Impossibile aprire files (jpg, mp4, doc, ecc) dopo virus

[luke905]

Salve,
vi scrivo per chiedere un aiuto.
In data 11 aprile, probabilmente tramite l'utilizzo di una pennetta USB di un amico, il mio notebook è stato infettato da un virus o un malware. Inizialmente non ho notato alcun segno durante l'utilizzo del notebook che ho lasciato acceso durante la notte per completare l'upload di un video. Ma al mio risveglio mi sono pian piano reso conto che qualcosa era accaduto. Aprendo la cartella Immagini predefinita i file jpg non mi erano più accessibili, così come i file zip, i file rar, i file mp4 e così via. I file risultano presenti sul PC, che ne indica le dimensioni e l'estensione corretta, ma aprendone le Proprietà queste non risultano. Ad esempio se apro le proprietà di un file jpg queste non riportano le dimensioni in pixel dell'immagine.
Ho provato a rimediare effettuando il ripristino del PC ad una data precedente ma mi sono reso ben presto conto che il virus aveva disattivato questa possibilità (così come aveva disattivato il task manager) e una volta riattivata non risultavano possibili ripristini ad una data antecedente.
Anche recuperando i file con programmi come EaseUS Data Recovery vengono individuati i file nel loro stadio già compromesso. E se provo a mettere i file su un altro dispositivo (ad esempio uno smartphone) questi risultano sempre illeggibili.
Non tutte le cartelle del PC sono state attaccate (il desktop ad esempio è intatto) e non tutti i file compromessi (come i file png) e dopo i primi momenti di incertezza ho installato Malwarebytes che mi ha ripulito il PC.

Alcuni vecchi video mpeg risultano non apribili con VLC, WMP e altri software di uso comune, ma ad esempio se li apro con Media Player Classic riesco a visualizzarli con diversi glitch video, ma almeno riesco ad aprirli.

In questo senso non capisco se il tipo di danno subito dai file (che ripeto, non visualizzano alcuna proprietà se non la dimensione e l'estensione) sia aggiustabile o meno e vi chiedo di darmi una mano a recuperare questi files.

Il mio notebook è un ASUS N53SV con Core i7-2630qm, 16 GB RAM, SSD Samsung 850Pro 512 GB, Windows 8.1

Grazie a tutti.


EDIT: aggiungo che tutti i file compromessi risultano avere la data di ultima modifica proprio all'11 aprile con orari variabili.

 

[luke905]

Qualcuno in grado di darmi una mano?

 

[R16]

Ciao.
Premetto che sarà molto difficile recuperare i file danneggiati, anche perchè non ho capito qual'è la variante del ransomware che ti ha colpito.
Inoltre se hai usato EaseUS Data Recovery, senza successo, le probabilità di recupero, sono quasi nulle.

Se sei stato fortunato (ma molto fortunato) il ransomware non ti ha eliminato le cartelle "Copie Shadow", e sperare che questa funzione di Windows sia attiva.
Ti posto un link per avere un'idea di cosa servono:
http://www.antonioparisi.it/come-recuperare-i-file-utilizzare-le-copie-shadow-di-windows/
Esiste un programmino che può facilitarti l'eventuale recupero dei file, ma ripeto, è diffile che il ransomware abbia lasciato attiva questa funzione.
Però tentar non nuoce:
Scarica Shadow Explorer sul desktop:
http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe
Avvia il programma e ti compare una finestra con tutte le cartelle del S.O.

In alto a sinistra trovi C: e poi una data .
La data deve essere antecedente a quando hai avuto l'infezione. (possono esserci varie date, ma devi cercare quelle in cui sei sicuro che siano antecedenti all'attacco del malware)

Cerca la cartella dove risiedono i file che ti interessano,e con un doppio clic aprila.
Vedi se al suo interno, trovi i file originali, che NON sono stati criptati dal virus.
Se i file NON sono criptati, puoi esportare l'intera cartella sul desktop cliccando sulla cartella con il tasto destro e clicca "Export".
Ti chiederà dove vuoi esportarla, e potrai esportarla dove vuoi. (per comodità puoi esportarla sul desktop per il momento.)
Chiudi tutto, e dovresti vederla sul desktop, e quindi poi, salvare i file su un altro dispositivo. (HD esterno, CD\DVD oppure chiavetta USB)

Altra eventuale possibilità (anche se hai già usato EaseUS Data Recovery) prova a usare PhotoRec:
http://www.cgsecurity.org/wiki/PhotoRec_Passo_Dopo_Passo
Di più non posso aiutarti.

 

[luke905]

Grazie per la risposta R16.
Purtroppo il ransomware ha eliminato le shadow copy e tutti i punti di ripristino antecedenti alla data del danneggiamento dei file.
E purtroppo anche PhotoRec non è riuscito a risolvere il problema perché effettivamente i file sono ancora lì e non risultano essere stati cancellati.
Prima di scrivere qui ho provato a cercare ovunque che tipo di ransomware mi sia capitato ma non ho trovato nulla di simile. Di solito cambiano le estensioni dei file, creano delle cartelle con delle istruzioni per recuperare i file o chiedono dei soldi per riscattare i file criptati, ma in questo caso nulla di tutto ciò. Non riesco a capire nemmeno se i file siano criptati o semplicemente danneggiati.
Di cosa può trattarsi?

Allego il log della scansione che feci con Malwarebytes dopo essermi accorto dell'infezione.

 

[R16]

Ciao.
Malwarebytes non ha eliminato ransomware ma Trojan.
Quindi sarebbe meglio fare 2 scansioni per accertarsi che il pc sia pulito completamente.
Scarica TDSSKiller sul desktop:
http://www.bleepingcomputer.com/download/tdsskiller/
Fai doppio clik su TDSSKiller.exe
Accetta le condizioni di utilizzo.
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Poi:
Scarica FRST sul desktop: (è obligatorio)
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

 

[luke905]

Ancora grazie R16.
Allora, ho dimenticato di aggiungere che dopo Malwarebytes ho fatto anche una scansione con Kaspersky: allego qui il log (è il primo) insieme agli altri di TDSSKiller e FRST.

 

[R16]

Ciao.
Nel mio primo post, ho scritto che difficilmente avresti recuperato i tuoi file; mi correggo, ad oggi è impossibile recuperarli.
Tecnicamente: i tuoi file sono stati criptati da una chiave pubblica a una chiave privata, con algoritmo RSA-2048.
Poi ho forti dubbi che l'infezione sia venuta dalla chiavetta, in quanto questo tipo di infezione proviene da siti P2P (uTorrent per essere più chiari)
La Backdoor\Trojan Sathurbot, ha a sua volta scaricato il Ramsomware Miuref.THC, che è il responsabile dei file corrotti.
Per esperienza, quando si viene infettati da una Backdoor, il miglior rimedio è la formattazione, perchè tale infezione si "radicalizza" in profondità nel S.O.
I log di FRST presentano "rimasugli" innocui, che anche eliminandoli non risolverebbero nessun problema.

Comunque se vuoi che vengano eliminati:
scarica questo file sul desktop: (dove si trova FRST)
http://wikisend.com/download/476716/fixlist.txt
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

 

[Utente cancellato 106622]

Non per essere cinico, ma quando i danni sono di un certo tipo, il tempo che perdi a fare tutte ste cose lo impiegheresti meglio salvando i dati e formattando.

 

[luke905]

Grazie, almeno ora so che cosa ha danneggiato i miei file.
A questo punto passerò effettivamente alla formattazione e volevo chiedere un ultimo paio di cose.
Durante l'infezione erano connessi un paio di HDD esterni: uno di essi è stato solo parzialmente cryptato mentre l'altro non ha subito danni. Per sicurezza necessito di formattare anche l'HDD che è stato attaccato oppure no?
E sopratutto risulta pericoloso conservare alcuni file cryptati?

Che poi mi domando come siano stati cryptati visto che non sono stati chiusi in un archivio o in una cartella ma sono rimasti semplicemente ai loro posti, con le loro estensioni e le loro dimensioni originali. E addirittura alcuni vecchi filmati mpeg risultano parzialmente apribili solo con Media Player Classic. Ad ora non ho trovato un'esperienza simile sul web.

In allegato qui c'è il log dopo il fix di FRST

 

[R16]

Per sicurezza necessito di formattare anche l'HDD che è stato attaccato oppure no?

Per sicurezza meglio formattare anche quello.

E sopratutto risulta pericoloso conservare alcuni file cryptati?

No non sono pericolosi.
Potresti conservarli da qualche parte in attesa che in futuro si trovi una soluzione.

Ad ora non ho trovato un'esperienza simile sul web.

E' un tipo di infezione relativamente nuova, e per giunta molto pericolosa.
Ci sono molte possibilità che il tuo pc faccia parte di una botnet:
https://it.wikipedia.org/wiki/Botnet

 

[luke905]

Grazie mille, passo immediatamente alla formattazione.

Per il futuro, la combinazione Kaspersky + Malwarebytes è sufficiente ad evitare il ripetersi di una simile situazione?

 

[Utente cancellato 106622]

Kaspersky funziona molto bene, Malwarebytes anche, quindi dire che sei a posto.