CTB Locker - nuova variante del 27-01-2015 del famigerato virus

[vascoseigrande]

Quote:

Originariamente inviato da dema86

Sul disco fisso trovi di sicuro, in diverse locazioni, un file TXT che si chiama decrypt-all-files-estensione

Contiene tutte le istruzioni, indirizzo tor, chiave personale tua (che devi inserire una volta arrivato sulla pagina tor, etc. etc.).

C'è anche una bitmap con l'immagine che dovrebbe comparirti come sfondo del desktop in giro, sui 4MB, non ricordo come si chiami il file. Comunque se cerchi decrypt con la ricerca integrata di windows te li trova, sia i TXT che le BMP.

Stasera dopo cena, quando finalmente avranno staccato il server in azienda, proveremo a controllare se il pagamento ha sbloccato qualcosa.

Al momento il server TOR sembra irraggiungibile, quindi probabilmente ci toccherà aspettare sul più tardi...

si avevo trovato i documenti che dici, ma ho effettuato diversi tentativi di accesso senza alcun riscontro positivo. I serve sia su rete normale che tor sono sempre down. Sto provando da ieri notte...

[micoud]

Non so se è già stato detto cmq io ho recuperato quasi tutto usando shadowexplorer su win7
I dati risultano aggiornati al 14-01 ma meglio di niente....la prossima volta ci penserà due volte prima di aprile l allegato

[JackLayne]

Quote:

Originariamente inviato da Unax

ma siamo sicuri che abbia bisogno di privilegi elevati questo malware?

quello che volevo sapere

[vascoseigrande]

Allora, sono riuscito a decriptare un file da rete tor utilizzando il codice presente nel file Decrypt-All-Files.txt presente nella cartella documenti. E' già un inizio!

Chi è interessato mi mandi quel file che faccio altre prove con i vostri documenti.

[Inocs]

Quote:

Originariamente inviato da vascoseigrande

si avevo trovato i documenti che dici, ma ho effettuato diversi tentativi di accesso senza alcun riscontro positivo. I serve sia su rete normale che tor sono sempre down. Sto provando da ieri notte...

Non so dire da cosa dipenda, nel mio caso ho continuato per 2 ore ad aggiornare la pagina su tor e alla fine si è aperta. Poi i successivi due passaggi (la prova su un file e la ricezione del decrittatore) sono andati relativamente più spediti.

Domattina aggiornerò sull'esito finale, visto che ho lasciato l'unlocker.exe al lavoro

[vascoseigrande]

ma l'unlocker è specifico per ogni singola macchina?

[Inocs]

Quote:

Originariamente inviato da vascoseigrande

ma l'unlocker è specifico per ogni singola macchina?

Credo proprio di no, a naso. Contiene infatti un campo in cui inserire la chiave che viene inviata, quella sì immagino bene specifica

Ciao dal mio tapatalk

[*aLe]

Quote:

Originariamente inviato da !fazz

mia situazione
ho un cliente che ha ricevuto la mail in oggetto, ha provato ad eseguire il cab ma non è riuscito e fino ad ora pare tutto funzionante

Successo anche a me in VM con Windows 7 (sì, ho ricevuto una mail "sospetta" e l'ho eseguito apposta ).

Il cab conteneva uno SCR (si vede sulla destra, l'icona a forma di bandiera italiana), una volta lanciato l'SCR al posto di criptare i file che mi ero preparato sul desktop mi ha aperto WordPad e ha mostrato un documento:


...e questo invece il contenuto del CAB:


Boh! Windows 7 senza antivirus (tanto la VM poi l'ho cestinata)
Non so se questo è successo perché la VM era fuori rete o perché l'ho eseguito con un utente "standard" (e non come admin).

EDIT: scherzavo, mi sa che bisogna essere online quando lo si esegue (perché lui va a riprendersi della roba da internet): https://blogs.mcafee.com/mcafee-labs...ckq-ctb-locker

[vascoseigrande]

Ho provato anch'io ad infettarmi per capire come funziona il tutto e ho avuto le tue stesse cose. Mhà!

[*aLe]

Chi ha il pane (i backup) non ha i denti (il virus) e chi ha i denti non ha il pane

EDIT: ho messo la dentiera!!!


A parte gli scherzi, l'ho rilanciato una volta connesso a internet. Mi ha fatto aspettare qualche secondo ma poi come potete vedere è partito!

[vascoseigrande]

a me non ha funzionato

[zannahwup]

Ho Scritto un Reg Che Impedisce L'esecuzione
del Virus da Allegato Mail.

Non Decripta i dati, Solo Impedisce L'infezione su apertura
incauta di Allegati similari

Disponibile Qui
http://www.steelcomputer.it/index.php?page=security

Ditemi se Funziona Grazie

[dema86]

Ragazzi, come detto non c'è niente di intelligente nell'esultare per aver arricchito dei malviventi, però volevo confermarvi che nell'azienda della mia conoscente, dopo un lungo calvario, siamo riusciti a recuperare i dati.
Al momento non garantisco che tutti i files funzionino, la mole era talmente elevata, e la notte già inoltrata, che abbiamo deciso di rimandare il conteggio delle eventuali perdite a domattina, ma da un primo controllo a campione su PDF, XLS etc, sembrerebbe funzionare tutto (SGRAT).
Ho spento quel pc, domattina smonto l'hard disk e lo copio paro paro su un disco fisso separato, da un altro pc pulito (magari una live di clonezilla), di modo da evitare ogni possibile modifica sui dati nella fase che seguirà dopo, cioé la fase di pulizia del pc infetto (oddio, il virus parrebbe addirittura che si autodebelli una volta pagato il riscatto, ma su ste cose ovviamente non si è mai troppo prudenti.

Ora me ne vado a nanna, mi premeva condividere la mia esperienza con le altre persone che hanno vissuto quest'angustia (per me relativa, dato che i dati non erano i miei, ma la proprietaria non ci dormiva la notte)...

[*aLe]

Quote:

Originariamente inviato da dema86

per me relativa, dato che i dati non erano i miei, ma la proprietaria non ci dormiva la notte

Ti capisco perfettamente... Da un paio di mesi ho sentito non sai quanta gente dire "ho perso tutto" disperata.
Poi ci sono quelli che se ne fregano altamente della prevenzione perché poi l'unica cosa che sanno dire è "senti tu che te ne intendi, ho perso X foto e X documenti, sono tutti criptati. Vero che me li recuperi? Tanto per te ci vogliono 5 minuti!" ma quello è un altro discorso.

Purtroppo comunque, seriamente, ancora non c'è la cultura del backup soprattutto tra i privati (ma a quanto pare anche alcune aziende sono 'allegre' da questo punto di vista).

[Chibibi]

Quote:

Originariamente inviato da vascoseigrande

Allora, sono riuscito a decriptare un file da rete tor utilizzando il codice presente nel file Decrypt-All-Files.txt presente nella cartella documenti. E' già un inizio!

Chi è interessato mi mandi quel file che faccio altre prove con i vostri documenti.

Mi dai il tuo indirizzo che provo a mandarti un file?
Grazie millle

[vascoseigrande]

Quote:

Originariamente inviato da Chibibi

Mi dai il tuo indirizzo che provo a mandarti un file?
Grazie millle

massidemola[chiocciola]gmail.com

[Inocs]

Quote:

Originariamente inviato da dema86

Ragazzi, come detto non c'è niente di intelligente nell'esultare per aver arricchito dei malviventi, però volevo confermarvi che nell'azienda della mia conoscente, dopo un lungo calvario, siamo riusciti a recuperare i dati.

Non c'è dubbio alcuno, ma non posso fare a meno di capire la gioia della mia collega che ha recuperato tutto ciò a cui teneva, per dire. A proposito, stamattina controllando 2-3 file in ogni singola cartella "pare" tutto ok, 61 GB tra foto e documenti tutti ripristinati.

[Unax]

Quote:

Originariamente inviato da zannahwup

Ho Scritto un Reg Che Impedisce L'esecuzione
del Virus da Allegato Mail.

Non Decripta i dati, Solo Impedisce L'infezione su apertura
incauta di Allegati similari

Disponibile Qui
http://www.steelcomputer.it/index.php?page=security

Ditemi se Funziona Grazie

ma il reg cosa fa blocca tutti i file .scr o solo quelli che tenti di aprire come allegato?

[vascoseigrande]

ma attualmente quante testimonianze (reali) ci sono di persone che hanno avuto i file pagando il riscatto? E sopratutto, la procedura è semplice?

[gd350turbo]

Si potrebbe effettuare una modifica al sistema operativo, per impedire l'apertura dei file.cab ?