Ransomware

[Alessandro001]

Salve, stavo usando tranquillamente il mio pc quando mi è apparso un messaggio dalla Cronologia Protezione di windows.

Nella sezione "Protezione da virus e minacce" --> "Protezione Ransomware" --> "Cronologia Blocchi" dice che ci sono stati due blocchi a tentati accessi alla memoria protetta.
In seguito a questo comincio a pensare che ci sia un Ransomware all'interno della macchina e vorrei sapere se è possibile eliminarlo. Grazie!

 

[sp3ctrum]

Prova con questo https://labs.bitdefender.com/2017/09/bitdefender-ransomware-recognition-tool/

 

[Alessandro001]

Salve, stavo usando tranquillamente il mio pc quando mi è apparso un messaggio dalla Cronologia Protezione di windows.
Visualizza allegato 361318
Nella sezione "Protezione da virus e minacce" --> "Protezione Ransomware" --> "Cronologia Blocchi" dice che ci sono stati due blocchi a tentati accessi alla memoria protetta.
In seguito a questo comincio a pensare che ci sia un Ransomware all'interno della macchina e vorrei sapere se è possibile eliminarlo. Grazie!

Adesso ho avviato una scansione personalizzata con "Malwarebytes" e "Kaspersky Virus Removal Tool". Per ora ancora niente. Provo anche con "RKill", "ComboFix" e "BitDefender". Ti faccio sapere.

Post unito automaticamente: 27 Febbraio 2020

Ho finito le scansioni e questo è ciò che dice "Malwarebytes":

La scansione con "Kaspersky Virus Removal Tool":


Ora ho provato ad usare BitDefenders ma richiede il percorso dei file criptati ma come ti ho detto al momento nessun file è stato criptato ma ho pensato che ci fosse un ipotetico Ransomware...

 

[Lorenzo Fabris]

Prova a fare un'analisi di Windows Defender Offline, la trovi nelle opzioni di analisi del tuo PC.

 

[Alessandro001]

Prova a fare un'analisi di Windows Defender Offline, la trovi nelle opzioni di analisi del tuo PC.

Ciao, ho avviato l'analisi di Windows Defender Offline 2 volte ed entrambe le volte si è conclusa senza nessun messaggio o alert.

 

[kennyz]

Prova con questo https://labs.bitdefender.com/2017/09/bitdefender-ransomware-recognition-tool/

Scusa se mi intrometto ma ho un problema simile, (veramente è peggio)
nel tool devo inserire il file .txt del messaggio di estorsione?

 

[sp3ctrum]

azz hai gia il messaggio di estorsione?
Si metti quello e sotto un file criptato

 

[Alessandro001]

Scusa se mi intrometto ma ho un problema simile, (veramente è peggio)
nel tool devo inserire il file .txt del messaggio di estorsione?

Immagino i tuoi file siano già stati criptati. Per caso Windows Defender ti ha dato gli stessi avvisi?

 

[kennyz]

Windows Defender era attivo ma dormiva in pieno sonno...
i files hanno ancora il loro nome e la loro estensione ma alla fine è stato aggiunto
_greentoken_{J5F7Pr}.pay
ma se li rinomino e tolgo quella scritta non mi si aprono

Il Tool di Bit defender mi da questo risultato
con Malwarebytes ho messo in quarantena dei file .exe che non avevo mai avuto (tipo rc.exe, loft.exe ecc)
come potrei fare?

Post unito automaticamente: 27 Febbraio 2020

azz hai gia il messaggio di estorsione?
Si metti quello e sotto un file criptato

beh credo proprio sia quello, mo dicono che i miei files sono stati criptati e devo pagare,
lo posso allegare?
Nel tool ho messo solo il file .txt ,
per altri file cosa dovrei mettere, uno dei file criptati indipendentemente dalla grandezza?

 

[GraveKeeper]

Al 37% ti dice che i file sono criptati con BTCWare, io proverei a scaricare e usare il Decryptor indicato, dato che è presente. Lo provi prima su un file solo, e se funziona lo fai su tutti, male non fa. Se non va prova anche quello per Amnesia. Poi backup dei file decrittati, formatti e reinstalli windows.

 

[Alessandro001]

Al 37% ti dice che i file sono criptati con BTCWare, io proverei a scaricare e usare il Decryptor indicato, dato che è presente. Lo provi prima su un file solo, e se funziona lo fai su tutti, male non fa. Se non va prova anche quello per Amnesia. Poi backup dei file decrittati, formatti e reinstalli windows.

Nel mio caso invece pensi che non ci sia da preoccuparsi o che ci sia un ransomware?

Inviato da SNE-LX1 tramite App ufficiale di Tom\'s Hardware Italia Forum

 

[Kelion]

Fate una chiavetta con una iso di kaspersky rescue disk e fate fare una scansione da quella che opera sotto linux e scansiona tutto anche eventuali rootkit

Kaspersky Free Rescue Disk | Kaspersky

Grazie per aver effettuato il download di Kaspersky Free Rescue Disk.

www.kaspersky.it

 

[GraveKeeper]

Sinceramente il tuo caso è dubbio. Perchè in realtà i presunti attacchi sono stati bloccati da windows, e se malwarebytes non trova nulla di solito non è nulla. Ma non vorrei che tu ti fossi preso qualcosa di insidioso che è rimasto nel pc e tenterà altri attacchi.

Giustamente ransomware non sono rilevati perchè ancora non hai alcun file bloccato, però se tu avessi qualcosa qualche file infetto avrebbe dovuto trovarlo.

Se proprio vuoi toglierti il dubbio, fai un backup dei file finchè sono sani, formatta e reinstalla windows. In questo modo sarai sicuro di non avere più nulla.

Comunque devo chiederlo: windows è originale (l'attivazione)? Sennò puoi anche smettere di farti domande e il problema è quello.

Inoltre: qual è PUP rilevato da Malwarebytes?

 

[Alessandro001]

Sinceramente il tuo caso è dubbio. Perchè in realtà i presunti attacchi sono stati bloccati da windows, e se malwarebytes non trova nulla di solito non è nulla. Ma non vorrei che tu ti fossi preso qualcosa di insidioso che è rimasto nel pc e tenterà altri attacchi.

Giustamente ransomware non sono rilevati perchè ancora non hai alcun file bloccato, però se tu avessi qualcosa qualche file infetto avrebbe dovuto trovarlo.

Se proprio vuoi toglierti il dubbio, fai un backup dei file finchè sono sani, formatta e reinstalla windows. In questo modo sarai sicuro di non avere più nulla.

Comunque devo chiederlo: windows è originale (l'attivazione)? Sennò puoi anche smettere di farti domande e il problema è quello.

Inoltre: qual è PUP rilevato da Malwarebytes?

Allora, Windows non è originale ma è la prima volta che mi ha dato questo alert e inoltre il PUP rilevato da malwarebytes si trovava in una cartella di un software chiamato "NetCut" che ho rimosso dopo aver messo in quarantena la minaccia.

 

[r3dl4nce]

Allora, Windows non è originale

Fine della storia. Salva dati, formatta e metti una licenza originale