Ransomware

Stato
Discussione chiusa ad ulteriori risposte.

Alessandro001

Utente Attivo
157
7
CPU
Ryzen 5 1600 3.2GHz
Scheda Madre
MSI B350 Tomahawk
Hard Disk
Seagate ST1000DM010 1 TB
RAM
2X8GB Corsair CMK16GX4M2B3000C15 Vengeance
Scheda Video
RADEON RX 580 NITRO+ Radeon RX 580 8GB GDDR5
Monitor
HP 27FW Monitor 27"
Alimentatore
Cooler Master MasterWatt Lite 700 230V
Case
Aerocool Aero-800
Internet
https://www.speedtest.net/result/8773872068.png
Sistema Operativo
Windows 10
Salve, stavo usando tranquillamente il mio pc quando mi è apparso un messaggio dalla Cronologia Protezione di windows.
Cattura.JPG

Nella sezione "Protezione da virus e minacce" --> "Protezione Ransomware" --> "Cronologia Blocchi" dice che ci sono stati due blocchi a tentati accessi alla memoria protetta.
In seguito a questo comincio a pensare che ci sia un Ransomware all'interno della macchina e vorrei sapere se è possibile eliminarlo. Grazie!
 

sp3ctrum

Moderatore
Staff Forum
6,141
2,270
CPU
Intel i7 6700k @4500 Mhz
Dissipatore
Scythe Mugen 5 rev.b Push&Pull
Scheda Madre
ASUS Z170 Pro Gaming
Hard Disk
SSD Samsung evo 850 250gb + Toshiba P300 3Tb
RAM
G.Skill 16gb Ripjaws V 3200 CL16
Scheda Video
Zotac Nvidia GTX 1080 Mini
Scheda Audio
Topping DX3 Pro + Focusrite Scarlett 2i2 + Creative XFI HD + Edifier Studio R1280T
Monitor
Acer Predator XB241H 144Hz G-Sync
Alimentatore
FSP Raider 650W 80+ Silver
Case
Thermaltake V200 RGB
Internet
Unitymedia 120Mb
Sistema Operativo
Windows 10

Alessandro001

Utente Attivo
157
7
CPU
Ryzen 5 1600 3.2GHz
Scheda Madre
MSI B350 Tomahawk
Hard Disk
Seagate ST1000DM010 1 TB
RAM
2X8GB Corsair CMK16GX4M2B3000C15 Vengeance
Scheda Video
RADEON RX 580 NITRO+ Radeon RX 580 8GB GDDR5
Monitor
HP 27FW Monitor 27"
Alimentatore
Cooler Master MasterWatt Lite 700 230V
Case
Aerocool Aero-800
Internet
https://www.speedtest.net/result/8773872068.png
Sistema Operativo
Windows 10
Salve, stavo usando tranquillamente il mio pc quando mi è apparso un messaggio dalla Cronologia Protezione di windows.
Visualizza allegato 361318
Nella sezione "Protezione da virus e minacce" --> "Protezione Ransomware" --> "Cronologia Blocchi" dice che ci sono stati due blocchi a tentati accessi alla memoria protetta.
In seguito a questo comincio a pensare che ci sia un Ransomware all'interno della macchina e vorrei sapere se è possibile eliminarlo. Grazie!
Adesso ho avviato una scansione personalizzata con "Malwarebytes" e "Kaspersky Virus Removal Tool". Per ora ancora niente. Provo anche con "RKill", "ComboFix" e "BitDefender". Ti faccio sapere.
Post automaticamente unito:

Ho finito le scansioni e questo è ciò che dice "Malwarebytes":
malbytes.JPG

La scansione con "Kaspersky Virus Removal Tool":
k.JPG


Ora ho provato ad usare BitDefenders ma richiede il percorso dei file criptati ma come ti ho detto al momento nessun file è stato criptato ma ho pensato che ci fosse un ipotetico Ransomware...
 
Ultima modifica:

Alessandro001

Utente Attivo
157
7
CPU
Ryzen 5 1600 3.2GHz
Scheda Madre
MSI B350 Tomahawk
Hard Disk
Seagate ST1000DM010 1 TB
RAM
2X8GB Corsair CMK16GX4M2B3000C15 Vengeance
Scheda Video
RADEON RX 580 NITRO+ Radeon RX 580 8GB GDDR5
Monitor
HP 27FW Monitor 27"
Alimentatore
Cooler Master MasterWatt Lite 700 230V
Case
Aerocool Aero-800
Internet
https://www.speedtest.net/result/8773872068.png
Sistema Operativo
Windows 10
Prova a fare un'analisi di Windows Defender Offline, la trovi nelle opzioni di analisi del tuo PC.
Ciao, ho avviato l'analisi di Windows Defender Offline 2 volte ed entrambe le volte si è conclusa senza nessun messaggio o alert.
 

kennyz

Utente Attivo
167
6
CPU
AMD Phenom II X4 965 BE @3800Mhz dissipatore HR-02 Macho Rev.A
Scheda Madre
Asus M3N78 Chipset GeForce 8200
Hard Disk
#1 - Maxtor STM3160215AS - #2 - Seagate ST2000DM001
RAM
Kingston "value" DDR2 800 2GBx4
Scheda Video
Sapphire Radeon HD 7850 2Gb
Scheda Audio
Integrata
Monitor
Asus VW222S @1680 x 1050
Alimentatore
Super-Flower Amptac 80+Bronze 750W
Case
Thermaltake Overseer RX-I
Sistema Operativo
Win7 x64

sp3ctrum

Moderatore
Staff Forum
6,141
2,270
CPU
Intel i7 6700k @4500 Mhz
Dissipatore
Scythe Mugen 5 rev.b Push&Pull
Scheda Madre
ASUS Z170 Pro Gaming
Hard Disk
SSD Samsung evo 850 250gb + Toshiba P300 3Tb
RAM
G.Skill 16gb Ripjaws V 3200 CL16
Scheda Video
Zotac Nvidia GTX 1080 Mini
Scheda Audio
Topping DX3 Pro + Focusrite Scarlett 2i2 + Creative XFI HD + Edifier Studio R1280T
Monitor
Acer Predator XB241H 144Hz G-Sync
Alimentatore
FSP Raider 650W 80+ Silver
Case
Thermaltake V200 RGB
Internet
Unitymedia 120Mb
Sistema Operativo
Windows 10
azz hai gia il messaggio di estorsione?
Si metti quello e sotto un file criptato
 

Alessandro001

Utente Attivo
157
7
CPU
Ryzen 5 1600 3.2GHz
Scheda Madre
MSI B350 Tomahawk
Hard Disk
Seagate ST1000DM010 1 TB
RAM
2X8GB Corsair CMK16GX4M2B3000C15 Vengeance
Scheda Video
RADEON RX 580 NITRO+ Radeon RX 580 8GB GDDR5
Monitor
HP 27FW Monitor 27"
Alimentatore
Cooler Master MasterWatt Lite 700 230V
Case
Aerocool Aero-800
Internet
https://www.speedtest.net/result/8773872068.png
Sistema Operativo
Windows 10
Scusa se mi intrometto ma ho un problema simile, (veramente è peggio)
nel tool devo inserire il file .txt del messaggio di estorsione?
Immagino i tuoi file siano già stati criptati. Per caso Windows Defender ti ha dato gli stessi avvisi?
 

kennyz

Utente Attivo
167
6
CPU
AMD Phenom II X4 965 BE @3800Mhz dissipatore HR-02 Macho Rev.A
Scheda Madre
Asus M3N78 Chipset GeForce 8200
Hard Disk
#1 - Maxtor STM3160215AS - #2 - Seagate ST2000DM001
RAM
Kingston "value" DDR2 800 2GBx4
Scheda Video
Sapphire Radeon HD 7850 2Gb
Scheda Audio
Integrata
Monitor
Asus VW222S @1680 x 1050
Alimentatore
Super-Flower Amptac 80+Bronze 750W
Case
Thermaltake Overseer RX-I
Sistema Operativo
Win7 x64
Windows Defender era attivo ma dormiva in pieno sonno...
i files hanno ancora il loro nome e la loro estensione ma alla fine è stato aggiunto
_greentoken_{J5F7Pr}.pay
ma se li rinomino e tolgo quella scritta non mi si aprono

Il Tool di Bit defender mi da questo risultato bitDef report.jpg
con Malwarebytes ho messo in quarantena dei file .exe che non avevo mai avuto (tipo rc.exe, loft.exe ecc)
come potrei fare?
Post automaticamente unito:

azz hai gia il messaggio di estorsione?
Si metti quello e sotto un file criptato
beh credo proprio sia quello, mo dicono che i miei files sono stati criptati e devo pagare,
lo posso allegare?
Nel tool ho messo solo il file .txt ,
per altri file cosa dovrei mettere, uno dei file criptati indipendentemente dalla grandezza?
 

GraveKeeper

Utente Attivo
960
302
CPU
Intel Core i5 7200u (2 Core - 4 Threads)
Scheda Madre
HP 84A7
Hard Disk
128gb Samsung M.2 + 1tb Hitachi 5400rpm
RAM
1x8gb 2400Mhz
Scheda Video
NVIDIA GeForce MX110 2gb ddr3
Monitor
Schermo HD 1366x768
Case
HP Notebook 15-da0134nl
Periferiche
Studio Monitor Speakers Presonus Eris E3.5
Sistema Operativo
Windows 10 Home 64-bit
Al 37% ti dice che i file sono criptati con BTCWare, io proverei a scaricare e usare il Decryptor indicato, dato che è presente. Lo provi prima su un file solo, e se funziona lo fai su tutti, male non fa. Se non va prova anche quello per Amnesia. Poi backup dei file decrittati, formatti e reinstalli windows.
 

Alessandro001

Utente Attivo
157
7
CPU
Ryzen 5 1600 3.2GHz
Scheda Madre
MSI B350 Tomahawk
Hard Disk
Seagate ST1000DM010 1 TB
RAM
2X8GB Corsair CMK16GX4M2B3000C15 Vengeance
Scheda Video
RADEON RX 580 NITRO+ Radeon RX 580 8GB GDDR5
Monitor
HP 27FW Monitor 27"
Alimentatore
Cooler Master MasterWatt Lite 700 230V
Case
Aerocool Aero-800
Internet
https://www.speedtest.net/result/8773872068.png
Sistema Operativo
Windows 10
Al 37% ti dice che i file sono criptati con BTCWare, io proverei a scaricare e usare il Decryptor indicato, dato che è presente. Lo provi prima su un file solo, e se funziona lo fai su tutti, male non fa. Se non va prova anche quello per Amnesia. Poi backup dei file decrittati, formatti e reinstalli windows.
Nel mio caso invece pensi che non ci sia da preoccuparsi o che ci sia un ransomware?

Inviato da SNE-LX1 tramite App ufficiale di Tom\'s Hardware Italia Forum
 

Kelion

Quid est veritas?
Utente Èlite
18,847
5,593
Fate una chiavetta con una iso di kaspersky rescue disk e fate fare una scansione da quella che opera sotto linux e scansiona tutto anche eventuali rootkit
 

GraveKeeper

Utente Attivo
960
302
CPU
Intel Core i5 7200u (2 Core - 4 Threads)
Scheda Madre
HP 84A7
Hard Disk
128gb Samsung M.2 + 1tb Hitachi 5400rpm
RAM
1x8gb 2400Mhz
Scheda Video
NVIDIA GeForce MX110 2gb ddr3
Monitor
Schermo HD 1366x768
Case
HP Notebook 15-da0134nl
Periferiche
Studio Monitor Speakers Presonus Eris E3.5
Sistema Operativo
Windows 10 Home 64-bit
Sinceramente il tuo caso è dubbio. Perchè in realtà i presunti attacchi sono stati bloccati da windows, e se malwarebytes non trova nulla di solito non è nulla. Ma non vorrei che tu ti fossi preso qualcosa di insidioso che è rimasto nel pc e tenterà altri attacchi.

Giustamente ransomware non sono rilevati perchè ancora non hai alcun file bloccato, però se tu avessi qualcosa qualche file infetto avrebbe dovuto trovarlo.

Se proprio vuoi toglierti il dubbio, fai un backup dei file finchè sono sani, formatta e reinstalla windows. In questo modo sarai sicuro di non avere più nulla.

Comunque devo chiederlo: windows è originale (l'attivazione)? Sennò puoi anche smettere di farti domande e il problema è quello.

Inoltre: qual è PUP rilevato da Malwarebytes?
 
  • Mi piace
Reactions: Alessandro001

Alessandro001

Utente Attivo
157
7
CPU
Ryzen 5 1600 3.2GHz
Scheda Madre
MSI B350 Tomahawk
Hard Disk
Seagate ST1000DM010 1 TB
RAM
2X8GB Corsair CMK16GX4M2B3000C15 Vengeance
Scheda Video
RADEON RX 580 NITRO+ Radeon RX 580 8GB GDDR5
Monitor
HP 27FW Monitor 27"
Alimentatore
Cooler Master MasterWatt Lite 700 230V
Case
Aerocool Aero-800
Internet
https://www.speedtest.net/result/8773872068.png
Sistema Operativo
Windows 10
Sinceramente il tuo caso è dubbio. Perchè in realtà i presunti attacchi sono stati bloccati da windows, e se malwarebytes non trova nulla di solito non è nulla. Ma non vorrei che tu ti fossi preso qualcosa di insidioso che è rimasto nel pc e tenterà altri attacchi.

Giustamente ransomware non sono rilevati perchè ancora non hai alcun file bloccato, però se tu avessi qualcosa qualche file infetto avrebbe dovuto trovarlo.

Se proprio vuoi toglierti il dubbio, fai un backup dei file finchè sono sani, formatta e reinstalla windows. In questo modo sarai sicuro di non avere più nulla.

Comunque devo chiederlo: windows è originale (l'attivazione)? Sennò puoi anche smettere di farti domande e il problema è quello.

Inoltre: qual è PUP rilevato da Malwarebytes?
Allora, Windows non è originale ma è la prima volta che mi ha dato questo alert e inoltre il PUP rilevato da malwarebytes si trovava in una cartella di un software chiamato "NetCut" che ho rimosso dopo aver messo in quarantena la minaccia.
 
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando