Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Commenti a "Come rimuovere i virus ransomware (o virus della polizia) e recuperare i dati criptati"

Vuoi discutere qualcosa che riguarda le nostre News? Vuoi darci la tua opinione sui nostri articoli? Complimentarti o muovere una critica? Questa è la sezione giusta!

Commenti a "Come rimuovere i virus ransomware (o virus della polizia) e recuperare i dati criptati"

Messaggioda crazy.cat » dom set 30, 2012 7:09 am

Immagine
Come rimuovere i virus ransomware (o virus della polizia) e recuperare i dati criptati - Commenti

Vediamo come eliminare il "virus della polizia", o della famiglia dei ransomware in genere, e ripristinare i nostri dati quando li ha criptati e resi illeggibili. [continua...]
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda steverm » lun ott 01, 2012 9:16 am

Ottimo articolo ! ...se invece siete un minimo smanettoni e volete velocemente riprendere il controllo del pc (procedura fatta da me ad un mio amico) basta con un livecd (esempio MiniPe se compatibile con i vostri dischi fissi) riuscire ad accedere ad un'utility che vi permette di tornare indietro ad un punto di ripristino relativo ad un giorno precedente a quello d'infezione.
Avatar utente
steverm
Aficionado
Aficionado
 
Messaggi: 60
Iscritto il: lun mag 05, 2008 10:31 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda jokerinopazzos » lun ott 01, 2012 2:03 pm

Finalmenteeeeeee grande crazy ,
eppure io ho eliminato quella infezione l'ho eliminata con combofix e poi dopo ho installato avast sul computer infetto e il virus non e' piu' tornato.

Qualcuno conferma quanto fatto da me sia una soluzione valida
Avatar utente
jokerinopazzos
Bronze Member
Bronze Member
 
Messaggi: 973
Iscritto il: mar apr 20, 2010 10:39 am


Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda woofer » lun ott 01, 2012 5:08 pm

Vi sconsiglio assolutamente i punti di ripristino.
Se si avvia in modalità provvisoria (anche con rete) ho installato malwarebytes antimalware, aggiornamento e scansione, son riuscito a debellare il tutto.
Avatar utente
woofer
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: mer mag 07, 2008 4:57 pm

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda crazy.cat » lun ott 01, 2012 6:48 pm

jokerinopazzos ha scritto:Qualcuno conferma quanto fatto da me sia una soluzione valida

Si può andare bene.

Non impazzisco nemmeno io ad usarli, se parte in provvisoria è più facile fare tutto a mano.
woofer ha scritto:Vi sconsiglio assolutamente i punti di ripristino.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda nanto85 » mar ott 02, 2012 10:30 am

Ottima guida,ci sono un paio di soluzioni che non conoscevo..le proverò al più presto [:)] ...personalmente mi sono capitati molti pc infetti nella quale anche la modalità provvisoria/provvisoria con rete è bloccata...prima di utilizzare livecd e simili consiglio di provare la modalità provvisoria con prompt dei comandi,in questa modalità molte volte il virus non entra in azione e tramite un pen drive usb di far "girare" combofix...spesso mi ha risolto alla grande [^]
Mi lasci perplesso il fatto che i più noti antivirus(Nod32,kaspersky.Norton...) dopo mesi non riescano a coprire da questi ransomware.. [V]
Avatar utente
nanto85
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer mar 09, 2011 11:35 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda The Doctor » mar ott 02, 2012 12:01 pm

nanto85 ha scritto:consiglio di provare la modalità provvisoria con prompt dei comandi,in questa modalità molte volte il virus non entra in azione e tramite un pen drive usb di far "girare" combofix...spesso mi ha risolto alla grande [^]


Ottimo consiglio, non ci avevo pensato [;)]

nanto85 ha scritto:Mi lasci perplesso il fatto che i più noti antivirus(Nod32,kaspersky.Norton...) dopo mesi non riescano a coprire da questi ransomware.. [V]


Purtroppo, a quanto mi risulta, i ransomware sfruttano falle lasciate aperte da java, adobe reader, flash player, internet explorer e dovrebbero pensarci i rispettivi produttori e, ovviamente, gli utenti dovrebbero tenerli sempre aggiornati [:p]
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda nanto85 » mar ott 02, 2012 2:38 pm

Poi 2 volte mi è successo che il virus oltre a fare il file in esecuzione automatica chiamato ctfon o ctfom (non ricordo bene [:)] ) "creasse" anche un file nella cartella system32.. se mi ricapita posto il nome..
Avatar utente
nanto85
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer mar 09, 2011 11:35 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda nanto85 » mar ott 02, 2012 2:42 pm

Un mio vicino ha pagato pure 100€ a ucash prima di chiamarmi [acc2]
Avatar utente
nanto85
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer mar 09, 2011 11:35 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda The Doctor » mar ott 02, 2012 5:12 pm

nanto85 ha scritto:Un mio vicino ha pagato pure 100€ a ucash prima di chiamarmi [acc2]


Sapessi quante persone hanno pagato... [rolleyes] [acc2]
Ciao Nonno
Avatar utente
The Doctor
MLI Hero
MLI Hero
 
Messaggi: 5553
Iscritto il: mer mar 24, 2010 9:10 am
Località: Fiumicino (Roma)

R: Commenti a "Come rimuovere i virus ransomware (o virus de

Messaggioda KillerPenguin » mar ott 02, 2012 8:28 pm

Io per rimuoverlo da un pc di un "cliente" ho usato kaspersky cd rescue però non mi sembra che il virus avesse criptato dei file...
www.TheKillerPenguin.Altervista.org
Avatar utente
KillerPenguin
Bronze Member
Bronze Member
 
Messaggi: 517
Iscritto il: lun feb 14, 2011 6:37 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda farbix89 » mer ott 03, 2012 10:08 am

Ci sono varianti che criptano i file,varianti che non criptano nulla e molti intermezzi tra questi due estremi.

Per esempio un PC affidatomi aveva una variante che se connesso ad Internet e con i permessi giusti scaricava un componente che criptava i file in 1 ora scarsa.

1 oretta e tutti i file erano criptati [...]

Lo stesso virus in ambiente test con connessione disattiva mostrava la schermata di blocco e bloccava la provvisoria ma non criptava nessun file.

L'accesso ad internet è fondamentale per questi virus [:)]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda winman » mer ott 03, 2012 10:46 am

comunque sia la prevenzione sarebbe la prima cosa da fare !
Proibizionismo e censura non fanno parte di una società libera
digito ergo sum : la proiezione dell' io intellettuale sulla tasteria !
Avatar utente
winman
Silver Member
Silver Member
 
Messaggi: 1398
Iscritto il: gio mar 31, 2005 5:23 pm
Località: pisa

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda crazy.cat » mer ott 03, 2012 10:54 am

farbix89 ha scritto:L'accesso ad internet è fondamentale per questi virus [:)]

Per quello nell'articolo ho consigliato di "staccate subito il collegamento Internet da quel computer, in modo che il virus non possa scaricare dal Web tutte le sue componenti malevole." in quel caso si dovrebbe trovare solo il file in esecuzione automatica e niente dati criptati.
Se uno lascia il pc connesso sempre ad un certo punto si gioca pure i dati.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda farbix89 » mer ott 03, 2012 1:43 pm

winman ha scritto:comunque sia la prevenzione sarebbe la prima cosa da fare !


La strategia dei nuovi Ransomware è di un attacco "mirato" che bypassi le misure preventive degli utenti,anche quelli un po' più attenti.

Infatti la diffusione è mantenuta da un exploit che ad occhio ha colpito oltre 200 milioni di siti nel mondo! [...]

Basta una ricerca innocua per essere infettati dal virus,basta capitare nel sito "innocuo" sbagliato!

Infatti,oltre ai disattenti cronici e ai "sempre-infetti" (scaricatori incalliti,i visita porno....),ho visto infettati utenti che:

- avevano fatto una ricerca su auto usate

- avevano comprato da un noto sito di e-shopping

- avevano visitato un sito di ricette

- avevano cercato un sito di hosting immagine

- vedevano video in streaming

- visualizzavano i risultati di eventi sportivi

- visitavano siti di scommesse

......

Gente che normalmente non si dovrebbe infettare su siti così "innocui",ma non erano a conoscenza del fatto che i loro tanto amati siti erano diventati untori della peggior specie!

Per evitare di prendere tale virus serve una consapevolezza di utilizzo troppo difficile da applicare per la gente comune (anche se molto attenta).

Per la cronaca:

quasi tutti gli untori hanno valutazione ottima di WOT [acc2]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda sampei.nihira » mer ott 03, 2012 5:49 pm

La prevenzione è cosa facile basta settare meglio il browser,visto che è la prima porta di accesso dell'exploit Blackhole.
Come ?
Con delle semplici operazioni:

1) Javascritp disattivi a default.
2) Attivazione dei plugins solo su richiesta (sopratutto FLASH e quindi JAVA).
3) EMETizzazione sopratutto (ma non solo) del gestore di file pdf.

Considerate che la visita di un sito web infetto espone il browser alla sequenza dei multi-exploit oltretutto in modo dipendente dal browser utilizzato.
E' stato misurato il tempo con I.E. ed è di circa 13 sec e con Firefox, 16 secondi.
Per esempio Firefox è stato soggetto alla sotto seguente sequenza di exploit:

pdf maligno,flash malevolo,javascript malevolo,un altro pdf maligno,exploit java,ed ancora un successivo flash malevolo.

Peccato che l'autore del test non ha verificato l'esposizione del browser all'exploit con Opera e Chrome.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda sampei.nihira » mer ott 03, 2012 5:55 pm

Mi sarei dimenticato di scrivere (anche se lo dò per scontato), comunque è sempre bene precisare, che se semplici operazioni suddette sono i "preliminari",le "fondamenta"......e da sole non sono certamente risolutive. [^]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda farbix89 » mer ott 03, 2012 8:25 pm

sampei.nihira ha scritto:Mi sarei dimenticato di scrivere (anche se lo dò per scontato), comunque è sempre bene precisare, che se semplici operazioni suddette sono i "preliminari",le "fondamenta"......e da sole non sono certamente risolutive.


Però è gia un inizio [^]

Anche se dai miei test l'unico strumento che ferma i ransomware in maniera completa senza settare o installare troppi software è un buon HIPS.

Per il virus della polizia appaiono circa 4-5 finestre di allarme HIPS,quindi si devono fare ben 4-5 YES prima di rendere inutilzzabile il sistema,senza contare il blocco della modifica dei file di sistema....la provvisoria funzionerà sempre bene sotto HIPS [^]

Se poi ci si infetta allora si è proprio degli....YES MAN,ve la meritate l'infezione [rotfl]


Per la cronaca:

Moltissimi utenti si sono infettati anche con Chrome,questo significa che la sandbox di tale browser inizia a mostrare qualche buco preoccupante [uhm] [acc2]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Commenti a "Come rimuovere i virus ransomware (o virus d

Messaggioda sampei.nihira » gio ott 04, 2012 2:43 pm

Dipende sempre da come è settato Chrome. [^]
Trovo difficile solo pensare che coloro che non aggiornano i plugins più a rischio presenti nel sistema,per esempio JAVA,siano capaci di settare in modo un po' più protettivo il browser con cui navigano.

Mi è venuta in mente una considerazione a tal proposito ma la inserisco nel 3D della configurazione di sicurezza perché qui sono OT.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

R: Commenti a "Come rimuovere i virus ransomware (o virus de

Messaggioda hashcat » gio ott 04, 2012 4:13 pm

farbix89 ha scritto:Per la cronaca:

Moltissimi utenti si sono infettati anche con Chrome,questo significa che la sandbox di tale browser inizia a mostrare qualche buco preoccupante [uhm] [acc2]

Si sono infettati per via di vulnerabilità di JRE e/o JDK (il plugin non viene sandboxato da Chrome).
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Prossimo

Torna a Commenti

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising