qualche antivirus o software o azione specifica (tipo abilitare uac ecc...) più performante che riesca ad intercettare / bloccare l' apertura di qualche ransomware e quindi prevenire l'attacco...nello specifico vorrei capire se tra questi che propongo quali sarebbe meglio avere installati (fermo restando che noi siamo i primi a dover ragionare...) :

cryptoprevent
malwerbyte
hitman pro alert o antivirus


avira
bitdefender
avast
kaspersky internet o antivirus


altra cosa so per certo che l'importante è avere una protezione a livello di mail...il 90% di questi attacchi si diffonde durante l'aperura di mail non dovute...

grazie mille

http://www.tgsoft.it/italy/home_ita.asp

leggiti la sezione news ci sono interessanti articoli con linee guida da seguire http://www.tgsoft.it/italy/news_list.asp

Questo nuovo virus Locky dice sul link postato di bleeping che cripta anche condivisioni non mappate. Cioè? Perchè poi un utente chiede se cripta anche le condivisioni nascoste, e la risposta che riceve in questo caso è no.
Dunque cosa si intende per condivisioni non mappate? In cosa differiscono da quelle nascoste? Se sono mappate con lettera di drive ma con password (non memorizzata, bensì da inserire volta per volta) cosa accade?
E con Wi 8 e 10 tende subito a condividere di default il pc con altri nella rete, anche se non significa che setta come condivise specifiche cartelle. Può creare ulteriori problemi nel favorire la diffusione di questi ransmoware in una rete domestica? O non c'entra nulla?

Alcuni estratti da QUI (http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/):

Encrypting data on unmapped network shares is trivial to code and the fact that we saw the recent DMA Locker with this feature and now in Locky, it is safe to say that it is going to become the norm.

Locky will then scan all local drives and unmapped network shares for data files to encrypt.

It is important to stress that Locky will encrypt files on network shares even when they are not mapped to a local drive. As predicted, this is becoming more and more common and all system administrators should lock down all open network shared to the lowest permissions possible.

----

Will it attack hidden shares?


No, it does not.




scusate ma a qualcuno Dr web ha risposto?? io ho aperto il ticket l'8 di febbraio ma ancora non vedo risposte.... che io abbia sbagliato qualcosa?? :confused:

A me si. Ma a dicembre. Ci misero quasi una settimana, se ben ricordo. Dunque sono lenti. Ma mi sembra di capire (da quanto leggo su vari forum, compreso bleeping) che stanno rallentando ancora: probabilmente stanno ricevendo sempre più richieste.

Prova a rivolgerti ai licenziatari italiani (cui comunque Dr web ti dovrebbe rinviare se è possibile risolver eil tuo caso). Loro sono piuttosto veloci.

Interpellato Dr.Web questa è la loro risposta:

"Unfortunately, decryption is not feasible.

We are unable to decrypt files enciphered by this version of Encoder.761 malware.

Best regards, ___________
technical support department, Doctor Web, Ltd."

Emmò?!

Se non intendi pagare, comprati un altro disco e riparti da zero, conservando il disco con i file criptati, nella speranza che un giorno sia possibile decriptarli.


Giorno a tutti....Ho appena letto questo articolo,lo condivido con voi più esperti sperando che sia cosa gradita...

http://thehackernews.com/2016/02/decrypt-ransomware-files.html

PS. ma avrò speranze per il recupero di file micro? :confused: :muro:

.micro = Teslacrypt 3.0 -> al momento non ci sono soluzioni stnando a quanto ho letto su bleeping, anche se leggevo una cosa strana su uno dei 2 siti del licenziatario italiano di Dr web, ovvero che possono decriptare file con una delle estensioni che fa capo a Tesla 3.0 (ma non è la .micro).