RISOLTO Mi hanno cryptato il file .pst aiuto per favore è importante

kennyz

Utente Attivo
276
14
CPU
AMD FX8350 @4600Mhz
Dissipatore
Thermalright HR-02 Macho Rev.A
Scheda Madre
Asus Sabertooth 990FX R2.0
HDD
Samsung SSD 860 Evo 500GB
RAM
Kingston HyperX Fury 1866Mhz 16GB @2400Mhz
GPU
Sapphire Radeon RX580 Nitro+ 8GB
Audio
Sound BlasterX AE-5 Plus
Monitor
Acer SA240Y @1920 x 1080
PSU
Super-Flower Amptac 80+Bronze 750W
Case
Dimastech Easy V1.0
OS
Win 10 Pro x64
Buongiorno a tutti,
qualche ora fa la sgraditissima sorpresa, Outlook non trova il file .pst il quale è stato criptato da un fantomatico "greentoken"
al quale dovrei, come al solito, pagare per riavere i dati
Il file .pst era stato rinominato, l'ho rinominato .pst ma outlook non lo riconosce...
stessa sorte anche per gli account
Come posso fare?
Mille grazie!
 

crimescene

Super Moderatore
Staff Forum
Utente Èlite
67,393
31,396
CPU
AMD Ryzen 7800x3d
Dissipatore
Artic Freeze 2 360
Scheda Madre
ROG STRIX B650 A wifi
HDD
Nvme Sabrent 1TB SSD 128 Gb SHDD 2TB HDD 3TB
RAM
64GB DDR5 Vengeance 6000 cl 30
GPU
PNY RTX 4080
Audio
Realtek Hd Audio
Monitor
1 AOC Q27G3XMN mini LED 180 hz 2.LG Ultragear 27GL850 QHD 144 hz
PSU
Corsair HX750i
Case
Corsair 5000X ARGB
Periferiche
Meccanica
Net
TIm 200 Mega
OS
Windows 11 Pro
bruttissima storia hai backup offline?
 

kennyz

Utente Attivo
276
14
CPU
AMD FX8350 @4600Mhz
Dissipatore
Thermalright HR-02 Macho Rev.A
Scheda Madre
Asus Sabertooth 990FX R2.0
HDD
Samsung SSD 860 Evo 500GB
RAM
Kingston HyperX Fury 1866Mhz 16GB @2400Mhz
GPU
Sapphire Radeon RX580 Nitro+ 8GB
Audio
Sound BlasterX AE-5 Plus
Monitor
Acer SA240Y @1920 x 1080
PSU
Super-Flower Amptac 80+Bronze 750W
Case
Dimastech Easy V1.0
OS
Win 10 Pro x64
sfortunatamente no, avevo un backup su un altro drive (ma collegato)
criptato anche quello
 

crimescene

Super Moderatore
Staff Forum
Utente Èlite
67,393
31,396
CPU
AMD Ryzen 7800x3d
Dissipatore
Artic Freeze 2 360
Scheda Madre
ROG STRIX B650 A wifi
HDD
Nvme Sabrent 1TB SSD 128 Gb SHDD 2TB HDD 3TB
RAM
64GB DDR5 Vengeance 6000 cl 30
GPU
PNY RTX 4080
Audio
Realtek Hd Audio
Monitor
1 AOC Q27G3XMN mini LED 180 hz 2.LG Ultragear 27GL850 QHD 144 hz
PSU
Corsair HX750i
Case
Corsair 5000X ARGB
Periferiche
Meccanica
Net
TIm 200 Mega
OS
Windows 11 Pro
allora mi sa che sono dolori
aspetta chi sa più di me nel settore ma la vedo molto dura @Moffetta88

NON tenere acceso il pc
 
  • Mi piace
Reazioni: Moffetta88

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,465
12,881
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
Argh!
Quindi vuol dire che anche i file .doc, .docx, .xls, .xlsx, .pdf e moltissimi altri formati, sono andati criptati!
La prima cosa che ti invito a fare è scollegare il pc infetto dalla rete internet!


Poi, tu dici di esser colpito da "greentoken", ma con che estensione ti ha rinominato i file?
 

r3dl4nce

Utente Èlite
16,570
9,023
Se sei stato vittima di attacco di un ransomware recente, l'unico modo di recuperare i dati è da un backup, ricordo la regola d'oro dei backup ovvero 3-2-1 di ogni dato importante è fondamentale avere almeno 3 copie, di cui 2 online (nel senso di attive, esempio il documento effettivo e un backup su disco usb connesso al PC / server) e 1 copia offline (cloud non sincronizzato in automatico, disco usb disconnesso, ecc)
Puoi controllare con shadowexplorer se le copie shadow sono rimaste sane, ma ne dubito, i ransomware attuali cancellano le shadow copy.

Prova a vedere qua se ci sono decripter per il tuo caso
https://www.nomoreransom.org/crypto-sheriff.php

Mi dispiace
Azzera il PC per sicurezza
 

kennyz

Utente Attivo
276
14
CPU
AMD FX8350 @4600Mhz
Dissipatore
Thermalright HR-02 Macho Rev.A
Scheda Madre
Asus Sabertooth 990FX R2.0
HDD
Samsung SSD 860 Evo 500GB
RAM
Kingston HyperX Fury 1866Mhz 16GB @2400Mhz
GPU
Sapphire Radeon RX580 Nitro+ 8GB
Audio
Sound BlasterX AE-5 Plus
Monitor
Acer SA240Y @1920 x 1080
PSU
Super-Flower Amptac 80+Bronze 750W
Case
Dimastech Easy V1.0
OS
Win 10 Pro x64
r3dl4nce
scusami ma non capisco cosa dvo fare nel sito
che intendi per azzerare? formattare?
Potrei recuperare almeno le mail pst (che sono in C) da un punto di ripristino?
 

Moffetta88

Moderatore
Staff Forum
Utente Èlite
20,465
12,881
CPU
i5-4690
Dissipatore
DEEPCOOL CAPTAIN 240EX
Scheda Madre
MSI Z97 U3 PLUS
HDD
KINGSTON SSD KC400 240GB
RAM
24GB BALLISTIX SPORT @2133MHz
GPU
STRIX GTX980 DC2OC
Audio
INTEGRATA
Monitor
AOC G2590VXQ
PSU
BEQUIET! System Power 7 500W
Case
DEEPCOOL MATREXX 55
Periferiche
NESSUNA
Net
EOLO 100
OS
UBUNTU/WINDOWS11
che estensione hanno avuto i file infettati?
Quello che dice @r3dl4nce è che se il cryptovirus è recentissimo, l'unica soluzione per recuperare i file è tramite copie shadow ( sperando che il virus non le abbia cancellate ).

Il sito che ti ha lasciato, serve per capire se esiste online qualche sistema già trovato per riavere indietro i file.
Copia il contenuto del file txt che ti ha creato il virus e premi il bottone GO! FIND OUT

In alternativa, formattazione...
Il ripristino di sistema modifica i programmi, non i file, quindi non andrebbe a toccare i file :/
 
  • Mi piace
Reazioni: kennyz

crimescene

Super Moderatore
Staff Forum
Utente Èlite
67,393
31,396
CPU
AMD Ryzen 7800x3d
Dissipatore
Artic Freeze 2 360
Scheda Madre
ROG STRIX B650 A wifi
HDD
Nvme Sabrent 1TB SSD 128 Gb SHDD 2TB HDD 3TB
RAM
64GB DDR5 Vengeance 6000 cl 30
GPU
PNY RTX 4080
Audio
Realtek Hd Audio
Monitor
1 AOC Q27G3XMN mini LED 180 hz 2.LG Ultragear 27GL850 QHD 144 hz
PSU
Corsair HX750i
Case
Corsair 5000X ARGB
Periferiche
Meccanica
Net
TIm 200 Mega
OS
Windows 11 Pro
il sito ti invita a fare un upload di uno dei file criptati per vedere se eventualmente qualcuno ha trovato un modo per decrittarli....è raro, ma è successo.

Se non c'è un sistema pre la decrittazione puoi fare poco se non piallare tutto dopo avere controllato che non siano andate perdute anche le copie di shadow
 

kennyz

Utente Attivo
276
14
CPU
AMD FX8350 @4600Mhz
Dissipatore
Thermalright HR-02 Macho Rev.A
Scheda Madre
Asus Sabertooth 990FX R2.0
HDD
Samsung SSD 860 Evo 500GB
RAM
Kingston HyperX Fury 1866Mhz 16GB @2400Mhz
GPU
Sapphire Radeon RX580 Nitro+ 8GB
Audio
Sound BlasterX AE-5 Plus
Monitor
Acer SA240Y @1920 x 1080
PSU
Super-Flower Amptac 80+Bronze 750W
Case
Dimastech Easy V1.0
OS
Win 10 Pro x64
ragazzi forse sono incapace, probabile, ma non trovo nulla, posso caricare il file txt qui?
Post unito automaticamente:

Potrei provare un programma tipo Ramsomware Decryptor e simili?
E' che non riesco a capire qual'è
Post unito automaticamente:

per rispondere alla domanda di prima, i file non sono stati completamente rinominati,
il nome del file e la relativa estensione sono rimasti ma p stata aggiunto questo:
_greentoken_{J5F7Pr}.pay
 
Ultima modifica:

r3dl4nce

Utente Èlite
16,570
9,023
Sì classico comportamento da ransomware, ti ho indicato un sito, prova a caricare un file seguendo le istruzioni su quel sito, ma dubito esista un decrypter.

Puoi provare anche a scaricare shadow explorer e provare a recuperare file dalle copie shadow (punti di ripristino) ma come ho già scritto i ransomware li eliminano o corrompono, difficile che questo che ti ha colpito non abbia anche eliminato la possibilità di ripristino da shadow copy

Ergo, o backup o dati persi. Mi spiace
 

kennyz

Utente Attivo
276
14
CPU
AMD FX8350 @4600Mhz
Dissipatore
Thermalright HR-02 Macho Rev.A
Scheda Madre
Asus Sabertooth 990FX R2.0
HDD
Samsung SSD 860 Evo 500GB
RAM
Kingston HyperX Fury 1866Mhz 16GB @2400Mhz
GPU
Sapphire Radeon RX580 Nitro+ 8GB
Audio
Sound BlasterX AE-5 Plus
Monitor
Acer SA240Y @1920 x 1080
PSU
Super-Flower Amptac 80+Bronze 750W
Case
Dimastech Easy V1.0
OS
Win 10 Pro x64
Grazie, ho aggiunto qualche altro particolare su un altro post di questa stessa sezione dal titolo "Ramsonware"
ho fatto una scansione con il tool BitDefender
 

yardrat

Utente Èlite
5,132
2,080
CPU
Ryzen 5600x
Dissipatore
Scythe Fuma 2 Rev. B
Scheda Madre
MSI X570 GAMING PLUS
HDD
Kingston KC3000
RAM
16GB DDR4 @3200 CL14 (8GB x2) B-die
PSU
Seasonic GX-650 Gold
Case
CoolerMaster H500M
OS
Windows 10 Pro x64

kennyz

Utente Attivo
276
14
CPU
AMD FX8350 @4600Mhz
Dissipatore
Thermalright HR-02 Macho Rev.A
Scheda Madre
Asus Sabertooth 990FX R2.0
HDD
Samsung SSD 860 Evo 500GB
RAM
Kingston HyperX Fury 1866Mhz 16GB @2400Mhz
GPU
Sapphire Radeon RX580 Nitro+ 8GB
Audio
Sound BlasterX AE-5 Plus
Monitor
Acer SA240Y @1920 x 1080
PSU
Super-Flower Amptac 80+Bronze 750W
Case
Dimastech Easy V1.0
OS
Win 10 Pro x64
Aggiornamento:
i file criptati non erano solo i pst ma anche tutti quelli in un altro drive (D)
Fortunatamente sembra ci siano i file shadow (in diverse date precedenti) e sto recuperando i files con ShadowExplorer

Ho notato però che su C, dove ho altri files da recuperare, prima vevo visto gli shadow dei giorni precedenti adesso invece ci sono quelli di oggi in vari orari.
Come posso fare a recuperare gli shadow precedenti? Qualche ora fa c'erano...
 

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!