www.MegaLab.it

[luigi1979]

Salve ragazzi ho il seguente problema..il pc di un amico è infettato da un virus che gli ha praticamente criptato tutti i file(o almeno così sembra)!!!non si riesce ad aprire nessun file.il nome del file è cambiato ad esempio da:

foto.jpg in foto.jpg.EnCiPhErEd

inutile sottolineare che rinominando il file eliminando la parte in più (.EnCiPhErEd) non risolve il problema....il file comunque non si apre.
all'interno di tutto le cartelle c'è un file di testo "HOW TO DECRYPT FILES.TXT" e all'interno c'è scritto questo:

Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be
careful when you enter the code!

girando su internet ho trovato questi link che però non aiutano granchè:
http://slo-tech.com/forum/t514157
http://www.securelist.com/en/descriptions/old313444
http://groups.google.com/a/googlepro...il/qo0xd0MM1Z8
http://forum.hr/showthread.php?p=38886654

il problema + grosso è che anche salvando i dati per formattare sono illeggibili!ho messo qualche file su una pendriver per aprirli da un altro pc ma non si aprono.

qualche idea???ve ne sarei grato!

[luigi1979]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.13.26, on 10/04/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utente\Desktop\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\SYSTEM32\blank.htm
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [sfagent] C:\Programmi\Fighters\sfagent.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: HOW TO DECRYPT FILES.txt (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk.EnCiPhErEd
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk.EnCiPhErEd
O4 - Global Startup: HOW TO DECRYPT FILES.txt
O4 - Global Startup: WL-U356M Configuration Utility.exe.lnk.EnCiPhErEd
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programmi\SUPERAntiSpyware\SASCORE.EXE

--
End of file - 3366 bytes

[giuseppef]

Non ho trovato ancora alcuna soluzione.
Office Scan di Trend Micro non mi ha trovato il troian. Ho installato McAfee SaaS e mi ha individuato il profilo utente intaccato e ha rimosso il troian (.
Ora tutti i documenti e le share in cui l'utente aveva accesso in lettura e scrittura hanno cambiato estensione in: nomefile.ext.EnCiPhErEd

Ho aperto un Support Case con Trend Micro, ma non mi hanno ancora dato alcuna soluzione.

A quanto pare è giunto il momento di verificare il Ripristino dei files dal backup ....

[gigicookie]

Dai link che hai postato sembra che non ci sia niente da fare se non provare a recuperare i file. Scaricati PhotoRec (ripristina non solo le foto) , copialo sul pc e fai una prova scegliendo di salvare i file su una chiavetta.

[crazy.cat]

Sembra che sia una variante piuttosto cattiva del virus ramson, trendmicro dovrebbe riuscire a pulirlo e in fondo a questa pagina trovi un tool del drweb per decriptare i file
http://groups.google.com/a/googleproduc ... o0xd0MM1Z8
Facci sapere.

[giuseppef]

Prova a usare

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

ed esegui c:\te94decrypt.exe -k 85

funziona! e decripta i files....

WOW

[luigi1979]

Problema risolto ecco i passi che ho seguito:

ho seguito tutti i passaggi elencati alla voce "solution" di questo link:
http://about-threats.trendmicro.com/Mal ... Y_ZBOT.IUV

Poi ho usato Malwarebyte e Superantispyware.
Per ultimo ho usato il programma "te94decrypt.exe" che dopo una lunga scansione mi ha ripristinato tutti i file "lleggibili" lasciando comunque anche la copia di quest'ultimo criptato.
Grazie per l'aiuto

[danypg]

Ciao a tutti. anche io ho questo problema con il virus. Ho eseguito il programma per decriptare, mi crea la copia del file decriptata ma non me la fa aprire. a voi si aprono i file creati?

[bubu7]

CIao a tt,ho seguito passo passo e sono riuscito sembra a eliminare qualcosa nel senso che ora non mi compare piu il messaggio dei 50 euro e cosi via pero' quando faccio partire Te94decrypt.exe mi da "error Wrong Key",qualcuno sa dirmi che é? grazie.

[crazy.cat]

Per tutti quelli che hanno il problema dei file criptati consiglio di seguire questa discussione
http://groups.google.com/a/googleproduc ... o0xd0MM1Z8
Il virus è mutato, o ci sono in giro delle varianti che criptano in maniera diversa, quindi il tool non va più bene.

Uno dei consigli che vi si leggono è quello di spedire i file criptati a questo indirizzo
https://vms.drweb.com/sendvirus/?lng=en with category "submission for curing". Attach any crypted doc- or txt-file.
In modo che studino la nuova variante e vi possano dare la cura.

[luigi1979]

Io fortunatamente sono riuscito ad avere i file così come erano prima...i file si aprono correttamente!!!alla fine ho ricercato tutti i file "anche quelli nascosti" che avevno l'estenzione criptata e li ho eliminati ed ho ricercato ed eliminato tutti le copie del file TXT (presente oramai in tutte le cartelle del PC) in cui veniva chiesto del versamente dei 50.

[bubu7]

Luigi ma la kiave ZIBXKKHVYMVCCPW l'hai eliminata tutta???

[ienzen]

Ciao nel nostro caso, il nostro staff ha risolto decriptando tutti i file pdf, jpg, dbf, doc con questa sintassi:
te94decrypt.exe -k 88
a presto

[crbild]

Anche da noi e' stato verificato che per decriptrare andava usato -k 88

Nel caso la codifica sia diversa conviene prendere un file criptato , metterlo in una cartella di radice, poi lanciare:

te94decrypt nome_file

dentro la cartella dove e' presente il file "nome_file" , verranno creati meno di cento files con estensione k...
ognuno di questi va rinominato (potete farlo con un ren *.* *.doc , se l'estensione deve essere doc o pdf se pdf e cosi' via)
poi si va partendo dal numero piu' grande e si verifica quale di questi file si apre, a quel punto se l'estensione e' k92 potete usare :

te94decrypt -k 92 per decrittare tutti i file nel vostro file system.

Considerando che il Trojan puo' cambiare va fatta una verifica come spiegato prima per trovare il numero corretto.
Ricordarsi poi di eliminare i vecchi files criptati.

[gufo70]

Mi inserisco anche io al post perché ho un PC di un cliente che ha lo stesso problema. Si tratta di un avvocato che non ha fatto alcun tipo di backup e adesso si ritrova con tutti i files (doc, pdf, jpg, xls, praticamente tutti) criptati.
Hanno davanti al nome del file la dicitura locked- poi segue il file con la sua estensione e infine un'altra estensione random di 4 caratteri.

Ho provato a seguire le diverse guide di questo post e in giro per la rete ma senza purtroppo arrivare alla soluzione.
Qualcuno prima di me ha tentato e credo rimosso il virus utilizzando i solitio strumenti: combofix, malwarebyte's, ecc...
Questi hanno portato sicuramente alla rimozione del virus ma hanno lasciato TUTTI i files criptati.

Ho usato te94decrypt con l'opzione -k 85, 88, 92, 103, 106 ma senza trovare soluzione.
Esiste qualche altra soluzione per questo problema?

Vi ringrazio anticipatamente

[VincenzoGTA]

Prova a seguire la soluzione proposta da Kaspersky
http://support.kaspersky.com/faq/?qid=208286527

[gufo70]

Purtroppo strada già percorsa senza risultato.
Dopo l'avvio del programma clicco su Start Scan mi esce una finestra di dialogo: "Information Required"
Quindi mi esce questo messaggio:


Cliccando su "Continue" mi chiede il file originale, anche se non ha senso. Se avessi avuto il file originale non criptato non mi sarebbe servito il programmino per la decriptazione del file.

Grazie comunque per il suggerimento.

[VincenzoGTA]

Serve almeno un file originale da confrontare con quello criptato per trovare la chiave per sbloccarli tutti...

Pensa bene se da qualche parte (in rete, su cd, su chiavette...) hai la copia di almeno uno di quei file...

[GERONIMO*]

non usare pendrive e non collegarle ad altri pc,altrimenti infetti anche quelli
usa Superantispyware,fai una scansione completa,aggiornalo prima di lanciare lo scan
segui anche quello scritto,sopra hanno risolto seguendo quelle procedure

[VincenzoGTA]

Mi sembra di aver capito che il virus già è stato debellato ed è rimasto solo il problema dei file criptati...