MegaLab.it

Come rimuovere i virus ransomware (o virus della polizia) e recuperare i dati criptati - Commenti

Vediamo come eliminare il "virus della polizia", o della famiglia dei ransomware in genere, e ripristinare i nostri dati quando li ha criptati e resi illeggibili. [continua...]

Ottimo articolo ! ...se invece siete un minimo smanettoni e volete velocemente riprendere il controllo del pc (procedura fatta da me ad un mio amico) basta con un livecd (esempio MiniPe se compatibile con i vostri dischi fissi) riuscire ad accedere ad un'utility che vi permette di tornare indietro ad un punto di ripristino relativo ad un giorno precedente a quello d'infezione.

Finalmenteeeeeee grande crazy ,
eppure io ho eliminato quella infezione l'ho eliminata con combofix e poi dopo ho installato avast sul computer infetto e il virus non e' piu' tornato.

Qualcuno conferma quanto fatto da me sia una soluzione valida

Vi sconsiglio assolutamente i punti di ripristino.
Se si avvia in modalità provvisoria (anche con rete) ho installato malwarebytes antimalware, aggiornamento e scansione, son riuscito a debellare il tutto.

jokerinopazzos ha scritto:Qualcuno conferma quanto fatto da me sia una soluzione valida

Si può andare bene.

Non impazzisco nemmeno io ad usarli, se parte in provvisoria è più facile fare tutto a mano.

woofer ha scritto:Vi sconsiglio assolutamente i punti di ripristino.

Ottima guida,ci sono un paio di soluzioni che non conoscevo..le proverò al più presto ...personalmente mi sono capitati molti pc infetti nella quale anche la modalità provvisoria/provvisoria con rete è bloccata...prima di utilizzare livecd e simili consiglio di provare la modalità provvisoria con prompt dei comandi,in questa modalità molte volte il virus non entra in azione e tramite un pen drive usb di far "girare" combofix...spesso mi ha risolto alla grande
Mi lasci perplesso il fatto che i più noti antivirus(Nod32,kaspersky.Norton...) dopo mesi non riescano a coprire da questi ransomware..

nanto85 ha scritto:consiglio di provare la modalità provvisoria con prompt dei comandi,in questa modalità molte volte il virus non entra in azione e tramite un pen drive usb di far "girare" combofix...spesso mi ha risolto alla grande

Ottimo consiglio, non ci avevo pensato

nanto85 ha scritto:Mi lasci perplesso il fatto che i più noti antivirus(Nod32,kaspersky.Norton...) dopo mesi non riescano a coprire da questi ransomware..

Purtroppo, a quanto mi risulta, i ransomware sfruttano falle lasciate aperte da java, adobe reader, flash player, internet explorer e dovrebbero pensarci i rispettivi produttori e, ovviamente, gli utenti dovrebbero tenerli sempre aggiornati

Poi 2 volte mi è successo che il virus oltre a fare il file in esecuzione automatica chiamato ctfon o ctfom (non ricordo bene ) "creasse" anche un file nella cartella system32.. se mi ricapita posto il nome..

Un mio vicino ha pagato pure 100€ a ucash prima di chiamarmi

nanto85 ha scritto:Un mio vicino ha pagato pure 100€ a ucash prima di chiamarmi

Sapessi quante persone hanno pagato...

Io per rimuoverlo da un pc di un "cliente" ho usato kaspersky cd rescue però non mi sembra che il virus avesse criptato dei file...

Ci sono varianti che criptano i file,varianti che non criptano nulla e molti intermezzi tra questi due estremi.

Per esempio un PC affidatomi aveva una variante che se connesso ad Internet e con i permessi giusti scaricava un componente che criptava i file in 1 ora scarsa.

1 oretta e tutti i file erano criptati

Lo stesso virus in ambiente test con connessione disattiva mostrava la schermata di blocco e bloccava la provvisoria ma non criptava nessun file.

L'accesso ad internet è fondamentale per questi virus

comunque sia la prevenzione sarebbe la prima cosa da fare !

farbix89 ha scritto:L'accesso ad internet è fondamentale per questi virus

Per quello nell'articolo ho consigliato di "staccate subito il collegamento Internet da quel computer, in modo che il virus non possa scaricare dal Web tutte le sue componenti malevole." in quel caso si dovrebbe trovare solo il file in esecuzione automatica e niente dati criptati.
Se uno lascia il pc connesso sempre ad un certo punto si gioca pure i dati.

winman ha scritto:comunque sia la prevenzione sarebbe la prima cosa da fare !

La strategia dei nuovi Ransomware è di un attacco "mirato" che bypassi le misure preventive degli utenti,anche quelli un po' più attenti.

Infatti la diffusione è mantenuta da un exploit che ad occhio ha colpito oltre 200 milioni di siti nel mondo!

Basta una ricerca innocua per essere infettati dal virus,basta capitare nel sito "innocuo" sbagliato!

Infatti,oltre ai disattenti cronici e ai "sempre-infetti" (scaricatori incalliti,i visita porno....),ho visto infettati utenti che:

- avevano fatto una ricerca su auto usate

- avevano comprato da un noto sito di e-shopping

- avevano visitato un sito di ricette

- avevano cercato un sito di hosting immagine

- vedevano video in streaming

- visualizzavano i risultati di eventi sportivi

- visitavano siti di scommesse

......

Gente che normalmente non si dovrebbe infettare su siti così "innocui",ma non erano a conoscenza del fatto che i loro tanto amati siti erano diventati untori della peggior specie!

Per evitare di prendere tale virus serve una consapevolezza di utilizzo troppo difficile da applicare per la gente comune (anche se molto attenta).

Per la cronaca:

quasi tutti gli untori hanno valutazione ottima di WOT

sampei.nihira ha scritto:Mi sarei dimenticato di scrivere (anche se lo dò per scontato), comunque è sempre bene precisare, che se semplici operazioni suddette sono i "preliminari",le "fondamenta"......e da sole non sono certamente risolutive.

Però è gia un inizio

Anche se dai miei test l'unico strumento che ferma i ransomware in maniera completa senza settare o installare troppi software è un buon HIPS.

Per il virus della polizia appaiono circa 4-5 finestre di allarme HIPS,quindi si devono fare ben 4-5 YES prima di rendere inutilzzabile il sistema,senza contare il blocco della modifica dei file di sistema....la provvisoria funzionerà sempre bene sotto HIPS

Se poi ci si infetta allora si è proprio degli....YES MAN,ve la meritate l'infezione


Per la cronaca:

Moltissimi utenti si sono infettati anche con Chrome,questo significa che la sandbox di tale browser inizia a mostrare qualche buco preoccupante

farbix89 ha scritto:Per la cronaca:

Moltissimi utenti si sono infettati anche con Chrome,questo significa che la sandbox di tale browser inizia a mostrare qualche buco preoccupante

Si sono infettati per via di vulnerabilità di JRE e/o JDK (il plugin non viene sandboxato da Chrome).