Virus Cryptolocker Decriptare i File

[pluto2679]

Ciao a tutti, un mio amico è incappato su questo incredibile virus preso tramite email ricevuta da un corriere (non cliccate sui link e non scaricate nulla)...
Ora siamo riusciti ad eliminare il virus ma purtroppo tutti i file sono rimasti criptati (topo: nomefile.doc.encrypted e non ci sono back-up)...
E anche alcuni software sono ovviamente bloccati...

Qualcuno di voi sa se esiste un modo per decriptare questi file?

Ho trovato questo sito ma nulla:
https://www.decryptcryptolocker.com/

Spero in voi...!!!
Grazie

[bio.hazard]

Quote:

Originariamente inviato da pluto2679

Ho trovato questo sito ma nulla:
https://www.decryptcryptolocker.com/

allora le speranze di decrittarli sono prossime allo zero, per il momento.

[bottoni]

ci ho provato pure io a mandare i file infetti ma nisba ..me li ritorna sempre indietro ...in poche parole ti rilasciano un software e un codice di sblocco per i file cryptati ..ma per il momento lo vedo inutile

[eleboro]

Quote:

Originariamente inviato da pluto2679

Qualcuno di voi sa se esiste un modo per decriptare questi file?

Ho trovato questo sito ma nulla:
https://www.decryptcryptolocker.com/

Spero in voi...!!!
Grazie

Shadow Copy? Forse è possibile recuperare la versione precedente del file.

[bottoni]

Quote:

Originariamente inviato da eleboro

Shadow Copy? Forse è possibile recuperare la versione precedente del file.

non credo ..cmq lo provo

[omihalcon]

Ragazzi anche a due miei conoscenti.
Stessa cosa con la mail del corriere.

ad uno gli sto formattando il PC da ZERO, all' altro sono appena stato a prendergli il PC... mi chiama e fa:
-non riesco a aprire i file PDF.... non mi vanno i file word...

fammi collegare rispondo... il file non si aprono (file sconosciuto...) F5 sul desktop.... TAAC .encrypted

SPEGNI IL PC!!!

[pluto2679]

Quote:

Originariamente inviato da omihalcon

Ragazzi anche a due miei conoscenti.
Stessa cosa con la mail del corriere.

ad uno gli sto formattando il PC da ZERO, all' altro sono appena stato a prendergli il PC... mi chiama e fa:
-non riesco a aprire i file PDF.... non mi vanno i file word...

fammi collegare rispondo... il file non si aprono (file sconosciuto...) F5 sul desktop.... TAAC .encrypted

SPEGNI IL PC!!!

Ciao, hai trovato una soluzione?
Io ancora nulla

[omihalcon]

No, purtroppo in entrambi i casi ho formattato e utilizzato un nuovo disco.
Ti dico che nel secondo caso avevo un' azienda ferma perché si è propagato in rete sulla cartella comune e ho dovuto usare il backup del giorno prima per i file criptati.
E' una brutta bestia e ho avvisato altre aziende di stare attenti alle mail sospette (quelle dei corrieri) e in quelle con link strani alfanumerici.

Speriamo bene perché nel secondo caso è pure presente un virus rootkit che non andava via, ma in entrambi i casi ho sostituito l' intero disco per sicurezza e anche nel caso si trovi un rimedio nel futuro.

[bottoni]

Quote:

Originariamente inviato da omihalcon

No, purtroppo in entrambi i casi ho formattato e utilizzato un nuovo disco.
Ti dico che nel secondo caso avevo un' azienda ferma perché si è propagato in rete sulla cartella comune e ho dovuto usare il backup del giorno prima per i file criptati.
E' una brutta bestia e ho avvisato altre aziende di stare attenti alle mail sospette (quelle dei corrieri) e in quelle con link strani alfanumerici.

Speriamo bene perché nel secondo caso è pure presente un virus rootkit che non andava via, ma in entrambi i casi ho sostituito l' intero disco per sicurezza e anche nel caso si trovi un rimedio nel futuro.

credo non era il caso sostituire il vecchio hdd ...è capitato pure al sottoscritto con doversi clienti ( il virus si presentava per @ come mittente addirittura SDA) ..ho formattato il disco a basso livello un paio di volte per sicurezza su un macchina con Linux ....e per il momento sta andando tutto ok
cmq il virus in se per se non è difficile debellarlo ..il problema sono solo i file criptati

[omihalcon]

La sostituzione è stata fatta in modo da poter recuperare qualcosa dalla vecchia installazione perché alcune cose erano in chiaro ancora. Inoltre se fra qualche tempo si troverà un metodo per decriptare allora ecco che il vecchio hd tornerà utile.

[Ophelia999]

"Ti dico che nel secondo caso avevo un' azienda ferma perché si è propagato in rete sulla cartella comune e ho dovuto usare il backup del giorno prima per i file criptati.
E' una brutta bestia e ho avvisato altre aziende di stare attenti alle mail sospette (quelle dei corrieri) e in quelle con link strani alfanumerici."



Buonasera sig. Omihalcon,
Volevo sapere un cosa molto tecnica: dal momento che si apre la mail dell'SDA (con esecuzione del file)
al momento dell' infezione totale del SERVER, quanto tempo passa? E' immediata l'infezione o puo' stare in "incubazione" per giorni? La saluto cordialmente! Grazie.

[bottoni]

Quote:

Originariamente inviato da omihalcon

La sostituzione è stata fatta in modo da poter recuperare qualcosa dalla vecchia installazione perché alcune cose erano in chiaro ancora. Inoltre se fra qualche tempo si troverà un metodo per decriptare allora ecco che il vecchio hd tornerà utile.

si hai fatto bene a salvarlo ...ma il recupero se un domani ci sarà l'antidoto , dovresti farlo sulla stessa macchina , visto che il virus ha usato anche l'id della macchina per criptare i file ...cmq la vedo dura

[omihalcon]

Oggi altra ondata, due clienti. Sempre mail di sda il problema è che cripta i file mdb quindi capite bene il danno. Per fortuna pst sono ok.

Per Sig. Ophelia999, purtroppo sembra un'esecuzione molto veloce, roba di qualche secondo ma mi è stato anche detto che si apre una finestra nera (shell dos.../?). Purtroppo non l'ho visto in azione ma solo i postumi.

[*aLe]

Qualche minuto.
Cryptolocker che io sappia comincia ad agire appena avviato l'eseguibile. Per prima cosa "guarda" quali sono i dischi fissi (quindi anche le unità di rete connesse che hanno una lettera identificativa) e poi comincia a piallare.
A quanto pare non infetta direttamente pennette USB o simili (provato io collegando una penna USB a un PC infetto per "prelevare" l'exe e caricarlo su VirusTotal).

Di solito, dischi di rete parzialmente compromessi (ovviamente solo le cartelle a cui l'utente aveva accesso in scrittura), PC dell'utente da piallare.
Per i dischi di rete, fortunatamente di solito in azienda c'è un backup. Per assurdo, fa più danni nelle case che nelle ditte.

Also, se una share è collegata come \\nomeserver\nomeshare che io sappia Cryptolocker la ignora (ma non vorrei dire una boiata).

Già che ci siamo, ne approfitto per chiedere qua: considerando che i dati ormai son persi e che Kaspersky Rescue Disk non lo rimuove (o almeno, non del tutto che io sappia)... Un paio di passate con Killdisk bastano per eliminare ogni traccia del bastardo, giusto?

[Unax]

almeno per prevenire

http://labs.bitdefender.com/projects...owall-vaccine/

[aletlinfo]

Nessuna novità sul recupero dei file criptati?

[omihalcon]

No ma mi hanno detto che se paghi ti danno anche un supporto per recuperare i dati.

[Quaglia 17]

purtroppo si è aggiornato nella potenza e nel nome
http://www.hwupgrade.it/forum/showthread.php?t=2697349

[omihalcon]

Affermato altri due ha colpito. .. mail di falso bonifico per yonder e pezzi indomani ci. .. in allegato un file cab...

[hypercube pc]

Usate questa guida,
http://deletemalware.blogspot.it/201...virus-and.html

per decriptare usate shadowexplorer

http://www.shadowexplorer.com/downloads.html

praticamente andiamo a recuperare i file da qualche giorno prima.Comunque seguite quella guida.

Per eliminarlo comunque ho usato malwarebytes e poi ho usato shadowexplorer per recuperare i file
Saluti!
Raoul