Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus che ha criptato tutti i file - Help Me

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda gufo70 » dom giu 17, 2012 10:01 pm

VincenzoGTA ha scritto:Mi sembra di aver capito che il virus già è stato debellato ed è rimasto solo il problema dei file criptati...


Si, è proprio così.
Prima di me il PC è stato portato in un centro assistenza che non è riuscito a ripristinare i file criptati. Si sono limitati a rimuovere il virus con Combofix, Malwarebytes, e forse altro. Poi alla fine hanno deciso di fire un file immagine del sistema e quindi di formattare e reinstallare tutto.
Io ho ripristinato l'immagine di Acronis e mi sonoi appunto accorto del lavoro svolto.
Ho visto che su C:\ ci sono 3 log dell'utility di Kaspersky, quindi anche loro hanno già usato e senza successo RannohDecryptor. Forse, come me, non avevano almeno un file originale.

Domani sentirò l'avvocato per chiedergli se riesce a recuperare almeno un file non criptato. So di per certo che non ha mai fatto un backup, quindi la vedo molto dura. Forse in qualche email che ha inviato e che può recuperare da clienti o amici.
Vi farò sapere.
Per adesso e per tutti i suggerimenti vi dico grazie.
Avatar utente
gufo70
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar ago 31, 2010 12:27 am

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda gufo70 » dom giu 17, 2012 10:16 pm

E Vaiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!!!!!!!!!!!!!!

Forse ragazzi ci sono riuscito.
Sono riuscito a trovare un file originale di un infetto e il tools ha cominciato a lavorare.
Fino ad ora mi dice di avere trovato e decriptato 1652 files.

Aggiornerò sulla situazione.
Scusate per il doppio post che farò ma la felicità era enorme quando ho visto il tools di Kasperky cominciare a lavorare.

Incrosio le dita e speriamo bene.
Per adesso il PC sembra semi bloccato, forse sta lavorando troppo. La spia dell'HDD è accesa fissa, quindi non credo in blocco ma forse per la troppa attività di ricerca e decriptazione.
Avatar utente
gufo70
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar ago 31, 2010 12:27 am

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda VincenzoGTA » dom giu 17, 2012 10:22 pm

Lascialo lavorare...
In bocca al lupo [;)]
Avatar utente
VincenzoGTA
Bronze Member
Bronze Member
 
Messaggi: 673
Iscritto il: mar ott 25, 2011 11:17 am


Re: Virus che ha criptato tutti i file - Help Me

Messaggioda gufo70 » dom giu 17, 2012 11:04 pm

Sisisisi.....
Ha finito di lavorare proprio adesso.

Tutti i file sono magicamente ricomparsi e decriptati.
Confermo che per risolvere il problema bisogna avere almeno un file originale per decriptare tutti gli altri come suggerito dagli amici di questo forum.
Qui è descritta anche una rapida guida tradotta in italiano del tools di Kaspersky
Avatar utente
gufo70
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar ago 31, 2010 12:27 am

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda Rashid66 » mar lug 16, 2013 3:44 pm

Ciao a tutti!!

Mi accodo a questo topic perché penso di avere una variante di questo problema. Bensi le foto criptate non vengono rinominate da questo virus ma una volta aperte anzichè la foto esce una schermata dove mi chiede di utilizzare Dirty Decrypt per sbloccare i file. ho provato gia con i metodi da voi consigliati anche recuperando l'originale, ma continua a non funzionare. Idee??

Grazie
Avatar utente
Rashid66
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: mar lug 16, 2013 3:41 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda angeldebby » mar ago 20, 2013 5:51 pm

aiutoo!!! ho appena scoperto anch'io di esser stata infettata da questo maledetto virus! purtroppo le vostre procedure per il recupero files non funzionano neanche a me! [cry] [cry] qualcuno che mi aiuti??? [cry] [cry] [cry]
Avatar utente
angeldebby
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar ago 20, 2013 5:47 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda bobby5 » mer ago 21, 2013 1:36 pm

Purtroppo questo virus è una brutta bestia e ne esistono molte varianti diverse per cui è molto difficile trovare un modo efficace per decriptare i file!
Ho appena finto di leggere questo articolo a riguardo!
Codice: Seleziona tutto
http://blog.avast.com/2013/08/20/no-problem-bro-ransom-decryption-service/

In questo caso la chiave utilizzata per criptare i file è talmente lunga da non poter essere ottenuta con un attacco brute force! Le uniche soluzioni proposte sono quella di effettuare il buckup dei dati periodicamente per prevenire il problema o di provare a recuperare i file originali eliminati se questi non sono stati sovrascritti sul disco! Puoi usare programmi come Recuva per questo! Un altra soluzione sarebbe possibile se fossi connessa tramite proxy e il proxy conservasse i log di tutte le comunicazioni allora potrebbe essere possibile risalire alla chiave usata per criptare i file!
Avatar utente
bobby5
Neo Iscritto
Neo Iscritto
 
Messaggi: 23
Iscritto il: mar apr 13, 2010 6:34 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda angeldebby » mer ago 21, 2013 3:11 pm

ti ringrazio ma volevo chiederti una cosa che non riesco a spiegarmi.. ovvero esiste un programma per aprire questi file criptati (ovviamente con password- che ovviamente bisognerà decifrare ) ? se si quale potrebbe essere questo programma?
Avatar utente
angeldebby
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar ago 20, 2013 5:47 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda bobby5 » mer ago 21, 2013 7:08 pm

Non sono sicuro... (Dovresti provare a chiedere al redattore che si occupa degli articoli sulla crittografia http://www.MegaLab.it/utenti/Mariano%2BOrtu sicuramente saprebbe dirti cose più corrette) comunque ci provo... credo dipenda dall'agoritmo utilizzato! Per capirsi se è un algoritmo standard supportato da programmi come truecrypt dovresti poterlo aprire anche con questo programma! Se è un algoritmo implementato dall'autore del virus potrebbe essere necessario un programma apposito! Anche per questo dubito che anche una volta pagato ti venga data concreta possibilità di recuperare i file!
Avatar utente
bobby5
Neo Iscritto
Neo Iscritto
 
Messaggi: 23
Iscritto il: mar apr 13, 2010 6:34 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda angeldebby » gio ago 22, 2013 1:45 pm

ok mille grazie! ;)
Avatar utente
angeldebby
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar ago 20, 2013 5:47 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda maurzroma » gio set 05, 2013 11:22 pm

Salve, volevo riportare la mia esperienza con questo diciamo virus ma si tratta di attività di Hacker o di un virus comunque supportato da Hacker.
Ho avuto due server win 2003 con questo problema e ho visto che non si tratta di un virus ma di un accesso di Hacker russi che utilizzano un programma per criptare ma forse semplicemente una utility che cambia alcuni caratteri ascii.
Dico questo perché ho trovato nel desktop di 2 utenze (fortunatamente non amministrative) che avevano password comuni (12345 qwerty ecc) il programma total commander e altre utilità.
Nel primo e nel secondo server si sono connessi + volte con queste utenze in desktop remoto da vari indirizzi ip sparsi nel mondo ma i principali accessi sembrano essere dalla Russia della città di Samara.
Ip risultano già segnalati per attività sospette. Nei server ci sono utenze che scaricano posta con outlook e son sicuro che con delle mail con malware riescano a risalire all'elenco delle utenze del server per poi provare ad accedere con le password comuni.
Se a qualcuno interessa possiamo scambiare ulteriori informazioni

maurzroma
Avatar utente
maurzroma
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: gio set 05, 2013 10:56 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda luigi1979 » mar ott 15, 2013 1:22 am

maurzroma ha scritto:Salve, volevo riportare la mia esperienza con questo diciamo virus ma si tratta di attività di Hacker o di un virus comunque supportato da Hacker.
Ho avuto due server win 2003 con questo problema e ho visto che non si tratta di un virus ma di un accesso di Hacker russi che utilizzano un programma per criptare ma forse semplicemente una utility che cambia alcuni caratteri ascii.
Dico questo perché ho trovato nel desktop di 2 utenze (fortunatamente non amministrative) che avevano password comuni (12345 qwerty ecc) il programma total commander e altre utilità.
Nel primo e nel secondo server si sono connessi + volte con queste utenze in desktop remoto da vari indirizzi ip sparsi nel mondo ma i principali accessi sembrano essere dalla Russia della città di Samara.
Ip risultano già segnalati per attività sospette. Nei server ci sono utenze che scaricano posta con outlook e son sicuro che con delle mail con malware riescano a risalire all'elenco delle utenze del server per poi provare ad accedere con le password comuni.
Se a qualcuno interessa possiamo scambiare ulteriori informazioni

maurzroma



e come hai risolto il problema sui 2 server con win2003??
Avatar utente
luigi1979
Aficionado
Aficionado
 
Messaggi: 40
Iscritto il: lun ago 20, 2007 6:00 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda The Walking Dead » gio ott 24, 2013 5:20 pm

Rag vedete se potete ripristinare i file con la funzione "versioni precedenti" di Windows 7.
Avatar utente
The Walking Dead
Bronze Member
Bronze Member
 
Messaggi: 538
Iscritto il: dom ago 26, 2012 2:55 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda maurzroma » ven ott 25, 2013 5:01 am

luigi1979 ha scritto:
maurzroma ha scritto:Salve, volevo riportare la mia esperienza con questo dici......
maurzroma


e come hai risolto il problema sui 2 server con win2003??


no non ho risolto, avevo i backup su un secondo disco a cui solo l'amministratore ha accesso, loro sono riusciti a 'bucare' due utenze non amministrative con password semplici e comuni quindi il danno è stato molto limitato. Ho visto che solo la prima parte del file è criptata/variata, nei file di testo la cosa è ben chiara.
Per evitar altri problemi Outlook dei client l'ho messo ora su una macchina a parte e ho cambiato la porta desktop remoto.. così non dovrebbe andare ... spero [:)]
Avatar utente
maurzroma
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: gio set 05, 2013 10:56 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda meuro » mar gen 28, 2014 8:56 am

ciao a tutti!
a me piu che aver decriptato dei file ne ha creati di nuovi...uni gif e uno txt
ad esempio, su una cartella di soli mp3 ha inserito sti due file...adesso sti mp3 non funzionano bene
su altre cartelle con file di reaper idem e adesso quei file non funzionano...c'è tutto, l'estensione è giusta ma non funzionano...non capisco! ovviamente ho sempre sti due file, uno gif e uno txt con lo stesso nome
il virus non lo vedo piu, ho fatto varie scansioni ma non lo trova piu ormai...il pc va piu lento..bo [cry]
Avatar utente
meuro
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: mar gen 28, 2014 8:52 am

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda Andrea60 » gio lug 10, 2014 1:14 pm

Salve a tutti.

Ho letto i post precedenti, ma prima di provare le soluzioni proposte ho pensato che sia meglio chiedere gentilmente il vostro parere per risolvere questo problema simile a quelli pubblicati, ma diverso come estensione.

Ho scaricato un file con estensione .scr , che credevo fosse un nuovo tipo di video, ma quando l’ho aperto è apparso l’avviso di "ZoneAlarm" che era un file sospetto; ho cliccato alla voce “non permettere”, ma continuava a riaprirsi l’avviso di ZoneAlarm, per moltissime volte, fino a quando ho provato a disabilitare la voce “memorizza impostazione” (in modo da non riattivarla) e poi ho cliccato “permettere”. L’avviso è subito sparito, ma poi mi sono accorto che è stata rinominata l’estensione di molti file nel disco fisso del mio computer ed anche nel disco fisso abbinato contenente il mio archivio di foto, libri digitali e video, modificati con una nuova estensione ( ad esempio, nome-file.doc.enc.rtf ) ma solo tutti i file con estensione .doc - .pdf - .jpg - .zip - .avi - .wmv - .mpg – INVECE non sono state rinominate le estensioni dei file .exe - .gif - .cbr - .wav - .mp4 - .flv - .VOB
Non ho più riavviato il computer, ed ho provato manualmente a rinominare un file che era .doc, togliendo la nuova estensione criptata, ma il file originario non si apre ed al suo posto si apre una pagina in cui c’è scritto in 3 lingue, escluso italiano:

[EN] The file is encrypted
To decrypt the file, follow these steps:
1. Disable antivirus (and firewall) installed on your computer
2. Enable internet connection
3. Unpack the archive C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (or archive with the same name on your desktop). Password BmyZWWiq
4. Run the unzipped MDgMpXCk.exe
5. Enter the correct code voucher Ukash, Paysafecard or MoneyPack
6. Do not restart the computer. Expect complete decoding


TRADOTTO CON GOOGLE

[IT] Il file è crittografato
Per decriptare il file, attenersi alla seguente procedura:
1. Disabilitare Antivirus (e firewall) installato sul computer
2. Abilita connessione a internet
3. Estrarre l'archivio C: \ Documents and Settings \ INTEL 2013 \ Impostazioni Locali \ Dati Applicazioni \ XUOWfvWD \ ilTFUBGq.zip (o archivio con lo stesso nome sul desktop). password BmyZWWiq
4. Eseguire il decompresso MDgMpXCk.exe
5. Inserire il voucher codice corretto Ukash, Paysafecard o MoneyPack
6. Non riavviare il computer. Aspettatevi decodifica completa

_________________________________________

Nel computer c'è Windows XP professional 2002 con tutti gli aggiornamenti e Service Pack 3 e sono installati: ZoneAlarm Antivirus e ZoneAlarm Firewall aggiornati, inoltre ZoneAlarm Security Toolbar; ho anche installato System Explorer 5.7.0. I programmi per scansione-rimozione di virus installati che ho già utilizzato tempo fa sono: Malwarebytes Anti-Malware, adwcleaner, e DOCTOR WEB, oltre che ComboFix Packages.

Come posso procedere per decriptare tutti i file e rinominarli in originale?
Avatar utente
Andrea60
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: gio lug 10, 2014 11:58 am

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda luigi1979 » mar nov 11, 2014 12:05 am

alla fine hai risolto poi?
Avatar utente
luigi1979
Aficionado
Aficionado
 
Messaggi: 40
Iscritto il: lun ago 20, 2007 6:00 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda linuxsun » sab gen 24, 2015 7:39 pm

Ciao a tutti, la discussione e' un po' vecchia ma il problema e' attuale mi ritrovo tutti i file di un server criptati. Ho googolato un po' e' le notizie non sono confortanti ovviamente non ho un backup aggiornato.
Il malware e' stato bloccato ma i file sono criptati. [cry] [cry]
Ho provato con i Tool di Kaspersky ma non funzionano, dispongo di alcuni file originali prima della criptazione.
Sono qui a chiedere conferma sul da fare a qualcuno piu' aggiornato sulla questione.
Ritengo che si tratti di cryptolooker o meglio ancora cryptowall 3.0. Qualcuno e' a conoscenza di notizie in merito.

Grazie
Avatar utente
linuxsun
Aficionado
Aficionado
 
Messaggi: 71
Iscritto il: mer apr 23, 2003 2:37 am

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda clark82 » mer gen 28, 2015 2:38 pm

Ciao linuxsun,
ho il tuo stesso problema, sei riuscito in qualche modo a decriptare i tuoi file?

Grazie
Avatar utente
clark82
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: mer gen 28, 2015 2:35 pm

Re: Virus che ha criptato tutti i file - Help Me

Messaggioda linuxsun » gio gen 29, 2015 5:20 pm

Ciao allo stato attuale non c'e' nulla da fare.
Ho anche effettuato alcuni tentativi di collegamento ai link indicati da questi pezzi di m____a (anche se ce lo vogliamo noi i backup devono essere fatti con regolarita') per verificare se effettivamente consentono il recupero dei file, ho provato con due file ma non funziona. Inoltre il mio problema e' ancor piu' complicato perche' ho file criptati su una macchina utente, e i file criptati hanno assunto il formato XXXXXXXXXX.doc.xxABCDEF, su un disco esterno usb dove i file hanno conservato la loro estensione e su un server di rete dove la cartella era mappata localmente come disco anche in questo caso i file hanno conservato l'estensione originale. Posso dirti che su dropbox i file si recuperano. Su XP non e' possibile su W7 puoi vedere se il maledetto ha cancellato le copie shadow in tal caso puoi tentare un recupero. La versione attuale pero' come prima operazione cancella le copie shadow e blocca il registro di ripristino. Inoltre siccome la situazione e' in continua evoluzione stavo leggendo che anche l'eliminazione deve essere fatta in maniera accorta perche' secondo la tesi di alcuni e' possibile che chiave di criptazione sia conservata anche sulla macchina locale.......
Comunque e' un bel guaio.

clark82 ha scritto:Ciao linuxsun,
ho il tuo stesso problema, sei riuscito in qualche modo a decriptare i tuoi file?

Grazie
Avatar utente
linuxsun
Aficionado
Aficionado
 
Messaggi: 71
Iscritto il: mer apr 23, 2003 2:37 am

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising