darkside473
Utente Attivo
- 350
- 127
- CPU
- intel C2D
- Scheda Madre
- asus
- HDD
- 500
- RAM
- 2gb
- GPU
- nv
- Monitor
- 19
- PSU
- 500
- OS
- xp
Per prevenire comunque consiglio di aggiungere qualche regola nel policy group editor.
UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati
- Autore discussione tecnico24
- Data d'inizio
Non avete qualche campione di questo vermicello da mandarmi in pm che voglio provare questo? Bitdefender Offers CryptoWall Vaccine | Bitdefender Labs
pensa che a me invece era arrivata qualche mese fa, l'allegato infetto su VT era rilevato solo da 4/5 AV quindi l'ho impacchettato in un archivio con password e poi non so dove diavolo l'ho messo non riesco più a trovarlo, mannaggia me e il mio disordine :muro:
Mi scuso se faccio confuzione perché non ho dimestichezza con i forum ( e nemmeno con i virus !)
Anch'io sono stato infettato da Freespec.
Ho scaricato l'applicatovo Kasper
L'opzione *.* non mi funziona; devo selezionare un file alal volta, ma dopo 20 ore non mi ha sbloccato nulla.
Sbaglio qualcosa ?
Aiuto.
Anch'io sono stato infettato da Freespec.
Ho scaricato l'applicatovo Kasper
L'opzione *.* non mi funziona; devo selezionare un file alal volta, ma dopo 20 ore non mi ha sbloccato nulla.
Sbaglio qualcosa ?
Aiuto.
Come ho detto non sono molto esperto.
Ho ricevuto dal mio assitente informatico (che purtroppo in questi giorni non può intervenire) un link per un sito dove era disponibile l'applicativo "rakhnidecryptor" un unico file EXE, che ho capito essere della Kaspersky.
L'ho salvato sul desktop ed l'ho lanciato.
Una volta aperto mi ha chiesto di selezionare il file da riparare ed ha iniziato a generare delle password (almeno mi pare) a grande velocità ma senza esito nemmeno dopo 24 ore di lavoro ininterrotto.
In un altro sito il file era consigliato; chi lo ha provato (sembra) ha sbloccato i files dopo 2 ore circa.
Altro non ti so dire; ma mi farebbe piacere non mi abbandonassi.
Grazie
Carissimo tecnico24,
dire a me "postami solo il LOG di FRST" è come recitare la Divina Commedia ad un esquimese (con tutto il rispetto per loro)
1) non so cosa è il LOG di FRST
2) non so come si fa a postare
Semvra strano ma ... è così !
La stessa cosa vale per me , aiutare un utente alle primissime armi con un problema grande è molto difficile.
Non per demoralizzarti, segui questa guida se ci riesci http://www.tomshw.it/forum/sicurezza/492602-rimozione-malware-un-pc-infetto-aggiornato.html
altrimenti chiama qualcuno che ha almeno le competenze di base per usare un PC.
Non per demoralizzarti, segui questa guida se ci riesci http://www.tomshw.it/forum/sicurezza/492602-rimozione-malware-un-pc-infetto-aggiornato.html
altrimenti chiama qualcuno che ha almeno le competenze di base per usare un PC.
darkside473
Utente Attivo
- 350
- 127
- CPU
- intel C2D
- Scheda Madre
- asus
- HDD
- 500
- RAM
- 2gb
- GPU
- nv
- Monitor
- 19
- PSU
- 500
- OS
- xp
una domanda forse banale, allora io ho 3 pc tutti con Win7(due con 32bit e uno 64).tutti e 3 hanno cartelle condivise fra di loro.
tutti e 3 per fare il "Login" a windows devono immettere una password(e per vedere la roba condivisa)
Domanda: Se uno dei 3 si becca Criptowall, essendoci la password, non infetta gli altri 2?Oppure si?
PS Sul piu importante faccio regolare backup offline su HDD Esterno.Grazie
tutti e 3 per fare il "Login" a windows devono immettere una password(e per vedere la roba condivisa)
Domanda: Se uno dei 3 si becca Criptowall, essendoci la password, non infetta gli altri 2?Oppure si?
PS Sul piu importante faccio regolare backup offline su HDD Esterno.Grazie
Ultima modifica:
darkside473
Utente Attivo
- 350
- 127
- CPU
- intel C2D
- Scheda Madre
- asus
- HDD
- 500
- RAM
- 2gb
- GPU
- nv
- Monitor
- 19
- PSU
- 500
- OS
- xp
Hola a todos!
Ultima vicissitudine di un cliente, vi posto il caso che *per ora* non ha trovato soluzione...
TeslaCrypt 2.0 si nasconde dietro al Cryptowall 3.0 (utilizza la famosa pagina generata da quest'ultimo per il riscatto) e crypta i seguenti file:
"malware was targeting not only usual sets of files, including documents, pictures and videos, but games-related file types as well "
in questo caso con estensione ".ccc" .
La chiave non è più su file (key.dat , storage.bin) ma nel registro e precisamente in HKCU\Software\<install_id>\data , dove <install_id> è l'ID che vi ha assegnato il locker che potete leggere all'interno della comunicazione di riscatto.
E' stata rimossa la funzione di decrittazione che veniva sfruttata dai tool forniti da cisco e Kaspersky.
Ulteriori informazioni è possibile trovarle qui:
https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/
L'algoritmo utilizzato per generare le chiavi è questo: https://en.wikipedia.org/wiki/Elliptic_curve_Diffie–Hellman
Per ora io sono fermo..qualsiasi contributo è ben gradito :grat::sisi:
Precauzioni al solito: backup in locale e remoto, applicare policy di active directory o in generale cryptoprevent.
Sono disperato:asd:
Ultima vicissitudine di un cliente, vi posto il caso che *per ora* non ha trovato soluzione...
TeslaCrypt 2.0 si nasconde dietro al Cryptowall 3.0 (utilizza la famosa pagina generata da quest'ultimo per il riscatto) e crypta i seguenti file:
"malware was targeting not only usual sets of files, including documents, pictures and videos, but games-related file types as well "
in questo caso con estensione ".ccc" .
La chiave non è più su file (key.dat , storage.bin) ma nel registro e precisamente in HKCU\Software\<install_id>\data , dove <install_id> è l'ID che vi ha assegnato il locker che potete leggere all'interno della comunicazione di riscatto.
E' stata rimossa la funzione di decrittazione che veniva sfruttata dai tool forniti da cisco e Kaspersky.
Ulteriori informazioni è possibile trovarle qui:
https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/
L'algoritmo utilizzato per generare le chiavi è questo: https://en.wikipedia.org/wiki/Elliptic_curve_Diffie–Hellman
Per ora io sono fermo..qualsiasi contributo è ben gradito :grat::sisi:
Precauzioni al solito: backup in locale e remoto, applicare policy di active directory o in generale cryptoprevent.
Sono disperato:asd:
Ultima modifica:
Credo sia proprio il problema che afflige l'ufficio dove lavoro..
Ieri ci siamo accorti di questi file rinominati .ccc e da ieri sto cercando di identificare il virus e i possibili pc infetti quali precauzioni possiamo prendere nel frattempo?
E piu probabile che richieda una formattazione di massa dato che abbiamo connessi piu pc?
La chiave del registro sarebbe meglio eliminarla nel caso sia uguale alla nostra?
Ultima modifica: