Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Volkswagen ID.4, SUV elettrico per la famiglia che convince
Volkswagen ID.4, SUV elettrico per la famiglia che convince
La declinazione SUV elettrica per Volkswagen prende il nome di ID.4 e abbiamo avuto l'occasione di provarla. Ecco le nostre impressioni, test prestazionali, consumi e tante considerazioni che non sono mai troppe per un settore ancora difficile da digerire per l'utente abituato alle care e vecchie auto con motore termico.
iPad mini 6 contro iPad 9: il più piccolo contro il più economico. La recensione
iPad mini 6 contro iPad 9: il più piccolo contro il più economico. La recensione
Due tablet molto diversi accomunati da un sistema operativo uguale sempre più completo e professionale. iPad mini 6 e iPad 9 sono agli antipodi: uno piccolo, fortemente portatile e con processore di ultimissima generazione. L’altro con il prezzo più basso tra i tablet di Apple e con il supporto alla Apple Pencil di prima generazione. Quale scegliere e perché?
Recensione FIFA 22: ecco com'è su Google Stadia
Recensione FIFA 22: ecco com'è su Google Stadia
FIFA 22 introduce la nuova tecnologia HyperMotion, presente però solo sulle console di nuova generazione e nella versione Google Stadia, non in quella Windows PC. Ecco perché abbiamo deciso di provarlo su Stadia, incontrando però qualche limitazione...
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 28-06-2021, 11:24   #1
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
Ransomware Trojan win32.....

Buongiorno,
nello scaricare un programma sono stato colpito da un Ransomware.....
attualmente credo di averlo eliminato dal pc anche se non ne sono pienamente sicuro ma per ora non vedo programmi in esecuzione strani o programmi sinistri.
Per quanto riguarda i siti ho bloccato una carta dove stava provando ad effettuare dei pagamenti ed instragram dove pubblicava pubblicità con accesso a siti promozionali.
Adesso oltre a cambiare le password di tutti i siti cos' altro dovrei fare?
e per essere sicuro di averlo eliminato cosa mi consigliate di fare?
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 28-06-2021, 20:47   #2
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
- Il nome “esatto” del Trojan/ransomware rilevato? se hai conservato il log dell’AV, riguardante la suddetta infezione, postalo.
- Per la messa in sicurezza del sistema, puoi iniziare col seguire questa procedura di “base”: link
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 00:56   #3
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
Il nome esatto del ransomware è: trojan:win32/azorult.FW!MTB
L ho beccato col programma di backup: EaseUS Todo Backup (crackato)
Il così detto virus non mi ha bloccato il pc ne disabilito task manager si è presentato solo con estensione.exe nascosta (quello che sono riuscito a trovare) ed ha cancellato l antivirus avast. non ha chiesto riscatti, ha provato ad effettuare solo dei pagamenti con una carta che ho bloccato.
Attualmente ho cambiato ogni singola password all interno del pc ed l antivirus dice che il pc è pulito anche se poco fa c è stato un accesso ad ebay che fortunatamente ricevendo la mail di connessione al sito ho cambiato immediatamente password.....
Mi sfugge qualcosa o me ne sono liberato?
Grazie del supporto
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 07:43   #4
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Il nome esatto del ransomware è: trojan:win32/azorult.FW!MTB
Più che di ransomware trattasi di un trojan info-stealer-dropper (emotet, Ramnit) dotato di funzionalità ransomware, il cui obiettivo principale è quello di sottrarre informazioni sensibili dal PC infetto, in particolare le password per l’autenticazione ai servizi di bancari/finanziari tradizionali e non (wallet BTC, Monero, Electrum, uCoin):





Non ti sei fatto mancare nulla, insomma!

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
L ho beccato col programma di backup: EaseUS Todo Backup (crackato)
Per un’utenza domestica è sufficiente la versione freeware di un qualsiasi programma di backup. Personalmente utilizzo Macrium Reflect ma di software in grado di effettuare un backup decente ne esistono vari, sempre free: l’importante è assicurarsi di stare realmente scaricando il setup del programma dal sito ufficiale del produttore.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Il così detto virus (...) ha cancellato l antivirus avast
Avast non ha riconosciuto/bloccato l’exe infetto?

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
non ha chiesto riscatti
...ma i file li ha cifrati?

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
effettuare solo dei pagamenti con una carta che ho bloccato
Azione in linea con la tipologia di malware info-stealer.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
c è stato un accesso ad ebay che fortunatamente ricevendo la mail di connessione al sito ho cambiato immediatamente
Questo perché le password sono finite sul server C&C di AZORult e da lì nella mani del cybercriminale che ha tentato l’accesso abusivo sull'account eBay. E se le password sono finite su di un server C&C è perché sul tuo PC non esiste alcun controllo sul traffico internet in entrata/uscita. Per bloccare i C&C di AZORult inserisci gli IP qui sotto nel file di hosts (lo trovi in → c:\Windows\System32\drivers\etc\). Nel caso il file di hosts fosse settato in modalità sola lettura leva la relativa spunta così:



...ed inserisci le voci elencate qui sotto al suo interno (il file di hosts lo puoi editare con il Blocco Note di Windows):

0.0.0.0 37.0.11.198
0.0.0.0 136.144.41.23
0.0.0.0 167.86.123.249
0.0.0.0 185.212.130.17
0.0.0.0 185.212.130.34
0.0.0.0 185.212.130.39
0.0.0.0 185.212.130.50
0.0.0.0 185.212.130.54
0.0.0.0 185.212.130.56
0.0.0.0 185.212.130.69
0.0.0.0 185.215.113.77
0.0.0.0 185.212.130.104
0.0.0.0 195.133.40.176
0.0.0.0 babillonngloball.xyz

...poi salvalo e reimpostalo in modalità sola lettura.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Mi sfugge qualcosa o me ne sono liberato?
Hai eseguito le scansioni con i programmi di sicurezza che ti ho indicato nel post precedente?

P.S.

Se riesci, le scansioni eseguile in modalità provvisoria (con il cavo di rete staccato o con il router spento).

Dopo aver eseguito le scansioni, se è tutto Ok, resetta il router allo stato di fabbrica (tramite l’apposito pulsante hardware) e cambia la password di accesso al dispositivo (se hai dubbi fai riferimento al manuale d’uso del router stesso) e - se non lo hai già fatto - cambia anche le password delle email.

Ultima modifica di Phoenix2005 : 29-06-2021 alle 07:46.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 14:24   #5
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
in pratica ho fatto partire Avast premium visto che dai produttori Microsoft risulta che questo malware è stato sconfitto.
Il pc risulta pulito come il traffico in rete quindi non dovrei avere più problemi d'infezione.
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 21:40   #6
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Problema risolto, dunque...se poi Avast non rileva nulla, molto probabilmente, il PC sarà quasi forse ok: del resto Avast è da sempre sinonimo di professionalità e sicurezza, specie dopo l’ottima gestione dell’acquisita Pirinform.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 00:50   #7
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
Bhe, diciamo che, questo tipo di malware l ha già sconfitto ed è presente nel suo database quindi se ci fossero tracce lo rivelerebbe. Dopo un ripristino, in esecuzione ci sono solo le basi e nel registro di sistema non è presente nulla di strano.
Per quanto riguarda la navigazione non si presenta nulla di insolito per il momento.
Se hai altri consigli dimmi pure che è tutta esperienza ed un controllo in più non fa mai male
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 12:12   #8
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da EugenioS Guarda i messaggi
diciamo che, questo tipo di malware l ha già sconfitto ed è presente nel suo database quindi se ci fossero tracce lo rivelerebbe.
Perdonami, ma in seguito alla tua penultima risposta sono stato un pochettino “ironico” (chi è del settore lo avrà capito subito, gli altri no). Quando ho scritto…

Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Avast è da sempre sinonimo di professionalità e sicurezza, specie dopo l’ottima gestione dell’acquisita Piriform.
..intendevo dire esattamente il contrario, ovvero che Avast è tra i peggiori AV in commercio. Perché affermo questo? Perché - oltre ad essere un AV più che mediocre - nel 2017 Avast, dopo aver acquisto la Piriform, ha iniziato a distribuire CCleaner con annesso malware (un APT di alto livello)...il tutto senza accorgersene (ad accorgersene è stato, molti giorni dopo, un gruppo di ricercatori di sicurezza informatica chiamato Talos): CCleaner (Avast): le vittime dell’attacco sono 1.646.536. Meglio formattare?

Una software house che produce un antivirus ma - allo stesso tempo e senza rendersene conto - distribuisce programmi con accluso malware a milioni di utenti (2.7 milioni di installazioni ed oltre 1.6 milioni di infezioni accertate) non è degna di fiducia: sulle mie macchine il loro AV non lo installerei neppure se mi pagassero per farlo. Quindi al tuo posto (poi procedi pure come ti pare, alla fine il PC è il tuo) per valutare l'integrità di un sistema non mi affiderei al peggio del peggio - ovvero ad Avast o all’AV integrato in Windows - perché utilizzando questi prodotti non avrai mai la certezza (semmai fosse possibile averla) che l’OS non sia compromesso: disinstalla Avast e sostituiscilo con Kaspersky o NOD32.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
in esecuzione ci sono solo le basi e nel registro di sistema non è presente nulla di strano. Per quanto riguarda la navigazione non si presenta nulla di insolito per il momento.
Se hai ripristinato Windows via immagine allora quoto tranquillamente al 100% quanto hai scritto; se, al contrario, l’OS infetto non lo hai ripristinato ma solo valutato affidandoti ad Avast...ti posso garantire che il fatto che su di un sistema non si riescano a notare “anomalie” di sorta, non è indicativo dello stato di integrità del sistema stesso: un malware ben scritto è completamente trasparente all’utente, si attiva il meno possibile (ovvero solo quando necessario), non incide a livello prestazionale né sul PC né rallenta o blocca l’utilizzo di internet.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Se hai altri consigli dimmi pure che è tutta esperienza ed un controllo in più non fa mai male
Io i consigli te li ho già dati ma non avendo avuto alcun riscontro, suppongo che tu non li abbia messi in pratica: dalle scansioni con i software di sicurezza già indicati (vedi link post #2) alle modifiche da apportare al file di hosts.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 15:40   #9
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
si certo che li ho seguiti per questo mi esprimo con più sicurezza sulla sicurezza del pc.
La mail è sul sito di azorult ma credo che ormai toglierla di lì è impossibile.
Questa mattina sono entrati nella pagina Instagram e hanno pubblicato delle cose e seguito delle pagine quindi il problema resta nonostante avessi cambiato comunque la password.
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 21:53   #10
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da EugenioS Guarda i messaggi
si certo che li ho seguiti per questo mi esprimo con più sicurezza sulla sicurezza del pc.
Ricordati di dare sempre conferma sulle singole operazioni che ti consiglio e che hai eseguito sul PC (fix, scansioni, log, etc.) in modo da stabilire dei punti fermi per poi procedere di conseguenza.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
La mail è sul sito di azorult ma credo che ormai toglierla di lì è impossibile.
Basta cambiare email...ma prima è meglio accertarsi che l’infezione sia stata effettivamente rimossa dal sistema.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Questa mattina sono entrati nella pagina Instagram e hanno pubblicato delle cose e seguito delle pagine quindi il problema resta nonostante avessi cambiato comunque la password.
Trattandosi di un trojan-dropper, il malware potrebbe incorporare funzionalità multi-piattaforma: se oltre a Windows utilizzi uno smartphone per accedere ad Instagram e lo smartphone lo colleghi al PC (Wi-Fi, bluetooth, cavo) allora l’infezione potrebbe trovarsi anche su quest’ultimo.

1) Disinstalla Avast e sostituiscilo con Kaspersky Cloud FREE, aggiornalo, ed esegui una scansione completa del sistema. Fammi sapere il risultato.
2) Attiva l’autenticazione a due fattori su Instagram.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Volkswagen ID.4, SUV elettrico per la famiglia che convince Volkswagen ID.4, SUV elettrico per la famiglia c...
iPad mini 6 contro iPad 9: il più piccolo contro il più economico. La recensione iPad mini 6 contro iPad 9: il più piccolo...
Recensione FIFA 22: ecco com'è su Google Stadia Recensione FIFA 22: ecco com'è su Google ...
Sony rinnova il 70-200mm F2.8: più leggero e veloce, con la qualità dei GMaster Sony rinnova il 70-200mm F2.8: più legger...
Sapphire Pulse RX 6600 8GB, piccolissima ma con ciò che serve per giocare in Full HD Sapphire Pulse RX 6600 8GB, piccolissima ma con ...
The Last of Us: guardate quante immagini...
Google Pixel 6 e 6 Pro: ecco tutte le im...
Nokia 6310 torna in vendita (anche con S...
Aurora, Alienware rinnova il suo potenti...
YouTube motore della condivisione di inf...
Telegram batte un altro record! Ecco qua...
Tutti vogliono la Porsche elettrica: la ...
Monopattino elettrico, allo studio l'obb...
Il mini-frigorifero a forma di Xbox Seri...
Criptovalute a corso legale: nel 2022 al...
"Il quarto stato" di Giuseppe ...
Amazon: SCONTI da fuori di testa in ques...
Call of Duty: Vanguard, la modalit&agrav...
VivoBook Pro e Pro X, ASUS porta in Ital...
Bonus Rottamazione TV: erogati più...
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
K-Lite Codec Pack Update
Opera Portable
Opera 80
SmartFTP
LibreOffice 7.2.2
PCMark 10 Basic Edition
Prime95
Skype
Advanced SystemCare
ZoneAlarm Antivirus + Firewall
Dropbox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 00:28.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www2v