PROBLEMA Ransomware non identificato.

[piero8888]

Salve a tutti. Non so come ma il mio pc è stato infettato da un ransomware mentre ero lontano dalla macchina. Quando sono tornato ho trovato windows che mi chiedeva i permessi da dare al prompt dei comandi. Ovviamente ho negato tutto, mi sono accorto che qualcosa non andava, ho terminato i processi dubbi ed eliminato tutto ciò che era sospetto. Alla fine ho trovato la maggiorparte dei miei dati criptati solo che ci sono diverse cose che non mi tornano.
1) Windows defender ha rilevato ed eliminato un trojan Fuery B!cl che, da quel che ho capito, non è un ransomware
2) Non tutti i file sono criptati (ovviamente quei pochi a cui tenevo lo sono tutti) e soprattutto non sono stati criptati secondo un'indicizzazione, sembra che il malware abbia agito a casaccio
3) Non mi è stata chiesta alcuna richiesta di riscatto o pagamento, cosa che di solito un Ransomware fa
4) Non riesco a capire che tipo di Ransomware mi ha colpito in quanto oltre a criptare i file non ha fatto altro. Non ha nè lasciato messaggi nè tantomento ha cambiato l'estensione dei file.
5) Non ho alcun tipo di shadow copy perchè senza che io lo sapessi tutte le configurazioni di ripristino sono configurate sull'hard disk di sistema ovvero quello su cui non ho alcun dato e la cosa strana, e che mi è successa con un solo file (un txt per essere precisi) è che dopo un po' che ho provato ad aprirlo si è creata una copia con estensione .txt~ contenente il file originale e non criptato.
6) Supponendo che qualcuno riesca ad aiutarmi a capire di che tipo di Ransomware stiamo parlando, c'è qualche modo per recuperare i dati?

 

[FiatLux]

Quindi l'estensione è rimasta uguale? Quando provi a aprire un file che messaggio ti da?

Prova a caricare un file sul sito ID Ransomware (non ti scrivo il link completo perché non vorrei violare il regolamento, ma comunque lo trovi facilmente), serve a capire che variante ti ha criptato i file :sisi:

 

[piero8888]

Si, l'estensione è rimasta uguale. I file criptati come video, foto, presentazioni etc. semplicemente non me li apre dicendo che sono corrotti, i txt me li apre ma sono caratteri completamente casuali. Per esempio in un txt in cui avevo scritto come promemoria solo
"led rgb
sdoppiatore jack
FORSE Caricatore"

ora il contenuto è
"¹þžÚdNHˆZ³¾eÃïA+ÏI;EÅU
ëµ»³ð$P¿7'“¦wgá"

Il sito ID Ransomware non mi è utile per il semplice fatto che oltre ad un file criptato serve anche la richiesta di riscatto per riconoscere il ransomware e la cosa più strana è che non mi è stata presentata alcuna richiesta di riscatto dal malware

 

[FiatLux]

Allora può essere che sei stato infettato da una versione di Ransomware buggata, o creata con i piedi. Ci sono un sacco di versioni (create da quando il sorgente è in "vendita") che non funzionano "a dovere"...

 

[piero8888]

C'è anche da dire che non gli ho fatto finire il lavoro, infatti sono riuscito a bloccarlo mentre stava continuando a crittografare. La domanda da un milione di euro ora è: ho qualche possibilità di recuperare i dati?

 

[FiatLux]

Se la crittografia non è andata a buon fine non credo sia possibile recuperare i dati (sarebbe stato difficile recuperarli anche in caso avesse terminato il processo correttamente).
Diciamo che mi viene da pensare che se tutti i file risultano corrotti, ciò non dipende da te. La crittografia dovrebbe criptare un file "alla volta" quindi interrompendola dovresti avere comunque dei file criptati "correttamente". Hai idea di come ti sia infettato?

 

[piero8888]

Penso che abbia criptato un file alla volta per il semplice fatto che alcuni sono criptati e altri no, se non l'avesse fatto file per file avrei tutti i files criptati parzialmente.
Sicuramente è colpa di qualche download che ho fatto distrattamente. Il virus era un trojan fuery che però da quanto ho capito non è un ransomware.
Un processo strano che secondo me è coinvolto nella situazione e che ho eliminato è Wswsys.exe che in giro su internet pare non esistere proprio.
Durante la fase di crittografia mi è stata richiesta un' autorizzazione dal prompt dei comandi a nome del servizio windows vssadmin.exe . Secondo me il ransomware chiedeva l'accesso al prompt per eliminare tutte le shadow copy tramite questo servizio, fatto sta che su quell'hard disk non avevo nessuna impostazione di ripristino e le shadow copy di quei files non le ho mai avute.

 

[FiatLux]

Allora era semplicemente una versione buggata secondo me. Esistono versioni create male che non criptano i file completamente e li corrompono. Ho paura che non ci sia modo di recuperare quei file.. Backup non ne hai giusto?

 

[piero8888]

Ne avevo uno su un altro hard disk che ho dovuto cancellare una settimana fa per passare dei dati ad un amico. Ho provato a recuperare quelli ma ovviamente tra tutti i cluster gli unici sovrascritti sono quelli che mi servivano. Comunque ho visto che ci sono dei programmi che provano a decrittare i file solo che non ho idea di chi me li abbia criptati. cosa può esser stato? Cryptolocker? Teslacrypt? già sapere questa cosa mi aiuterebbe molto

 

[FiatLux]

Sempre fare e mantenere i backup dei dati importanti! È la prima regola contro i ransomware :veach::popo:

Purtroppo senza estensione o messaggio di istruzione è praticamente impossibile capire la variante. Puoi provare con tutti i tools di decriptazione, ma se il file non è criptato correttamente può essere impossibile anche se azzecchi la variante :sisi:

 

[BaldosArts]

prova qui https://www.tomshw.it/forum/threads...stino-dei-files-criptati.533944/#post-5030345