Ransomware: Prevenzione e soluzioni

[orsa99]

Quote:

Originariamente inviato da giovanni69

Scusami ma immagino che siano uscite diverse soluzioni nei successivi 7 anni dal moemento in cui è stato effettuato il reverse engineering da parte di Kyrus Technologies.

Giovanni e dove? Non ho mai trovato nulla in rete!

[giovanni69]

All'epoca c'era pure un sito su cui caricare il file e cercava di decriptarlo. Adesso forse il tutto è stato sostituito da società che fanno il lavoro oppure è stato chiuso (FireEye / Fox-IT ) . Dipende quanto sono importanti quei files per te.

https://www.thewindowsclub.com/list-...ecryptor-tools
https://www.bynarycodes.com/decrypt-...er-ransomware/
https://heimdalsecurity.com/blog/ran...ryption-tools/

Iscriviti a qualche blog o forum specifico (es. Kaspersky Club) per vedere se ci sono state evoluzioni.

O prova con un file criptato caricandolo qui:
https://www.emsisoft.com/ransomware-decryption-tools/

[orsa99]

Quote:

Originariamente inviato da giovanni69

All'epoca c'era pure un sito su cui caricare il file e cercava di decriptarlo. Adesso forse il tutto è stato sostituito da società che fanno il lavoro oppure è stato chiuso (FireEye / Fox-IT ) . Dipende quanto sono importanti quei files per te.



O prova con un file criptato caricandolo qui:
https://www.emsisoft.com/ransomware-decryption-tools/

Ci sono diverse versioni di Cryptolocker all'epoca beccai una versione più recente: CTB-locker e dall'analisi sul sito emsisoft risulta non ancora decriptabile.

[ferrybotte]

buongiorno ragazzi,

spero di essere nella sezione giusta ..

da un po' di tempo quando eseguo la scansione con il mio Malware Bytes Free trovo sempre Trovigo e company..

le mie domande, prevedibilmente, sono:

come posso averlo preso dato che sono attentissimo a scaricare e cliccare in giro

2. se è come mi sembra nella cartella di chrome basta disinstallare Google Chrome e poi installarlo di nuovo per eliminarlo?

3. che cos'è esattamente?

4. Domanda Fondamentale: mi può spiare le cartelle in C? non credo sia un ransomware né una cosa grave: il mio dubbio principale è che questo o altri file possano spiare in qualche modo anche i documenti nelle cartelle offline ..

sarei disposto ad attivare anche una versione a pagamento di un buon programma se fossi sicuro che può garantirmi protezione attiva. Il problema è che a quanto pare tutti i programmi stanno andando in versione abbonamento tot al mese anziché con la vecchia licenza lifetime.
capisco il loro interesse ma per me da cliente è una cosa che non posso accettare..

inoltre ho letto che la combo win 10 defender + malwarebytes free è comunque ottima.. giusto?

Quote:

Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data scansione: 18/08/21
Ora scansione: 19:29
File di log: *******-****-****-****-************.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1292
Aggiorna versione pacchetto: 1.0.44226
Licenza: Free

-Informazioni sistema-
SO: Windows 10 (Build 19043.1165)
CPU: x64
File system: NTFS
Utente: *******\****

-Riepilogo scansione-
Tipo di scansione: Ricerca elementi nocivi
Scansione avviata da: Manuale
Risultati: Completata
Elementi analizzati: 375237
Minacce rilevate: 4
Minacce messe in quarantena: 0
Tempo impiegato: 9 min, 18 sec

-Opzioni di scansione-
Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Analisi euristica: Attivata
PUP: Rilevare
PUM: Rilevare

-Dettagli scansione-
Processo: 0
(Nessun elemento nocivo rilevato)

Modulo: 0
(Nessun elemento nocivo rilevato)

Chiave di registro: 0
(Nessun elemento nocivo rilevato)

Valore di registro: 0
(Nessun elemento nocivo rilevato)

Dati di registro: 0
(Nessun elemento nocivo rilevato)

Flusso di dati: 0
(Nessun elemento nocivo rilevato)

Cartella: 1
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Nessuna azione intrapresa, 473, 455258, , , , , ,

File: 3
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nessuna azione intrapresa, 473, 455258, 1.0.44226, , ame, , 7DDED1AC1B79A268FB832E2DF73641BA, 8FEC87087F9168C1D6CC86F82C916771B73435F4EA32FBDE140A7CE105DC0679
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Nessuna azione intrapresa, 473, 455258, 1.0.44226, , ame, , 841D3FB81EDBD9298703BBB9DD8C36B8, 4C139C6F377D7C3D0B7231C57CC097063F2EB4810784E4F2894FD21544486659
PUP.Optional.Conduit, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nessuna azione intrapresa, 193, 454832, 1.0.44226, , ame, , 7DDED1AC1B79A268FB832E2DF73641BA, 8FEC87087F9168C1D6CC86F82C916771B73435F4EA32FBDE140A7CE105DC0679

Settore fisico: 0
(Nessun elemento nocivo rilevato)

WMI: 0
(Nessun elemento nocivo rilevato)


(end)

grazie

[TonyVe]

No, non saresti nella sezione corretta, non essendo un ransomware quello presente nel tuo PC.

Dovresti aprire un 3d in questa sezione, non un post in questa discussione.

Detto ciò; stai "tranquillo", non è nulla di troppo serio (per quanto tutto ciò che riguarda la sicurezza sia serio).

Lo scopo di quanto hai presente nel PC è farti apparire pubblicità et similia, facendo guadagnare chi gestisce poi tali situazioni. Etc.

Innanzitutto rimuovi le estensioni che non riconosci dalle impostazioni di Chrome. Idem se trovi programmi nel Pannello di Controllo (ma dubito).
Ripristina il motore di ricerca dalle impostazioni di Chrome.

Malwarebytes vedo che indica "nessuna azione intrapresa", cosa che dovrebbe poter fare anche in versione free, forse hai skippato l'azione in tal senso.

In ogni caso c'è il buon HitmanPro (32/64bit) a questo link, che cerca anche i PUP. https://www.hitmanpro.com/en-us/hmp
La versione free per 30 giorni la attivi semplicemente fornendo un indirizzo email (non ti arriva spam, ma hai capito che se basta una mail...).

Come ultima opzione c'è anche il ripristino totale delle impostazioni di Chrome.

[ferrybotte]

Quote:

Originariamente inviato da TonyVe

No, non saresti nella sezione corretta, non essendo un ransomware quello presente nel tuo PC.

Dovresti aprire un 3d in questa sezione, non un post in questa discussione.

Detto ciò; stai "tranquillo", non è nulla di troppo serio (per quanto tutto ciò che riguarda la sicurezza sia serio).

Lo scopo di quanto hai presente nel PC è farti apparire pubblicità et similia, facendo guadagnare chi gestisce poi tali situazioni. Etc.

Innanzitutto rimuovi le estensioni che non riconosci dalle impostazioni di Chrome. Idem se trovi programmi nel Pannello di Controllo (ma dubito).
Ripristina il motore di ricerca dalle impostazioni di Chrome.

Malwarebytes vedo che indica "nessuna azione intrapresa", cosa che dovrebbe poter fare anche in versione free, forse hai skippato l'azione in tal senso.

In ogni caso c'è il buon HitmanPro (32/64bit) a questo link, che cerca anche i PUP. https://www.hitmanpro.com/en-us/hmp
La versione free per 30 giorni la attivi semplicemente fornendo un indirizzo email (non ti arriva spam, ma hai capito che se basta una mail...).

Come ultima opzione c'è anche il ripristino totale delle impostazioni di Chrome.

grazie,

per quanto riguarda estensioni non ce n'erano e per sicurezza ho tolto anche quelle che già conoscevo tipo screenshot e robe varie;
chrome non lo uso proprio come browser cmq adesso controllo di re-impostare motore di ricerca e robe varie. Uso firefox o brave per youtube.
nessuna azione intrapresa forse perché per salvare il file poi mi sono dimenticato di mettere in quarantena
adesso vedo questo che mi hai consigliato, grazie

[stormen]

@x_Master_x , volevo farti notare che il link sotto la voce " Disabilitare "Riavvia automaticamente " in caso di BSOD ", non è più disponibile
Lo stesso per: https://www.winpatrol.com/winantiransom

[x_Master_x]

Quote:

Originariamente inviato da stormen

@x_Master_x , volevo farti notare che il link sotto la voce " Disabilitare "Riavvia automaticamente " in caso di BSOD ", non è più disponibile

Aperta ora, si apre appunto senza problemi

Quote:

Originariamente inviato da stormen

Lo stesso per: https://www.winpatrol.com/winantiransom

Rimosso, il software e il sito web non sono più disponibili.

Grazie

[sparviero00]

Perché non usare l'accesso controllato alle cartelle di windows stesso?