Ransomware: Prevenzione e soluzioni

[x_Master_x]

CryptXXX 2.0 al momento non è decriptabile a differenza della prima versione per cui esiste un tool apposito di Kaspersky. In prima pagina ( se non si fosse capito ) trovi tutti i consigli/tentativi del caso per coloro che non possono decriptare i file

[ciccioz1]

Quote:

Originariamente inviato da x_Master_x

CryptXXX 2.0 al momento non è decriptabile a differenza della prima versione per cui esiste un tool apposito di Kaspersky. In prima pagina ( se non si fosse capito ) trovi tutti i consigli/tentativi del caso per coloro che non possono decriptare i file

Sto leggendo tutto nella 1 pagina
Ma inizio a credere che non mi resta che formattare (((((((((

p.s. i file che non sembrano essere infetti (tipo video o immagini) posso trasferirli su hd esterno o rischio di infettare altro?

[FazY]

Ragazzi....un mio cliente è stato infettato da CTB-Locker e i file hanno estensione .pppagrd
Che voi sappiate esiste soluzione??

[zerothehero]

Chissà che è.
Me lo mando sulla mia mail personale.

[Unax]

Quote:

Originariamente inviato da zerothehero

Chissà che è.
Me lo mando sulla mia mail personale.

fallo scansionare su virustotal, così per sicurezza non si sa mai che sia una cosa innocua

[RI0]

Quote:

Originariamente inviato da x_Master_x

CryptXXX 2.0 al momento non è decriptabile a differenza della prima versione per cui esiste un tool apposito di Kaspersky. In prima pagina ( se non si fosse capito ) trovi tutti i consigli/tentativi del caso per coloro che non possono decriptare i file

http://easyviruskilling.com/how-do-i...-cryptxxx-2-0/

[ciccioz1]

Quote:

Originariamente inviato da RI0

http://easyviruskilling.com/how-do-i...-cryptxxx-2-0/

ci sto provando

[x_Master_x]

RIO non vedo il nesso del quote al mio messaggio, la "rimozione" spiegata da un sito a caso la cui affidabilità é tutta da provare e con una reputazione che scarsa é dire poco non gli restituirà i dati...

FazY no l'avresti saputo.

ciccioz1 i file in sé non diffondono l'infezione, evita solamente di collegare direttamente l'HDD infetto ad un altro PC.

[ciccioz1]

Quote:

Originariamente inviato da x_Master_x

RIO non vedo il nesso del quote al mio messaggio, la "rimozione" spiegata da un sito a caso la cui affidabilità é tutta da provare e con una reputazione che scarsa é dire poco non gli restituirà i dati...

FazY no l'avresti saputo.

ciccioz1 i file in sé non diffondono l'infezione, evita solamente di collegare direttamente l'HDD infetto ad un altro PC.

Per i dati, a parte una decina di file sui quali stavo lavorando e ho delle copie vecchie, il resto del backup è fatto su hd esterno quindi ho perso poco. Perderò il tempo a formattare (essendo ignora ntissimo in materia) e a reistallare tutto in un momento in cui il tempo non ce l'ho proprio
gli unici file che vorrei passarmi su hd esterno e che sembrano non infetti sono video e foto. posso farlo tranquillamente?

p.s. le operazioni della guida le sto seguendo...tanto perso per perso
dopo la prima scansione mi dice che dovrei comprare la versione completa di spyhunter 4

[RI0]

Quote:

Originariamente inviato da x_Master_x

RIO non vedo il nesso del quote al mio messaggio, la "rimozione" spiegata da un sito a caso la cui affidabilità é tutta da provare e con una reputazione che scarsa é dire poco non gli restituirà i dati...

FazY no l'avresti saputo.

ciccioz1 i file in sé non diffondono l'infezione, evita solamente di collegare direttamente l'HDD infetto ad un altro PC.

Si ... scusami... però era da provare solo il manuale "non installare spyhunter 4".... comunque per ora l'unica cosa da fare e proteggersi dal Malvertising perchè si diffonde da li il ransomware "consiste nell'iniettare annunci malintenzionati o pieni di malware in legittimi reti di pubblicità online e pagine web" dunque per una migliore protezzione installatevi o ublock origin o adblock plus

[ciccioz1]

Quote:

Originariamente inviato da RI0

Si ... scusami... però era da provare solo il manuale "non installare spyhunter 4".... comunque per ora l'unica cosa da fare e proteggersi dal Malvertising perchè si diffonde da li il ransomware "consiste nell'iniettare annunci malintenzionati o pieni di malware in legittimi reti di pubblicità online e pagine web" dunque per una migliore protezzione installatevi o ublock origin o adblock plus

quella manuale è un pò complicata...non vorrei fare ulteriori danni. Alla fine ho perso un 10 file excel su cui stavo lavorando. e non c'è verso, anche su dropbox è entrato e seguendo la guida ho verificato che mancavano i file temporanei, praticamente l'unic file presente cercndo tra le versioni precedenti era quello infetto.

[x_Master_x]

Quote:

Originariamente inviato da RI0

Si ... scusami... però era da provare solo il manuale "non installare spyhunter 4"

Nessun problema ma anche la procedura manuale è del tutto inutile. Sono indicate cartelle generiche e chiavi di registro altrettanto generiche comuni alla macro-categoria dei ransomware e non per la variante specifica. Se non fosse chiaro quello è solo un sito acchiappa click sponsorizzato da software a pagamento

Quote:

Originariamente inviato da RI0

.... comunque per ora l'unica cosa da fare e proteggersi dal Malvertising perchè si diffonde da li il ransomware "consiste nell'iniettare annunci malintenzionati o pieni di malware in legittimi reti di pubblicità online e pagine web" dunque per una migliore protezzione installatevi o ublock origin o adblock plus

I circuiti di ADS infetti non sono l'unico veicolo di infezione, invito ad una lettura del primo post e spero di non doverlo scriverlo più per i prossimi mesi...

[zerothehero]

Quote:

Originariamente inviato da Unax

fallo scansionare su virustotal, così per sicurezza non si sa mai che sia una cosa innocua

Che palle hotmail mi elimina l'allegato.


Sembra sicuro, lo apro ?

https://www.virustotal.com/it/file/c...is/1462979990/

[zerothehero]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Non lo becchi, puoi beccarlo.

https://www.google.it/search?q=ranso...AY3F8AfZgonADQ

Così come non lo prendi sicuramente su windows, puoi prenderlo su windows.

E non muori sicuramente di infarto o a causa di un incidente automobilistico. Puoi morire di infarto o a causa di incidente automobilistico.



Mah io la guardo da dove posso al momento, c'è qualcosa di sbagliato?


Mi chiedo a cosa servono discussioni come queste se il risultato è ottenere utenti così ansiosi sull'argomento, invece di utenti più consapevoli della questione e che hanno capito quali strategie di prevenzione adottare.

Questi ransomware casomai ce ne fosse bisogno tenderanno ad accellerare sempre di più la tendenza verso os blindati in modo tale che l'utente anche volendo non possa fare danni.
Trovo molto interessante che un utente per evitare problemi preferisca leggere le mail sullo smartphone..la tendenza è quella.

[Unax]

Quote:

Originariamente inviato da zerothehero

Che palle hotmail mi elimina l'allegato.


Sembra sicuro, lo apro ?

https://www.virustotal.com/it/file/c...is/1462979990/

deve essere una versione vecchia visto che così tanti antivirus lo riconoscono

[x_Master_x]

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

[Unax]

Quote:

Originariamente inviato da x_Master_x

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

il prossimo ransomware farà entrambe le cose, se ha i diritti amministratitivi prima cripterà i file, poi cancellerà le copie shadow e poi modificherà MBR e via a criptare MFT e ti chiederà il riscatto due volte, una volta per decrittare MFT e poi per i singoli file

inoltre fatto ciò ti dirà che ha scoperto pedopornografia sul tuo pc e ti chiederà un tot per non denunciarti alla polizia

insomma servizio completo

[Chill-Out]

Quote:

Originariamente inviato da x_Master_x

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

con la C

[giovanni69]

Quote:

Originariamente inviato da zerothehero

Questi ransomware casomai ce ne fosse bisogno tenderanno ad accellerare sempre di più la tendenza verso os blindati in modo tale che l'utente anche volendo non possa fare danni.
Trovo molto interessante che un utente per evitare problemi preferisca leggere le mail sullo smartphone..la tendenza è quella.

Come dire che l'intera internet dal lato utente diventerà una VPN basata su Windows 10 per essere sicura In quel caso l'esclusiva dei nostri dati ce li avrà solo chi sviluppa l'OS...

[Chill-Out]

Quote:

Originariamente inviato da ciccioz1

Ho provato con il sito ID, ho inserito il file txt che è pieno nel pc e mi ha generato questo nome:
CryptXXX 2.0

p.s. per l'exe del tool di prima mi dice esattamente: the decrypyion key for your systm cold not be found. please attempt to drag and drop both an encrypted...

Tool aggiornato per decriptare CryptXXX 2.0


http://media.kaspersky.com/utilities...149.1453294100