UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati

[Il cecchino Jackson]

vi lascio una cosa velocissima

per chi si ricorda mesi fa (non sono mai stato infetto e non ho perso nulla) un mio contatto dropbox evidentemene infetto , ha infettato una cartella condivisa (web, no sync pc attiva io)

per curiosità ho caricato su idransomware

http://imgur.com/a/oBtqp

http://imgur.com/a/zE2PE

mi da due possibili risultati

e non so perchè , come vedete, è rimasta copia anche dei files non crypt (l'archivio .zip che vedete è assolutamente sano)

saluti :)

(non so come si metta qui l'immagine anzichè il link,tramite imgr )

Scusate Per curiosità vi aggiungo solo una cosa: in quella cartella condivisa ( condivisa dalla mia lontana conoscente ) ci ho trovato un terzo contatto aggiunto ( falso ) con indirizzo simile al mio . Forse le è arrivato il ransomware e pensava fossi io . Mah comunque a me non disse nulla .

Ciao

 

[Edomotta]

Proviamo a capire la versione ed accertarci che sia lui.
Vai qui
https://www.nomoreransom.org/crypto-sheriff.php
inserisci due file criptati e la scritta del ransom quando richiede il riscatto.

su Nomoreransom dicono che sono spiacenti ma non riescono a identificare il ransom (credo sia solo dovuto all'estensione .no_more_ransom della quale per altro non ho trovato riscontro da nessuna parte)
sopra avevo aggiunto l'immagine di idransomware... ora non ho il pc sottomano appena riesco cmq provo a far due immagini con il sito dei no more e le linko
intanto grazie

 

[Il cecchino Jackson]

No guarda , che non hai trova to riscontri, non ne sarei sicuro. A memoria quell'estensione non nuova .
Avresti dovuto mettere qui il link che ti ha dato Id ransomware ( non il link all foto , il link all'articolo , sotto il risultato )
Poi magari comunque non si decripta per ora .
Non so se hai beccato un RW tutto nuovo , ma dubito

Ciao , buona fortuna

 

[Edomotta]

No guarda , che non hai trova to riscontri, non ne sarei sicuro. A memoria quell'estensione non nuova .
Avresti dovuto mettere qui il link che ti ha dato Id ransomware ( non il link all foto , il link all'articolo , sotto il risultato )
Poi magari comunque non si decripta per ora .
Non so se hai beccato un RW tutto nuovo , ma dubito

Ciao , buona fortuna

Non credo nemmeno io sia tutto nuovo, però grazie all'esistenza del sito Nomoreransom non sono riuscito a trovare riscontri all'estensione su google -.-'
Appena ho il pc sottomano linko anche idransomware allora
grazie intanto

 

[Edomotta]

No guarda , che non hai trova to riscontri, non ne sarei sicuro. A memoria quell'estensione non nuova .
Avresti dovuto mettere qui il link che ti ha dato Id ransomware ( non il link all foto , il link all'articolo , sotto il risultato )
Poi magari comunque non si decripta per ora .
Non so se hai beccato un RW tutto nuovo , ma dubito

Ciao , buona fortuna

Ho provato a guardare... su id ransomware sotto il risultato l'unico link (dove c'è scritto Per maggiori informazioni riguardo Troldesh / Shade clicca qui) è questo https://www.nomoreransom.org/decryption-tools.html
che rimanda alla pagina generica dei no more

Proviamo a capire la versione ed accertarci che sia lui.
Vai qui
https://www.nomoreransom.org/crypto-sheriff.php
inserisci due file criptati e la scritta del ransom quando richiede il riscatto.

Sulla pagina inserendo i file dice solo
Bad news
Sorry! We don’t yet have a solution to help you but we are actively looking for it.
Please make sure you are uploading a ransom note and encrypted sample file from the same infection.
It is recommended to back-up your encrypted files, and hope for a solution in the future.
Check here to see what we do have.
Report a crime

Se invece rinomino un file mettendo estensione xtbl

You have been infected by Shade. We can help you! Good news!
Step 1: READ FIRST and DOWNLOAD
download Tool made by Kaspersky Lab
download Tool made by Intel Security
Important! Before downloading and starting the solution, click the READ FIRST and read the manual. Make sure you remove the malware from your system first, otherwise it will repeatedly lock your system or encrypt files. Any reliable antivirus solution can do this for you.

Step 2: Report a crime

il tool di Kaspersky non mi fa selezionare i file

quello di intel (mcafee) se lo scarico e avvio apre per mezzo secondo una finestra (stile prompt) che si chiude subito e non succede nulla

 

[tecnico24]

Vorrei accertarmi che sia completamente eliminato dal sistema:
effettua una scansione con OTL
https://www.tomshw.it/forum/threads/rimozione-malware-in-un-pc-infetto-aggiornato.492602/
posta i due report.

 

[Edomotta]

Vorrei accertarmi che sia completamente eliminato dal sistema:
effettua una scansione con OTL
https://www.tomshw.it/forum/threads/rimozione-malware-in-un-pc-infetto-aggiornato.492602/
posta i due report.

ho fatto una scan con OTL che mi ha dato due file txt con le info (non so bene cosa cercare lì in mezzo) te li allego

ps. grazie del supporto ;-)

 

[CarPall]

ho fatto una scan con OTL che mi ha dato due file txt con le info (non so bene cosa cercare lì in mezzo) te li allego

ps. grazie del supporto ;-)

Buonasera, ho lo stesso problema di Edomotta.
Da ieri il mio pc presenta tutti i files criptati. Possibili soluzioni?
Grazie infinite

 

[Edomotta]

Buonasera, ho lo stesso problema di Edomotta.
Da ieri il mio pc presenta tutti i files criptati. Possibili soluzioni?
Grazie infinite

anche a te i file hanno cambiato estensione diventando .no_more_ransom?
se hanno altre estensioni puoi provare a seguire la procedura qui https://www.nomoreransom.org/crypto-sheriff.php

 

[CarPall]

anche a te i file hanno cambiato estensione diventando .no_more_ransom?
se hanno altre estensioni puoi provare a seguire la procedura qui https://www.nomoreransom.org/crypto-sheriff.php

Salve, ho già tentato questa strada ma senza risultati...
Anche a me l'estensione è diventata .no_more_ransom
Ho provato con una procedura utilizzando Malwarebytes e poi Norton Power Eraser che hanno trovato dei files sospetti che sono stati eliminati; ma poi si consigliava di utilizzare ShadowExplorer per il ripristino...ma nulla

 

[Edomotta]

Salve, ho già tentato questa strada ma senza risultati...
Anche a me l'estensione è diventata .no_more_ransom
Ho provato con una procedura utilizzando Malwarebytes e poi Norton Power Eraser che hanno trovato dei files sospetti che sono stati eliminati; ma poi si consigliava di utilizzare ShadowExplorer per il ripristino...ma nulla

Sì allora stessa situazione... shadow explorer non serve e nemmeno cercar di impostare la versione precedente ai file o alle cartelle... Al momento non ho ancora trovato nulla di utile per il ripristino dei file... Speriamo in bene

 

[darkside473]

scusate un info.vi ricordate come siete stati infettati?

 

[Il cecchino Jackson]

Non credo nemmeno io sia tutto nuovo, però grazie all'esistenza del sito Nomoreransom non sono riuscito a trovare riscontri all'estensione su google -.-'
Appena ho il pc sottomano linko anche idransomware allora
grazie intanto

speravo ti linkasse questo https://www.bleepingcomputer.com/ne...esh-ransomware-with-no-more-ransom-extension/

in sostanza penso i due lab siano d'accordo: è shade (lo hai letto anche tu) ma sono decrypt solo quelle versioni

cambiare l'estensione ti indica solo cosa usa il sito per riconoscere il ransom. non cambia in sostanza il file. altrimenti ci rimetteresti .doc e avresti risolto

red mosquito mai sentito, sta alle tue tasche a al valore che dai tu a quei files. mi farei dare un file prova prima.

ciao



oltre a quello che ha detto @darkside473 sarebbe interessante anche che av monti


ciao

 

[darkside473]

sarei curioso di sapere anche se vi siete infettati via mail che provider di posta usate

cmq ho letto che si diffondevo con JS (quindi Cryptoprevent può essere d'aiuto) e Macro Word (qui non bisogna attivare macro)

 

[Edomotta]

speravo ti linkasse questo https://www.bleepingcomputer.com/ne...esh-ransomware-with-no-more-ransom-extension/

in sostanza penso i due lab siano d'accordo: è shade (lo hai letto anche tu) ma sono decrypt solo quelle versioni

cambiare l'estensione ti indica solo cosa usa il sito per riconoscere il ransom. non cambia in sostanza il file. altrimenti ci rimetteresti .doc e avresti risolto

red mosquito mai sentito, sta alle tue tasche a al valore che dai tu a quei files. mi farei dare un file prova prima.

ciao



oltre a quello che ha detto @darkside473 sarebbe interessante anche che av monti


ciao

Sì infatti era per dire che riconoscendo shade solo se cambio estensione non so bene se verifica il contenuto del file o l'estensione in sè...

Cmq guardando il link che hai messo sembra sia lo stesso (il messaggio nero e rosso di sfondo era quello) e anche i file son stati modificati come nell'esempio idem per il messaggio di riscatto

sarei curioso di sapere anche se vi siete infettati via mail che provider di posta usate

cmq ho letto che si diffondevo con JS (quindi Cryptoprevent può essere d'aiuto) e Macro Word (qui non bisogna attivare macro)

per rispondere a entrambi il come non saprei dirlo so solo che (a quanto mi hanno riferito) la mattina il pc funzionava bene poi si è un pò inceppato
ovviamente nessuno ammette di aver fatto nulla quindi è avvenuto tutto per magia...
quando ho messo mano al pc c'era una finestra messaggio tipo quelli di sistema che ti richiedono se vuoi consentire delle modifiche.. cliccando su chiudi continuava a riaprirsi e non andava via (sec me mia sorella non sapendo cosa fare per chiuderlo avrà cliccato su ok -.-')

cmq per quanto ne so mi ha criptato quasi 22k di file doc jpg e le estensioni più comuni in un tempo che puuò variare dai pochi secondi ai 20 minuti quando sono arrivato sul pc...

Il pc aveva installato security essentials e emsisoft antimalware (probabilmente non aggiornato) e non ricordo se aveva su anche bitdefender ho troppi pc a cui badare :p

red mosquito l'ho trovato negli annunci cercando info ma di sicuro non vado a spendere tutti quei soldi...
a sto punto tanto varrebbe pagare il ransom che chiede 300 euro se non ho letto male... anche se mi giran le balle... (ho provato a mettermi in contatto ma manco rispondono questi)