Virus che cripta files... = Disastro

overclokk · 09-05-2012, 13:28

Buongiorno a tutti gli utenti del forum.
Questa è una cosa strana capitata a me e che per adesso non trova riscontro su internet.. oppure non ho cercato sufficientemente bene.

Ho un pc che ha preso il classico virus della polizia. Nulla di trascendentale.
Si pulisce facilmente... MA INVECE... ho trovato il pc pieno di files modificati da un virus (tutti con la data e l'ora dell'infezione) e sono praticamente inutilizabili.
Praticamente i files hanno tutti un prefisso locked- e poi un estensione a 4 lettere casuali.

esempio: locked-prova.doc.nlrr

Se rinomino il file in prova.doc, per esempio, il file risulta corrotto

Qualcuno sa qualcosa?
E' più una sfida tra me e il virus più che una esigenza di recupero files visto che non ci sono files vitali.

Grazie anticipatamente

Pozhar · 09-05-2012, 14:23

Per prima cosa ti direi di andare in modalità provvisoria con rete ed eseguire Malwarebytes aggiornato con le ultime definizioni.

overclokk · 09-05-2012, 23:14

mmm mi sa che non hai capito bene.
Anzi mi sa che mi sono spiegato male io.
Il virus non c'è più nel sistema operativo. Il disco è pulito ma ho migliaia di files
inutilizzabili.
Volevo sapere se qulacuno ha avuto esperienze simili e se ha recuperato i files.

Pozhar · 10-05-2012, 11:19

Quote:

Originariamente inviato da overclokk

mmm mi sa che non hai capito bene.
Anzi mi sa che mi sono spiegato male io.
Il virus non c'è più nel sistema operativo. Il disco è pulito ma ho migliaia di files
inutilizzabili.
Volevo sapere se qulacuno ha avuto esperienze simili e se ha recuperato i files.

Ho capito, ma che il virus non ci sia più, non vuol dire che il problema sia risolto.
Se hai questo problema, vuol dire che ci sono ancora residui del virus. Non è che eliminando il file dannoso, credi che sia risolto il problema. Dalla tua descrizione, si evince che, molto probabilmente il registro di sistema ha alcune chiavi infette.

Se non si è pratici, è difficile scovarle e toglierle a mano. Ecco perché ti avevo consigliato di fare una scansione con un anti-malware.

Cmq prova prima a fare una scansione con Malwarebytes, se non ti trova niente, scaricati kaspersky rescue disk.
Qui trovi una guida sull'utilizzo:

http://www.hwupgrade.it/forum/showthread.php?t=1878747

nV 25 · 10-05-2012, 11:26

le informazioni che hai fornito ritengo siano troppo generiche:
sono molti, infatti, i malware che hanno la capacità di cifrare dei file rendendoli ovviamente indisponibili.

Di conseguenza, sono diversi anche i tool di decifratura che si rivolgono a specifiche varianti.

Prova a fare qualche scansione per vedere se hai almeno un'indicazione sul nome di quello che potrebbe essere stato l'agente patogeno.

Imo

nV 25 · 10-05-2012, 11:49

guarda semmai anche questa discussione dove chill-out indica un tool generico per la decifratura,
http://www.hwupgrade.it/forum/showthread.php?t=2462057

overclokk · 10-05-2012, 14:51

grazie nv 25
In realtà il virus si presentava con la schermata della polizia postale.
L'ho tolto usando mbam e combofix.
Il Problema sono i files con quella estensione.... oggi studio i link che mi hai dato e poi vi aggiorno.

overclokk · 10-05-2012, 15:28

mmm Per adesso niente.. sembra che il "mio" virus sia diverso...

Allora il Nod32 lo chiama Win32/injector.qwv trojan horse.
Adesso studio il "maligno" e poi vi aggiorno

overclokk · 14-05-2012, 15:19

basta ci rinuncio... nel senso i files non sono così importanti...
in giro non ho trovato molto di simile..
PACE

bill+jobs=$ · 19-05-2012, 00:18

Quote:

Originariamente inviato da overclokk

basta ci rinuncio... nel senso i files non sono così importanti...
in giro non ho trovato molto di simile..
PACE

Ok, ma attrezzati di backup...che torna sempre utile !

overclokk · 01-06-2012, 01:42

Ah per la pace di tutti: nessun dato è andato perso, il pc è stato formattato e lavora egregiamente. Volevo soltanto capire per mia curiosità personale quale
"bestia" era stata presa. Non vorrete mica far vincere il virus

Oggi leggendo qua e la ho visto una cosa interessante...

citando http://makapp.net/security-computer-...lizia-postale/
Aggiornamento (8/05/12)

(Fonte: community McAfee – grazie alla segnalazione di un utente, Andi)

La nuova variante di questo virus è in stile Ransomware! Vi trovate con tutti file bloccati? Tipico dei virus Ransomware!
Cioè ogni file ha come prefisso “locked-”, nome del file, estensione originaria del file e un ulteriore estensione da noi non riconosciuta? Bhe, il file è stato criptato con una chiave a noi sconosciuta.

Esiste un modo per poter recuperare il file ma per poter riuscire nell’impresa bisogna avere una copia identica del file bloccato. Cercate nel vostro HDD dove fate i backup, cercate nell’HDD tramite un programma per recuperare i file cancellati se pensate di recuperare una copia cancellata, cercate di farvelo mandare tramite email nel caso l’avrete mandato a qualche cliente o amico…. l’importante è che avete una copia del file. Solo in questo modo (per il momento, poi non si sa se in futuro si riuscirà a trovare una soluzione migliore) si può recuperare il file.

09-05-2012, 13:28	#1
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	Virus che cripta files... = Disastro Buongiorno a tutti gli utenti del forum. Questa è una cosa strana capitata a me e che per adesso non trova riscontro su internet.. oppure non ho cercato sufficientemente bene. Ho un pc che ha preso il classico virus della polizia. Nulla di trascendentale. Si pulisce facilmente... MA INVECE... ho trovato il pc pieno di files modificati da un virus (tutti con la data e l'ora dell'infezione) e sono praticamente inutilizabili. Praticamente i files hanno tutti un prefisso locked- e poi un estensione a 4 lettere casuali. esempio: locked-prova.doc.nlrr Se rinomino il file in prova.doc, per esempio, il file risulta corrotto Qualcuno sa qualcosa? E' più una sfida tra me e il virus più che una esigenza di recupero files visto che non ci sono files vitali. Grazie anticipatamente __________________ Ci Vuole la F... e che Dio la benedica

09-05-2012, 23:14	#3
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	mmm mi sa che non hai capito bene. Anzi mi sa che mi sono spiegato male io. Il virus non c'è più nel sistema operativo. Il disco è pulito ma ho migliaia di files inutilizzabili. Volevo sapere se qulacuno ha avuto esperienze simili e se ha recuperato i files. __________________ Ci Vuole la F... e che Dio la benedica

10-05-2012, 14:51	#7
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	grazie nv 25 In realtà il virus si presentava con la schermata della polizia postale. L'ho tolto usando mbam e combofix. Il Problema sono i files con quella estensione.... oggi studio i link che mi hai dato e poi vi aggiorno. __________________ Ci Vuole la F... e che Dio la benedica

10-05-2012, 15:28	#8
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	mmm Per adesso niente.. sembra che il "mio" virus sia diverso... Allora il Nod32 lo chiama Win32/injector.qwv trojan horse. Adesso studio il "maligno" e poi vi aggiorno __________________ Ci Vuole la F... e che Dio la benedica

14-05-2012, 15:19	#9
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	basta ci rinuncio... nel senso i files non sono così importanti... in giro non ho trovato molto di simile.. PACE __________________ Ci Vuole la F... e che Dio la benedica

09-05-2012, 14:23	#2
Pozhar Senior Member Iscritto dal: Sep 2011 Messaggi: 6094	Per prima cosa ti direi di andare in modalità provvisoria con rete ed eseguire Malwarebytes aggiornato con le ultime definizioni.

10-05-2012, 11:26	#5
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	le informazioni che hai fornito ritengo siano troppo generiche: sono molti, infatti, i malware che hanno la capacità di cifrare dei file rendendoli ovviamente indisponibili. Di conseguenza, sono diversi anche i tool di decifratura che si rivolgono a specifiche varianti. Prova a fare qualche scansione per vedere se hai almeno un'indicazione sul nome di quello che potrebbe essere stato l'agente patogeno. Imo

10-05-2012, 11:49	#6
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	guarda semmai anche questa discussione dove chill-out indica un tool generico per la decifratura, http://www.hwupgrade.it/forum/showthread.php?t=2462057

01-06-2012, 01:42	#11
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	Ah per la pace di tutti: nessun dato è andato perso, il pc è stato formattato e lavora egregiamente. Volevo soltanto capire per mia curiosità personale quale "bestia" era stata presa. Non vorrete mica far vincere il virus Oggi leggendo qua e la ho visto una cosa interessante... citando http://makapp.net/security-computer-...lizia-postale/ Aggiornamento (8/05/12) (Fonte: community McAfee – grazie alla segnalazione di un utente, Andi) La nuova variante di questo virus è in stile Ransomware! Vi trovate con tutti file bloccati? Tipico dei virus Ransomware! Cioè ogni file ha come prefisso “locked-”, nome del file, estensione originaria del file e un ulteriore estensione da noi non riconosciuta? Bhe, il file è stato criptato con una chiave a noi sconosciuta. Esiste un modo per poter recuperare il file ma per poter riuscire nell’impresa bisogna avere una copia identica del file bloccato. Cercate nel vostro HDD dove fate i backup, cercate nell’HDD tramite un programma per recuperare i file cancellati se pensate di recuperare una copia cancellata, cercate di farvelo mandare tramite email nel caso l’avrete mandato a qualche cliente o amico…. l’importante è che avete una copia del file. Solo in questo modo (per il momento, poi non si sa se in futuro si riuscirà a trovare una soluzione migliore) si può recuperare il file. __________________ Ci Vuole la F... e che Dio la benedica

Strumenti
Mostra una versione stampabile Invia questa pagina per email