UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati

[Il cecchino Jackson]

Mi sa che quella della TGSoft è una trovata pubblicitaria, non penso che riescano a trovare la chiave di criptazione del malware al volo, nessuno antivirus ci riesce, infatti nelle FAQ non sono assoluti. ;) Dicono:

"Per questa particolare varianti di TeslaCrypt 3.0 (.micro) in Vir.IT (dalla versione 8.0.98) è stata implementata la possibilità di carpire la chiave di crittazione durante la fase di attacco del CryptoMalware. Questo permetterà il recupero dei file crittati da TeslaCrypt 3.0 ove Vir.IT abbia catturato la chiave utilizzata.
Per la decrittazione dei file è necessario il supporto tecnico TG Soft attraverso il tool Ninjavir.
Ricordiamo che il TeslaCrypt ad ogni esecuzione del malware utilizza una chiave di crittazione differente. Questo significa che ad ogni riavvio del computer con il malware attivo, al riavvio questo critterà i file con una chiave differente dalla precedente. Ad esempio, se su un computer infetto è stato eseguito il CryptoMalware e successivamente sono stati eseguiti 2 riavvii, i file saranno crittati con 3 chiavi differenti".

L'indirizzo email del mittente sembra reale, ma non è un dominio di Enel o l'email di un amico, son furbi, altrimenti non apriresti mai una mail di uno sconosciuto.

No, non serve creare i punti di ripristino, ci pensa già Windows a crearne da solo. Potresti creare delle copie di shadow su HDD esterni per sicurezza, ma allora tanto vale usare un software di backup.

bye

ti ringrazio delle risposte esaustive , solo una cosa: si mi è chiaro che w li crea, ma , se è facile da spiegare, perchè il ripristino a una data precedente , non permette di avere i files decriptati?

 

[Mursey]

perchè il ripristino a una data precedente , non permette di avere i files decriptati?

La maggior parte dei ransomware elimina tutti i punti di ripristino.

 

[R3boot]

La maggior parte dei ransomware elimina tutti i punti di ripristino.

:ok: oppure li infetta e quindi sono inutilizzabili.
Ecco perchè è più utile installare un software dedicato al backup e ripristino del sistema e tenersi da parte un paio di immagini di sistema pulite imho

 

[Polez]

ti ringrazio delle risposte esaustive , solo una cosa: si mi è chiaro che w li crea, ma , se è facile da spiegare, perchè il ripristino a una data precedente , non permette di avere i files decriptati?

Per il semplice fatto che il ripristino di Sistema di Windows non salva i Vostri documenti, ma bensì il registro di Windows ed alcuni file di sistema importanti al funzionamento dello stesso.
Avete mai creato un punto di ripristino, il sistema ci mette poco tempo a crearlo (dipende anche dalle prestazioni del vostro pc), purtroppo fa questo e basta, ma è già abbastanza.
I ransomware agiscono direttamente sui file, quindi una volta che i file sono cryptati, hai voglia di tornare indietro ad un punto di ripristino precedente, bisognerebbe andar sì indietro nel tempo ;) , ma questa peculiarità l'ha solo Apple col TimeMachine. :D

bye

- - - Updated - - -

La maggior parte dei ransomware elimina tutti i punti di ripristino.

Diciamo che le nuove varianti dei ransomware sembrano eliminare solo le copie shadow:

https://it.wikipedia.org/wiki/Copia_shadow

non i punti di ripristino di sistema, altrimenti come faresti a pagare i pirati informatici se il tuo sistema operativo è compromesso?! ;)

bye

 

[R3boot]

Per il semplice fatto che il ripristino di Sistema di Windows non salva i Vostri documenti, ma bensì il registro di Windows ed alcuni file di sistema importanti al funzionamento dello stesso.
Avete mai creato un punto di ripristino, il sistema ci mette poco tempo a crearlo (dipende anche dalle prestazioni del vostro pc), purtroppo fa questo e basta, ma è già abbastanza.
I ransomware agiscono direttamente sui file, quindi una volta che i file sono cryptati, hai voglia di tornare indietro ad un punto di ripristino precedente, bisognerebbe andar sì indietro nel tempo ;) , ma questa peculiarità l'ha solo Apple col TimeMachine. :D

bye

- - - Updated - - -
Ottimo intervento e giusta osservazione ; ammetto la mia ignoranza sul ripristino di sistema di windows.
Perchè non l'ho mai usato, o meglio l'avevo usato una volta parecchio tempo fa ed era uscito solo un pastrocchio.

Però secondo me anche con windows è possibile andare indietro nel tempo e io lo faccio spesso, non solo quando impesto il pc di virus con i miei test, ma anche quando inizio ad installare e disinstallare software vari che alla fine rendono il registro di windows e non solo una brodaglia.
Come ho già detto ci sono diversi software anche free che permettono di fare delle copie del del sistema operativo intero, ossia di tutta la partizione registro compreso e anche tutti i dati che in quel momento sono presenti nelle varie cartelle e taluni software fanno anche una copia dell'MBR ( anche questo a volte preso di mira dai virus).
In pochi minuti 15/20 si può ritornare indietro nel tempo ripristinando tutto il sistema esattamente a come era alla data del backup.
Io ritengo che sia un'ottima soluzione.

 

[Il cecchino Jackson]

ma questa peculiarità l'ha solo Apple col TimeMachine. :D

bye

Quindi chi ha Apple può stare tranquillo?

ma su iOS funzionano sti teslacrypt?( posso prenderlo se apro un allegato dall'iPhone?)

ma con safari , visto che apre ma non scarica nulla( da quello che so), uno dovrebbe stare sereno?

grazie

 

[Polez]

Quindi chi ha Apple può stare tranquillo?

ma su iOS funzionano sti teslacrypt?( posso prenderlo se apro un allegato dall'iPhone?)

ma con safari , visto che apre ma non scarica nulla( da quello che so), uno dovrebbe stare sereno?

grazie

Questi virus funzionano solo su Windows, però (come è già successo) può succedere che avendo virtualizzato un Windows su un Mac attraverso WMware, VitualBox, Parallels se prendi un ransomware ed hai condiviso il disco del Mac in scrittura con Windows, ti vengono crittografati anche i file su mac . ;) (o su linux, magari)

Su iOS non lo prendi, ho già provato io sul mio iPhone5, mi sono autoinviato un file zippato con dentro il file .js (il javascript del TeslaCrypt3), e lo iOS mi ha aperto lo zip al volo, ma il .js mi è stato aperto come file di testo, un pò come su Windows se lo aprissi col Notepad/Wordpad, quindi stai tranquillo, ma non troppo. ;)


bye

 

[Il cecchino Jackson]

Grazie come sempre.

usare safari non aiuta in alcun modo?

 

[Polez]

Una protezione semplice è questo software che blocca l'esecuzione di file .exe all'interno di determinate cartelle di sistema, dove di solito si annidano i malware per poi autoeseguirsi:

Download CryptoPrevent - MajorGeeks

modifica le policy di windows tutto qui, quindi non è antimalware che pesa sui cicli macchina. ;)

bye

- - - Updated - - -

usare safari non aiuta in alcun modo?

Non dovrebbe se usato su Windows, mentre su mac io preferisco sempre il buon Firefox e le sue estensioni. ;)

bye

 

[Il cecchino Jackson]

Una protezione semplice è questo software che blocca l'esecuzione di file .exe all'interno di determinate cartelle di sistema, dove di solito si annidano i malware per poi autoeseguirsi:

Download CryptoPrevent - MajorGeeks

modifica le policy di windows tutto qui, quindi non è antimalware che pesa sui cicli macchina. ;)

bye

- - - Updated - - -



Non dovrebbe se usato su Windows, mentre su mac io preferisco sempre il buon Firefox e le sue estensioni. ;)

bye

Posso chiedere perchè nkn dovrebbe essere usato su w? Anche io uso ff su PC

comunque lo ho solo su iPhone . E chiedevo perchè mi pare di aver letto che safari non scarica , bensì apre solo i files: è vero? Se è così, questo perchè non basta per impedire al cripto e di scaricarsi sul PC?


cryptoprevent è compatibile con av a pagamento già installato ? ( Norton)

grazie ancora

 

[Utente cancellato 302395]

Una protezione semplice è questo software che blocca l'esecuzione di file .exe all'interno di determinate cartelle di sistema, dove di solito si annidano i malware per poi autoeseguirsi:

Download CryptoPrevent - MajorGeeks

modifica le policy di windows tutto qui, quindi non è antimalware che pesa sui cicli macchina. ;)

bye

Sì il sito dell'autore del programma è questo https://www.foolishit.com/ te l'hai provato come programma?

 

[ikaros88]

Buonasera a tutti, ho letto un po tutto ciò che avete scritto, ho un pc con un bel ransomware e tutti i file sono stati rinominati .micro
il problema e che mi é stata criptata anche la wifi e quindi da qualsiasi router non mi fa connettere e mi rimanda sempre alla solita pagina di help recover istructions.

 

[BaldosArts]

per teslacrypt 3.0 con estensione .micro, .xxx , .ttt e .mp3 non c'è ancora soluzione.
Si può solo tentare di recuperare da un backup.
Un prodotto efficace (a pagamento si intende) per prevenire è https://www.youtube.com/watch?v=_SyKqqZu6-8 ma deve essere installato PRIMA dell'infezione
se ti rimanda sempre a quella pagina, probabile che ti abbia cambiato i DNS

 

[Polez]

Buonasera a tutti, ho letto un po tutto ciò che avete scritto, ho un pc con un bel ransomware e tutti i file sono stati rinominati .micro
il problema e che mi é stata criptata anche la wifi e quindi da qualsiasi router non mi fa connettere e mi rimanda sempre alla solita pagina di help recover istructions.

Che ti abbiano criptato la wifi, non significa nulla, è impossibile, sei sicuro che non sia disabilitata e basta? Col cavo ethernet vai in rete? Cmq sia, puoi eliminare il malware con roguerekiller, combofix, malwarebyte antimalware, ecc. prova pure Stinger.

bye

ps: prima di tutto vai in modalità provvisoria ed e poi inizia l'eliminazione del malware.

 

[uljanovp]

ciao volevo sapere se poi hai risolto con il virus sopra descritto
grazie

- - - Updated - - -

- - - Updated - - -
Ottimo intervento e giusta osservazione ; ammetto la mia ignoranza sul ripristino di sistema di windows.
Perchè non l'ho mai usato, o meglio l'avevo usato una volta parecchio tempo fa ed era uscito solo un pastrocchio.

Però secondo me anche con windows è possibile andare indietro nel tempo e io lo faccio spesso, non solo quando impesto il pc di virus con i miei test, ma anche quando inizio ad installare e disinstallare software vari che alla fine rendono il registro di windows e non solo una brodaglia.
Come ho già detto ci sono diversi software anche free che permettono di fare delle copie del del sistema operativo intero, ossia di tutta la partizione registro compreso e anche tutti i dati che in quel momento sono presenti nelle varie cartelle e taluni software fanno anche una copia dell'MBR ( anche questo a volte preso di mira dai virus).
In pochi minuti 15/20 si può ritornare indietro nel tempo ripristinando tutto il sistema esattamente a come era alla data del backup.
Io ritengo che sia un'ottima soluzione.

bisogna specificare il sistema operativo, da win7 in poi si può utilizzare lo shadow copy (simile a time machine), che funziona anche sul singolo file, mentre il ripristino di sistema funziona qualora si creassero dei punti di ripristino, cosa che capita quando installi o disinstalli un programma, ma non quando modifichi un file.

- - - Updated - - -

Buonasera a tutti, ho letto un po tutto ciò che avete scritto, ho un pc con un bel ransomware e tutti i file sono stati rinominati .micro
il problema e che mi é stata criptata anche la wifi e quindi da qualsiasi router non mi fa connettere e mi rimanda sempre alla solita pagina di help recover istructions.

quindi il problema è che ti ha criptato anche il file di configurazione della scheda wireless.
al momento non ci sono ancora soluzioni per .micro intanto disinfetta il pc e se hai un s.o da win7 in poi prova a vedere se puoi recuperare qualcosa con il programma shadow explorer (ti fa vedere la lista dei file e nella parte alta del programma ti dice le date che ha di ripristino

- - - Updated - - -

Ciao,

ad un mio amico gli vengono criptati i file con questa estensione che tipologia di virus è: Scan0002.JPG.zjyqxpg ? Le shadowcopy non sono presenti.


bye

ciao volevo sapere se poi hai risolto con il virus sopra descritto
grazie