UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati

tecnico24

Utente Èlite
10,705
1,071
Salve amici.
Cerchiamo qui , in una discussione ufficiale , di racchiudere maggiori informazioni sui ransom e di tentare il ripristino dei vostri files.
Alcuni suggerimenti:
1)Eseguite sempre e comunque un backup di tutte le cartelle e files importanti su un dvd o su un supporto esterno : il ransom in sè per sè e' facilmente rimuovibile , ma la procedura di ripristino di files è alquanto complessa o in alcuni casi impossibile.
2)Un'antivirus sempre aggiornato e competitivo ed una particolare attenzione agli allegati via email.


Pagina utile per scoprire che ransomware ci ha colpiti:
https://id-ransomware.malwarehunterteam.com/


A questo punto possiamo tentare il recupero in base al ransomware :


AUTOLOCKY
https://decrypter.emsisoft.com/autolocky

PClockCRYPTOLOOKER
New PClock CryptoLocker Ransomware discovered - News
Alcuni utenti di bleepingcomputer sono riusciti a trovare una soluzione , tranne che per alcune varianti che sono in continua evoluzione.
Come procedere:
PClock cripta i files con una chiave a 2048 bit creando un documento di testo localizzato in %*UserProfile%\enc_files.txt
controllare se è presente tale file.Da lì si noteranno i files criptati.
cartella del malware:
%AppData%\WinCL\WinCL.exe
(C:\Users\tuo nome utente\AppData\Roaming\wincl\wincl.exe)

cancella le shadow copy(tasto destro sul file>proprietà>versioni precedenti cancellate)
da notare che l'infezione in continua evoluzione può cambiare il percorso dell'eseguibile.
Tool della emsisoft
http://emsi.at/DecryptPClock2
Salvare il tool sul desktop.
Doppio click e il programmino ricercherà automaticamente %*UserProfile%\enc_files.txt list.
premere su DECRYPT.
Lasciate lavorare il tool e al termine creerà un file criptato originale rinominato in *.decbake un nuovo file decriptato nella cartella stessa.
Se il tool vi mostra messaggi di errori o similari , la variante non è supportata o il programma anti-malware usato ha eliminato il file.

CRYPTORBIT
CryptorBit and HowDecrypt Information Guide and FAQ
Non cancella le shadow copy.Tool per il ripristino dei files
http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

CRYPTOWALL
CryptoWall and HELP_DECRYPT Ransomware Information Guide and FAQ
cancella le shadow copy.Crea questi files
HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, e HELP_DECRYPT.URL
VERSIONE 4.0**ULTIMA**
il suddetto ransom cripta anche i nomi dei files criptati per portare la vittima alla disperazione quando si è alla ricerca di un file particolare.Esempio 742298husj.aecn
Metodo di propaganda lo stesso , via email ricevendo un'allegato in formato .zip , testimonianza di alcuni membri che sono stati infettati.
Novita importante l'utilizzo di una nuova pagina HTML rinominata con help_your_Files.html.
Cryptowall 4.0 cancella le copie shadow , ripristini creati e utilizza bcdedit per disattivare il ripristino all'avvio di windows.Infetta il processo svchost.exe e cripta tutti i files presenti anche nei supporti rimovibili e unità di rete.

Nessuna modalità di recupero dei files , almeno per il momento.

CRYPTODEFENSE
Versione 1.0.0.97 del 2 Aprile 2014
https://decrypter.emsisoft.com/cryptodefense

COINVAULT
The CoinVault Ransomware Information Guide and FAQ
Non cancella le shadow copy , potete utilizzare un software di recupero dal web per tentare di ripristinare i files (tipo Recuva).

CRYPTXXX (versioni precedenti alla 3.0)
Articolo (in inglese) -> http://www.bleepingcomputer.com/new...eases-free-decryptor-for-cryptxxx-ransomware/
Strumento per la rimozione -> http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe

CTB-LOCKER
CTB Locker and Critroni Ransomware Information Guide and FAQ
Crea i seguenti files
!Decrypt-All-Files.bmp
!Decrypt-All-Files.txt

non ci sono tools per il recupero dei files.

TESLACRYPT
Il 18 Maggio 2016 ESET ha rilasciato un tool per la decriptazione delle varianti recenti (v3 e v4) di questo ransomware.
http://www.eset.com/us/resources/de...for-recent-variants-of-teslacrypt-ransomware/
http://www.tomshw.it/news/fine-di-teslacrypt-autori-si-ritirano-e-consegnano-chiavi-77121
Potete scaricarlo direttamente da
http://download.eset.com/special/ESETTeslaCryptDecryptor.exe
Aggiornamento (15 gen 2017):
I ricercatori ESET per fortuna hanno pubblicato la master key per recuperare i dati cifrati da tutte le versioni del ransomware 3 e 4.
Scaricare Tesladecoder
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
estraete la cartella ed avviate tesladecoder.exe vi ritroverete questa schermata

.clicchiamo su set key
.in key(hex) : 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE
.
in extension mettere l'estensione dei file .criptati o se non è stata modificata l'estensione <as original>.
.cliccare su set key
.si ritorna alla schermata iniziale e cliccare su decrypt folder oppure selezionare l'intero disco e così finalmente riotteniamo i nostri file.
DA NOTARE che purtoppo non sempre la procedura va sempre a buon fine e i motivi possono essere tanti , eseguire le operazioni con tutti i programmi chiusi e innanzitutto con il malware già eliminato dal sistema.

ALPHACRYPT/TESLACRYPT
http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information
Possibilità di recupero files : usare il seguente tool http://www.dropbox.com/s/abcziurxly2380e/TeslaDecoder.zip?dl=0
è in grado di decriptare i files con estensione
.EXX .EZZ. .ECC.
Se il tool ha fatto il suo lavoro sarà sufficiente cliccare su DECRYPT ALL

CRYPTOLOCKER
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Quello che conosciamo che cripta i files con estensione .encrypted
Il tentativo di recupero files è in base alla variante , inviate il file e la vostra email qui
https://www.decryptcryptolocker.com/
vi saranno date istruzioni sempre via email se ci sono successi.

TORRENTLOCKER
http://www.bleepingcomputer.com/for...t-and-discussion-thread-cryptolocker-copycat/
Cripta i vostri files con la crittografia AES.
Il tool per il recupero files : http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe
necessità però di una copia del file non criptata.

HYDRACRYPT/UMBRECRYPT
Articolo (in inglese) -> http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
Strumento per la rimozione -> http://emsi.at/DecryptHydraCrypt

NEMUCOD .CRYPTED/DECRYPT.TXT
Articolo (in inglese) -> http://www.bleepingcomputer.com/new...d-for-the-nemucod-trojans-crypted-ransomware/
Strumento 1 per la rimozione -> https://decrypter.emsisoft.com/nemucod
Strumento 2 per la rimozione -> https://decrypter.emsisoft.com/download/nemucod

JIGSAW
Articolo (in inglese) -> http://www.bleepingcomputer.com/new...l-delete-your-files-until-you-pay-the-ransom/
Strumento per la rimozione -> https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip
Variante Invisible Empire -> http://www.bleepingcomputer.com/new...re-themed-jigsaw-ransomware-variant-released/

GLOBE
Articolo (in inglese) -> http://www.bleepingcomputer.com/news/security/the-globe-ransomware-wants-to-purge-your-files/
Strumento per la rimozione -> https://decrypter.emsisoft.com/globe

PHILADELPHIA
Strumento per la rimozione -> https://decrypter.emsisoft.com/philadelphia

CRYSIS
Articolo (in inglese) -> http://www.bleepingcomputer.com/new...ecryptor-for-the-crysis-ransomware-released-/
Strumento 1 per la rimozione -> http://support.kaspersky.com/us/10556#block1
Strumento 2 per la rimozione ->http://support.eset.com/kb6274/

PRINCESS LOCKER
Articolo (in inglese) -> http://www.bleepingcomputer.com/news/security/decryptor-available-for-princess-locker-ransomware/
Strumento per la rimozione -> https://drive.google.com/drive/folders/0Bzb5kQFOXkiSakM4NnB2WTUzLVk

VINDOWSLOCKER
Articolo (in inglese) -> https://www.bleepingcomputer.com/ne...s-tech-support-scam-not-the-other-way-around/
Strumento 1 per la rimozione -> https://malwarebytes.box.com/s/gdu18hr17mwqszj3hjw5m3sw84k8hlph
Strumento 2 per la rimozione -> https://rol.im/VindowsUnlocker.zip

NMOREIRA
Articolo (in inglese) -> https://decrypter.emsisoft.com/nmoreira
Strumento per la rimozione -> https://decrypter.emsisoft.com/download/nmoreira


Nuovo ransomware : helpme@freespeechmail.org
freespeechmail-rw-wallpaper.png
Circola in rete questo nuovo ransomware insieme alle sue varianti che criptano i vostri file.
Questo ransom assegna alla vittima un ID (esempio ID 41412) , il file criptato(esempio musica.jpg) sarà musica.jpg.ID-41412_helpme@freespeechmail.org
Cambia lo sfondo di windows per permettere di seguire le istruzioni per pagare e decriptare i files.
Per fortuna abbiamo il tool di kaspersky(Rakhnidecryptor) :
http://media.kaspersky.com/…/VirusUt…/EN/rakhnidecryptor.exe
che è in grado di decriptare questi files criptati in questo modo:
<filename>.<original_extension>.<locked>
<filename>.<original_extension>.<kraken>
<filename>.<original_extension>.<darkness>
<filename>.<original_extension>.<nochance>
<filename>.<original_extension>.<oshit>
<filename>.<original_extension>.<oplata@qq_com>
<filename>.<original_extension>.<relock@qq_com>
<filename>.<original_extension>.<crypto>
<filename>.<original_extension>.<helpdecrypt@ukr.net>
<filename>.<original_extension>.<pizda@qq_com>
<filename>.<original_extension>.<dyatel@qq_com>
<filename>.<original_extension>_crypt
<filename>.<original_extension>.<nalog@qq_com>
<filename>.<original_extension>.<chifrator@qq_com>
<filename>.<original_extension>.<gruzin@qq_com>
<filename>.<original_extension>.<troyancoder@qq_com>
<filename>.<original_extension>.<encrypted>
<filename>.<original_extension>.<cry>
<filename>.<original_extension>.<AES256>
<filename>.<original_extension>.<enc>
<filename>.<original_extension>.<coderksu@gmail_com_id371>
<filename>.<original_extension>.<coderksu@gmail_com_id372>
<filename>.<original_extension>.<coderksu@gmail_com_id374>
<filename>.<original_extension>.<coderksu@gmail_com_id375>
<filename>.<original_extension>.<coderksu@gmail_com_id376>
<filename>.<original_extension>.<coderksu@gmail_com_id392>
<filename>.<original_extension>.<coderksu@gmail_com_id357>
<filename>.<original_extension>.<coderksu@gmail_com_id356>
<filename>.<original_extension>.<coderksu@gmail_com_id358>
<filename>.<original_extension>.<coderksu@gmail_com_id359>
<filename>.<original_extension>.<coderksu@gmail_com_id360>
<filename>.<original_extension>.<coderksu@gmail_com_id20>
<filename>.crypt@india.com.random_characters>
<filename>.<original_extension>.<hb15>
<filename>.<original_extension>.id-<id>_helpme@freespeechmail.org.
Se siete infetti da questa tipologia di ransom ,scaricate il tool sul desktop.
Avviatelo , se volete scansionare le unità di rete basta cliccare su change parameters e selezionare network drives > ok e premere su start scan.
In nome file mettere *.* in modo da essere sicuri che il tool scansioni tutte le tipologie di files criptati.
Il processo può durare anche un paio d'ore , se sono files importanti vale la pena aspettare , almeno a mio avviso.



Ransomware: cosa sono, come prevenirli e come recuperare i dati
Articolo di @Alvise C. in costante aggiornamento
http://answers.microsoft.com/it-it/...i-e-come/36136d1f-8f92-490c-b03b-9630aa0c5300



Progetto NO MORE RANSOM
Lo scopo del portale è offrire un’utile risorsa online alle vittime di ransomware.
Info: http://www.adnkronos.com/immediapress/ict/2016/07/25/more-ransom-forze-dell-ordine-aziende-sicurezza-uniscono-per-combattere-ransomware_F4jWU3bBWaa2TnA0KrXl3J.html
Sito (in inglese) -> https://www.nomoreransom.org/
 
Ultima modifica da un moderatore:

Tcastio

Nuovo Utente
2
0
Salve,
Sono disperato!
Il mio portatile è stato infettato da un VIRUS che mi ha criptato tutte i files (jpeg, excel, word, pdf) col suffiso .ECC

Ho provato con metodo "TESLACRYPT/ALPHACRYPT" ma appena ho scaricato il programma AVIRA l' ha bloccato.

Che fare?
Grazie per gli aiuti
 

cainagrellion

Nuovo Utente
3
0
ho scritto anche un post dedicato ma faccio domanda anche qui, ho di sicuro preso un virus di questo tipo ma ho in aggiunta il problema che mi ha bloccato tutte le icone e il blocco persiste anche in modalità provvisoria, inoltre internet è quasi sempre bloccato e non mi fa scaricare niente (solo una volta ci ero quasi riuscito a mettere spyhunter ma il download mi si era bloccato a metà) potreste indicarmi un modo per sbloccare icone e internet cosi da procedere alla rimozione del virus con la conseguenza di decriptare poi i file? sono nelle vostre mani U^U
 

herminez

Nuovo Utente
5
0
CPU
Intel Core i5 3470
Scheda Madre
Asus CM6340
Hard Disk
SSD Samsung 840 Pro 350 gb- Crucial mx200 1TB
RAM
Canale doppio DDR3 1600 16GB
Scheda Video
Nvidia Ge Force GT620
Scheda Audio
Asus - Nvidia
Monitor
Asus MS228 22'
Alimentatore
Antec neo Eco 450w
Case
Mid Tower ventilaz. posteriore
Sistema Operativo
Windows 8.1
Ciao a tutti , vorrei solo portare a Vs. conoscenza un piccolo contributo contro questo cosìddetto "Virus della Polizia" . Non è farina del mio sacco l'ho letto , per caso , dove e quando ora non ricordo neanche più . Puntualmente l'ho beccato pure io , me ne sono ricordato mettendolo in pratica ed ha funzionato alla grande .
Arrivo al dunque : quando si vede questa famigerata videata , almeno la prima volta , scatta il panico e nel tentativo di mandarla via si clicca sulla X in alto per uscire ! NIENTE DI PIU' SBAGLIATO !!! Facendo così si installa sul PC.
Dato che occupa tutta la pagina si riduce semplicemente l'icona ( la pagina o videata) cliccando nell'angolo in alto a destra il - (vicino alla X), e si lancia l'utilissmo CCleaner per pulire semplicemente il PC . Il programma domanderà una prima volta se vogliamo chiudere il browser e rispondiamo "Si" e poi un'altra volta se vogliamo forzare la chiusura e rispondiamo nuovamente "Si" . Dopo un pò è tutto finito OK .
Di primo acchito mi è sembrata una bufala , invece si è rivelata una bella realtà. Mi ha salvato una decina di volte , comprese le prove che ho fatto.
Buona navigazione e sangue freddo all'occorrenza ! :luxhello:
 
Ultima modifica:

laradev

Nuovo Utente
5
0
Un virus mi ha modificato tutte le estensioni dei file aggiungendo .vjltpgf. Non mi hanno chiesto alcun riscatto.
Cosa devo fare?

Grazie
 

tecnico24

Utente Èlite
10,705
1,071
Apri OTL
sotto custom scans/fixes incolla il codice contenuto in fix.txt
premi su RUN FIX e attendi fino al completamento dell'operazione.
Al ritorno posta il log.
L'infezione è stata eliminata , verifica l'integrità dei tuoi file.
 

Allegati

  • 3.1 KB Visualizzazioni: 152

tecnico24

Utente Èlite
10,705
1,071
Scarica Combofix sul desktop
ComboFix Download
Tasto desto su di esso e clicca su Esegui come amministratore.
Aspetta il lavoro del programma senza interruzioni e al riavvio ti mostrerà un log.
Allegalo qui.
Domanda:tutti i tuoi files sono criptati?non esce nessuna schermata , avviso?
 

tecnico24

Utente Èlite
10,705
1,071
Mai provato.
L'unica prova che potresti fare è testarlo , magari scaricando il malware in questione e vedere se riesce a prevenirlo , ma dubito che tu voglia farlo a meno che hai tutti i dati salvati e un pc di test per smanettare.
Però se posso dire la mia , come vedi il primo topic , questi ransom sono in continua evoluzione e per il momento non hai una soluzione precisa.Inoltre agiscono su tutto il sistema e su chiavi di registro fondamentali , non so se quel tool di prevenzione riesce a fermare la crittografia dei file.
 

Entra

oppure Accedi utilizzando

Discussioni Simili

Hot del momento