Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Sony A7 IV, anteprima della nuova Full Frame per tutti
Sony A7 IV, anteprima della nuova Full Frame per tutti
Sony annuncia oggi la quarta generazione di A7, la sua Full Frame più diffusa. Maggior risoluzione a parità di prestazioni, con vantaggi in termini di mirino, stabilizzazione, sistema AF e comparto video. Non rappresenta però un salto generazionale enorme rispetto al modello precedente.
MSI Oculux NXG253R: 360 Hz, e non solo
MSI Oculux NXG253R: 360 Hz, e non solo
MSI Oculux NXG253R è un monitor a 360 Hz indirizzato ai giocatori e capace di offrire latenze bassissime, molto utili per il gaming competitivo. Ecco la nostra solita suite di test, sulla resa cromatica oltre che sulle latenze, e qualche considerazione su questo tipo di gaming
Panasonic Toughbook A3, un tablet indistruttibile per chi non lavora in ufficio
Panasonic Toughbook A3, un tablet indistruttibile per chi non lavora in ufficio
Abbiamo provato l'ultimo tablet fully rugged di Panasonic, Toughbook A3, concentrandoci sulla sua robustezza e sulle sue capacità accessorie rispetto ai modelli tradizionali che rendono questo prodotto un must per alcune realtà aziendali. Ecco cosa abbiamo scoperto, e quali sono le peculiarità rivolte ai professionisti che - di certo - non lavorano comodamente in ufficio.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 28-06-2021, 11:24   #1
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
Ransomware Trojan win32.....

Buongiorno,
nello scaricare un programma sono stato colpito da un Ransomware.....
attualmente credo di averlo eliminato dal pc anche se non ne sono pienamente sicuro ma per ora non vedo programmi in esecuzione strani o programmi sinistri.
Per quanto riguarda i siti ho bloccato una carta dove stava provando ad effettuare dei pagamenti ed instragram dove pubblicava pubblicità con accesso a siti promozionali.
Adesso oltre a cambiare le password di tutti i siti cos' altro dovrei fare?
e per essere sicuro di averlo eliminato cosa mi consigliate di fare?
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 28-06-2021, 20:47   #2
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
- Il nome “esatto” del Trojan/ransomware rilevato? se hai conservato il log dell’AV, riguardante la suddetta infezione, postalo.
- Per la messa in sicurezza del sistema, puoi iniziare col seguire questa procedura di “base”: link
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 00:56   #3
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
Il nome esatto del ransomware è: trojan:win32/azorult.FW!MTB
L ho beccato col programma di backup: EaseUS Todo Backup (crackato)
Il così detto virus non mi ha bloccato il pc ne disabilito task manager si è presentato solo con estensione.exe nascosta (quello che sono riuscito a trovare) ed ha cancellato l antivirus avast. non ha chiesto riscatti, ha provato ad effettuare solo dei pagamenti con una carta che ho bloccato.
Attualmente ho cambiato ogni singola password all interno del pc ed l antivirus dice che il pc è pulito anche se poco fa c è stato un accesso ad ebay che fortunatamente ricevendo la mail di connessione al sito ho cambiato immediatamente password.....
Mi sfugge qualcosa o me ne sono liberato?
Grazie del supporto
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 07:43   #4
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Il nome esatto del ransomware è: trojan:win32/azorult.FW!MTB
Più che di ransomware trattasi di un trojan info-stealer-dropper (emotet, Ramnit) dotato di funzionalità ransomware, il cui obiettivo principale è quello di sottrarre informazioni sensibili dal PC infetto, in particolare le password per l’autenticazione ai servizi di bancari/finanziari tradizionali e non (wallet BTC, Monero, Electrum, uCoin):





Non ti sei fatto mancare nulla, insomma!

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
L ho beccato col programma di backup: EaseUS Todo Backup (crackato)
Per un’utenza domestica è sufficiente la versione freeware di un qualsiasi programma di backup. Personalmente utilizzo Macrium Reflect ma di software in grado di effettuare un backup decente ne esistono vari, sempre free: l’importante è assicurarsi di stare realmente scaricando il setup del programma dal sito ufficiale del produttore.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Il così detto virus (...) ha cancellato l antivirus avast
Avast non ha riconosciuto/bloccato l’exe infetto?

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
non ha chiesto riscatti
...ma i file li ha cifrati?

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
effettuare solo dei pagamenti con una carta che ho bloccato
Azione in linea con la tipologia di malware info-stealer.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
c è stato un accesso ad ebay che fortunatamente ricevendo la mail di connessione al sito ho cambiato immediatamente
Questo perché le password sono finite sul server C&C di AZORult e da lì nella mani del cybercriminale che ha tentato l’accesso abusivo sull'account eBay. E se le password sono finite su di un server C&C è perché sul tuo PC non esiste alcun controllo sul traffico internet in entrata/uscita. Per bloccare i C&C di AZORult inserisci gli IP qui sotto nel file di hosts (lo trovi in → c:\Windows\System32\drivers\etc\). Nel caso il file di hosts fosse settato in modalità sola lettura leva la relativa spunta così:



...ed inserisci le voci elencate qui sotto al suo interno (il file di hosts lo puoi editare con il Blocco Note di Windows):

0.0.0.0 37.0.11.198
0.0.0.0 136.144.41.23
0.0.0.0 167.86.123.249
0.0.0.0 185.212.130.17
0.0.0.0 185.212.130.34
0.0.0.0 185.212.130.39
0.0.0.0 185.212.130.50
0.0.0.0 185.212.130.54
0.0.0.0 185.212.130.56
0.0.0.0 185.212.130.69
0.0.0.0 185.215.113.77
0.0.0.0 185.212.130.104
0.0.0.0 195.133.40.176
0.0.0.0 babillonngloball.xyz

...poi salvalo e reimpostalo in modalità sola lettura.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Mi sfugge qualcosa o me ne sono liberato?
Hai eseguito le scansioni con i programmi di sicurezza che ti ho indicato nel post precedente?

P.S.

Se riesci, le scansioni eseguile in modalità provvisoria (con il cavo di rete staccato o con il router spento).

Dopo aver eseguito le scansioni, se è tutto Ok, resetta il router allo stato di fabbrica (tramite l’apposito pulsante hardware) e cambia la password di accesso al dispositivo (se hai dubbi fai riferimento al manuale d’uso del router stesso) e - se non lo hai già fatto - cambia anche le password delle email.

Ultima modifica di Phoenix2005 : 29-06-2021 alle 07:46.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 14:24   #5
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
in pratica ho fatto partire Avast premium visto che dai produttori Microsoft risulta che questo malware è stato sconfitto.
Il pc risulta pulito come il traffico in rete quindi non dovrei avere più problemi d'infezione.
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2021, 21:40   #6
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Problema risolto, dunque...se poi Avast non rileva nulla, molto probabilmente, il PC sarà quasi forse ok: del resto Avast è da sempre sinonimo di professionalità e sicurezza, specie dopo l’ottima gestione dell’acquisita Pirinform.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 00:50   #7
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
Bhe, diciamo che, questo tipo di malware l ha già sconfitto ed è presente nel suo database quindi se ci fossero tracce lo rivelerebbe. Dopo un ripristino, in esecuzione ci sono solo le basi e nel registro di sistema non è presente nulla di strano.
Per quanto riguarda la navigazione non si presenta nulla di insolito per il momento.
Se hai altri consigli dimmi pure che è tutta esperienza ed un controllo in più non fa mai male
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 12:12   #8
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da EugenioS Guarda i messaggi
diciamo che, questo tipo di malware l ha già sconfitto ed è presente nel suo database quindi se ci fossero tracce lo rivelerebbe.
Perdonami, ma in seguito alla tua penultima risposta sono stato un pochettino “ironico” (chi è del settore lo avrà capito subito, gli altri no). Quando ho scritto…

Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Avast è da sempre sinonimo di professionalità e sicurezza, specie dopo l’ottima gestione dell’acquisita Piriform.
..intendevo dire esattamente il contrario, ovvero che Avast è tra i peggiori AV in commercio. Perché affermo questo? Perché - oltre ad essere un AV più che mediocre - nel 2017 Avast, dopo aver acquisto la Piriform, ha iniziato a distribuire CCleaner con annesso malware (un APT di alto livello)...il tutto senza accorgersene (ad accorgersene è stato, molti giorni dopo, un gruppo di ricercatori di sicurezza informatica chiamato Talos): CCleaner (Avast): le vittime dell’attacco sono 1.646.536. Meglio formattare?

Una software house che produce un antivirus ma - allo stesso tempo e senza rendersene conto - distribuisce programmi con accluso malware a milioni di utenti (2.7 milioni di installazioni ed oltre 1.6 milioni di infezioni accertate) non è degna di fiducia: sulle mie macchine il loro AV non lo installerei neppure se mi pagassero per farlo. Quindi al tuo posto (poi procedi pure come ti pare, alla fine il PC è il tuo) per valutare l'integrità di un sistema non mi affiderei al peggio del peggio - ovvero ad Avast o all’AV integrato in Windows - perché utilizzando questi prodotti non avrai mai la certezza (semmai fosse possibile averla) che l’OS non sia compromesso: disinstalla Avast e sostituiscilo con Kaspersky o NOD32.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
in esecuzione ci sono solo le basi e nel registro di sistema non è presente nulla di strano. Per quanto riguarda la navigazione non si presenta nulla di insolito per il momento.
Se hai ripristinato Windows via immagine allora quoto tranquillamente al 100% quanto hai scritto; se, al contrario, l’OS infetto non lo hai ripristinato ma solo valutato affidandoti ad Avast...ti posso garantire che il fatto che su di un sistema non si riescano a notare “anomalie” di sorta, non è indicativo dello stato di integrità del sistema stesso: un malware ben scritto è completamente trasparente all’utente, si attiva il meno possibile (ovvero solo quando necessario), non incide a livello prestazionale né sul PC né rallenta o blocca l’utilizzo di internet.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Se hai altri consigli dimmi pure che è tutta esperienza ed un controllo in più non fa mai male
Io i consigli te li ho già dati ma non avendo avuto alcun riscontro, suppongo che tu non li abbia messi in pratica: dalle scansioni con i software di sicurezza già indicati (vedi link post #2) alle modifiche da apportare al file di hosts.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 15:40   #9
EugenioS
Member
 
Iscritto dal: Nov 2018
Messaggi: 37
si certo che li ho seguiti per questo mi esprimo con più sicurezza sulla sicurezza del pc.
La mail è sul sito di azorult ma credo che ormai toglierla di lì è impossibile.
Questa mattina sono entrati nella pagina Instagram e hanno pubblicato delle cose e seguito delle pagine quindi il problema resta nonostante avessi cambiato comunque la password.
EugenioS è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2021, 21:53   #10
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da EugenioS Guarda i messaggi
si certo che li ho seguiti per questo mi esprimo con più sicurezza sulla sicurezza del pc.
Ricordati di dare sempre conferma sulle singole operazioni che ti consiglio e che hai eseguito sul PC (fix, scansioni, log, etc.) in modo da stabilire dei punti fermi per poi procedere di conseguenza.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
La mail è sul sito di azorult ma credo che ormai toglierla di lì è impossibile.
Basta cambiare email...ma prima è meglio accertarsi che l’infezione sia stata effettivamente rimossa dal sistema.

Quote:
Originariamente inviato da EugenioS Guarda i messaggi
Questa mattina sono entrati nella pagina Instagram e hanno pubblicato delle cose e seguito delle pagine quindi il problema resta nonostante avessi cambiato comunque la password.
Trattandosi di un trojan-dropper, il malware potrebbe incorporare funzionalità multi-piattaforma: se oltre a Windows utilizzi uno smartphone per accedere ad Instagram e lo smartphone lo colleghi al PC (Wi-Fi, bluetooth, cavo) allora l’infezione potrebbe trovarsi anche su quest’ultimo.

1) Disinstalla Avast e sostituiscilo con Kaspersky Cloud FREE, aggiornalo, ed esegui una scansione completa del sistema. Fammi sapere il risultato.
2) Attiva l’autenticazione a due fattori su Instagram.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Sony A7 IV, anteprima della nuova Full Frame per tutti Sony A7 IV, anteprima della nuova Full Frame per...
MSI Oculux NXG253R: 360 Hz, e non solo MSI Oculux NXG253R: 360 Hz, e non solo
Panasonic Toughbook A3, un tablet indistruttibile per chi non lavora in ufficio Panasonic Toughbook A3, un tablet indistruttibil...
Nikon Z fc: bella e possibile. Ma non perfetta. La recensione Nikon Z fc: bella e possibile. Ma non perfetta. ...
Volkswagen ID.4, SUV elettrico per la famiglia che convince Volkswagen ID.4, SUV elettrico per la famiglia c...
Razer Enki: una sedia gaming accattivant...
Tutto pronto per la ripartenza di Seeds ...
Notizia bomba dal mondo delle due ruote:...
Aptera è vicina alla produzione: ...
FIFA 22: EA banna più di 30.000 u...
HUAWEI annuncia i nuovi Watch GT3 e Watc...
Trump lancia il suo social: si chiamer&a...
Una moto elettrica per la Luna? Questo p...
Halo Infinite vuole spaccare su PC: avr&...
HUAWEI nova 9 è ufficiale: cam da...
Uncharted, finalmente il trailer ufficia...
Inaugurata a Santa Maria Maggiore la pri...
Il CEO di Volkswagen punta sull'elettric...
Alphacool svela i dissipatori AIO Eisbae...
Equinix: la digitalizzazione va pi&ugrav...
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
Opera Portable
Opera 80
CCleaner Portable
CCleaner Standard
SiSoftware Sandra Lite
Chromium
Cpu-Z
VirtualBox
Google Chrome Portable
Google Chrome 95
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 04:21.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www1v