CTB Locker - nuova variante del 27-01-2015 del famigerato virus

[Andreaa87]

se volete ve li recupero io i file!!!!

[Inocs]

Stesso problema ad uno dei computer dello studio in cui lavoro.

Peraltro fino a ieri si avviava la comoda schermata sul desktop, oggi non più e non so il motivo: ho visto i log di Kaspersky e Malwarebytes, installati sulla macchina, ma non hanno eliminato niente nelle ultime ore (nè prima, peraltro, in quanto la versione di CTB-locker è passata indenne). D'altronde neanche potevano aggiornarsi, visto che la macchina non era in rete, mah....

Oggi ho scaricato e installato Tor ma il link indicato al momento non funziona. Terrò in buon conto il suggerimento di riprovare in serata, dopo le 23:00

Intanto - visto che ieri avevo fatto decrittare un file a caso e in effetti mi era tornato fruibile - sto per far acquistare i due bitcoin richiesti su bitboat, nella speranza che in serata funzioni il link. L'utente, un avvocato, sul computer teneva tutti i suoi dati inerenti cause civili e tutte le foto dei suoi due figli piccoli, ma proprio tutte, senza backup...

Ovviamente, vi aggiornerò se ci sono novità.

[Andreaa87]

ma non comprate nessun bitcoin, ve li recupero io tutti i file!!!

[Chibibi]

Quote:

Originariamente inviato da Andreaa87

ma non comprate nessun bitcoin, ve li recupero io tutti i file!!!

Ci puoi aiutare davvero? Non è una "bufala"????

[Mandopa]

quindi ora come ora l'unica soluzione veloce (a patto di perdere tutti i dati) è la formattazione ?

[Chibibi]

Quote:

Originariamente inviato da Chibibi

Ci puoi aiutare davvero? Non è una "bufala"????

La cosa è davvero molto seria........

[Chibibi]

Quote:

Originariamente inviato da Inocs

Stesso problema ad uno dei computer dello studio in cui lavoro.

Peraltro fino a ieri si avviava la comoda schermata sul desktop, oggi non più e non so il motivo: ho visto i log di Kaspersky e Malwarebytes, installati sulla macchina, ma non hanno eliminato niente nelle ultime ore (nè prima, peraltro, in quanto la versione di CTB-locker è passata indenne). D'altronde neanche potevano aggiornarsi, visto che la macchina non era in rete, mah....

Oggi ho scaricato e installato Tor ma il link indicato al momento non funziona. Terrò in buon conto il suggerimento di riprovare in serata, dopo le 23:00

Intanto - visto che ieri avevo fatto decrittare un file a caso e in effetti mi era tornato fruibile - sto per far acquistare i due bitcoin richiesti su bitboat, nella speranza che in serata funzioni il link. L'utente, un avvocato, sul computer teneva tutti i suoi dati inerenti cause civili e tutte le foto dei suoi due figli piccoli, ma proprio tutte, senza backup...

Ovviamente, vi aggiornerò se ci sono novità.

AGGIORNACI PLEASE.......

[vascoseigrande]

Quote:

Originariamente inviato da Chibibi

Ci puoi aiutare davvero? Non è una "bufala"????

In che modo lo faresti? Se c'è realmente un modo condividilo con la comunità, vedrai che ne guadagnerai di fama. Se poi il tuo interesse è un altro le cose cambiano. Io come molti altri siamo tecnici e vorremo realmente ripristinare le macchine dei nostri clienti.

[Chibibi]

Quote:

Originariamente inviato da Mandopa

quindi ora come ora l'unica soluzione veloce (a patto di perdere tutti i dati) è la formattazione ?

NON PUO' ESSERE, DAI. IO NON MI ARRENDO......

[Chibibi]

Quote:

Originariamente inviato da vascoseigrande

In che modo lo faresti? Se c'è realmente un modo condividilo con la comunità, vedrai che ne guadagnerai di fama. Se poi il tuo interesse è un altro le cose cambiano. Io come molti altri siamo tecnici e vorremo realmente ripristinare le macchine dei nostri clienti.

TI DO RAGIONE. ATTENDIAMO NEWS DA "ANDREAA87".
HA DETTO DI RIVOLGERCI A LUI. ATTENDIAMO CON ANSIA INDICAZIONI.....

[Andreaa87]

mandatemi un file criptato alla mia email e ve lo rimando decriptato....così vedete che non dico cazzate!!!
edit[/email]

[prato69]

ad oggi per quanto concerne CTB LOCKER non esite nessuna soluzione per la decriptazione dei file.
Basta leggere in rete per trovare conferma di quello che affermo.
I fenomeni che dicono di decriptare i file non lo fanno perchè sono geni informatici ma semplicemente andando su sito https://www.decryptcryptolocker.com/ che fornisce chiavi di decriptazione esclusivamente per CryptoLocker che è la versione "vecchia" di cbt loker.
Potete tranquillamente provare da sito a fare la suddetta operazione e vedrete che purtroppo non ha alcun effetto.
Il resto son solo pagliacciate.

[Unax]

attenzione per chi avesse intenzione di sottostare al ricatto

leggo in un commento su un sito (ma non so se è vero)

Quote:

Inoltre se il vostro antivirus ha eliminato il virus e non avete ricevuto il messaggio classico del riscatto dei file, SIETE FREGATI! L'anti virus ha distrutto con se l'unica chiave di decriptaggio in grado di ripristinare i file criptati.

e anche

Quote:

Sembrerebbe che passate 48 ore dall’attivazione di CTB-Locker i cyber-criminali rimuovano la chiave dal server segreto, per non essere rintracciato, rendendo impossibile recuperare i file. Insomma ci sono solo 48 per pagare

pare anche che il virus tenti di eliminare le copie shadow dei file quindi non c'è garanzia di riuscire a recuperare con shadowexplorer e simili anche se non costa nulla fare una copia

[JackLayne]

Qui da un cliente stiamo passando a tappeto l'aggiornamento dell'antivirus..una buona soluzione sarebbe non utilizzare l'utente principale come admin forse? per virus come questo e simili...

[Inocs]

Quote:

Originariamente inviato da Unax

attenzione per chi avesse intenzione di sottostare al ricatto

leggo in un commento su un sito (ma non so se è vero)


e anche



pare anche che il virus tenti di eliminare le copie shadow dei file quindi non c'è garanzia di riuscire a recuperare con shadowexplorer e simili anche se non costa nulla fare una copia

Posso smentire tutto. Confermando che la schermata sul desktop ormai non si apre più (non so a causa di cosa), per un attimo è tornata invece la connettività su tor e ho provveduto ad inserire il codice. E' uscita la solita richiesta di 2 Bitcoin. Inoltre mi è stata offerta la possibilità di decrittare un solo file e, dopo qualche secondo, tutto è andato a buon fine: uploadato e restituito nella sua versione fruibile. Siamo già oltre le 48 ore dall'evento.

Quindi, come spesso accade, non è vero.

[Unax]

Quote:

Originariamente inviato da JackLayne

Qui da un cliente stiamo passando a tappeto l'aggiornamento dell'antivirus..una buona soluzione sarebbe non utilizzare l'utente principale come admin forse? per virus come questo e simili...

ma siamo sicuri che abbia bisogno di privilegi elevati questo malware?

[Inocs]

Ok, la mia collega ha comprato i bitcoin (451,00 euro) e poi pagato e, dopo un po' di tempo ad aggiornare la pagina sul browser tor, mi è pervenuto un'eseguibile denominato unlocker.exe e una chiave privata. E' arrivato un messaggio che diceva di disattivare tutti gli antivirus e di conservare software e chiave, in modo da poterli poi utilizzare in qualunque momento successivo.

Sta iniziando a decrittare tutte le immagini, non vedo problemi. In poco tempo, in pratica, si è pagato e si sta riportando tutto indietro.

Lascio la discussione con un'indicazione utile, per quanto subottimale e antipatica: chi ha davvero dati a cui non può rinunciare per niente al mondo, sappia che pagando, e seguendo con cautela tutte le istruzioni (fatevi aiutare da chi ha dimestichezza con l'informatica) si riottengono indietro.

[vascoseigrande]

Quote:

Originariamente inviato da Inocs

Ok, la mia collega ha comprato i bitcoin (451,00 euro) e poi pagato e, dopo un po' di tempo ad aggiornare la pagina sul browser tor, mi è pervenuto un'eseguibile denominato unlocker.exe e una chiave privata. E' arrivato un messaggio che diceva di disattivare tutti gli antivirus e di conservare software e chiave, in modo da poterli poi utilizzare in qualunque momento successivo.

Sta iniziando a decrittare tutte le immagini, non vedo problemi. In poco tempo, in pratica, si è pagato e si sta riportando tutto indietro.

Lascio la discussione con un'indicazione utile, per quanto subottimale e antipatica: chi ha davvero dati a cui non può rinunciare per niente al mondo, sappia che pagando, e seguendo con cautela tutte le istruzioni (fatevi aiutare da chi ha dimestichezza con l'informatica) si riottengono indietro.

Ottima informazione.. ma come è possibile riavere la pagina di acquisto per chi ha tentato la rimozione?

[dema86]

Quote:

Originariamente inviato da vascoseigrande

Ottima informazione.. ma come è possibile riavere la pagina di acquisto per chi ha tentato la rimozione?

Sul disco fisso trovi di sicuro, in diverse locazioni, un file TXT che si chiama decrypt-all-files-estensione

Contiene tutte le istruzioni, indirizzo tor, chiave personale tua (che devi inserire una volta arrivato sulla pagina tor, etc. etc.).

C'è anche una bitmap con l'immagine che dovrebbe comparirti come sfondo del desktop in giro, sui 4MB, non ricordo come si chiami il file. Comunque se cerchi decrypt con la ricerca integrata di windows te li trova, sia i TXT che le BMP.

Stasera dopo cena, quando finalmente avranno staccato il server in azienda, proveremo a controllare se il pagamento ha sbloccato qualcosa.

Al momento il server TOR sembra irraggiungibile, quindi probabilmente ci toccherà aspettare sul più tardi...

[!fazz]

mia situazione


ho un cliente che ha ricevuto la mail in oggetto, ha provato ad eseguire il cab ma non è riuscito e fino ad ora pare tutto funzionante

la mail l'ha ricevuta martedì

s.o. windows 8
antivirus KIS

share condiviso mappato su un server windows che backuppa con un altro utente su un nas

settimana prossima controllo la macchina, teoricamente i dati dovrebbero essere salvi (nel caso peggiore perderebbe i dati dell'ultima settimana ) ovvero dall'infezione fino al controllo

ma comunque non avendomi chiamato in panico direi che l'accoppiata kis + windows 8 ha bloccato il virus non impedendo l'esecuzione del cab

vi aggiornerò