UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati

[Il cecchino Jackson]

scusate se rompo le scatole : :asd:

(ma l'OP non può modificare il primo post? mi pare che anche @Aereo se ne sia lamentato tempo fa in internet, non so se poi ha risolto)

per i decrypt nuovi basta guardare bleepingcomputer : al venerdì o sabato esce sempre the week in ransomware che ricapitola tutto(ieri sarà uscito qualcosa)

i decrypt per le versioni vecchie sarebbe sempre meglio lasciarli(perchè mi pare siano stati tolti i vecchi tesla, e inoltre sono abbastanza certo che per tesla il primo post fosse già ok, se mi sbaglio scusate), chissà magari qualcosa gira ancora.

cmq ormai che ci sono id-ransomware e progetto nomoreransom al 99%(o qualcosa meno) sai se il RW che ti ha colpito è noto e se esiste un decrypt (con tanto di link) quindi volendo , finchè funzionano, si può anche non aggiornare di frequente

ciao :)



e ripeto che metterei in prima pagina quel conisglio di fare l'immagine del disco: a volte non basta salvare i files criptati(in caso di decrypt non disponibile): serve anche almeno 1 file non criptato o che ne so le note, chiavi del registro.

 

[Mursey]

Beh, penso che @tecnico24 possa tranquillamente modificare il primo post, se non riesci sentiamo @Stefano Novelli
In sua assenza comunque ci penso io.

 

[Il cecchino Jackson]

mi sono ricordato che di tesla esiste anche questo per tutte le versioni. lo avevo sicuramente già postato
metti caso che quello di eset per qualche motivo non vi funzioni (io mai provati)

http://www.talosintelligence.com/teslacrypt_tool/

ciao :)

 

[Il cecchino Jackson]

L'ho beccato su Twitter

https://www.bleepingcomputer.com/ne...ted-by-ransomware-moves-them-to-new-location/


Utile tool da mettere nel primo post secondo me

Ciao :)

 

[Aereo]

scusate se rompo le scatole : :asd:

(ma l'OP non può modificare il primo post? mi pare che anche @Aereo se ne sia lamentato tempo fa in internet, non so se poi ha risolto)

per i decrypt nuovi basta guardare bleepingcomputer : al venerdì o sabato esce sempre the week in ransomware che ricapitola tutto(ieri sarà uscito qualcosa)

i decrypt per le versioni vecchie sarebbe sempre meglio lasciarli(perchè mi pare siano stati tolti i vecchi tesla, e inoltre sono abbastanza certo che per tesla il primo post fosse già ok, se mi sbaglio scusate), chissà magari qualcosa gira ancora.

cmq ormai che ci sono id-ransomware e progetto nomoreransom al 99%(o qualcosa meno) sai se il RW che ti ha colpito è noto e se esiste un decrypt (con tanto di link) quindi volendo , finchè funzionano, si può anche non aggiornare di frequente

ciao :)



e ripeto che metterei in prima pagina quel conisglio di fare l'immagine del disco: a volte non basta salvare i files criptati(in caso di decrypt non disponibile): serve anche almeno 1 file non criptato o che ne so le note, chiavi del registro.

Non ricordo mi spiace!

 

[tommy1234]

Ciao a tutti, da ieri il PC manifesta segni strani e oggi quando lo accedo mi si presenta la schermata del ransoware. C'è qualche modo di ripristinare i miei file e liberarmi di lui???
Ho letto su Windows magazine che c'è un modo di liberarsi ma, non essendo lo stesso virus non so se la procedura è uguale. Il PC è Windows 7.

 

[Blume.]

Ciao a tutti, da ieri il PC manifesta segni strani e oggi quando lo accedo mi si presenta la schermata del ransoware. C'è qualche modo di ripristinare i miei file e liberarmi di lui???
Ho letto su Windows magazine che c'è un modo di liberarsi ma, non essendo lo stesso virus non so se la procedura è uguale. Il PC è Windows 7.

Non ci capisco molto, ma se ti va puoi dare un occhio qui: https://senzavirus.it/il-virus-cerber/
L'esperto è @tecnico24

 

[tecnico24]

Ciao utilizza FRST tramite pendrive USB come spiegato
qui e allegami il report.
I files risultano criptati con la loro estensione di origine o .cerber? bisogna capire la versione del ransom e le probabilita' di recupero sono associate in base alla versione del malware.
Utilizza un livello di crittografia molto forte , quindi non ci resta che pregare.
Aspetto il log che analizzero domani.

 

[Il cecchino Jackson]

@tecnico24 per le pros some volte , se vuoi , posso consigliarti questo sito ?

https://id-ransomware.malwarehunterteam.com

Fate prima a riconoscere il RW, vi linka anche il decrypt oppure un articolo che vi parla del vostro RW

( ne riconosce 284 ed è fatto da quelli che mettono a disposizione la maggior parte dei decrypt gratis o gente vicina a loro )

Ciao

 

[tecnico24]

Ma ovviamente @Il cecchino Jackson , anche se su questo ransom in questione(cerber) non e' facile come sembra se si tratta delle ultime versioni.
Se invece riguarda una delle prime versioni la trendmicro ha sviluppato un tool di decrypt molto efficiente
Ciao ;)

 

[Il cecchino Jackson]

Certo, infatti , a meno non sia uscito nelle ultime 2-3 settimane ( non sono più aggiornato ) per il 4/ 5/ oltre non esiste decrypt

Però, se non sono dati così riservati, vale la pena secondo me caricare , che poi loro danno un occhio e magari scoprono un nuovo RW e se lo segnano

Comunque riconosce almeno fino a Cerber 5 , almeno il RW lo riconosce e ti dice se non esiste il decrypt

( comunque non è che volessi insegnarti il lavoro eh, ci mancherebbe )

Ciao :)

 

[Il cecchino Jackson]

vi lascio una cosa velocissima

per chi si ricorda mesi fa (non sono mai stato infetto e non ho perso nulla) un mio contatto dropbox evidentemene infetto , ha infettato una cartella condivisa (web, no sync pc attiva io)

per curiosità ho caricato su idransomware

http://imgur.com/a/oBtqp

http://imgur.com/a/zE2PE

mi da due possibili risultati

e non so perchè , come vedete, è rimasta copia anche dei files non crypt (l'archivio .zip che vedete è assolutamente sano)

saluti :)

(non so come si metta qui l'immagine anzichè il link,tramite imgr )

 

[Edomotta]

Buongiorno a tutti, non sono nuovo del forum ma ho dovuto creare un nuovo account.

Come da titolo, il computer dell'ufficio di mia sorella (Windows 7) è stato infettato da un ransomware (credo sia shade o una sua versione modificata). Stando a quanto mi ha detto in tempo brevissimo ha modificato tutti i file.
(non mi è chiaro come abbia potuto modificare più di 10 gb di file in poco tempo).

Ho provato a sistemare le cose (virus eliminato) ma i file sono stati cryptati e non ho idea di come fare a recuperarli in quanto sono stati rimossi tutti i punti ripristino.

I file sono stati rinominati in .no_more_ransom e non ho trovato riscontri in giro.

Shadow explorer non può far nulla per il recupero dati e i programmi di shade decrypter trovati sul sito No More Ransom non riconoscono questi file. (anche cambiando estensione in xtbl stessa cosa)
Ho provato il software apposito di kaspersky ma niente. quello di mcafee non mi parte (si apre per una frazione di secondo la finestrella stile prompt comandi ma si chiude subito).

Non mi vengono altre idee
scusate se mi sono dilungato ma ho cercato di essere il più chiaro possibile :p

Se qualcuno può aiutarmi

Grazie in anticipo

aggiorno includendo il screenshot idransomware

http://imgur.com/a/XGAVI

 

[Edomotta]

(quelli di red mosquito o come si chiama han detto che si può decriptare tutto senza problemi... peccato che chiedano 3500 euro -.-')

 

[tecnico24]

Proviamo a capire la versione ed accertarci che sia lui.
Vai qui
https://www.nomoreransom.org/crypto-sheriff.php
inserisci due file criptati e la scritta del ransom quando richiede il riscatto.