Attenzione è stata rilevata attività illecità

[bigcaruso]

Un mio amico mi ha portato un HP Compaq Mini110, il pc al boot visualizza una pagina da consolle che dice:
"Attenzione è stata rilevata attività illecità.
Il sistema operativo è stato bloccato a causa di violazioni di legge italiana!
E' stato rilevato che dal suo computer sono stati effettuati lo spamming di contenuto pornografico e la frequenzenza (proprio cosi) di siti pornografici vietati..
Sul computer ci sono anche file video con contenuto pornografico!
Per sbloccare il suo computer bisogna pagare la multa pari a euro 50,00.
Il pagamento dovrà essere effettuato entro 24 ore. Se il pagamento non sarà fatto in tempo il vostro hard disk sarà formattato irrecuperabilmente e distruggerà tutti i file per sempre..
ETC..ETC.."

Poi elenca delle possibilità di pagamento tra cui l'aquisto di un voucher di UKASH che ti darà un codice di pagamento di 19 cifre che manderai via SMS ad un numero di cell che immediatamente di invierà un controcodice di sblocco.
L'hard disk su un live Mint Helena9 viene visto ma non presenta più alcuna partizione.
Inoltre il pc in questione ha l'etichetta di Microsoft sul fondo ed è talmente usurata che non solo non vedo il codice ma addirittura non capisco manco se è seven o Vista.
Pensate che La HP con il seriale è in grado di fornirvi il codice del S.O. Microsoft?
Consigliulteriori? In rete non ho trovato nulla a tal proposito.
Saluti

[Chill-Out]

Quote:

Originariamente inviato da bigcaruso

Un mio amico mi ha portato un HP Compaq Mini110, il pc al boot visualizza una pagina da consolle che dice:
"Attenzione è stata rilevata attività illecità.
Il sistema operativo è stato bloccato a causa di violazioni di legge italiana!
E' stato rilevato che dal suo computer sono stati effettuati lo spamming di contenuto pornografico e la frequenzenza (proprio cosi) di siti pornografici vietati..
Sul computer ci sono anche file video con contenuto pornografico!
Per sbloccare il suo computer bisogna pagare la multa pari a euro 50,00.
Il pagamento dovrà essere effettuato entro 24 ore. Se il pagamento non sarà fatto in tempo il vostro hard disk sarà formattato irrecuperabilmente e distruggerà tutti i file per sempre..
ETC..ETC.."

Poi elenca delle possibilità di pagamento tra cui l'aquisto di un voucher di UKASH che ti darà un codice di pagamento di 19 cifre che manderai via SMS ad un numero di cell che immediatamente di invierà un controcodice di sblocco.
L'hard disk su un live Mint Helena9 viene visto ma non presenta più alcuna partizione.
Inoltre il pc in questione ha l'etichetta di Microsoft sul fondo ed è talmente usurata che non solo non vedo il codice ma addirittura non capisco manco se è seven o Vista.
Pensate che La HP con il seriale è in grado di fornirvi il codice del S.O. Microsoft?
Consigliulteriori? In rete non ho trovato nulla a tal proposito.
Saluti

Ciao, in modalità provvisoria F8 stesso problema?

[bigcaruso]

In realtà non puo esistere modalità provvisoria in quanto non solo non ci sono più file, ma addirittura, anche con Mint helena 9, non ci sono partizioni o i sistemi operativi che ho usato per analizzare il disco non riconoscono partizioni.
Sicuramente qualcosa c'è scritto nel disco in quanto il pc parte e mi esce quella schermata suddescritta, ma Gparted non vede partizioni.
Saluti

[Chill-Out]

Quote:

Originariamente inviato da bigcaruso

Sicuramente qualcosa c'è scritto nel disco in quanto il pc parte e mi esce quella schermata suddescritta, ma Gparted non vede partizioni.
Saluti

C'è assolutamente tutto, potresti fare un ripristino alle condizioni di fabbrica.

[xcdegasp]

non è che sia quel worm che cripta l'hdd?

sta storia del pagare i 50€ mi puzza di quel ricatto:
https://www.pcalsicuro.com/main/2011...uestra-il-mbr/
io proverei a immettere un qualsiasi codice numerico di 14 cifre esempio: 12345678901234

se è questo il caso il pc riprenderà a funzionare come prima dell'infezione e si autopulisce dall'infezione..

[bigcaruso]

Sicuramente è questo anche se ho provato con un codice generico è purtroppo non si sblocca.
Comunque ho trovato delle cose in merito su internet e cercherò di capirci qualcosa.
Vi tengo informati sullo sviluppo.
Saluti

[xcdegasp]

allora prova con un rescue cd come avira antivir rescue system oppure kaspersky rescue disk

li scaricherai e li masterizzerai da un pc sano, poi inserisci il cd e segui le indicazioni a video

ps: non usare vecchi cd rescue perchè ovviamente non saranno aggiornati

[bigcaruso]

Quote:

Originariamente inviato da xcdegasp

allora prova con un rescue cd come avira antivir rescue system oppure kaspersky rescue disk

li scaricherai e li masterizzerai da un pc sano, poi inserisci il cd e segui le indicazioni a video

ps: non usare vecchi cd rescue perchè ovviamente non saranno aggiornati

Seguirò il tuo consiglio, spero solo stasera di avere un po di tempo da dedicare al problema.
A presto

[bigcaruso]

In ogni caso per quello che leggo in giro questa è una nuova variante.
Infatti non ti chiede di chiamare ad un numero 899 o similari, ma di acquistare un voucher di UKASH da 50 euro e poi di comunicare il codice di pagamento con un sms ad un numero 327xxxxxx (non lo ho sottomano ma se puo servire lo inserirò nel post) successivamente sul cellulare da cui hai inviato l'sms ti dovrebbe arrivare un codice di sblocco.
Inoltre la schermata che ti appare all'avvio è scritta in Italiano a differenza di quanto letto in giro dove si parla di testo in inglese, infine come già segnalato non è sufficiente inserire un codice qualsiasi ho provato con un codice da 2 a 24 cifre ma nisba.
Ho masterizzato i cd provero con i CD RESCUE di AVIRA e KASPER.

[Chill-Out]

Quote:

Originariamente inviato da bigcaruso

In ogni caso per quello che leggo in giro questa è una nuova variante.
Infatti non ti chiede di chiamare ad un numero 899 o similari, ma di acquistare un voucher di UKASH da 50 euro e poi di comunicare il codice di pagamento con un sms ad un numero 327xxxxxx (non lo ho sottomano ma se puo servire lo inserirò nel post) successivamente sul cellulare da cui hai inviato l'sms ti dovrebbe arrivare un codice di sblocco.
Inoltre la schermata che ti appare all'avvio è scritta in Italiano a differenza di quanto letto in giro dove si parla di testo in inglese, infine come già segnalato non è sufficiente inserire un codice qualsiasi ho provato con un codice da 2 a 24 cifre ma nisba.
Ho masterizzato i cd provero con i CD RESCUE di AVIRA e KASPER.

Quote:

Originariamente inviato da bigcaruso

Un mio amico mi ha portato un HP Compaq Mini110

Dov'è il lettore DVD in questo modello?

[bigcaruso]

Non ha il lettore DVD, ma posso mettere l'HD su un PC fisso e bootare da DVD.
Penso che la scansione la faccia comunque.
Da quello che ho capito fanno la scansione ma non toccano il registro e comunque non modificano l'installazione presente sull'HD.
Penso si possa fare ma domani mattina ora sto per crollare.
Saluti

[bigcaruso]

Purtroppo entrambi i CD Live segnalati riescono a risolvere il problema, in realtà manco vedono la partizione o le partizioni ( pare ci fosse anche la partizione di recovery).
Quindi non risolvono questo tipo di problema.
Saluti

[Riku]

prova un ripristino alle condizioni di fabbrica premendo f11 all'avvio di windows

[Chill-Out]

Quote:

Originariamente inviato da bigcaruso

Non ha il lettore DVD, ma posso mettere l'HD su un PC fisso e bootare da DVD.
Penso che la scansione la faccia comunque.
Da quello che ho capito fanno la scansione ma non toccano il registro e comunque non modificano l'installazione presente sull'HD.
Penso si possa fare ma domani mattina ora sto per crollare.
Saluti

Se metti l'HDD su un altro PC non ha senso ha utilizzare un LiveCD.

[bigcaruso]

Quote:

Originariamente inviato da Riku

prova un ripristino alle condizioni di fabbrica premendo f11 all'avvio di windows

Il ripristino F11 non è possibile in quanto l'HDD non ha partizioni ( o almeno sono criptate e non visibili) e quindi nemmeno la partizione di recovery.
Siamo in ppresenza di una nuovissima versione di " Ransomware".
Grazie comunque.

[bigcaruso]

Quote:

Originariamente inviato da Chill-Out

Se metti l'HDD su un altro PC non ha senso ha utilizzare un LiveCD.

Su un altro PC lo metto, ma provvedo a staccare l'HDD originale per evitare di infettarlo non si sa mai, anche perchè siamo di fronte ad un qualcosa sconosciuto ai più.
Infatti le soluzioni trovate su internet sono per versioni precedenti e non fungono ( password a caso di 14 caratteri, password standard diffuse poi su internet "aaaaaaciip" "aaaaadabia")
Addirittura la procedura consigliata in questo post:
http://www.securelist.com/en/blog/20...MBR_Ransomware
con l'uso Hiren's CD 10.2 e l'applicazione "Acronis Disk Director Suite 10.0.2160" mi si blocca all'analisi della partizione e esce dal prog dopo 2 ore.
Questi figli di buona donna hanno ideato questo ransomware e hanno fatto in modo di eludere tutte le soluzioni fin ora trovate per i precedenti ransom.
L'unica cosa di cui sono certo e che "Superfdisk" vede l'HD come 152626M Head 206 sector 19 e non riconosce ne LBA, ne CHS ne altro mi dice che c'è un errore nel HDD.
Per ora Vi saluto e comunque grazie della collaborazione.

[Chill-Out]

Riesci ad indicarmi il numero di Cell al quale inviare il codice di sblocco?

[bigcaruso]

Quote:

Originariamente inviato da Chill-Out

Riesci ad indicarmi il numero di Cell al quale inviare il codice di sblocco?

Chiede di inviare il codice del voucher UKASH di € 50 al numero +37259534131 (numerazione lituana?), sullo stesso cellulare da cui invii l'sms riceverai il codice di sblocco.
Ciao

[Chill-Out]

Quote:

Originariamente inviato da bigcaruso

Chiede di inviare il codice del voucher UKASH di € 50 al numero +37259534131 (numerazione lituana?), sullo stesso cellulare da cui invii l'sms riceverai il codice di sblocco.
Ciao

Questi sono i possibili codici di sblocco:

Quote:

CONTROL
IRAC
BOLITGOLOVA
PARALLEL
816908
SPAT
G9S6WOR
RAP100R
PLAYGIRL
SVADBA
POLYNOM
99885522
13910
SPEED
SALO
LOLA
GARDEN
TRAVKA
POKER
BANK
ALBERT
FRONT
APPLE
BMW
OPEL
GASH
710394RD
6014500
52509
31337
makak77
zpo4301
6920567
281056
003-001-005-111-995-995-995
777888
333000
16342131
068414741
MUSTGO
62nr253211
424424
70000001
70000004
abcdefgh
Спасибо.
STARCRAFT 2
GmbH
9300
9100
PROTOSS
21186533
123123
111000
avothui0
000111
456456
654654
852852
147741
tadam
herbert
CHILDREN OF DUNE
FRANK HERBERT
gbpltw
RAMMSTEIN

[giobup2]

Ciao Chill-Out, anche io ho questa infezione, ma con i codici della tua ultima risposta il pc non si sblocca (non ho provato tutti i codici....) Forse e' una nuova variante di infezione? Fammi sapere se trovi un sistema per sbloccare il pc . grazie