CTB Locker - nuova variante del 27-01-2015 del famigerato virus

[time00]

Quote:

Originariamente inviato da FiorDiLatte

Anch'io uso l'Autoruns è un gran software, uso anche il vecchio hijackthis, io ho rimosso con Combofix e poi ho fatto una passata col malwarebytes, nessuno dei due però ha rimosso le migliaia di file di riscatto in formato .png .txt ed .html, ho dovuto usare il ccleaner per i file duplicati.
Mentre quel pacco di spyhunter che consigliano, per usarlo esigeva la registrazione o l'acquisto.

bye

si i file help quanti!! (oggi circa 13.000) nel mio caso nemmeno hitman li ha levati, ho risolto con una semplice ricerca e selezionati tutti

[x_Master_x]

Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Vi spiego l'idea che ho avuto, tutti questi cryptolocker in un modo o nell'altro aggiungono una nuova estensione al file criptato ( che sia .micro, .vvv, .ccc, .encrypted, .carattericasuali e così via ) e quando si crea un file con una estensione sconosciuta al sistema Windows la annota nel registro. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...

[FiorDiLatte]

Quote:

Originariamente inviato da time00

si i file help quanti!! (oggi circa 13.000) nel mio caso nemmeno hitman li ha levati, ho risolto con una semplice ricerca e selezionati tutti

Allora mi sa che ne ho dimenticati parecchi ancora, ma quel pc infetto era così lento......che ti passava la voglia.

Pensandoci bene questi malware crittografano molti file, pure le immagini stupide delle temp dei browser, se un software specifico utilizza un'immagine al suo interno per funzionare correttamente, renderà il software stesso instabile o inutilizzabile. Non sono troppo intelligenti questi malware, criptano tutti i file più comuni in tutti i path possibili.

Gli auguro tutto il male possibile a questi pirati informatici.

bye

[betsubara]

Settimana infernale.
Ho 5 clienti con i file criptati in .micro . Ad alcuni gli hanno criptato tutti i documenti del computer e le unità mappate in rete (sul nas), ma a 2 è andata di lusso:

Numero file criptati in .micro

1) 11527 (computer locale) + 5241 (rete) AV: Microsoft Security Essential + Avira (non aggiornato)
2) 22237 (computer locale) AV: nessun antivirus (solo programmi anti-spyware Iobit)
3) 37974 (computer locale) AV: Trend
4) 16 (tutti nel cestino) AV: Virit Professional
5) 198 (computer locali) AV: Virit Professional (i file sono stati recuperati)

I 2 clienti che usano la versione a pagamento di virit, mi hanno chiamato perche' l'antivirus era scattato segnalando un possibile cryptomalware in un file con nome casuale EXE.
Quando sono andato dal cliente n. 4 aveva i file di "help_" del riscatto, ma cercando i file .micro ne aveva solo 16 e tutti nel cestino.
L'ultimo cliente ne aveva 198 con estensione .micro, ma erano nelle prime cartelle del disco C:
Il cliente ha contattato il supporto tecnico, si sono collegati in remoto e hanno recuperato i file criptati .
Da quello che mi hanno detto, se ho capito bene, se c'e' la protezione attiva nel momento dell'attacco del tesla, l'antivirus lo inibisce e riesce a prendere la chiave utilizzata per criptare i file. In questo modo loro hanno recuperato i file.

Mi sembra che anche Kaspersky e Hitman pro utilizzano una protezione simile .

Lunedì devo andare da un nuovo cliente che ha pagato il riscatto di 1000 Euro del tesla, perche' gli era scaduto il tempo per pagare e il riscatto si è raddoppiato,
non hanno copie di backup... sono disperati !!!

Sempre fare le copie di backup... e tenerle non collegate alla rete!

[Unax]

Quote:

Originariamente inviato da FiorDiLatte

Anch'io uso l'Autoruns è un gran software, uso anche il vecchio hijackthis, io ho rimosso con Combofix e poi ho fatto una passata col malwarebytes, nessuno dei due però ha rimosso le migliaia di file di riscatto in formato .png .txt ed .html, ho dovuto usare il ccleaner per i file duplicati.
Mentre quel pacco di spyhunter che consigliano, per usarlo esigeva la registrazione o l'acquisto.

bye

occhio a parlar male di spyhunter, hanno fatto causa ad un forum per una recensione

http://www.bleepingcomputer.com/anno...dom-of-speech/

[Jedi82]

ragazzi ciao! E' ormai un po' che mi sto documentando circa questo ransomware e tutte le sue copie ma ancora non mi son chiare le seguenti cose (e non riesco in nessun modo a venirne a capo leggendo online):

1) Una volta preso il virus, ci si accorge di quest'ultimo solo a criptaggio avvenuto giusto? E ok, finito di imprecare cosa succede? Il virus scompare come ho letto o il rischio permane se collego unità esterne?
2) Ma è vero che questi virus attaccano anche Dropbox o è una cavolata??
3) Se mi accorgo di averlo, per evitare che continui a crittografare roba, basta che lascio il pc acceso staccato dalla rete o è del tutto inutile risiedendo, il virus, in locale?

[betsubara]

Quote:

Originariamente inviato da x_Master_x

Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Vi spiego l'idea che ho avuto, tutti questi cryptolocker in un modo o nell'altro aggiungono una nuova estensione al file criptato ( che sia .micro, .vvv, .ccc, .encrypted, .carattericasuali e così via ) e quando si crea un file con una estensione sconosciuta al sistema Windows la annota nel registro. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...

Mi sembra una bella idea, almeno contro il CryptoLocker e TeslaCrypter dovrebbe funzionare.

[betsubara]

Quote:

Originariamente inviato da Jedi82

ragazzi ciao! E' ormai un po' che mi sto documentando circa questo ransomware e tutte le sue copie ma ancora non mi son chiare le seguenti cose (e non riesco in nessun modo a venirne a capo leggendo online):

1) Una volta preso il virus, ci si accorge di quest'ultimo solo a criptaggio avvenuto giusto? E ok, finito di imprecare cosa succede? Il virus scompare come ho letto o il rischio permane se collego unità esterne?
2) Ma è vero che questi virus attaccano anche Dropbox o è una cavolata??
3) Se mi accorgo di averlo, per evitare che continui a crittografare roba, basta che lascio il pc acceso staccato dalla rete o è del tutto inutile risiedendo, il virus, in locale?

1) quando il virus finisce di criptare tutto il disco si cancella, ma in alcuni casi che ho visto era ancora attivo. In questo caso provo a terminare il processo dal task manager.

2) Penso che il problema relativo a dropbox sia la sincronizzazione dei file, quindi ti fa le copie dei file criptati e ti cancella le buone.

3) Se ti accorgi di averlo... stacca immediatamente il cavo di rete, in modo da isolare il pc infetto . Dopo cerca di rimuovere il virus.

[Jedi82]

ma con cosa si rimuove? Combofix non funziona su windows 10, adwcleaner credo non lo rilevi...con cosa si puo eliminare?

[x_Master_x]

Quote:

Originariamente inviato da betsubara

Mi sembra una bella idea, almeno contro il CryptoLocker e TeslaCrypter dovrebbe funzionare.

Togli pure il dovrebbe
Sinceramente mi sono documentato sui vari ransomware che utilizzano metodi di criptazione ( non c'è un vero e proprio elenco oppure non l'ho trovato ) e tutti quelli che ho visto aggiungono una nuova estensione predefinita o casuale, ne esiste qualcuno che non lo fa? Ho scritto 99% solo per questa eventualità ma in realtà non ho riscontri.

[time00]

Quote:

Originariamente inviato da Jedi82

ma con cosa si rimuove? Combofix non funziona su windows 10, adwcleaner credo non lo rilevi...con cosa si puo eliminare?

usa hitman pro (nei primi 30 giorni è gratis) in modalità provvisoria con rete, e poi dai anche un'occhiata con autoruns per vedere se c'è qualcosa di sospetto, occhio a cosa elimini, nei miei casi il virus era sempre in appdata, in caso di sospetto scrivi qui o analizza con virustotal prima di eliminare
ps. naturalmente se fai con autoruns oltre ad eliminare il valore stringa del virus rimuovi anche il file dalla cartella scrivendo %appdata% (se si trova li)

Quote:

Originariamente inviato da FiorDiLatte

Allora mi sa che ne ho dimenticati parecchi ancora, ma quel pc infetto era così lento......che ti passava la voglia.

Pensandoci bene questi malware crittografano molti file, pure le immagini stupide delle temp dei browser, se un software specifico utilizza un'immagine al suo interno per funzionare correttamente, renderà il software stesso instabile o inutilizzabile. Non sono troppo intelligenti questi malware, criptano tutti i file più comuni in tutti i path possibili.

Gli auguro tutto il male possibile a questi pirati informatici.

bye

poi dipende da quanto ha criptato dal numero di cartelle dato che lascia le sue tracce dei 3 file help ovunque
si infatti anche i temp tipo come hai detto le immagini, io alla fine faccio sempre una pulizia con ccleaner...

[skadex]

Quote:

Originariamente inviato da betsubara

1) quando il virus finisce di criptare tutto il disco si cancella, ma in alcuni casi che ho visto era ancora attivo. In questo caso provo a terminare il processo dal task manager.

2) Penso che il problema relativo a dropbox sia la sincronizzazione dei file, quindi ti fa le copie dei file criptati e ti cancella le buone.

3) Se ti accorgi di averlo... stacca immediatamente il cavo di rete, in modo da isolare il pc infetto . Dopo cerca di rimuovere il virus.

Aggiungo:
2) se la cartella dropbox è mappata come unità di rete si, cripta tutto anche lì. Ad esempio onedrive è vista come una normale cartella con windows 8/10 se si ha account microsoft ed in questo caso il malware attacca.
Altrimenti no.

[garigo]

Quote:

Originariamente inviato da x_Master_x

Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...

Per molti può essere banale, per me no, come fai?

[Jedi82]

Quote:

Originariamente inviato da skadex

Aggiungo:
2) se la cartella dropbox è mappata come unità di rete si, cripta tutto anche lì. Ad esempio onedrive è vista come una normale cartella con windows 8/10 se si ha account microsoft ed in questo caso il malware attacca.
Altrimenti no.

beh ma dropbox se non sbaglio o non è mai mappata o lo è sempre no? Quando installi il client di inserisce una cartella nel tuo profilo come fosse una cartella di sistema. In quel caso viene mappato qualcosa?

[skadex]

Non uso dropbox quindi non saprei, ma se è accessibile direttamente dal pc come cartella e non necessita di inserire password allora verrà criptato anche il contenuto della cartella dropbox.

[x_Master_x]

Quote:

Originariamente inviato da garigo

Per molti può essere banale, per me no, come fai?

Se sei programmare non é difficile e posso pure spiegarlo, al momento non posso rilasciare nulla pubblicamente perché dovrei starci dietro con tutto quello che ne consegue.

[FiorDiLatte]

Quote:

Originariamente inviato da betsubara

L'ultimo cliente ne aveva 198 con estensione .micro, ma erano nelle prime cartelle del disco C:
Il cliente ha contattato il supporto tecnico, si sono collegati in remoto e hanno recuperato i file criptati .
Da quello che mi hanno detto, se ho capito bene, se c'e' la protezione attiva nel momento dell'attacco del tesla, l'antivirus lo inibisce e riesce a prendere la chiave utilizzata per criptare i file. In questo modo loro hanno recuperato i file.

Mi sembra che anche Kaspersky e Hitman pro utilizzano una protezione simile .

Lunedì devo andare da un nuovo cliente che ha pagato il riscatto di 1000 Euro del tesla, perche' gli era scaduto il tempo per pagare e il riscatto si è raddoppiato,
non hanno copie di backup... sono disperati !!!

Sempre fare le copie di backup... e tenerle non collegate alla rete!

Mi sa che è una bufala, mi sa che quelli della tgsoft gli hanno ripristinato i file shadow, non è possibile facilmente recuperare la chiave di criptazione, perchè la chiave di criptazione magari non è presente nel pc infestato, quindi ho i miei dubbi che nessuno riesca a bloccare il TeslaCrypt3, mentre il VirITPro blocca l'infestazione e recupera pure la chiave al volo, è poco probabile, anzi pochissimo.


bye

[FiorDiLatte]

Ciao,

mi è giunta voce che anche in un sistema Mac con Windows virtualizzato via WMware, sharando il disco mac anche in scrittura il cryptolocker abbia criptato pure i file sul mac, per fortuna che costui aveva dei backup sul TimeCapsule.


bye

[FiorDiLatte]

Autodifesa?

https://www.youtube.com/watch?v=HayqiXgMOk4

[time00]

Quote:

Originariamente inviato da FiorDiLatte

Autodifesa?

https://www.youtube.com/watch?v=HayqiXgMOk4

avevo già visto questo video, niente dimostra che i file protetti con il software Kruptos 2 (protegge i file tramite crittografia), non vengono toccati perchè il virus non è programmato per quella estensione (k2p)