da quel che ho letto sull'ultimo CryptoLocky le cose da fare appena ci si accorge che "sè fatta la minchiata" è di:

- staccare la lan proprio brutalmente
- spegnere se necessario pure brutalmente

non riavviare nè pensare di avviare la macchina, in quanto il bastardone crea una nuova chiave ad ogni avvio e continua l'opera di crittazione.

Inoltre per i file originali, non solo la prima cosa che fa è cancellare le copie shadow ma pure sovrascriverli e cancellarli dopo averli criptati

da quel che ho letto sull'ultimo CryptoLocky le cose da fare appena ci si accorge che "sè fatta la minchiata" è di:

- staccare la lan proprio brutalmente
- spegnere se necessario pure brutalmente

non riavviare nè pensare di avviare la macchina, in quanto il bastardone crea una nuova chiave ad ogni avvio e continua l'opera di crittazione.

Inoltre per i file originali, non solo la prima cosa che fa è cancellare le copie shadow ma pure sovrascriverli e cancellarli dopo averli criptati
non vedo una logica trà lo spegnere brutalmente e non riavviare, perchè cha faccio lascio la macchina spenta ?:)
se spengo brutalmente e non riavvio la macchina che faccio, cioè come opero ?
mica la lascio spenta e la guardo:D

A me si. Ma a dicembre. Ci misero quasi una settimana, se ben ricordo. Dunque sono lenti. Ma mi sembra di capire (da quanto leggo su vari forum, compreso bleeping) che stanno rallentando ancora: probabilmente stanno ricevendo sempre più richieste.

Prova a rivolgerti ai licenziatari italiani (cui comunque Dr web ti dovrebbe rinviare se è possibile risolver eil tuo caso). Loro sono piuttosto veloci.

mi son rivolto ai licenziatari italiani, mi ha risposto quasi subito dicendo di inviargli un paio di pdf o di word. il problema mio è che mi ha criptato la nas, e su oltre 80k files non c'ho manco un pdf o un word.... :cry: :mad:

Questo nuovo virus Locky dice sul link postato di bleeping che cripta anche condivisioni non mappate. Cioè? Perchè poi un utente chiede se cripta anche le condivisioni nascoste, e la risposta che riceve in questo caso è no.
Dunque cosa si intende per condivisioni non mappate? In cosa differiscono da quelle nascoste? ....

provo a rispondere io anche se test reali ovviamente non ne ho fatti.

devi partire dal presupposto che il virus opera con i tuoi privilegi utenti ergo sovrascrive solamente dove l'utente ha privilegi di scrittura quindi se hai accesso ad una cartella di rete con password memorizzata sul sistema operativo ma non mappata Locky te la cripta

riguardo alla differenza tra cartelle mappate non mappate e nascoste la differenza è questa
su un nas o un server tu puoi avere N cartelle e condividerne solo una parte , è il classico esempio di un nas con 2 utenti dove ognuno ha la propria cartella privata, dopo l'autenticazione l'utente vedrà la propria cartella (più eventuali cartelle condivise) ma non quelle dell'altro utente e ovviamente il virus non riesce a criptare i dati perchè proprio non le vede

in parole povere Locky oltre a scansionare l'albero delle unità scansione anche le risorse di rete e prova ad agire su ogni cartella che trova su ogni macchina della rete


tl:dr
cartella di rete mappata con permessi RW --> cripta
cartella di rete mappata con permessi R--> non criprata
cartella di rete non mappata con permessi RW--> cripta
cartella di rete non mappata con permessi R--> non cripta
cartella presente sul nas ma a cui l'utente non riesce ad accedere causa autenticazione--> non cripta
cartella di rete presente sul nas ma disponibile solo ad un altro utente --> non cripta

provo a rispondere io anche se test reali ovviamente non ne ho fatti.

devi partire dal presupposto che il virus opera con i tuoi privilegi utenti ergo sovrascrive solamente dove l'utente ha privilegi di scrittura quindi se hai accesso ad una cartella di rete con password memorizzata sul sistema operativo ma non mappata Locky te la cripta

riguardo alla differenza tra cartelle mappate non mappate e nascoste la differenza è questa
su un nas o un server tu puoi avere N cartelle e condividerne solo una parte , è il classico esempio di un nas con 2 utenti dove ognuno ha la propria cartella privata, dopo l'autenticazione l'utente vedrà la propria cartella (più eventuali cartelle condivise) ma non quelle dell'altro utente e ovviamente il virus non riesce a criptare i dati perchè proprio non le vede

in parole povere Locky oltre a scansionare l'albero delle unità scansione anche le risorse di rete e prova ad agire su ogni cartella che trova su ogni macchina della rete


tl:dr
cartella di rete mappata con permessi RW --> cripta
cartella di rete mappata con permessi R--> non criprata
cartella di rete non mappata con permessi RW--> cripta
cartella di rete non mappata con permessi R--> non cripta
cartella presente sul nas ma a cui l'utente non riesce ad accedere causa autenticazione--> non cripta
cartella di rete presente sul nas ma disponibile solo ad un altro utente --> non cripta

quindi bastava che io non impostassi l'autenticazione automatica... :cry: :cry:

mamma bestemmie che sto tirando...

non vedo una logica trà lo spegnere brutalmente e non riavviare, perchè cha faccio lascio la macchina spenta ?:)
se spengo brutalmente e non riavvio la macchina che faccio, cioè come opero ?
mica la lascio spenta e la guardo:D

Serve per minimizzare i danni. Dopo puoi fare il boot con un altro sistema operativo o dalla console di ripristino di Windows per rimuovere il malware.

Per il CryptoLocky è sufficiente la modalità provvisoria, ma ci possono essere altri malware che sono in grado di eseguirsi in questa modalità, quindi non c'e' la sicurezza al 100%.

Il CryptoLocky usa piu' thread (lavora in parallelo) per criptare i dati, quando parte la criptazione è molto veloce a codificare tutti i documenti locali e cartelle di rete "raggiungibili" (mappate e non) dal computer colpito.

Attualmente non mi sembra che ci siano "tool" per recuperare i file .Locky

quindi bastava che io non impostassi l'autenticazione automatica... :cry: :cry:

mamma bestemmie che sto tirando...

quasi esatto
se non imposti l'autenticazione automatica e non hai mai fatto accesso al nas nella sessione di utilizzo del pc quando hai preso l'infezione (con windows una volta autenticato sul nas le credenziali rimangono memorizzate fino al logout)

la soluzione migliore è tenere un backup gestito automaticamente che usi un account diverso da quello normale sul nas e in cui lui solo abbia accesso alla cartella dei backup in scrittura

un pò di storia...e non solo:

CryptowallTracker (https://www.cryptowalltracker.org/) (forse utile ad x_Master_x)

Interessa molto me grazie. Anche se rimango perplesso su una cosa: nell'articolo dà un link con le rilevazioni di virustotal e dice che avira aggiornatoa ottobre 2015 rilevava il malware.
So per certo che non è così: sul pc del mio amico infetto da cryptowall 3.0 c'era avira perfettamente aggiornato e non ha rilevato nulla (a quanto mi ha detto lui perlomeno ma non è uno sciocco), parliamo di un periodo post ottobre.
La rilevazione è avvenuta solo successivamente a infezione ormai avvenuta (e danno fatto) dopo che con malaware bytes avevo disinfestato parte del virus.
Sono un pò perplesso.

mi ricordo di avere letto , o quì o in altro forum che windows 10 era immune o molto più protetto a livello di ransomware.....ma non ricordo precisamente da che lato era più protetto...forse per il discorso delle copie shadows o altro....so solo che si ribadiva il concetto che se avessi avuto Win10 certamente avrei potuto fare qualcosa che con Win7 non è possibile...voi sapete di cosa si tratta? so che era legato a qualcosa del tipo che win 10 è legato alla macchina in cui lavora...ma sinceramente non ricordo più nulla...

e...voi sapete di cosa si tratta?


probabilmente erano deliri da fanboy

mi ricordo di avere letto , o quì o in altro forum che windows 10 era immune o molto più protetto a livello di ransomware.....ma non ricordo precisamente da che lato era più protetto...forse per il discorso delle copie shadows o altro....so solo che si ribadiva il concetto che se avessi avuto Win10 certamente avrei potuto fare qualcosa che con Win7 non è possibile...voi sapete di cosa si tratta? so che era legato a qualcosa del tipo che win 10 è legato alla macchina in cui lavora...ma sinceramente non ricordo più nulla...

ma mi facci il piacere... cit :doh: windows è windows che sia 7, 8, 8.1, 10 etc. se dai l'ok all'exe sei fottuto.:D

mi ricordo di avere letto , o quì o in altro forum che windows 10 era immune o molto più protetto a livello di ransomware.....ma non ricordo precisamente da che lato era più protetto...forse per il discorso delle copie shadows o altro....so solo che si ribadiva il concetto che se avessi avuto Win10 certamente avrei potuto fare qualcosa che con Win7 non è possibile...voi sapete di cosa si tratta? so che era legato a qualcosa del tipo che win 10 è legato alla macchina in cui lavora...ma sinceramente non ricordo più nulla...
probabilmente il ragionamento che hai letto era legato al discorso dello SmartScreen (che abbiano infatti toccato argomenti più 'raffinati' tipo modifiche operate sull'UAC la vedo francamente improbabile) ma anche qui, se si ritiene che un sistema operativo da solo (in questo caso mi riferisco a 10) possa sopperire alle mancanze delle persone...

Cioè, non è che anche se ho 10 e la tecnologia SmartScreen, allora apro a casaccio mail & C...

Anche perchè questi malware fanno semplicemente leva su risorse presenti nel sistema operativo (non portano cioè con sè tecnologie aliene) utilizzandole però con fini 'sovversivi'...


Ecco pertanto che non esisterà 10 o 11 che possa limitare l'uso 'arbitrario' di queste risorse per cui, di nuovo, la palla passa all'omino che sta di fronte alla tastiera (anche se ci sono evidentemente approcci che possono contenere in qualche maniera certi 'comportamenti')...




Piccola integrazione (con 2 immagini): → Windows SmartScreen (https://forum.rainmeter.net/viewtopic.php?t=22606)

lo smartscreen c'è anche in windows 8.1 ed è una evoluzione del blocco dei file provenienti da altro computer

se è impostato per richiedere l'assenso con credenziali di amministratore e tu non le sai OK

ma se di fronte alla richiesta dello smartscreen metti la password il danno è doppio

ma se di fronte alla richiesta dello smartscreen metti la password il danno è doppio

mi sfugge la logica di questo ragionamento ma tant'è

molto interessante perchè prende in considerazione l'ottica della vittima:
Ransomware: a victim perspective (http://www.bitdefender.com/media/materials/white-papers/en/Bitdefender_Ransomware_A_Victim_Perspective.pdf)

fonte (http://www.hwupgrade.it/forum/showthread.php?t=2757593)

Ora vado a leggerne qualche estratto

Salve a tutti,

nelle pagine precedenti ho letto che è stata fatta una sorta di lista con tutte le estensioni note create da questo maledetto CTB-Locker, ma non è stata aggiunta l'estensione presente nel mio caso, ovvero ".ftmmvs". Quindi se chi ha creato gli elenchi delle estensioni potesse inserire anche questa estensione mi farebbe un grosso favore, nella speranza che in futuro si riesca a trovare una soluzione per decriptare i file.

Ho scambiato qualche mail con quell'indirizzo postato alcune pagine indietro, che fa capo ad una persona che dovrebbe lavorare per conto di Dr. Webb, che mi ha tuttavia risposto che al momento per criptazioni a sette lettere come nel mio caso non c'è alcuna soluzione e non è detto che in futuro si riesca a fare qualcosa, dicendo che comunque anche nel caso in cui si riesca a decriptare i file questo avverrà tra molti mesi, forse anni, escludendo che possa avvenire a breve.

Io sono riuscito a recuperare alcune decine di documenti word e pdf di cui avevo fatto copie su penna usb e sul portatile, ma oltre ad aver perso molti altri documenti, ho perso anche centinaia di foto, fortunatamente non tutte, circa un 30-40%, perchè sono riuscito a rimuovere questo maldetto virus dopo pochi minuti dall'infezione. Trattandosi però di foto ricordo degli ultimi 10 anni, alcune delle quali ritraggono momenti molto importanti della nostra famiglia con la presenza di persone che purtroppo non ci sono più e delle quali ci restavano dei bei ricordi fotografici, il fatto di averle perse è motivo di autentica disperazione in famiglia e non posso far altro che augurare ogni male a questi criminali il cui unico obiettivo è quello di distruggere la vita lavorativa e personale della gente a scopo di lucro. Non si augura il male a nessuno? Non mi interessa, perchè distruggere il lavoro e i ricordi privati delle persone è un crimine dei più abominevoli e persone del genere meritano il peggio dalla vita.

Se le foto erano presenti su una sd di una fotocamera puoi provare il procedimento di recupero dati con i software normali per questi casi. So che è difficile sopratutto se hai utilizzato quella sd di continuo ma tentar non nuoce se le foto erano così importanti.

edit

ragazzi non riesco a togliere virus almeno per copiare file .micro
cosa devo usare per rimuoverlo dato che combofix si blocca
oltre ai file micro cosa devo copiare?

ma se collego il pc al mio router rischio di infettare anche altri pc collegati in rete?

:)

non vedo una logica trà lo spegnere brutalmente e non riavviare, perchè cha faccio lascio la macchina spenta ?:)
se spengo brutalmente e non riavvio la macchina che faccio, cioè come opero ?
mica la lascio spenta e la guardo:D

se non spegni ti vengono criptati tutti i file .....

se si riavvia, il virus riprende la criptazione ......... :fagiano:

per il resto ha già risposto betsubara

non vedo una logica trà lo spegnere brutalmente e non riavviare, perchè cha faccio lascio la macchina spenta ?:)
se spengo brutalmente e non riavvio la macchina che faccio, cioè come opero ?
mica la lascio spenta e la guardo:D

Esistono dei tools che partono da cd/dvd/pen drive che ripuliscono il pc infetto, è forse l'unica cosa sensata che si possa fare, invece magari di andare in provvisoria.
Il problema è che quando ci si accorge del danno ormai è troppo tardi..... :rolleyes:


bye

quasi esatto
se non imposti l'autenticazione automatica e non hai mai fatto accesso al nas nella sessione di utilizzo del pc quando hai preso l'infezione (con windows una volta autenticato sul nas le credenziali rimangono memorizzate fino al logout)

la soluzione migliore è tenere un backup gestito automaticamente che usi un account diverso da quello normale sul nas e in cui lui solo abbia accesso alla cartella dei backup in scrittura

A dir la verità la cosa migliore è munirsi di una Nas aggiornato che usi il versioning e dovresti essere al sicuro.

Ognuno penso lo chiami come vuole, Netgear lo chiama snapshot:

http://www.alias.it/scarica/f9ca6b5e12d23f4293ecd752ea030c32/

bye

Al minuto 43' se ne parla:

http://www.rai.tv/dl/RaiTV/programmi/media/ContentItem-e53bd52e-b193-4512-bbd0-3a09b348326c.html

mi sfugge la logica di questo ragionamento ma tant'è

il virus cripta dove ha accesso in scrittura se tu da un utente standard gli dai le credenziali di amministratore ti cripterà tutti gli utenti e non solo il tuo

Fresca di giornata (come l'insalata) anche se non sono sicuro rimandi ad un Ransomware:

http://i64.tinypic.com/2dwgro9.jpg

Che dite, verifico subito? (considerando che non ho un dispositivo Apple o che non ho mai registrato alcun account con loro, che c'è già un'anomalia nel mittente, tale <sales@scribe.com>...per non parlare del fatto che sembra tutto fuorchè una mail mandata da una multinazionale)

dimenticavo di dire che anche Vanna Marchi vendeva cloruro di sodio spacciandolo per oro o surrogato della chemioterapia...


Con tutto l'affetto evidentemente per chi è rimasto fregato dal malware...

ragazzi non riesco a togliere virus almeno per copiare file .micro
cosa devo usare per rimuoverlo dato che combofix si blocca
oltre ai file micro cosa devo copiare?

ma se collego il pc al mio router rischio di infettare anche altri pc collegati in rete?

:)

mi date una dritta su come ripulire il pc per copiare file .micro da recuperare quando sarà possibile

rischio di infettare altri pc collegati alla rete se collego pc infetto alla wifi?

Se accedi alla Lan, credo proprio di sì

Se accedi alla Lan, credo proprio di sì

ho dato una ripulita con virit, combofix e nod e non trova più niente.
ora posso collegarlo alla lan oppure ritorna il virus?

provo a rispondere io anche se test reali ovviamente non ne ho fatti.

devi partire dal presupposto che il virus opera con i tuoi privilegi utenti ergo sovrascrive solamente dove l'utente ha privilegi di scrittura quindi se hai accesso ad una cartella di rete con password memorizzata sul sistema operativo ma non mappata Locky te la cripta

riguardo alla differenza tra cartelle mappate non mappate e nascoste la differenza è questa
su un nas o un server tu puoi avere N cartelle e condividerne solo una parte , è il classico esempio di un nas con 2 utenti dove ognuno ha la propria cartella privata, dopo l'autenticazione l'utente vedrà la propria cartella (più eventuali cartelle condivise) ma non quelle dell'altro utente e ovviamente il virus non riesce a criptare i dati perchè proprio non le vede

in parole povere Locky oltre a scansionare l'albero delle unità scansione anche le risorse di rete e prova ad agire su ogni cartella che trova su ogni macchina della rete


tl:dr
cartella di rete mappata con permessi RW --> cripta
cartella di rete mappata con permessi R--> non criprata
cartella di rete non mappata con permessi RW--> cripta
cartella di rete non mappata con permessi R--> non cripta
cartella presente sul nas ma a cui l'utente non riesce ad accedere causa autenticazione--> non cripta
cartella di rete presente sul nas ma disponibile solo ad un altro utente --> non cripta

Grazie mille per la spiegazione! Ma quindi, per capirci, la cartella privata di un altro utente che io non vedo è una cartella nascosta o non mappata (sul mio pc) quindi? Perchè se come dici tu non la cripta, stando anche a quanto avevo quotato dal forum bleeping dove dicevano che le cartelle non mappate il virus le cripta, ma le nascoste no, allora la cartella privata di un altro utente che io non vedo dovrebbe essere classificata come cartella nascosta (spero di non essermi espresso in modo troppo contorto :) ).
In definitiva una cartella non mappata è una cartella verso cui ho la condivisione/accesso ma che non mi appare in risorse del computer (nel qual caso invece sarebbe una cartella "sharata" ed anche mappata)?

Se invece la cartella non appare in risorse del computer perchè non mappata, ma il mio SO infetto da qualche parte ha scritti i permessi per entrarci (anche se appunto io non la vedo in risorse del computer) perchè è comunque una cartella condivisa, allora questo nuovo ransomware è in grado di criptarmela?
Io pensavo che bastasse che non fosse presente in risorse del computer con una lettera di unità!


quasi esatto
se non imposti l'autenticazione automatica e non hai mai fatto accesso al nas nella sessione di utilizzo del pc quando hai preso l'infezione (con windows una volta autenticato sul nas le credenziali rimangono memorizzate fino al logout)

Cavolo, anche questa è una precisazione non da poco! io pensavo che se era protetta da password e la psw non era memorizzata stavo a posto.



la soluzione migliore è tenere un backup gestito automaticamente che usi un account diverso da quello normale sul nas e in cui lui solo abbia accesso alla cartella dei backup in scrittura

Intendi che il bkp che il pc fa sul nas sia fatto da un utente diverso da quello che uso di solito? O di creare un utente specifico per il solo bkp sul nas?


non vedo una logica trà lo spegnere brutalmente e non riavviare, perchè cha faccio lascio la macchina spenta ?:)
se spengo brutalmente e non riavvio la macchina che faccio, cioè come opero ?
mica la lascio spenta e la guardo:D

Smonti il disco e lo monti come secondario su un altro pc. Anche se non mi è chiaro se in questo caso il software antivirus è in grado di pulire anche il registro di sistema del SO montato sul disco secondario (ovvero il SO non avviato): se n on lo riuscisse a fare, quando si rimonta il disco come principale e si ricarica il SO, il rischio è che si riattivi il virus.


mi son rivolto ai licenziatari italiani, mi ha risposto quasi subito dicendo di inviargli un paio di pdf o di word. il problema mio è che mi ha criptato la nas, e su oltre 80k files non c'ho manco un pdf o un word.... :cry: :mad:

Cavolo, e mò che fai?
Comunque ragionavo sul fatto che con 'sti virus è bene lasciare dei file word pdf con dati non sensibili in qualche cartella specifica sul pc, così in caso di infezione (alcune tipologie di criptovirus possono anche cambiare/criptare il nome dei file, rendendo impossibile identificare se erano file word/pdf) si sa dove andare a prelevare con certezza dei sample da inviare a chi tenterà la decodifica/recupero.

Interessa molto me grazie. Anche se rimango perplesso su una cosa: nell'articolo dà un link con le rilevazioni di virustotal e dice che avira aggiornatoa ottobre 2015 rilevava il malware.
So per certo che non è così: sul pc del mio amico infetto da cryptowall 3.0 c'era avira perfettamente aggiornato e non ha rilevato nulla (a quanto mi ha detto lui perlomeno ma non è uno sciocco), parliamo di un periodo post ottobre.
La rilevazione è avvenuta solo successivamente a infezione ormai avvenuta (e danno fatto) dopo che con malaware bytes avevo disinfestato parte del virus.
Sono un pò perplesso.

Anch'io sono perplesso da quello che scrivi (il link nonl'ho visto, ma dò per buono il tuo commento), visto che a fine novembre ho beccato cryptoocker (torrentlocker) con avira. Ma il fatto è che se lo prendi su internet tramite qualche exploit, le normali protezioni degli AV gratuiti fanno poco. Ora ho Dr web che fra i vari moduli blinda molte situazioni, oltre al normale real time scanner (che fa poco evidentemente in questi casi), ed in più uso Malwarebytes Anti exploit per blindare i plugin a rischio di FF ed IE (io l'ho rpeso tramite qualche oggetto flash compromesso credo).
Ed in più ho disattivato il flash di default (ma questo fa relativamente poco, perchè se lo riattivi sul sito sbagliato.... ZAK! :muro: ), oltre ad aver noscript ed adblock (ma anche questi fanno poco, visto che per naviare sui siti poi devi sempre concedere un tot di permessi, e non puoi sapere dietro quale script si possa celare un possibile exploit.


probabilmente erano deliri da fanboy

Quoto! :D :D


mi date una dritta su come ripulire il pc per copiare file .micro da recuperare quando sarà possibile

rischio di infettare altri pc collegati alla rete se collego pc infetto alla wifi?

Fai una passata con Malwarebytes antimalware: è uno dei più consigliati (ad infezione avvenuta, visto che nella versione gratuita non ha il real time scanner). ;)
Poi puoi sempre collegare il disco come secondario (ovvero non avviare dal SO infetto/ripulito) per fare delle copie dei file. Oppure compra un altro disco e riparti da zero, visto che vuoi (giustamente) mantenere copia dei file cifrati per una futura decodifica.
Quello che personalmente non mi è chiaro è come pulire il settore di boot, visto che il vecchio comando format/ mbr non si usa più sui nuovi SO, e visto che spesso poi i nuovi SO sono installati con stile di partizionamento GPT.
E' l'unica cosa che devo approfondire per quando formattero il mio ssd per reinstallare tutto da zero.

Nelle pagine precedenti ho letto che è stata fatta una sorta di lista con tutte le estensioni note create da questo maledetto CTB-Locker, ma non è stata aggiunta l'estensione presente nel mio caso, ovvero ".ftmmvs". Quindi se chi ha creato gli elenchi delle estensioni potesse inserire anche questa estensione mi farebbe un grosso favore, nella speranza che in futuro si riesca a trovare una soluzione per decriptare i file

Ti ho risposto l'altra volta sulla questione e lo faccio di nuovo. La tua non è una estensione "standard" come .micro .vvv e così via ma è generata casualmente e ha una lunghezza di 6-7 cifre, nel tuo caso è .ftmmvse in un altro PC sarà .abcdefg, in un altro ancora .gfedcba e così via. Non si può aggiungere all'elenco perché essendo generata casualmente ha N combinazioni diverse.

ho dato una ripulita con virit, combofix e nod e non trova più niente.
ora posso collegarlo alla lan oppure ritorna il virus?

Fai 40, passa pure il malwarebytes antimalware.

bye

Grazie mille per la spiegazione! Ma quindi, per capirci, la cartella privata di un altro utente che io non vedo è una cartella nascosta o non mappata (sul mio pc) quindi? Perchè se come dici tu non la cripta, stando anche a quanto avevo quotato dal forum bleeping dove dicevano che le cartelle non mappate il virus le cripta, ma le nascoste no, allora la cartella privata di un altro utente che io non vedo dovrebbe essere classificata come cartella nascosta (spero di non essermi espresso in modo troppo contorto :) ).
In definitiva una cartella non mappata è una cartella verso cui ho la condivisione/accesso ma che non mi appare in risorse del computer (nel qual caso invece sarebbe una cartella "sharata" ed anche mappata)?


esatto. la cartella privata di un altro utente tu non la vedi nelle risorse di rete quindi è nascosta sia a te che ovviamente anche al virus che lavora con i tuoi stessi privilegi


Se invece la cartella non appare in risorse del computer perchè non mappata, ma il mio SO infetto da qualche parte ha scritti i permessi per entrarci (anche se appunto io non la vedo in risorse del computer) perchè è comunque una cartella condivisa, allora questo nuovo ransomware è in grado di criptarmela?
Io pensavo che bastasse che non fosse presente in risorse del computer con una lettera di unità!
questo era vero fino alla settimana scorsa criptoLocky, una nuova versione cripta anche gli share di rete non mappati



Cavolo, anche questa è una precisazione non da poco! io pensavo che se era protetta da password e la psw non era memorizzata stavo a posto.




Intendi che il bkp che il pc fa sul nas sia fatto da un utente diverso da quello che uso di solito? O di creare un utente specifico per il solo bkp sul nas?


intendo che se usi il nas non solo per backup ma anche come cartella condivisa tra gli utenti allora è buona norma che sul nas tu abbia un account dedicato al solo backup dove tu da utente non ci accedi mai ma le credenziali siano memorizzate nel sw di backup che utilizzi così nel caso prendi il virus il backup è salvo



Smonti il disco e lo monti come secondario su un altro pc. Anche se non mi è chiaro se in questo caso il software antivirus è in grado di pulire anche il registro di sistema del SO montato sul disco secondario (ovvero il SO non avviato): se n on lo riuscisse a fare, quando si rimonta il disco come principale e si ricarica il SO, il rischio è che si riattivi il virus.




Cavolo, e mò che fai?
Comunque ragionavo sul fatto che con 'sti virus è bene lasciare dei file word pdf con dati non sensibili in qualche cartella specifica sul pc, così in caso di infezione (alcune tipologie di criptovirus possono anche cambiare/criptare il nome dei file, rendendo impossibile identificare se erano file word/pdf) si sa dove andare a prelevare con certezza dei sample da inviare a chi tenterà la decodifica/recupero.

in rosso

mi date una dritta su come ripulire il pc per copiare file .micro da recuperare quando sarà possibile

rischio di infettare altri pc collegati alla rete se collego pc infetto alla wifi?

io propongo per una soluzione più brutale (e anche più pericolosa ma secondo me garantisce una migliore probabilità di recuperare i file )

io non consiglio di pulire il pc infetto (con la pulizia magari si cancellano file temporanei del virus che in futuro potrebbero essere utili per un eventuale decriptazione )

io farei semplicemente un'immagine completa dell'unità infetta da iso bootabile con uno tra i vari sw di imaging disponibili (io di solito uso reflect ma van bene tutti clonezilla, acronis true image ecc ecc ) e dopo piallerei completamente il disco e procederei alla reinstallazione completa del sistema

Fai 40, passa pure il malwarebytes antimalware.

bye


ora il nod 9 mi riconosce tutti i file help .txt .htlm come virus( quelli che contengono info per il pagamento).

li posso cancellare ( quasi 2 milioni di file) oppure li devo tenere per una futura decriptazione?

http://i67.tinypic.com/1zl6j2f.jpg

http://i67.tinypic.com/1zl6j2f.jpg

magari c'è una grossa sorpresa.... :D

Ragazzi salve, mio amico ha preso il virus e i file da word sono diventati tutti mp3 ovviamente è stato inutile cambiare estensione in Word....c'è soluzione magari amche manualmente? Grazie.

Ragazzi salve, mio amico ha preso il virus e i file da word sono diventati tutti mp3 ovviamente è stato inutile cambiare estensione in Word....c'è soluzione magari amche manualmente? Grazie.

bisogna aspettare
per ora nessuna soluzione

bisogna aspettare
per ora nessuna soluzione


ti ringrazio...

Salve, credo di essere anche io nella stessa situaizone. File doc, pdf, jpg e altri sono diventati tutti mp3.
Ho capito che ad oggi non c'è soluzione. Posso rimuovere il virus e la pagina che si apre dal browser che mi riporta i passi da seguire?
Grazie

Salve, credo di essere anche io nella stessa situaizone. File doc, pdf, jpg e altri sono diventati tutti mp3.
Ho capito che ad oggi non c'è soluzione. Posso rimuovere il virus e la pagina che si apre dal browser che mi riporta i passi da seguire?
Grazie

se non hai intenzione di pagare e vuoi aspettare una futura ma al quanto remota soluzione

se non hai intenzione di pagare e vuoi aspettare una futura ma al quanto remota soluzione
Non è detto che pagando mi rilasciano la chiave giusta.
Sto effettuando una scansione con "avast!", successivamente cercherò di pulire i browser e cancellerò dei file che si sono creati sparsi per l'hd. Cosa potrei fare in più?
Fatto ciò scollegherò l'hd e ne collegherò un altro installando il SO.
Grazie

Non è detto che pagando mi rilasciano la chiave giusta.
Sto effettuando una scansione con "avast!", successivamente cercherò di pulire i browser e cancellerò dei file che si sono creati sparsi per l'hd. Cosa potrei fare in più?
Fatto ciò scollegherò l'hd e ne collegherò un altro installando il SO.
Grazie

Bhè a questo punto salvati i file che ti interessano e formatta l'HD ed il gioco è fatto...per i file salvati si deve aspettare ad una soluzione...avast non ti fa nulla...e come non averlo...

ciao a tutti.....
mi sono beccato un virus su un pc dei miei figli dove ha criptato i file portandoli tutti in .vikzgdg....
onestamente non lo avevo mai sentito ne in rete non se ne parla....

Bhè a questo punto salvati i file che ti interessano e formatta l'HD ed il gioco è fatto...per i file salvati si deve aspettare ad una soluzione...avast non ti fa nulla...e come non averlo...
Dici di salvare solo i file? Io metto tutto l'HD da parte.
Quale antivirus mi consigli? Possibilmente free.
Grazie

ora il nod 9 mi riconosce tutti i file help .txt .htlm come virus( quelli che contengono info per il pagamento).

li posso cancellare ( quasi 2 milioni di file) oppure li devo tenere per una futura decriptazione?

Tu tienli per sicurezza ognuna delle 3 copie e cancella il resto, "dicono" che basti solo i file .micro per una futura decriptazione. ;)


bye

Salve, credo di essere anche io nella stessa situaizone. File doc, pdf, jpg e altri sono diventati tutti mp3.
Ho capito che ad oggi non c'è soluzione. Posso rimuovere il virus e la pagina che si apre dal browser che mi riporta i passi da seguire?
Grazie

Che tipo di file hai aperto e su che @dominio ti è arrivata? Qualche info in più non fa mai male. :rolleyes:

Che antivirus avevi e che OS usi?

bye

Altro software che potrebbe servirci:

http://www.majorgeeks.com/files/details/novirusthanks_registry_guard.html

da provare magari la sua efficacia.


bye

mi ha risposto Dr Web chiedendomi di inviargli anche il file con le istruzioni.
Consiglio a chi si rivolge a loro tramite il form online di allegarglielo già assieme a qualche file criptato.

Ciao,

I teslacrypt precedenti alla versione 3.0 riescono a decriptarli qui:

http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/page-81

quelli con estensione .exx .ezz ed altri.......

Ciao,

Il problema è che un antivirus non può permettersi di fare una scansione ad ogni javascript presente sul pc, sarebbe come scansionare ogni file di testo del pc, per vedere se dentro ci sia qualche comando malevolo. Questi pirati bastardi si approffittano dell'ignoranza o della comune propensione dell'essere umano ad incorrere in un errore, basta un doppio click di troppo per sbagliare, TUTTI possono errare, anche i più esperti, sono i sistemi operativi che sono stupidi, non Noi.

bye

Salve, credo di essere anche io nella stessa situaizone. File doc, pdf, jpg e altri sono diventati tutti mp3.
Ho capito che ad oggi non c'è soluzione. Posso rimuovere il virus e la pagina che si apre dal browser che mi riporta i passi da seguire?
Grazie
Che tipo di file hai aperto e su che @dominio ti è arrivata? Qualche info in più non fa mai male. :rolleyes:
Che antivirus avevi e che OS usi?
bye
Sistema operativo Windows 7, antivirus "avast!"
Email ricevuta su dominio tin.it, client di posta usato "Windows Live Mail". File allegato ".zip".

mi ha risposto Dr Web chiedendomi di inviargli anche il file con le istruzioni.
Consiglio a chi si rivolge a loro tramite il form online di allegarglielo già assieme a qualche file criptato.
Come funziona questo Dr Web?

Inoltre come faccio a capire da quale Locker sono stato colpito?
Grazie

Che estensione hanno i file infetti?


bye

per le estensioni .micro nulla ancora ?

domanda: ma un utente standard in win 10 è abilitato e fà gli aggiornamenti in automatico, oppure devono essere fatti dal lato admin ?

Che estensione hanno i file infetti?


bye

Estensione ".mp3".

Sistema operativo Windows 7, antivirus "avast!"
Email ricevuta su dominio tin.it, client di posta usato "Windows Live Mail". File allegato ".zip".


Come funziona questo Dr Web?

Inoltre come faccio a capire da quale Locker sono stato colpito?
Grazie

Nel file di istruzioni sul pagamento dovrebbe esserci scritto quale versione ti sei preso...
Per Dr. Web compili il form che trovi qui:
https://support.drweb.com/new/free_unlocker/for_decode/?lng=it

gli alleghi qualche file criptato, alleghi il file con le istruzioni e preghi in Dio che ti rispondano che i files possono essere decriptati.
Il passo successivo non lo so, dato che devono ancora sapermi dire dei miei... :D

Stamattina variante con gli .mp3 :rolleyes:

Ciao,

Il problema è che un antivirus non può permettersi di fare una scansione ad ogni javascript presente sul pc, sarebbe come scansionare ogni file di testo del pc, per vedere se dentro ci sia qualche comando malevolo. Questi pirati bastardi si approffittano dell'ignoranza o della comune propensione dell'essere umano ad incorrere in un errore, basta un doppio click di troppo per sbagliare, TUTTI possono errare, anche i più esperti, sono i sistemi operativi che sono stupidi, non Noi.

bye

un antivirus deve scansionare ogni file eseguibile o che contenga istruzioni di tipo macro quando viene creato o alla loro esecuzione

altrimenti che lo tieni a fare?

poi che non riconosca una minaccia è del tutto plausibile, di varianti di virus ne escono a josa perciò nessun antivirus le riconoscerà tutte se non dopo un certo tempo

esiste l'euristica, gli antivirus riconoscono il comportamento malevolo anche se non è presente nelle firme virali quella variante

alcuni antivirus hanno una euristica più sensibile altri meno, alcuni hanno aggiornamenti più frequenti altri meno

detto ciò io non ho mai aperto un eseguibile arrivato per mail di cui non fossi sicuro, non ho mai installato un plugin perchè un sito mi dice che per vedere porcone in calore devo installare tale plugin

nel mio caso il pericolo può venire da eventuali exploit su bug (sistema operativo, plugin, browser) non ancora corretti ma questo riguarda qualsiasi virus non solo quelli che criptano anche se i virus criptanti sono quelli più nocivi dal punto di vista dell'utente in quanto il danno permane anche dopo la loro rimozione

per le estensioni .micro nulla ancora ?

domanda: ma un utente standard in win 10 è abilitato e fà gli aggiornamenti in automatico, oppure devono essere fatti dal lato admin ?

gli aggiornamenti sono automatici e non serve essere admin

ma tu puoi avere tutti gli aggiornamenti installati sistema operativo browser antivirus eccetera ma se esegui anche da utente standard invoice.pdf.js o invoice.doc.exe che ti arriva da un finto DHL ti ritrovi in men che non si dica tutti i documenti criptati

Non è detto che pagando mi rilasciano la chiave giusta.
Sto effettuando una scansione con "avast!", successivamente cercherò di pulire i browser e cancellerò dei file che si sono creati sparsi per l'hd. Cosa potrei fare in più?
Fatto ciò scollegherò l'hd e ne collegherò un altro installando il SO.
Grazie


di sicuro non te la mandano se non paghi :D

detto ciò o ti salvi i file e attendi che venga trovato il modo di decriptare a gratis o paghi e speri che siano corretti mandandoti la chiave

gli aggiornamenti sono automatici e non serve essere admin
e perchè l'aggiornamento di abobe mi ha richiesto di essere admin ?
ma tu puoi avere tutti gli aggiornamenti installati sistema operativo browser antivirus eccetera ma se esegui anche da utente standard invoice.pdf.js o invoice.doc.exe che ti arriva da un finto DHL ti ritrovi in men che non si dica tutti i documenti criptati
lo so

una domanda..
non è ancora successo, ma....


...avendo tutti i files personali su un personal cloud come OneDrive, centinaia, migliaia, tra cartelle e sottocartelle.. e ipotizzando che una variante di questo malware li cripti tutti o in parte...

come si fa a recuperare le versioni precedenti (perchè voglio sperare c'è il versioning attivo) in maniera rapida?

Ho un brutto presentimento che tocchi recuperare ogni singolo files... :(

gli aggiornamenti del sistema operativo l'antivirus vengono fatti da dei servizi che girano con privilegi di admin e quindi puoi usare qualunque account

adobe chi? flash player, acrobat reader altro programma?

gli aggiornamenti del sistema operativo l'antivirus vengono fatti da dei servizi che girano con privilegi di admin e quindi puoi usare qualunque account
ma io stò parlando di un utente standard!
qualche post più hai detto che anche un utente standard può fare gli aggiornamenti di windows.
adobe chi? flash player, acrobat reader altro programma?
reader

ma io stò parlando di un utente standard!
qualche post più hai detto che anche un utente standard può fare gli aggiornamenti di windows.Quelli di Windows sì, se non sbaglio nelle impostazioni di Windows Update c'è la possibilità di scegliere se farli fare a tutti gli utenti (oppure solo a quelli nel gruppo Administrators) e se non sbaglio la possibilità di far fare gli update di Windows a tutti gli utenti è abilitata di default.
Le applicazioni, invece, di solito richiedono che sia un utente del gruppo Administrators ad aggiornarle.

Quelli di Windows sì, se non sbaglio nelle impostazioni di Windows Update c'è la possibilità di scegliere se farli fare a tutti gli utenti (oppure solo a quelli nel gruppo Administrators) e se non sbaglio la possibilità di far fare gli update di Windows a tutti gli utenti è abilitata di default.
Le applicazioni, invece, di solito richiedono che sia un utente del gruppo Administrators ad aggiornarle.
ho win10

ma io stò parlando di un utente standard!
qualche post più hai detto che anche un utente standard può fare gli aggiornamenti di windows.

reader

gli aggiornamenti automatici di windows sono una cosa

i programmi della ADOBE sono un'altra cosa

.

una domanda..
non è ancora successo, ma....


...avendo tutti i files personali su un personal cloud come OneDrive, centinaia, migliaia, tra cartelle e sottocartelle.. e ipotizzando che una variante di questo malware li cripti tutti o in parte...

come si fa a recuperare le versioni precedenti (perchè voglio sperare c'è il versioning attivo) in maniera rapida?

Ho un brutto presentimento che tocchi recuperare ogni singolo files... :(

Se hai le cartelle mappate sul pc si, il malware eventualmente le infetterebbe. Tuttavia credo esista un piccolo trucco: se elimini direttamente da onedrive i file che hai attualmente puoi accedere a onedrive online dove hai il cestino (non mappato su pc e quindi forse verrebbe risparmiata quella cartella) e ripristinare i file eliminati.
Ovviamente fai una prova con un singolo file non importante ma ricordo che c'era questa possibilità.

una domanda..
non è ancora successo, ma....
...avendo tutti i files personali su un personal cloud come OneDrive, centinaia, migliaia, tra cartelle e sottocartelle.. e ipotizzando che una variante di questo malware li cripti tutti o in parte...
come si fa a recuperare le versioni precedenti (perchè voglio sperare c'è il versioning attivo) in maniera rapida?

Ho un brutto presentimento che tocchi recuperare ogni singolo files... :(
Se hai le cartelle mappate sul pc si, il malware eventualmente le infetterebbe. Tuttavia credo esista un piccolo trucco: se elimini direttamente da onedrive i file che hai attualmente puoi accedere a onedrive online dove hai il cestino (non mappato su pc e quindi forse verrebbe risparmiata quella cartella) e ripristinare i file eliminati.
Ovviamente fai una prova con un singolo file non importante ma ricordo che c'era questa possibilità.
Uso Google Drive mappato sul pc. I file sono tutti infettati .

Il mio è un trucco preinfezione, dopo serve a poco.
Tuttavia ci dovrebbe essere un cestino anche in google drive, controlla se nel cestino hai i file originali: di solito il malware effettua la cancellazione degli originali e nel caso del cloud cdovrebbero essere lì.

in rosso

Ok, ora è molto più chiaro, grazie.

Comunque vista l'evoluzione di questi virus, l'unica soluzione di bkp sicura secondo me, per nons aper nè leggere nè scrivere, e per non stare a fare queste raffinate distinzioni tecniche, p quella di fare bkp su 2 dischi esterni diveri alternatamente. E' l'unica veramente sicura a prova di evoluzione tecnologica. E perlomeno (per chi vuole spendere meno ed è già tanto se fa un bkp sporadico ogni 2-6 mesi) comprare almeno un disco esterno x bkp (così si rischierebbe solo se si becca il virus mentre si fa il bkp).

Ti ho risposto l'altra volta sulla questione e lo faccio di nuovo. La tua non è una estensione "standard" come .micro .vvv e così via ma è generata casualmente e ha una lunghezza di 6-7 cifre, nel tuo caso è .ftmmvse in un altro PC sarà .abcdefg, in un altro ancora .gfedcba e così via. Non si può aggiungere all'elenco perché essendo generata casualmente ha N combinazioni diverse.

Se ho ripetuto la domanda mi scuso, ma rileggendo le precedenti pagine del forum non mi pare di aver chiesto di inserire la mia estensione tra quelle già note e di conseguenza, non avendolo chiesto, non ho letto neppure una tua risposta in merito. Quindi è possibile che abbia scambiato il mio messaggio con quello di un altro utente. In caso contrario ti rinnovo le mie scuse per la domanda doppia.

Già che ci sono ne approfitto per una domanda: il fatto che nel mio caso sia stata appunto generata un'estensione casuale rende l'eventuale procedura di decriptazione molto più complessa rispetto ai file criptati in modo standard, qualora in futuro qualcuno riesca a decriptare questi file, oppure nel caso in cui ci si riesca, un'estensione casuale di questo tipo può essere ugualmente decriptata, come quelle standard?

Ti ringrazio!

L'altra volta avevi chiesto se qualcuno conosceva l'estensione perché sul web non trovavi riscontri ma non é un problema. L'estensione é indifferente, é la variante la cosa che conta. Se viene sconfitta la variante che X versione Y che genera estensioni casuali tutti quelli infetti potranno recuperare i file. Tieni conto che sono molte di più le varianti in giro senza soluzione rispetto alle poche che sono state decompilate e con relative falle nella procedura di criptazione dei dati. Quindi mantieni sì una speranza ma molto molto piccola.

una domanda..
non è ancora successo, ma....


...avendo tutti i files personali su un personal cloud come OneDrive, centinaia, migliaia, tra cartelle e sottocartelle.. e ipotizzando che una variante di questo malware li cripti tutti o in parte...

come si fa a recuperare le versioni precedenti (perchè voglio sperare c'è il versioning attivo) in maniera rapida?

Ho un brutto presentimento che tocchi recuperare ogni singolo files... :(


mi sono espresso male.

NON parlo della possibilità di essere infettati, perchè lo sarebbero sicuramente!

Parlo della possibilità di recuperare le versioni precedenti.
Quelle appena prima di essere infettate.

Ma onedrive, googledrive, dropbox, offrono questa possibilità?

L'altra volta avevi chiesto se qualcuno conosceva l'estensione perché sul web non trovavi riscontri ma non é un problema. L'estensione é indifferente, é la variante la cosa che conta. Se viene sconfitta la variante che X versione Y che genera estensioni casuali tutti quelli infetti potranno recuperare i file. Tieni conto che sono molte di più le varianti in giro senza soluzione rispetto alle poche che sono state decompilate e con relative falle nella procedura di criptazione dei dati. Quindi mantieni sì una speranza ma molto molto piccola.

Ti ringrazio di aver risposto. E' vero, avevo chiesto delucidazioni su questa estensione che non avevo riscontrato in nessun altro caso, ma non avevo capito che si trattasse di una decriptazione casuale. Ora la cosa mi è più chiara. Da quello che mi dici, e in base a quanto mi è stato detto dal sito collegato a Dr. Webb, le speranza di recuperare i file sono ridotte davvero al lumicino e questo è motivo di grande dispiacere, visto il materiale non solo lavorativo, che è stata in parte recuperato, ma soprattutto affettivo, di cui non avevamo copie. Comunque, ipotizzando che in un futuro remoto si riesca a decriptare questi file, come faccio a risalire alla variante che nel mio caso ha determinato la criptazione, per capire se i file di questa variante possono essere decriptati? Perchè essendo fortunatamente riuscito ad estirpare il virus prima che criptasse tutti i file, criptandone un 30-40%, non mi è arrivata alcuna mail con le istruzioni. Sono presenti soltanto due file nella cartella documenti, uno in formato immagine ed uno in formato testo, con delle generiche istruzioni, in cui si indicano degli strani indirizzi internet da inserire nel browser, che non ho provato onde evitare ulteriori problemi, una volta aperti i quali avrei dovuto inserire una lunga chiave, costituita da gruppi di 7 numeri e lettere, nel form di ingresso del forum. Ma da queste sommarie informazioni non si riesce a capire quale sia effettivamente la versione che abbia infettato il mio dispositivo, se non che si tratta di CTB-Locker perchè così c'era scritto nella schermata che mi era apparsa sul desktop subito dopo l'infezione.

Ti ringrazio di nuovo per l'aiuto e per completezza inserisco tutto il testo dei due file presenti nella cartella documenti:

I tuoi documenti, foto, dati e altri file importanti sono stati criptati
con la crittografia forte e chiave univoca, generati per questo computer.

Chiave privata di decodifica e' memorizzata su un server segreto e nessuno
puo' decifrare i file fino a quando si paga per ottenere la chiave privata.

Se viene visualizzata la finestra principale di Loker, segui le istruzioni sul
loker. Se non visualizzate nulla, sembra che voi o il vostro antivirus abbiate
eliminato il programma loker. Ora avete l'ultima possibilita' di decifrare i file.

Apri http://tmc2ybfqzgkaeilm.onion.cab o http://tmc2ybfqzgkaeilm.tor2web.org nel tuo browser.
Sono porte pubbliche al server segreto.

Se hai problemi con porte, utilizza la connessione diretta:

1. Scaricare Tor Browser dalla http://torproject.org/

2. Nel Browser Tor aprire la http://tmc2ybfqzgkaeilm.onion/.
Si noti che questo server e' disponibile solo tramite Tor Browser.
Riprova tra 1 ora se il sito non è raggiungibile.

Copia e incolla la seguente chiave pubblica nel form di ingresso sul server.
7KWAZ6B-EEY46R2-I5GSLBH-UWRUERL-WAUCYXR-ZKW7HTI-65K67ZO-RM4XFQR
27FD3C6-Y7GFGXN-IMKNNCM-HDR3CP5-7NY63JM-JER6WAV-M5L5GEZ-CWPIIEJ
ATPFYCF-S2RHGM6-YL6IUOG-YATSD5H-TDCHDTA-SEAQICA-WJQGPNC-GJWBVXX


Segui le istruzioni sul server.

A me sembra proprio CTB-Locker dal contenuto del file di testo ma che non ha finito l'opera...per ora non c'è nulla da fare. Se fosse stato ad esempio Locker si può usare Locker Unlocker (http://api.256file.com/lockerunlocker_v1.0.8.0.exe/en-download-113765.html). L'autore del ransomware ad un certo punto si è "scusato" ed ha rilasciato il codice ma soprattutto tutte le chiavi di decriptazione. L'unica cosa che si deve devi fare è inserire l'indirizzo Bitcoin* e mi raccomando una una cartella di prova con un paio di file dentro

* Dovrebbe essere in questo file da aprire con Blocco Note:
C:\ProgramData\rkcl\data.aa6
La stringa è tipo questa:
2j76Cnq712h2nzZLhQhTs49UnfzytuWby
Altrimenti c'è la funzionalità "Brute BTC" all'interno del programma.

domanda sciocca per trovare un pò di conforto, ma con quale AV vi trovate benino pensando alle minacce cryptolocker?

domanda sciocca per trovare un pò di conforto, ma con quale AV vi trovate benino pensando alle minacce cryptolocker?

Uranium

si la risposta è un pò sciocca ma imho l'unica soluzione efficace è una politica di backup ben fatta

Nod + mbarw

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

Ma onedrive, googledrive, dropbox, offrono questa possibilità?

Dropbox permette il versioning.

Nod + mbarw

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk
nod ?:doh:

Il Nod32 9.xx possibilmente non crackato. ;)

Lo consigliano anche su BleepingComputer:

http://www.bleepingcomputer.com/forums/t/595215/cryptowall-40-help-your-files-ransomware-support-topic/page-15#entry3873236


bye

Il Nod32 9.xx possibilmente non crackato. ;)

Lo consigliano anche su BleepingComputer:

http://www.bleepingcomputer.com/forums/t/595215/cryptowall-40-help-your-files-ransomware-support-topic/page-15#entry3873236


bye
nod meglio di kaspersky internet security ?

mia madre ha beccato l'ultima variante, quella che cripta in .micro. Attualmente nessuna soluzione

ero in teamviewer con lei addirittura ma la connessione era talmente scadente che non capivo granchè. Un file zippato con dentro un .js spedito dalla mail del suo commercialista :muro: :muro: :muro: Ha chiesto 2 conferme uac, prima per criptare e poi per eliminare le shadow copy. Risultato, tutti i dati criptati in micro e 450euro circa di riscatto richiesti. Per ora è in pausa tutto in attesa che qualcuno riesca a trovare una soluzione.

So di almeno 4-5 comuni in zona, vari studi di professionisti e molti privati colpiti. Io ho messo in allarme l'azienda dalla prima diffusione di questi cosi e ogni volta che arriva una mail sospetta telefonano al mittente o a me.

Le soluzioni che sento sono ridicole, di solito alcune aziende informatiche chiedono tra gli 800 e i 1000 euro, probabilmente pagano il riscatto e poi si tengono la differenza

nuovo giorno nuova versione. Ora c'è Locky che oltre a criptare gli HDD (anche quelli esterni, quindi occhio a chi fa backup realtime del sistema), si aggancia ai dischi di rete e fotte pure quelli.
In più se ci sono dei client cloud (Google Drive, Dropbox, ecc) sincronizzati in locale, cripta pure sul cloud.

http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Ci si infetta con una macro di Word.

nuovo giorno nuova versione. Ora c'è Locky che oltre a criptare gli HDD (anche quelli esterni, quindi occhio a chi fa backup realtime del sistema), si aggancia ai dischi di rete e fotte pure quelli.
In più se ci sono dei client cloud (Google Drive, Dropbox, ecc) sincronizzati in locale, cripta pure sul cloud.

http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Ci si infetta con una macro di Word.

beh... non è esatto...

cripta i file SUL TUO computer che poi saranno sincronizzati criptati sul cloud.

ho paura che in futuro bisognerà abituarsi ad usare i servizi cloud direttamente da web per salvarsi.

Tenere solo lo stretto indispensabile sync sul PC...
Magari file temporanei che poi sposterai successivamente.


Ma ovviamente è un operazione da farsi in più che diventa noiosa.

beh... non è esatto...

cripta i file SUL TUO computer che poi saranno sincronizzati criptati sul cloud.

A quanto mi risulta cripta direttamente anche i file delle cartelle in cloud mappate sul pc (ovviamente se non necessitano di autenticazione) quindi è un pò peggio.

nuovo giorno nuova versione. Ora c'è Locky che oltre a criptare gli HDD (anche quelli esterni, quindi occhio a chi fa backup realtime del sistema), si aggancia ai dischi di rete e fotte pure quelli.
In più se ci sono dei client cloud (Google Drive, Dropbox, ecc) sincronizzati in locale, cripta pure sul cloud.

http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Ci si infetta con una macro di Word.

in realtà il locky è già da qualche giorno

http://www.tgsoft.it/italy/news_archivio.asp?id=696

ATTENZIONE BLOCCARE I SEGUENTI DOMINI

gutentagmeinliebeff.com

mafianeedsyouqq.com

da questi domini si scaricano i soliti 23.exe 25.exe eccetera

https://www.virustotal.com/it/file/4b3471f3cc77d6edd52c1246e6c56b0b8e2b9355564f501e1c3de285f50e08fa/analysis/1456250542/

https://www.virustotal.com/it/file/198bd036991fe427fee4337778870520e9e9c944603a418b6129c582e79d5862/analysis/1456250437/

windows defender ne riconosce diversi tranne il 23.exe e il 25.exe infatti scaricandoli con wget interviene e cancella i file

ecco l'icona che ha l'eseguibile

http://snag.gy/phkPM.jpg

mi pare che sia l'icona di un software per creare installer cross platform

http://installbuilder.bitrock.com/installbuilder.html

Create installers for Linux, Windows, Mac OS X, Solaris, HP-UX, AIX, IRIX, FreeBSD and more.
Generate RPMs, Debian packages and multi-platform DVDs or CD-ROMs.
Installers run in GUI, text and unattended modes.

domanda nabba, come faccio a bloccare i domini? Non l'ho mai fatto e non vorrei fare guai, del tipo che invece di bloccarli mi si aprono (non sono così scarso ma in questi casi divento paranoico) :D

domanda nabba, come faccio a bloccare i domini? Non l'ho mai fatto e non vorrei fare guai, del tipo che invece di bloccarli mi si aprono (non sono così scarso ma in questi casi divento paranoico) :D
127.0.0.1 seguito dal dominio da bloccare ad esempio 127.0.0.1 mafianeedsyouqq.com
va inserito nel file hosts che si trova in windows\drivers\etc
lo apri con il blocco note e gli incolli dopo l'ultima riga presente
ad esempio 127.0.0.1 mafianeedsyouqq.com
.....e poi salvi

in pratica 127.0.0.1 corrisponde ad ogni macchina in locale
è come se quando tenti di collegarti ad un sito preceduto da 127.0.0.1 lo rimandi in loop alla tua macchina, quindi qualsiasi cosa voglia non esce neanche su internet

Ha chiesto 2 conferme uac, prima per criptare e poi per eliminare le shadow copy.

anche se le conferme richieste fossero state dieci, non credo che sarebbe cambiato il risultato finale.
:)

Le soluzioni che sento sono ridicole, di solito alcune aziende informatiche chiedono tra gli 800 e i 1000 euro, probabilmente pagano il riscatto e poi si tengono la differenza

togli pure il "probabilmente".
;)

dopo aver spiegato la situazione a mio papà gli è venuta l'ansia e ora cancella qualunque email possibile immaginabile. Ieri chiama il commercialista un po' alterato dicendo tipo "pensi di rispondermi alle mail che ci sarebbero delle scadenze??!!" e mio papà "ah no, cancello tutto io, se vuoi qualcosa telefonami" :asd:

nod meglio di kaspersky internet security ?

Ma hai in mente quanto pesa il Kaspersky? Anzi la SmartSecurity di Eset. :)


bye

127.0.0.1 seguito dal dominio da bloccare ad esempio 127.0.0.1 mafianeedsyouqq.com
va inserito nel file hosts che si trova in windows\drivers\etc
lo apri con il blocco note e gli incolli dopo l'ultima riga presente
ad esempio 127.0.0.1 mafianeedsyouqq.com
.....e poi salvi

in pratica 127.0.0.1 corrisponde ad ogni macchina in locale
è come se quando tenti di collegarti ad un sito preceduto da 127.0.0.1 lo rimandi in loop alla tua macchina, quindi qualsiasi cosa voglia non esce neanche su internet
Grazie mille, invece se volessi bloccare proprio l'accesso dal router? ho più pc in casa e 2 sono Windows, col mio sono sicuro di ciò che faccio, ma quello di famiglia è più esposto, per cui vorrei bloccare l'accesso alla fonte. Ho visto che c'è una sezione delle impostazioni del router dove posso bloccare i siti internet stile parental control, è un mezzo efficace? e nella barra và inserito www.dominiobloccato.com oppure senza www. ?

come ulteriore sicurezza a lavoro ho appena approntato uno scriptino che disconnette tutti gli share remoti (eventualmente aperti anche senza password memorizzata in windows) da lanciare dopo che si ha finito di operare sul server / nas remoto lo script è una cavolata basta fare un .bat con la seguente riga


Net use * /delete /y


il funzionamento non è istantaneo nel senso che una volta cancellata la sessione sul client è il server che la elimina veramente allo scadere di un timeout (sul nosto nas netgear è di circa 1 minuto) ma è comunque utile e può salvare i dati del nas (inoltre permette di collegarsi al nas con credenziali diverse senza dover riavviare / disconnettere l'utente)

Grazie mille, invece se volessi bloccare proprio l'accesso dal router? ho più pc in casa e 2 sono Windows, col mio sono sicuro di ciò che faccio, ma quello di famiglia è più esposto, per cui vorrei bloccare l'accesso alla fonte. Ho visto che c'è una sezione delle impostazioni del router dove posso bloccare i siti internet stile parental control, è un mezzo efficace? e nella barra và inserito www.dominiobloccato.com oppure senza www. ?
facilissimo, devi bloccare i domini elencati come dannosi nella sezione router che ti permette di fare questo
leggi le istruzioni del router

A me sembra proprio CTB-Locker dal contenuto del file di testo ma che non ha finito l'opera...per ora non c'è nulla da fare. Se fosse stato ad esempio Locker si può usare Locker Unlocker (http://api.256file.com/lockerunlocker_v1.0.8.0.exe/en-download-113765.html). L'autore del ransomware ad un certo punto si è "scusato" ed ha rilasciato il codice ma soprattutto tutte le chiavi di decriptazione. L'unica cosa che si deve devi fare è inserire l'indirizzo Bitcoin* e mi raccomando una una cartella di prova con un paio di file dentro

* Dovrebbe essere in questo file da aprire con Blocco Note:
C:\ProgramData\rkcl\data.aa6
La stringa è tipo questa:
2j76Cnq712h2nzZLhQhTs49UnfzytuWby
Altrimenti c'è la funzionalità "Brute BTC" all'interno del programma.

Ti ringrazio di aver risposto. Si, è sicuramente CTB-Locker, perchè subito dopo l'infezione, prima di riuscire ad eliminare il virus, mi è comparsa sul desktop un'enorme schermata con delle generiche istruzioni e la scritta in alto CTB-Locker, dicendo appunto che i file sarebbero stati criptati.

Mi devi inoltre scusare perchè non sono espertissimo, ma non ho proprio capito la procedura che mi hai consigliato. Cosa significa inserire l'indirizzo Bitcoin? Mi potresti spiegare meglio questi passaggi? Si tratta comunque di una procedura valida solo per i file criptati con il programma il cui autore si è scusato e ha messo a disposizione le chiavi di cifratura, giusto?

Io ho mandato un messaggio a questo indirizzo mail collegato che dovrebbe essere collegato a Dr. Webb, alessandro@nwkcloud.com, citato nelle pagine precedenti di inizio febbraio, allegando due file in formato word come indicato. Mi ha risposto in prima persona questo tal Alessandro dicendo che al momento non c'è proprio nulla da fare e su mia insistenza circa la possibilità di recuperare i file anche tra mesi mi è parso piuttosto pessimista, pur non chiudendo del tutto all'eventualità.

Grazie ancora per la disponibilità e scusami di nuovo per il disturbo.

mi è appena arrivata la risposta di Dr. Web: A case of Trojan.Encoder.761 Decryption is not feasible.

:cry: :cry: :cry:

Ciao, mi aiutata a capire se:

Faccio il backup dell'immagine del pc con acronis true image 2016, al nas qnap turbo con trasferimento ftp protetto da nome utente e password salvato in acronis true image

se dovessi prendere il malware che cripta i file, mi infetterà anche il file tib di acronis del backup del pc, che ho sul nas?

Ovviamente il nas è collegato alla rete con backup automatici

Grazie, Ciao

ATTENZIONE BLOCCARE I SEGUENTI DOMINI

gutentagmeinliebeff.com

mafianeedsyouqq.com

da questi domini si scaricano i soliti 23.exe 25.exe eccetera

https://www.virustotal.com/it/file/4b3471f3cc77d6edd52c1246e6c56b0b8e2b9355564f501e1c3de285f50e08fa/analysis/1456250542/

https://www.virustotal.com/it/file/198bd036991fe427fee4337778870520e9e9c944603a418b6129c582e79d5862/analysis/1456250437/

windows defender ne riconosce diversi tranne il 23.exe e il 25.exe infatti scaricandoli con wget interviene e cancella i file

ecco l'icona che ha l'eseguibile

http://snag.gy/phkPM.jpg

mi pare che sia l'icona di un software per creare installer cross platform

http://installbuilder.bitrock.com/installbuilder.html

Create installers for Linux, Windows, Mac OS X, Solaris, HP-UX, AIX, IRIX, FreeBSD and more.
Generate RPMs, Debian packages and multi-platform DVDs or CD-ROMs.
Installers run in GUI, text and unattended modes.

Scusa la domanda, criptano anche su mac, linux e tutti gli altri sistemi?

http://www.pcadvisor.co.uk/how-to/security/test-downloads-files-with-sandbox-3407128/

è una buona scatola?

vorrei fare dei test, ma non ho voglia di tirarmi su una VM ora.. posso provare con un programma come questo?

Scusa la domanda, criptano anche su mac, linux e tutti gli altri sistemi?

No, sono degli .exe quindi funzionano solo su win.

Alla fine io mi sono rivolto a DrWeb che mi hanno trovato la chiave per il decrypt, spesi 150€, ma almeno non li ho dati ai criminali... almeno spero! :D
A dire il vero ho solo iniziato il decrypt con il loro tool, ma non si è ancora concluso, in un minuto 'pulisce' max 3/4 files, quindi ci vorrà un po' di tempo.

bye bye

Scusa la domanda, criptano anche su mac, linux e tutti gli altri sistemi?

non credo che quel exe giri su piattaforme non windows

non so se sono state create varianti che si eseguono anche su linux o mac

http://www.pcadvisor.co.uk/how-to/security/test-downloads-files-with-sandbox-3407128/

è una buona scatola?

vorrei fare dei test, ma non ho voglia di tirarmi su una VM ora.. posso provare con un programma come questo?

i test in sandbox o macchine virtuali spesso non danno risultati perchè alcuni virus si accorgono di ciò

solo i test in una macchina reale, magari un vecchio pc isolato da altri, hanno un senso

non credo che quel exe giri su piattaforme non windows

non so se sono state create varianti che si eseguono anche su linux o mac

La versione Linux esiste, quello che non ho capito bene è questa dicitura che riporti nel post:

"Create installers for Linux, Windows, Mac OS X, Solaris, HP-UX, AIX, IRIX, FreeBSD and more.
Generate RPMs, Debian packages and multi-platform DVDs or CD-ROMs.
Installers run in GUI, text and unattended modes."

La versione Linux esiste, quello che non ho capito bene è questa dicitura che riporti nel post:

"Create installers for Linux, Windows, Mac OS X, Solaris, HP-UX, AIX, IRIX, FreeBSD and more.
Generate RPMs, Debian packages and multi-platform DVDs or CD-ROMs.
Installers run in GUI, text and unattended modes."

ho detto che hanno usato un software (installbuilder) per creare installer il quale è in grado di creare installer multipiattaforma

non so perchè hanno usato quello per creare l'eseguibile

Scusa la domanda, criptano anche su mac, linux e tutti gli altri sistemi?

No, ma se hai condiviso in lan delle cartelle su mac o linux con criteri di scrittura attivi, i dati verranno crittografati ugualmente, quindi occhio. ;)


bye

Alla fine io mi sono rivolto a DrWeb che mi hanno trovato la chiave per il decrypt, spesi 150€, ma almeno non li ho dati ai criminali... almeno spero! :D
A dire il vero ho solo iniziato il decrypt con il loro tool, ma non si è ancora concluso, in un minuto 'pulisce' max 3/4 files, quindi ci vorrà un po' di tempo.

bye bye

150 o 150+iva?

Come riportato da Bleeping Computer, alcuni ricercatori di sicurezza hanno recentemente individuato una nuova variante di CTB-Locker che colpisce esclusivamente siti Web, cifra il loro contenuto utilizzando l’algoritmo AES-256 e richiede un riscatto di 0,4 Bitcoin (circa 150 €) per ottenere la chiave di decifratura.

Il codice malevolo viene inserito sul sito Web attaccato probabilmente sfruttando vulnerabilità di note applicazioni di Content Management molto diffuse. La pagina home del sito viene sostituita con uno script PHP denominato “index.php” che, se richiamato, cifra i file sul server a partire dalla directory radice del sito e visualizza una nuova home page che informa i visitatori sull’avvenuta compromissione e fornisce al gestore del sito le istruzioni su come effettuare il pagamento del riscatto.

link all'advisory del CERT:
https://www.certnazionale.it/news/2016/02/25/ctb-locker-prende-in-ostaggio-interi-siti-web/
link all'articolo di Bleeping Computer:
http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

No, ma se hai condiviso in lan delle cartelle su mac o linux con criteri di scrittura attivi, i dati verranno crittografati ugualmente, quindi occhio. ;)


bye

Grazie

150 o 150+iva?

150€ tondi tondi....per una sola ed unica decriptazione e se si infetta nuovamente un altra macchina e tu non hai installato DR.Web e non gli mandi il report ne paghi altri 150€ e così via....

150€ tondi tondi....per una sola ed unica decriptazione e se si infetta nuovamente un altra macchina e tu non hai installato DR.Web e non gli mandi il report ne paghi altri 150€ e così via....

Lucro
Che pensasserò invece a trovare i responsabili di questo maledetto virus

Come riportato da Bleeping Computer, alcuni ricercatori di sicurezza hanno recentemente individuato una nuova variante di CTB-Locker che colpisce esclusivamente siti Web, cifra il loro contenuto utilizzando l’algoritmo AES-256 e richiede un riscatto di 0,4 Bitcoin (circa 150 €) per ottenere la chiave di decifratura.

Il codice malevolo viene inserito sul sito Web attaccato probabilmente sfruttando vulnerabilità di note applicazioni di Content Management molto diffuse. La pagina home del sito viene sostituita con uno script PHP denominato “index.php” che, se richiamato, cifra i file sul server a partire dalla directory radice del sito e visualizza una nuova home page che informa i visitatori sull’avvenuta compromissione e fornisce al gestore del sito le istruzioni su come effettuare il pagamento del riscatto.

link all'advisory del CERT:
https://www.certnazionale.it/news/2016/02/25/ctb-locker-prende-in-ostaggio-interi-siti-web/
link all'articolo di Bleeping Computer:
http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

Io ho un sito in joomla.
Quali precauzioni posso prendere? Faccio un intero backup del sito e lo salvo in locale?

Scusatemi se vi faccio una domanda che forse è stata già fatta.
Se in un hard disk esterno collegato in usb dove faccio regolarmente backup, nella cartella di backup all'utente normale gli ho dato solo permessi di lettura, visualizzazione e lettura ed esecuzione (infatti se ci entro come utente normale per modificare anche solo il nome file o cancellazione mi chiede password dell'Admin), il virus in questione me lo cripta o no?

No, non cripta.

Quindi i backup inseriti in quella cartella, anche se il sistema infetto li vede e li legge, sono al sicuro giusto?

Il malware agisce ovviamente come un programma: se non ha i permessi di modifica su un file non può fargli niente.

paralizzati altri 2 ospedali (Germania),

Ransomware attacks paralyzed at least two German hospitals (http://securityaffairs.co/wordpress/44824/cyber-crime/ransomware-paralyzed-german-hospitals.html)

Il malware agisce ovviamente come un programma: se non ha i permessi di modifica su un file non può fargli niente.

Perfetto. Allora posso essere più tranquillo. Grazie

Perfetto. Allora posso essere più tranquillo. Grazie

ma anche no, se viene usato un exploit che riesce ad acquisire privilegi di amministratore, a quel punto fa quello che vuole

non so se avete visto il film world war z, nel film alcune persone venivano ignorate dagli infetti e al protagonista notando questo strano comportamento gli venne l'idea di infettare gli umani per renderli invisibili agli zombie

e allora perchè non cambiare l'estensione alle copie di backup dei file per far sì che il virus gli ignori del tutto?

150 o 150+iva?
Da privato sono 150+iva, come società l'iva non la inseriscono in fattura, per discorsi di fatturazione internazionale, quindi sono 150€.
Però è inclusa anche una licenza per due anni del loro antivirus per un PC.


Bye bye

150€ tondi tondi....per una sola ed unica decriptazione e se si infetta nuovamente un altra macchina e tu non hai installato DR.Web e non gli mandi il report ne paghi altri 150€ e così via....

Ma tu ti sei rivolto a Dr web (il sito russo internazionale) od ai partner italiani?


Da privato sono 150+iva, come società l'iva non la inseriscono in fattura, per discorsi di fatturazione internazionale, quindi sono 150€.
Però è inclusa anche una licenza per due anni del loro antivirus per un PC.


Bye bye

Tu a chi ti sei rivolto? A Dr web sito internazionale? E se a loro dai l p iva paghi solo 150€ (cioè sarebbe la reverse charge, se ti danno già il prezzo con iva scorporata?). Non mi ricordavo che nel form distinguevano anche fra privati e società.

Domanda forse fin troppo banale,ma non riescono a risalire ai mandanti?Nella mia ignoranza mi dico,"ok,mi chiedono soldi,ma che siano bitcoin o soldi veri,li dovro' pur versare su un conto intestato a una societa'/privato ?".

Salve ragazzi; purtroppo una persona che conosco è stata infettata da una delle ultime varianti di questo virus (ha criptato i files creando l'estensione .mp3) e, nonostante i consigli contrari, ha deciso di pagare per riavere i suoi files; la procedura in sé è andata bene, ma adesso si pone il problema di ripulire il pc; premesso che la formattazione è già pianificata, ma non potrà essere effettuata prima di qualche gg, per cui si cercava di metterlo in sicurezza....a questo proposito la cosa più fastidiosa sono 3 files creati in ogni cartella del pc (e intendo ognuna) con estensione .html, .txt, .png, nelle quali erano indicate le modalità di pagamento; qualcuno mi saprebbe dare una mano per creare uno script che in automatico mi cancellasse questi files (che hanno tutti lo stesso nome) da C: e relative sottocartelle? grazie!

Salve ragazzi; purtroppo una persona che conosco è stata infettata da una delle ultime varianti di questo virus (ha criptato i files creando l'estensione .mp3) e, nonostante i consigli contrari, ha deciso di pagare per riavere i suoi files; la procedura in sé è andata bene, ma adesso si pone il problema di ripulire il pc; premesso che la formattazione è già pianificata, ma non potrà essere effettuata prima di qualche gg, per cui si cercava di metterlo in sicurezza....a questo proposito la cosa più fastidiosa sono 3 files creati in ogni cartella del pc (e intendo ognuna) con estensione .html, .txt, .png, nelle quali erano indicate le modalità di pagamento; qualcuno mi saprebbe dare una mano per creare uno script che in automatico mi cancellasse questi files (che hanno tutti lo stesso nome) da C: e relative sottocartelle? grazie!

basta che lanci una ricerca specifica col nome dei file in questione (che immagino sia per tutti uguale) e te li trovi tutti elencati nella finestra di ricerca: a quel punto da lì puoi cancellarli in una botta sola. Magari un file di testo conservalo (magari zippato, anche se non dovrebbe essere necessario).

i dati criptati in tante circostanze sono essenziali → la gente paga (e il più delle volte non impara la lezione!) → i criminali incassano fior di quattrini (battono infatti sui grandi numeri) → il giochino si alimenta da solo...

basta che lanci una ricerca specifica col nome dei file in questione (che immagino sia per tutti uguale) e te li trovi tutti elencati nella finestra di ricerca: a quel punto da lì puoi cancellarli in una botta sola. Magari un file di testo conservalo (magari zippato, anche se non dovrebbe essere necessario).

ho provato ma il pc non è dei più performanti per cui l'operazione (da ripetere per ogni singolo files), non è delle più rapide..per quello cercavo una procedura automatizzata per inserire tutti i nomi dei files e lasciar lavorare il pc

controllato la casella spam di gmail di mia moglie. Almeno 6 email con allegati certamente ramsonware.

Per fortuna:

1. la casella spam non la controlla
2. gmail comunque segnala che l'allegato è pericoloso e impedisce il download
3. non uso windows.

Eddie666,
Usa Old Files Manager, link in firma. Come impostazioni ovviamente C:\ con opzione "Includi sottocartelle", Cerca file più vecchi di 0 giorni, togli le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca visto il PC datato ed in fondo non ti servono, aggiungi la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivi:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo "nome_file" con il nome anche parziale dei file in questione. Infine clicca sul pulsante "Verifica". Al termine puoi spostare i file in una cartella oppure li cancelli, a tua personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce ogni dubbio.

Salve ragazzi; purtroppo una persona che conosco è stata infettata da una delle ultime varianti di questo virus (ha criptato i files creando l'estensione .mp3) e, nonostante i consigli contrari, ha deciso di pagare per riavere i suoi files; la procedura in sé è andata bene, ma adesso si pone il problema di ripulire il pc; premesso che la formattazione è già pianificata, ma non potrà essere effettuata prima di qualche gg, per cui si cercava di metterlo in sicurezza....a questo proposito la cosa più fastidiosa sono 3 files creati in ogni cartella del pc (e intendo ognuna) con estensione .html, .txt, .png, nelle quali erano indicate le modalità di pagamento; qualcuno mi saprebbe dare una mano per creare uno script che in automatico mi cancellasse questi files (che hanno tutti lo stesso nome) da C: e relative sottocartelle? grazie!
spiega meglio : ha pagato ed ha riavuto tutti files non criptati oppure è ancora in attesa ?

Eddie666,
Usa Old Files Manager, link in firma. Come impostazioni ovviamente C:\ con opzione "Includi sottocartelle", Cerca file più vecchi di 0 giorni, togli le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca visto il PC datato ed in fondo non ti servono, aggiungi la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivi:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo "nome_file" con il nome anche parziale dei file in questione. Infine clicca sul pulsante "Verifica". Al termine puoi spostare i file in una cartella oppure li cancelli, a tua personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce ogni dubbio.
Grazie! scarico e do un'occhiata!
spiega meglio : ha pagato ed ha riavuto tutti files non criptati oppure è ancora in attesa ?
attualmente ha pagato, e dopo qualche ora, nella stessa pagina web dove ha dovuto inserire il codice della transazione è comparso il link per il download dell'eseguibile per decriptare, assieme alla chiave da inserire nello stesso per poter appunto effettuare l'operazione di decriptaggio

Sarebbe davvero un bel gesto se mettesse a disposizione di tutti il l'eseguibile e la chiave di criptaggio. Probabilmente non servirebbe ma può darsi che qualcuno la trovi utile.
E inieremmo a fare qualcosa di concreto per spezzare la catena.

Sarebbe davvero un bel gesto se mettesse a disposizione di tutti il l'eseguibile e la chiave di criptaggio. Probabilmente non servirebbe ma può darsi che qualcuno la trovi utile.
E inieremmo a fare qualcosa di concreto per spezzare la catena.

e la chiave di decriptaggio è identica per tutti?

ovvio che no

Sarebbe davvero un bel gesto se mettesse a disposizione di tutti il l'eseguibile e la chiave di criptaggio. Probabilmente non servirebbe ma può darsi che qualcuno la trovi utile.
E inieremmo a fare qualcosa di concreto per spezzare la catena.
posso sentire se fosse disponibile a farlo....
e la chiave di decriptaggio è identica per tutti?

ovvio che no

no, è sicuramente legata a un qualche codice della macchina

e la chiave di decriptaggio è identica per tutti?

ovvio che no

Certo che no ma c'è la possibilità che lo sia per alcuni; chi decrypta non lo fa perchè trova buchi nel malware ma semplicemente perchè hanno delle key dovuto allo smantellamento dei server. Per questo si fanno inviare dei file: loro provano e, se qualche key va bene, decriptano.
Se potessimo creare un piccolo database da mettere gratuitamente a disposizione non sarebbe male. Nel caso peggiore si perderebbe solo pochissimo tempo.

Certo che no ma c'è la possibilità che lo sia per alcuni; chi decrypta non lo fa perchè trova buchi nel malware ma semplicemente perchè hanno delle key dovuto allo smantellamento dei server. Per questo si fanno inviare dei file: loro provano e, se qualche key va bene, decriptano.
Se potessimo creare un piccolo database da mettere gratuitamente a disposizione non sarebbe male. Nel caso peggiore si perderebbe solo pochissimo tempo.

no no le varianti che i produttori di antivirus riescono a decriptare o è perchè hanno smantellato i server o perchè avevano implementato male il criptaggio

come le vedi le varianti più recenti son più toste, quindi o chiave o niente file

se tu paghi e ti mandano la chiave la tua chiave va bene solo per i tuoi file

Avevo letto che erano proprio le chiavi ad essere state prese per quelle varianti. Se così non è allora serve a poco.

Ma tu ti sei rivolto a Dr web (il sito russo internazionale) od ai partner italiani?




Tu a chi ti sei rivolto? A Dr web sito internazionale? E se a loro dai l p iva paghi solo 150€ (cioè sarebbe la reverse charge, se ti danno già il prezzo con iva scorporata?). Non mi ricordavo che nel form distinguevano anche fra privati e società.

A tutti e due, prima ad Alessandro qui in Italia (con cui abbiamo disquisito pagine dietro), che con 70€ mi ha dato licenza e chiave, poi successivamente, avendo la licenza, direttamente a DR.Web, il cui anzi la cui operatrice del momento mi ha chiesto altre 150€ perchè non potevo fornirle il log di Dr.Web.

TI DO RAGIONE. ATTENDIAMO NEWS DA "ANDREAA87".
HA DETTO DI RIVOLGERCI A LUI. ATTENDIAMO CON ANSIA INDICAZIONI.....

E' stato bannato, mi sembra. :rolleyes:

bye

ps= scrivere in MAIUSCOLO significa urlare nel web. ;)

Tu a chi ti sei rivolto? A Dr web sito internazionale? E se a loro dai l p iva paghi solo 150€ (cioè sarebbe la reverse charge, se ti danno già il prezzo con iva scorporata?). Non mi ricordavo che nel form distinguevano anche fra privati e società.

Io a quello internazionale, l'ho fatto tramite il form di analisi gratuito, mi hanno risposto dopo circa una settimana, chiedendomi un file .doc criptato, il giorno dopo me l'hanno rispedito decriptato; ma prima dell'acquisto, avendo loro scritto che non assicuravano il decrypt su tutti i tipi di files, gli ho mandato anche un .dwg criptato di test, al buon esito anche di quest'ultimo ho proceduto all'acquisto.
Cmq alla fine il tool ha decriptato tutti i tipi di files senza particolari problemi.

Il prezzo è di 150€ +iva, quando compili il form selezionando che hai una partita iva, l'importo dell'iva viene eliminato ed inviano relativa fattura con il reverse charge da società con sede ad Amsterdam.

bye bye

Io a quello internazionale, l'ho fatto tramite il form di analisi gratuito, mi hanno risposto dopo circa una settimana, chiedendomi un file .doc criptato, il giorno dopo me l'hanno rispedito decriptato; ma prima dell'acquisto, avendo loro scritto che non assicuravano il decrypt su tutti i tipi di files, gli ho mandato anche un .dwg criptato di test, al buon esito anche di quest'ultimo ho proceduto all'acquisto.
Cmq alla fine il tool ha decriptato tutti i tipi di files senza particolari problemi.

Il prezzo è di 150€ +iva, quando compili il form selezionando che hai una partita iva, l'importo dell'iva viene eliminato ed inviano relativa fattura con il reverse charge da società con sede ad Amsterdam.

bye bye

Una truffa quando su bleeping te lo fanno gratis, mi sembra.

bye

Buongiorno a tutti, ho trovato questo thread e scrivo la mia esperienza quì.

Dritto al punto: a mio padre è capitato di aprire un file da una mail, e ora ha il pc infetto.

Questi ransomware sono ormai conosciuti in questo thread soprattutto sono in grado di criptare tutti i file del pc, e gli strumenti per la decriptazione verranno forniti (SE verranno forniti) solo dopo il pagamento di un riscatto (Ransom appunto)

Non sono quì per chiedere "come fare per liberarmi del virus", ho già cercato il cercabile online, e sconsolato, ho messo il suo pc in modalità provvisoria e per ora è lì fermo con il "cessato pericolo".

La svolta avviene ora: mi sono accorto che anche il suo dropbox è stato contaminato, e fortunatamente!
Sono stato quindi in grado, grazie al versioning di Dropbox di ripristinare i file che aveva al suo interno, ma tenendo quindi effettivamente versioni dei file sia criptate e non criptate.

La domanda ora è:
- è possibile trovare una chiave di decriptazione o un algoritmo avendo a disposizione questi files?

La domanda è sempre la stessa, che estensione hanno i file? Da quale variante sei stato colpito? Avere l'originale e la copia criptata potrebbe non servire a nulla.

I file sono stati rinominati aggiungendo ".mp3" come estensione.

Non sono sicuro della versione, presumo sia la versione 3. Provando con tool come Cryptodefence e CryptoOffence (che presumo siano dei tool che ricercano nel registro le chiavi di decriptazione) non ho avuto fortuna: i programmi restituivano l'errore che "non hanno potuto trovare chiavi utili nel registro" e mi dicevano addirittura cose tipo "fai girare l'applicazione nel computer infetto, questo computer non è infetto"

Qualcuno ha la possibilità di mettere a disposizione il Cryptowall Decrypter? Anche se la chiave di decriptazione sarà sicuramente diversa da quella fornita, potrebbe essere molto utile avere almeno il decrypter.

Mio padre è propenso a pagare e cedere al ricatto purtroppo. Io sto temporeggiando perchè per me è una cosa sbagliata, ma per lui, perdere 20 anni di lavoro non è accettabile... quasi lo giustifica dicendo "è come se per riaverli stessi pagando un servizio di copertura di 25€ l'anno... non è poi chissà cosa"

Se mio padre dovesse pagare, metterò a disposizione assieme alla chiave di decriptazione, il tool che - spero vivamente - ci verrà fornito.

Non c'è nulla da fare per Teslacrypt 3.0 ad oggi. Fai un semplice esempio a tuo padre:
Prova ad immaginare che invece di un virus che cripta i dati uno sbalzo di corrente, un danno hardware al disco rigido dovuto per tanti di quei motivi che non li elenco neppure i file di 20 anni di lavoro li avresti persi comunque e senza pagare, gratis. Alimentare il mercato non fa altro che peggiorare la situazione e non tutti hanno recuperato i dati dopo aver pagato non c'è una certezza e non si può sperare in un'etica per questi criminali. Un esempio reale con la tua stessa variante:

But i still can't decrypt my any file.
Yes, as we see, i paid 500USD after i make sure "decrypt 1 file for free" and the free seveice is look like very swap my file is ok.

But when the "thank you for your payment" to my eye, i saw the privkey is so looger. and i open decrypt.exe and fill in the key. It sounds good, but no any one file can run ok. The "support" looks like a bleep...

Why the cracker can't help me ??

I file sono stati rinominati aggiungendo ".mp3" come estensione.

Non sono sicuro della versione, presumo sia la versione 3. Provando con tool come Cryptodefence e CryptoOffence (che presumo siano dei tool che ricercano nel registro le chiavi di decriptazione) non ho avuto fortuna: i programmi restituivano l'errore che "non hanno potuto trovare chiavi utili nel registro" e mi dicevano addirittura cose tipo "fai girare l'applicazione nel computer infetto, questo computer non è infetto"

Qualcuno ha la possibilità di mettere a disposizione il Cryptowall Decrypter? Anche se la chiave di decriptazione sarà sicuramente diversa da quella fornita, potrebbe essere molto utile avere almeno il decrypter.

Mio padre è propenso a pagare e cedere al ricatto purtroppo. Io sto temporeggiando perchè per me è una cosa sbagliata, ma per lui, perdere 20 anni di lavoro non è accettabile... quasi lo giustifica dicendo "è come se per riaverli stessi pagando un servizio di copertura di 25€ l'anno... non è poi chissà cosa"

Se mio padre dovesse pagare, metterò a disposizione assieme alla chiave di decriptazione, il tool che - spero vivamente - ci verrà fornito.

il tool da solo non serve a niente e la chiave andrebbe bene solo per il pc di tuo padre

non esiste un passpartout altrimenti i produttori di antivirus l'avrebbero già messo a disposizione
le cose sono due o ti tieni i file criptati o paghi e speri che siano corretti

è come quando ti rapinano o la borsa o la vita e a volte succede che anche se gli dai la borsa poi ti ammazzano lo stesso

Magari no perché gli serve nella riga di comando il percorso esatto.

Salve a tutti,
dopo aver installato un programma di AOEMI (era il Backupper) per caso mi sono trovato a verificare il programma che uso per i processi di avvio (QuickStartup).
C'è questa voce:

http://i.imgur.com/KmUnbwJ.png

Ho fatto una 'scansione malware' con Emimsoft Emergency Kit Scanner; una scansione con Kaspersky KVRT e c'è Eset Smart Security 8 attivo. Inoltre gira anche Malwarebytes Anti Exploit premium.
Tutto pulito.
Che caspita può essere? :rolleyes:

Per caso hai gpu amd? All'avvio di windows, per qualche frazione di secondo si apre il prompt dei comandi e lo scherma diventa un attimo nero?

Se non ricordo male, il processo che causava questo fastidio era "AMD Accelerated Video Transcoding device initialization"

Non so se è il tuo caso, ma è una delle tante situazioni che fa avviare il cmd all'avvio.

Ma può darsi anche che a te è tutt'altra cosa e non c'entra niente. Servirebbero ulteriori informazioni in merito.

Che caspita può essere? :rolleyes:Ma è un file con estensione cmd ma contenuto compilato o è un batch? Perchè nel secondo caso basterebbe aprirlo col blocco note.

come si fa a contattare Dr web?
io li spendere volentiri 150 Euro

Ciao, grazie a "Bleeping Computer (http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/)" ed al tool Tesladecoder creato da BloodDolly (santo subito) sono riuscito a trovare la chiave di decodifica per i file .vvv di un mio parente; a questo punto con AntivirusLiveCD + Clamwin (qualche settimana fa era uno dei pochi capace di rimuovere il virus) "dovrei" avere pulito l'hdd del pc...dato che non ho tempo/voglia :rolleyes: di formattare e reinstallare tutto (troppa roba), come faccio ad essere sicuro di aver pulito per bene prima di ripristinare tutti i file codificati e rendere il pc?
Sapete quali tool potrei eseguire per controllare con sicurezza la macchina???
Ora intanto provo con "Kaspersky Rescue Disk 10" e "Dr.Web® LiveDisk"...

Ciao, grazie a "Bleeping Computer (http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/)" ed al tool Tesladecoder creato da BloodDolly (santo subito) sono riuscito a trovare la chiave di decodifica per i file .vvv di un mio parente; a questo punto con AntivirusLiveCD + Clamwin (qualche settimana fa era uno dei pochi capace di rimuovere il virus) "dovrei" avere pulito l'hdd del pc...dato che non ho tempo/voglia :rolleyes: di formattare e reinstallare tutto (troppa roba), come faccio ad essere sicuro di aver pulito per bene prima di ripristinare tutti i file codificati e rendere il pc?
Sapete quali tool potrei eseguire per controllare con sicurezza la macchina???
Ora intanto provo con "Kaspersky Rescue Disk 10" e "Dr.Web® LiveDisk"...

gli è andata bene di aver beccato la variante giusta ovvero quella che si può decodificare :D

Ciao, grazie a "Bleeping Computer (http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/)" ed al tool Tesladecoder creato da BloodDolly (santo subito) sono riuscito a trovare la chiave di decodifica per i file .vvv di un mio parente; a questo punto con AntivirusLiveCD + Clamwin (qualche settimana fa era uno dei pochi capace di rimuovere il virus) "dovrei" avere pulito l'hdd del pc...dato che non ho tempo/voglia :rolleyes: di formattare e reinstallare tutto (troppa roba), come faccio ad essere sicuro di aver pulito per bene prima di ripristinare tutti i file codificati e rendere il pc?
Sapete quali tool potrei eseguire per controllare con sicurezza la macchina???
Ora intanto provo con "Kaspersky Rescue Disk 10" e "Dr.Web® LiveDisk"...

Bastano malawarebytes o combofix, fortunamente l'infezione è di scarso rilievo, i tutorial che trovi in rete sono facili da eseguire anche manualmente. E felice per voi.

Si, è andata di lusso....stavolta. :)

Bastano malawarebytes o combofix, fortunamente l'infezione è di scarso rilievo, i tutorial che trovi in rete sono facili da eseguire anche manualmente. E felice per voi.

Anche Norton Power Erase rimuove il virus specie utilizzando la scansione cloud da usare in modalità provvisoria.
Poi Malwarebyte.

Ma non uno o l' altro, prima uno e poi l' altro perché vengono fuori diverse cosine.

Ma è un file con estensione cmd ma contenuto compilato o è un batch? Perchè nel secondo caso basterebbe aprirlo col blocco note.

Non ne ho la più pallida idea.. anche perchè non riuscivo ad individuarlo utilizzando la funzione di 'Open folder' di QuickStartup: si apre semplicemente C:\windows\system32\ ma non vedevo alcuna chiave con quella stringa
Poi operando una scansione con VirIt è subentrato Eset che mi chiedeva di eliminarlo ed io ho cancellato. Nel dubbio al limite non mi parte un programma o una funzione, ma meglio averlo tolto.

ora anche su mac... http://www.hwupgrade.it/news/apple/allarme-cryptovirus-per-la-prima-volta-su-os-x-ecco-come-difendersi-da-keranger_61383.html :muro: :mad:

ora anche su mac... http://www.hwupgrade.it/news/apple/allarme-cryptovirus-per-la-prima-volta-su-os-x-ecco-come-difendersi-da-keranger_61383.html :muro: :mad:

Già... Leggevo proprio qualche giorno fa, vedremo evoluzione anche sotto OSX... Credo comunque, che avrà vita cortissima. Alla fine, la principale fonte d'infezione è tramite mail, dubito francamente, che inoltrino spam con all'interno entrami le varianti.

Già... Leggevo proprio qualche giorno fa, vedremo evoluzione anche sotto OSX... Credo comunque, che avrà vita cortissima. Alla fine, la principale fonte d'infezione è tramite mail, dubito francamente, che inoltrino spam con all'interno entrami le varianti.
BAH non ne sarei così sicuro

Inviato dal mio GT-I9505 utilizzando Tapatalk

come si fa a contattare Dr web?
io li spendere volentiri 150 Euro

Io sono partito da qui https://support.drweb.com/new/free_unlocker/for_decode/?lng=en inviandogli un file infetto, se gli mandi direttamente un .doc (non docx) criptato fai prima, poi magari gliene mandi anche uno con l'estensione che per te è più importante.
Il tool non è userfriendly ed anche un po lento, io ho impiegato più di una settimana per il decrypt del NAS (in verità mi manca ancora qualche cartella... :mad: )

bye bye

non ho capito come viene eseguito questo malware..


1. arriva come allegato di una mail, un file eseguibile, zippato?

2. il vettore è una mail ma il file eseguibile viene scaricato da un sito internet?


In ogni caso 1 e 2, come si esegue o autoesegue?

non ho capito come viene eseguito questo malware..


1. arriva come allegato di una mail, un file eseguibile, zippato?

2. il vettore è una mail ma il file eseguibile viene scaricato da un sito internet?


In ogni caso 1 e 2, come si esegue o autoesegue?

Dipende dal malware.

Alcuni hanno ricevuto file zippati con dentro il file *.exe (con l'icona però di un file .pdf), altri invece ricevono file zippati con dentro un file batch in formato javascript un file *.js.

Non possono partire in automatico è l'utente che li esegue. Il file *.exe è il malware stesso presumo, si parla di un file 500KByte mi sembra d'aver visto. Mentre i file *.js (pesano pochi KB, 2 o 3) si collegano ad un sito preciso ed iniziano a scaricare gli eseguibili, una volta scaricati partono ed inzia la criptazione.

bye

per i files con estensione .micro nulla ancora ?

per i files con estensione .micro nulla ancora ?

Non ancora.

bye

:muro: :help:

Ce anche la versione con file word e macro da attivare

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

Dipende dal malware.

Alcuni hanno ricevuto file zippati con dentro il file *.exe (con l'icona però di un file .pdf), altri invece ricevono file zippati con dentro un file batch in formato javascript un file *.js.

Non possono partire in automatico è l'utente che li esegue. Il file *.exe è il malware stesso presumo, si parla di un file 500KByte mi sembra d'aver visto. Mentre i file *.js (pesano pochi KB, 2 o 3) si collegano ad un sito preciso ed iniziano a scaricare gli eseguibili, una volta scaricati partono ed inzia la criptazione.

bye


ok, l'altro giorno era arrivata una mail con un PDF vero e proprio invece.

Il PDF però conteneva un immagine, come fosse un documento, che si leggeva male e un bel bottone gigante VERDE da cliccare.. questo apriva un sito internet... e lì però l'antivirus mi ha bloccato l'URL.
quindi non ho più proseguito per vedere se si apriva semplicemente una pagina o se correlato c'era il download di un file.

quindi non ho più proseguito per vedere se si apriva semplicemente una pagina o se correlato c'era il download di un file.
Secondo me ti aspettava il cryptolocker :asd:

ok, l'altro giorno era arrivata una mail con un PDF vero e proprio invece.

Il PDF però conteneva un immagine, come fosse un documento, che si leggeva male e un bel bottone gigante VERDE da cliccare.. questo apriva un sito internet... e lì però l'antivirus mi ha bloccato l'URL.
quindi non ho più proseguito per vedere se si apriva semplicemente una pagina o se correlato c'era il download di un file.

Ma stavi facendo una prova o sei masochista di tua natura? :confused: :D


bye

Ma stavi facendo una prova o sei masochista di tua natura? :confused: :D


bye


provo provo, non c'è problema, un pò di VM da distruggere e via :D

Trendmicro è stato bravo e mi ha cancellato tutti i file html, txt e bmp associati al malware, ne sono felice.

Ma su altri PC dove non è installato trendmicro, che AV potrei usare, abbastanza bravo da cancellare questi files?
Farlo a mano è (a parte impossibile, ce ne sono migliaia) una scocciatura immensa..

Con questo forse?
http://www.trendmicro.com/tools/us/rescue-disk/

Trendmicro è stato bravo e mi ha cancellato tutti i file html, txt e bmp associati al malware, ne sono felice.

Ma su altri PC dove non è installato trendmicro, che AV potrei usare, abbastanza bravo da cancellare questi files?
Farlo a mano è (a parte impossibile, ce ne sono migliaia) una scocciatura immensa..

http://hwupgrade.it/forum/showpost.php?p=43426010&postcount=1152

figo, grazie a tutti. provo

Io devo trovare una soluzione per recuperare i file criptati con estensione micro :help: :help: :help:

Io devo trovare una soluzione per recuperare i file criptati con estensione micro :help: :help: :help:

Eh, grazie al cactus......non sei il solo.

Io devo trovare una soluzione per recuperare i file criptati con estensione micro :help: :help: :help:
direi che siamo in tre!, anzi molti di più, speriamo bene!!!!

A me è capitato un caso stranissimo. sono stato infettato (in parte) anche io , però non so se qualcosa è andato storto nel virus ma ha infettato pochissime cartelle Oo tutto il resto è accessibile normalmente... forse mi ha criptato il 5 % dell'intero PC. Mi devo preoccupare? Il virus ha iniziato ad infettare i file Sabato poi per qualche strano motivo non ha completato il suo lavoro anche perché ho utilizzato il Pc tranquillamente sia Domenica che Lunedi. Mi son accorto del problema martedì quando su una cartella ho trovato i classici file HELP png di riscatto ecc.. invece su due cartelle ci sono alcuni file criptati con estensioni casuali, e sono un misto di file infettati e file che ancora sono sani . In modalità provvisoria ho avviato subito combofix, Norton power eraser , Malwarebytes Anti-Malware e Hitman Pro. Mi hanno tolto parecchia roba quindi credo sia stato tolto, dico credo perché in mezzo alla marea di merda che ha trovato non saprei il nome di sto maledetto virus xD . Cmq adesso i software e tools vari non mi trovano nulla a parte cookie . Ho già un hard disk con dati importanti, però su pc ho ancora roba che mi serve e che non è stata modificata dal virus. Tutta la roba che mi serve me la sono masterizzata non ho voluto rischiare a collegare l'hard disk esterno. I dati masterizzati sembrano tutti apposto, li ho controllati poi sulla xbox 360 e li legge tutti senza problemi. Ho fatto bene a farmi backup su supporti DVD ? Corro il rischio che siano infetti anche se apparentemente non danno problemi? Io adesso farò un format generale di tutte le partizioni, il salvabile lo ho su un altro hard disk esterno e spento + i DVD masterizzati questi giorni.
Non so se centra qualcosa con la faccenda, ma a me si è rotto l'alimentatore del PC e son stato due mesi senza accendere il computer . Ho sistemato tutto da due settimane, è possibile che il virus lo ho preso due mesi fà e non ha fatto il suo pieno lavoro? E una domanda che mi sono posto anche se mi sembra strano perché i file hanno iniziato a criptarsi Sabato e il Pc lo ri iniziato ad utilizzare da 2/3 settimane.

Ps. ho ricevuto anche io le classiche email Telecom ecc. però non dovrei aver cliccato nulla..

Ma come siete stati infettati?

Il cryptolocker può funzionare anche su macchina virtuale o account GUEST?

Inviato dal mio GT-I9505 utilizzando Tapatalk

Ma come siete stati infettati?

Il cryptolocker può funzionare anche su macchina virtuale o account GUEST?

Inviato dal mio GT-I9505 utilizzando Tapatalk

certo, perchè pensi che non dovrebbe funzionare?

Non ne ho la più pallida idea.. anche perchè non riuscivo ad individuarlo utilizzando la funzione di 'Open folder' di QuickStartup: si apre semplicemente C:\windows\system32\ ma non vedevo alcuna chiave con quella stringa
Poi operando una scansione con VirIt è subentrato Eset che mi chiedeva di eliminarlo ed io ho cancellato. Nel dubbio al limite non mi parte un programma o una funzione, ma meglio averlo tolto.

Salve a tutti,
dopo aver installato un programma di AOEMI (era il Backupper) per caso mi sono trovato a verificare il programma che uso per i processi di avvio (QuickStartup).
C'è questa voce:

http://i.imgur.com/KmUnbwJ.png

Ho fatto una 'scansione malware' con Emimsoft Emergency Kit Scanner; una scansione con Kaspersky KVRT e c'è Eset Smart Security 8 attivo. Inoltre gira anche Malwarebytes Anti Exploit premium.
Tutto pulito.
Che caspita può essere? :rolleyes:

Mi è apparsa ancora ma con stringa diversa:

http://i.imgur.com/W2au4Qo.png

:muro:

Niente di grave, addirittura pare essere il MBAM.

http://i.imgur.com/thkvoSW.png

Ma mai visto una cosa del genere.

Non so se sia già stato segnalato, ma c'è questo nuovo programma ancora in fase beta contro il cryptolocker et similia

http://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware-beta/

e qui l'articolo di riferimento

https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/

..con qualche falso positivo, credo. Dopotutto è una beta:
http://www.hwupgrade.it/forum/showpost.php?p=43460982&postcount=240

Il link di Bleepcomputer scarica davvero la 0.9.4.299, mentre la versione più recente al giorno d'oggi è la 0.9.14.361:
https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/

..con qualche falso positivo, credo. Dopotutto è una beta:
http://www.hwupgrade.it/forum/showpost.php?p=43460982&postcount=240

Il link di Bleepcomputer scarica davvero la 0.9.4.299, mentre la versione più recente al giorno d'oggi è la 0.9.14.361:
https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/

beh, si autoaggiorna una volta installata

Si auto-aggiorna anche senza pulsanti di update?

Si auto-aggiorna anche senza pulsanti di update?

si appena installata la versione linkata dice che ci sta l'aggiornamneto e procede liscio ;)

..con qualche falso positivo, credo. Dopotutto è una beta:
http://www.hwupgrade.it/forum/showpost.php?p=43460982&postcount=240

Il link di Bleepcomputer scarica davvero la 0.9.4.299, mentre la versione più recente al giorno d'oggi è la 0.9.14.361:
https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/
Beh si, per ora è una protezione di emergenza, vista la situazione preoccupante con questo ransomware. Poi quando uscirà la versione stabile, credo che andrà meglio anche coi falsi positivi. E comunque sempre meglio un falso positivo che beccarsi il cryptolocker. Naturalmente come sempre, c'è da aggiungere che avere un antivirus installato non vuol dire stare sicuri al 100%, vale sempre la regola che bisogna fare attenzione a quello che si fa davanti al PC, con o senza antivirus.

qualcuno usa cryptoprevent? mi succede questo in account standard clicco sull'orologio e riesco ad accedere alle varie opzioni dopo aver dato la password tramite uac in un altro account sempre standard invece prima mi appare questa finestrella di cryptoprevent e poi posso richiamare lo uac

http://snag.gy/3BpCY.jpg

Di solito quando mi blocca un'applicazione io mi porto nella sezione whitelist di crypto, avvio l'operazione che viene bloccata e po premo su "whitelist executable...." (il primo pulsante in alto cliccabile); questa operazione analizza i processi attivi bloccati in quel momento e li infila in quelli permessi facendoti completare l'operazione. Ovviamente se hai ospiti indesiderati a bordo daresti il permesso anche a quelli in caso di esecuzione perciò occhio.

Di solito quando mi blocca un'applicazione io mi porto nella sezione whitelist di crypto, avvio l'operazione che viene bloccata e po premo su "whitelist executable...." (il primo pulsante in alto cliccabile); questa operazione analizza i processi attivi bloccati in quel momento e li infila in quelli permessi facendoti completare l'operazione. Ovviamente se hai ospiti indesiderati a bordo daresti il permesso anche a quelli in caso di esecuzione perciò occhio.

la mia domanda era un'altra perchè in un account standard quando clicco sull'orologio non appare la finestra di crypto mentre nell'altro account standard invece sì?

queste le mie impostazioni di crypto e dovrebbero valere per tutti gli account

http://snag.gy/MBYnY.jpg

copertina Opera Lirica.DOCX.hjgvgua

I miei sono così
Ho scritto una settima fa a DrWeb ma purtroppo nessuna risposta

qualcuno mi può aiutare?
windows 8.1 mi ha modificato molti files di immagini, wma e di testo

si chiama recoverlptux ed è presente in ogni cartella del pc

vorrei sapere se posso risolvere? non mi era mai capitato un problema simile i files non me li ha rinominati di formato ma resi illeggibili..

NOT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA4096:https://en.wikipedia.org/wiki/RSA_(cryptosystem)

What exactly that means?

It means that on a structural level your files have been transformed. You won't be able to use, read, see or work with them anymore.
In other words they are useless, however, there is a possibility to restore them with our help.

What exactly happened to your files?

*** Two personal RSA4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key, which you received over the web.
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

What should you do next?

There are several options for you to consider:
1. You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
2. You can start getting BitCoins right now and get access to your data quite fast.
In case you have valuable files, we advise you to act fast as there is no other option rather than paying in order to get back your data.

In order to obtain specific instructions, please access your personal homepage by choosing one of the few addresses down below:
hxxp://kkr4hbwdklf234bfl84uoqleflqwrfqwuelfh.brazabaya.com/1F533C7E859B6FE
hxxp://974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com/1F533C7E859B6FE
hxxp://a64gfdsjhb4htbiwaysbdvukyft5q.zobodine.at/1F533C7E859B6FE

If you can't access your personal homepage or the addresses are not working, complete the following steps:
1. Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en
2. Install TOR Browser
3. Open TOR Browser
4. Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/1F533C7E859B6FE
5. Follow the steps on your screen

IMPORTANT INFORMATION

Your personal homepages:
hxxp://kkr4hbwdklf234bfl84uoqleflqwrfqwuelfh.brazabaya.com/1F533C7E859B6FE
hxxp://974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com/1F533C7E859B6FE
hxxp://a64gfdsjhb4htbiwaysbdvukyft5q.zobodine.at/1F533C7E859B6FE

Your personal page Tor-Browser k7tlx3ghr3m4n2tu.onion/1F533C7E859B6FE
Your personal identification ID: 1F533C7E859B6FE



questo mi dice

Sembra una nuova variante addirittura con una chiave di criptazione ancora più forte. Le estensioni dei file quindi sono rimaste le stesse?
Se ci premi che messaggio ti appare?
Hai provato ad aprirne uno attraverso il programma che utilizzi di solito e non facendoci doppio clic (ad esempio un file doc aprirlo da word e non direttamente cliccando sopra...) ?

Ciao,

poco fa, che sia la chiave di criptazione a Rsa2048/4096/8192, tanto i file se si recuperano, è perchè si riuscirà di smembrare perbene il codice del malware, mi sembra.


bye

Comunque può sempre provare se il sistema ha conservato una copia dei file più vecchia; al 99,99% no, ma è una prova che può fare velocemente.

Sembra una nuova variante addirittura con una chiave di criptazione ancora più forte. Le estensioni dei file quindi sono rimaste le stesse?
Se ci premi che messaggio ti appare?
Hai provato ad aprirne uno attraverso il programma che utilizzi di solito e non facendoci doppio clic (ad esempio un file doc aprirlo da word e non direttamente cliccando sopra...) ?

esce un documento con caratteri strani e molto meno lunghi di cio che erano

Comunque può sempre provare se il sistema ha conservato una copia dei file più vecchia; al 99,99% no, ma è una prova che può fare velocemente.

ma si può decr:decriptare?

ma si può decr:decriptare?

RSA4096 senza la chiave corretta credo sia quasi impossibile...:mc:

un mese fa mentre stavo in un sito sportivo mi si blocco il pc con gli avvisi dell'account utente che non si levavano, spensi il pc tenendo premuto power e da allora non sono piu usciti.. ma che porcherie hanno inventato per entrare cosi?

RSA4096 senza la chiave corretta credo sia quasi impossibile...:mc:

e questi tool che girano non fanno nulla? la criptazione che ho subito io non succedeva di solito?

e questi tool che girano non fanno nulla? la criptazione che ho subito io non succedeva di solito?

qualche pagina indietro era riportato il caso della chiave RSA256/512 che già metteva in crisi la decriptazione senza il pagamento di un riscatto...
questa RSA4096 diventa insormontabile anche con tecniche di richerca a forza bruta...:mc:

qualche pagina indietro era riportato il caso della chiave RSA256/512 che già metteva in crisi la decriptazione senza il pagamento di un riscatto...
questa RSA4096 diventa insormontabile anche con tecniche di richerca a forza bruta...:mc:

non ho parole ..
e i files quindi sono illeggibili perché rovinati o criptati? cioe deciptandoli sarebbe certo il recupero? chi può fare certi lavori non essendo chi l'ha criptato materialmente? ditte? nessuno?

Anche se probabilmente non sarà possibile, prova un ripristino di sistema ad una data antecedente o al limite clicca su un file con il tastod dx del mouse->proprietà->versioni precedenti e vedi se ne esiste una copia di riserva; in questo caso (molto fortunato) li puoi ripristinare tutti, altrimenti non puoi fare altro che mettere da parte quelli importanti e sperara che in futuro esca qualche metodo per superare il problema.

è la prima volta che mi succede una cosa simile senza eseguire nulla di strano ma solo visitando siti normali senza installare o cliccare cose strane sono allibito, avrei dovuto trasferire molto presto questi dati ed adesso mi trovo spiazzato

Anche se probabilmente non sarà possibile, prova un ripristino di sistema ad una data antecedente o al limite clicca su un file con il tastod dx del mouse->proprietà->versioni precedenti e vedi se ne esiste una copia di riserva; in questo caso (molto fortunato) li puoi ripristinare tutti, altrimenti non puoi fare altro che mettere da parte quelli importanti e sperara che in futuro esca qualche metodo per superare il problema.

si ho provato il ripristino ma nulla rimane tutto ciò.. non c'e nessuna versione precedente .

mi pare che in quanto a sicurezza le cose stiano peggiorando, in questo caso senza un backup quasi tutti si arrenderrebbero perdendoli?

è possibile localizzare la sede di dove si è auto eseguito questo malware? è partito da un exe?

è la prima volta che mi succede una cosa simile senza eseguire nulla di strano ma solo visitando siti normali senza installare o cliccare cose strane sono allibito, avrei dovuto trasferire molto presto questi dati ed adesso mi trovo spiazzato

E' possibile sapere, beneficio di tutti, quali antivirus, anti-malware, sistema operativo aggiornato (o no) stavi usando?

Di solito sono allegati delle mail, file con false estensioni tipo pdf o zip che sono eseguibile o file js. Un doppio clic e vanno in esecuzione, generalmente si insediano nel percorso %appdata% e in qualche chiave di registro per l'esecuzione automatica.
Tuttavia esiste la possibilità di infezione tramite qualche sito web che sia stato alterato.
Purtroppo se non funziona il restore dei file o un tentativo tramite software di recupero dati cancellati come recuva o photorec(anche questa purtroppo è una soluzione che al 99,99% dei casi non da esito) non c'è niente da fare al momento.

surface 3 windows 8.1 pro x64 non aggiornato perché lo uso da neanche un mese.

utilizzo facebook navigazione internet fino ad ora mai scaricate porcherie ma a metà febbraio ricordo inizio a dare problemi crashando random il driver video intel, cos che fino ad oggi si sarà ripetuta 8 volte da allora

in piu 5 freeze dove il sistema rimaneva fermo e dovevo solo tener premuto power per ripristinare riaccendendolo

non avevo ancora messo firewall o antivirus software perché non lo stavo utilizzando tanto in rete vedi te che sfiga invece non si puo mai stare tranquilli, tenevo attivo solo windows defender e smartscreen con ie
idem gli aggiornamenti non volevo quasi sporcarlo o appesantirlo se non lo sfruttavo molto

non ho l'email qui quindi non so com'è entrato

Di solito sono allegati delle mail, file con false estensioni tipo pdf o zip che sono eseguibile o file js. Un doppio clic e vanno in esecuzione, generalmente si insediano nel percorso %appdata% e in qualche chiave di registro per l'esecuzione automatica.
Tuttavia esiste la possibilità di infezione tramite qualche sito web che sia stato alterato.
Purtroppo se non funziona il restore dei file o un tentativo tramite software di recupero dati cancellati come recuva o photorec(anche questa purtroppo è una soluzione che al 99,99% dei casi non da esito) non c'è niente da fare al momento.

leggevo da google che ultimamente si sono presentati casi come il mio dove la criptazione è stata resa più forte (aes 4096) e ancora non ci sono tool che li decriptino la scocciatura più che altro è per foto e appunti che tenevo e mi servivano, purtroppo non avevo ancora provveduto ad effettuare backup ma avrei dovuto farlo a breve. non conoscevo certe minacce, conoscevo quelle che corrompevano gli exe se uno si auto infettava aprendo exe.. che brutta situazione

http://www.ransomware.it/ransomware-teslacrypt-3-0/

news di fine gennaio 2016, l'infezione l'avrò presa la seconda settimana di febbraio io

Salve: un amico si è beccato per la seconda volta il CTB-LOCKER

la prima andò di :ciapet: e sono riuscito a recuperargli i file con le copie shadows di win vista.

Adesso mi ha mandato questa foto via wazzap... a naso direi che è più nuova dell'altra che mi ricordo non aveva nessun conto alla rovescia.

Gli dico di buttare tutto al cesso? Tanto (perlomeno) questa volta ha backup di una settimana fa.

Non aveva installato HitmanPRo che gli avevo suggerito :rolleyes: magari con quello lo bloccava...

tnsk a chi mi darà dritte!

non si vede l'immagine è troppo piccola

bastava forse anche cryptoprevent

non si vede l'immagine è troppo piccola

bastava forse anche cryptoprevent


eccola!

http://postimg.org/image/u974lf569/

nuova versione che infetta siti web :

http://www.tgsoft.it/italy/news_archivio.asp?id=705

nuova versione che infetta siti web :

http://www.tgsoft.it/italy/news_archivio.asp?id=705

... Nella mattina di oggi è stata riscontrata una seconda fase dell'evoluzione in TeslaCrypt 4.0, dove la nuova versione cifra i file di documenti senza rinominarli (nessuna estensione aggiuntiva). ...

... Sono crittografati da TeslaCrypt 4.0 i file di documenti, che però non vengono rinominati con ulteriori estensioni e viene richiesto un riscatto. L'utente colpito si troverà ad avere i file di documento con nome in originale (file.doc), ma sarà impossibilitato ad aprirli. ...


dunque attenzione e verifiche prima di fare back-up, con questa modalità, soprattutto per chi usa la sincronizzazione, si rischiano disastri

mi è capitata questa cosa su un pc mesi fa, vista in tempo per fortuna, ma ancora ripensandoci ho certi restringimenti... :D

è la prima volta che mi succede una cosa simile senza eseguire nulla di strano ma solo visitando siti normali senza installare o cliccare cose strane sono allibito, avrei dovuto trasferire molto presto questi dati ed adesso mi trovo spiazzato

Avrai aperto un sito malevolo sicuramente, o una mail infetta.

bye

dunque attenzione e verifiche prima di fare back-up, con questa modalità, soprattutto per chi usa la sincronizzazione, si rischiano disastri


Non c'è limite al peggio. :muro: :(


bye

Avrai aperto un sito malevolo sicuramente, o una mail infetta.

bye

sito, quindi si è auto eseguito? e come mai ha modificato i files a distanza di un mese?

altre domande:

ad aver fatto questa criptazione è stato un exe presente sul pc che si è scaricato ( se si dove è situato?) oppure via remoto senza nessun exe?

se togliessi l'infezione tramite qualche tool o av poi i dati non li potrei mai piu decriptare? quindi va lasciata ove non poter piu recuperare i file criptati semmai uscisse un tool che risolve?

quale tool attualmente leva la variante con aes 4096 che non mi ha modificato l'estensione dei files ma li ha resi illeggibili?

quale tool attualmente leva la variante con aes 4096 che non mi ha modificato l'estensione dei files ma li ha resi illeggibili?

nessuno :( già con la variante a 512 credo ci siano problemi molto evidenti...:mc:

altre domande:

ad aver fatto questa criptazione è stato un exe presente sul pc che si è scaricato ( se si dove è situato?) oppure via remoto senza nessun exe?

se togliessi l'infezione tramite qualche tool o av poi i dati non li potrei mai piu decriptare? quindi va lasciata ove non poter piu recuperare i file criptati semmai uscisse un tool che risolve?

quale tool attualmente leva la variante con aes 4096 che non mi ha modificato l'estensione dei files ma li ha resi illeggibili?


levare nel senso di rimuovere il virus? perchè di decriptare i file puoi aspettare anche l'arrivo dei borg :D

sito, quindi si è auto eseguito? e come mai ha modificato i files a distanza di un mese?

Se leggi il link postato in alto sembra proprio il caso tuo: quindi probabile che tu abbia visitato un sito infetto.
Quanto al ritardo, è possibile che tu non ti sia ricollegato a internet con il dispositivo successivamente? Il malware necessità del collegamento per fare alcune cosette e quindi nel caso poteva essere in fase dormiente diciamo.
Al 99% c'è un exe e si trova dove ti avevo già segnalato o in qualche sottocartella a partire da quella posizione, i metodi per eliminare l'infezione sono stati abbondantemente segnalati e sono di facile esecuzione.
Per il decriptaggio purtroppo mettiti l'animo in pace: è brutto sentirselo dire ma non c'è scampo a meno che non si trovi un bug nel metodo di criptazione utilizzato.

si se l'infezione corrisponde a cio che dico l'avevo preso da un mese , non mi spiego perché è passato cosi tanto tempo per entrare in atto e criptare i files, quando è successo stavo addirittura fuori browser e non ero al pc come se mi spiassero in remoto non so che dire


ma se rimuovo l'infezione e uscisse mai un tool che combatte questa variante quindi non potrei utilizzarlo? cioè in poche parole o lo lascio infetto coi files criptati o tolgo l'infezione perdendo i files? perché dove starebbe la chiave di decriptazione nel mio pc pure?

domanda,

alla mia ragazza è arrivata una mail dal suo stesso account aruba contenente un file zippato che ha scompattato e aperto...

purtroppo non si è posta il dubbio della provenienza dell'allegato e ora tutti i file risultano con estensione .locky...

sto guardando velocemente su internet è un "novità" ...ora, qualcuno è riuscito a risolvere il problema e decriptare i file ??


per adesso ho trovato solo questo di interessante..

http://www.questiondriven.com/2016/02/18/beta-testing-for-ransomware-detection-in-file-share/

bitdefender free non le ha bloccato nulla.

domanda,

alla mia ragazza è arrivata una mail dal suo stesso account aruba contenente un file zippato che ha scompattato e aperto...

purtroppo non si è posta il dubbio della provenienza dell'allegato e ora tutti i file risultano con estensione .locky...

sto guardando velocemente su internet è un "novità" ...ora, qualcuno è riuscito a risolvere il problema e decriptare i file ??

se ne parlava credo una decina di pagine indietro in questo 3d ;)

se ne parlava credo una decina di pagine indietro in questo 3d ;)

ho visto ora...quindi ricapitolando...

- pagare non serve a nulla...la chiave non verrà fornita
- tool decripter ancora non ce ne sono ..o almeno che siano in grado di decriptare questo locky
- la via migliore è la formattazione oppure il cambio disco se un domani uscisse un tool per decriptare i file

mi chiedo due cose.

il pc l'ho fatto spegnere, il malware , se ora rimuovo il disco dal pc e lo collego come disco esterno ad un secondo pc...è facile che infetti anche l'altro esatto ?

anche io sto cercando di capire cosa converrebbe fare perché se mai uscisse un rimedio se adesso curassi l'infezione rimuovendo exe e via dicendo perderei il riferimento anche per decriptare?

il pc l'ho fatto spegnere, il malware , se ora rimuovo il disco dal pc e lo collego come disco esterno ad un secondo pc...è facile che infetti anche l'altro esatto ?

cercherei di usarlo con distro linux o al max con un hyren's boot cd per evitare di rovinare anche un altro pc ;)

anche io sto cercando di capire cosa converrebbe fare perché se mai uscisse un rimedio se adesso curassi l'infezione rimuovendo exe e via dicendo perderei il riferimento anche per decriptare?

la tua versione dubito seriamente abbia un riferimento per decriptare. quello si aveva con il primo tipo di infezione. salvati tutti i file criptati su un hdd esterno, formatta il disco e rinstalla windows e compagnia cantante. io fare così, anche perchè altre soluzioni non credo che ecsano a brevissimissimo...:mc:

la tua versione dubito seriamente abbia un riferimento per decriptare. quello si aveva con il primo tipo di infezione. salvati tutti i file criptati su un hdd esterno, formatta il disco e rinstalla windows e compagnia cantante. io fare così, anche perchè altre soluzioni non credo che ecsano a brevissimissimo...:mc:

grazie per i suggerimenti, quindi la decriptazione se mai fosse possibile verrebbe fatta da file singolo a file singolo e non sarebbe da cercare nel pc infetto o nel registro se ci fosse una chiave utile?

Soluzione 1

Prendi un disco nuovo, pulito, ci reinstalli sopra il sistema operativo.
il vecchio Hd lo stacchi e lo metti da parte.
Speriamo che un giorno trovino una soluzione che vada bene per te

Soluzione 2:

fai un ghost con clonezilla su un HD secondario,
spegni attacchi solo il 2° HD su cui hai fatto il ghost
vai in modalità provvisoria con rete e fai andare Malware byte e Norton power erase con scansione Cloud

Rimuovi i file segnalati e riavvi il pc in modalità normale (sei sempre con il disco clonato")
vedi se funzionano le copie shadows (versioni precedenti)
Se vanno bene se non vanno non c'è niente da fare.

Poi sta a te decidere se i files che avevi erano VITALI oppure NO

il problema è che non posso staccare hd perché è un tablet windows: il surface 3

c'è una soluzione anche in questa casistica?

...ora sono al pc...

la situazione è la seguente...

la mia ragazza ha due pc...uno colpito dal malware .locky ...

se ne è accorta ormai tardi , tutto era criptato...ha tolto subito il wireless , ma anche i file condivisi su dropbox erano ormai sincronizzati e criptati pure quelli..

non abbiamo pensato a one drive e avendo riacceso il vecchio pc credo abbia sincronizzato onedrive e portato il malware anche sul "vecchio" pc...

la mail incriminata che ha portato il malware è arrivata tramite l'account che usa per lavoro ( aruba ) ...

il messaggio era nella mail ...inviato dalla stessa mail, senza testo con un solo allegato zippato ....

ora, con la posta sincronizzata con outlook è possibile che si propaghi ancora ? nel senso , se ora formatto il pc...cancello tutto , reimposto i vari account ( one drive e dropbox svuotati completamente in precedenza )...dovrei essere "tutelato" no ?

grazie :)

la cosa che non capisco è...

one drive one line è a posto...i file sono ancora leggibili ( foto prevalentemente )

idem per quel che riguarda gli archivi pst di outlook...quelli non li ha criptati...come mai ( sia i pst che gli ost ) ??


quindi non riesco a capire come cavolo ha potuto infettare anche il secondo pc quando dropbox non era sincronizzato ...lo erano le mail ma quella con il messaggio "infetto" era gia stata cancellata in precedenza.

Perché in uso e quindi inaccessibili oppure troppo grandi.
Hai notato se i file di grosse dimensioni > 1GB sono stati criptati?

Il secondo Pc se era accesso in quel momento è stato criptato se la credenziale di accesso è la stessa

il problema è che non posso staccare hd perché è un tablet windows: il surface 3

c'è una soluzione anche in questa casistica?

si avvia da disco esterno USB bypassando il disco interno?
Se si fai il clone e poi parti da disco esterno USB. Quello interno vedi di disattivarlo in qualche modo in modo che non possa essere toccato

Perché in uso e quindi inaccessibili oppure troppo grandi.
Hai notato se i file di grosse dimensioni > 1GB sono stati criptati?

Il secondo Pc se era accesso in quel momento è stato criptato se la credenziale di accesso è la stessa



i file non criptati ( per ora ho visto solo gli archivi outlook , son tutti sopra i 2gb.. ora controllo se anche altri file grandi sono ancora salvi

per il secondo punto, parli di onedrive ?

quindi , ora che formatto...se riaccedo con le credenziali microsoft dici che in qualche modo...si re-infetta ?


...ah , dimenticavo , anche gli .exe non sono infetti ( driver e file di installazione app... )
grazie ! ;)

altri file "pesanti" non ne ha ... solo un archivio scollegato ( un backup manuale ) sempre di outlook ...da 2,2gb che è stato criptato come gli altri file...


ricapitolando non ha criptato i file outlook in uso e i vari .exe di installazione delle app...il resto tutto andato.

si avvia da disco esterno USB bypassando il disco interno?
Se si fai il clone e poi parti da disco esterno USB. Quello interno vedi di disattivarlo in qualche modo in modo che non possa essere toccato

dimentivavo di chiedere:

tu dici di fare un clone del hd no? ma il clone lo dovrei effettuare dal surface 3 con windows 8.1, se non avevo su installato nessun sw per backup se ora riaccedo in internet per scaricarmi il setup, l'exe me lo cripterebbe immagino, se invece spostassi da rete locale l'exe del setup di clonezilla ad es non è che mi cripta anche l'altro pc passando dalla rete locale? la questione è come metto programmi che mi serviranno per clonare o fare backup dei dati e files se l'infezione rischia di diffondersi per procurarmi questi setup?

dimentivavo di chiedere:

tu dici di fare un clone del hd no? ma il clone lo dovrei effettuare dal surface 3 con windows 8.1, se non avevo su installato nessun sw per backup se ora riaccedo in internet per scaricarmi il setup, l'exe me lo cripterebbe immagino, se invece spostassi da rete locale l'exe del setup di clonezilla ad es non è che mi cripta anche l'altro pc passando dalla rete locale? la questione è come metto programmi che mi serviranno per clonare o fare backup dei dati e files se l'infezione rischia di diffondersi per procurarmi questi setup?

dai però. sono 4 pagine che si dicon le stesse cose...
salva i file, clona l'hdd fai una immagine , zippalo fai quello che vuoi ma devi formattare. su su. animo in pace e via. per ora no recuperi una favazza!