Ebbene si...me l'hanno fatta, son tornato a casa e sullo schermo c'era l'avviso di avg di due trojan, mi pare, quindi do l'ok al programma per eliminarli ma poi ho visto che ho tutto rinominato con estensione .off
Tutti i file criptati, l'avviso dentro un .DOC di una procedura per riavere la mia roba, naturalmente a pagamento.
Qualche idea su come procedere?

Dura.
Durissima.
I casi che conosco io si sono risolti pagando...

Hai aperto qualche file allegato che sembrava da un mittente conosciuto?


Sent from my iPhone using Tapatalk

a non lo sò, son tornato a casa e ho trovato il fattaccio, vai a sapere cosa hanno cliccato :-?

Sono mesi che al lavoro arriva email di presunti clienti con ordini in allegato come file zip, presunti corrieri, tipo DHL o TNT, sempre con file zip da aprire.
A quanto pare sono tutti virus che prendi quando apri i file, che per inciso sembrano venire da mittenti conosciuti.


Sent from my iPhone using Tapatalk

fai un disco di avvio con ubuntu, e provi a vedere se in realtà ci sono ma nascosti. Una volta a me me li dava ma vuoti erano dei doppioni, i veri file erano invisibili a windows

Ok....cominciamo da " disco di avvio"....cos'è?
Poi passeremo a "ubunto" [emoji55]

Premesso che di informatica sono a zero e altri ti potranno spiegare meglio....
è un cd da mettere nel computer appena/prima che il pc si avvia, questo prima di partire dalla lettura dell'hard disk va a leggere su altre sorgenti tipo il lettore cd dove ci può essere un sistema operativo diverso.
Nei dischetti di installazione di ubuntu all'avvio poi c'è una scelta se installare subito o provarlo, scegli di provarlo e lo fa funzionare solo con la RAM a quel punto puoi provare a leggere i dati che ti servono e probabilmente è anche inattaccabile dal virus....
piu o meno :mrgreen:

Salva i dati essenziali e reinstalla il sistema operativo dopo aver formattato l'hard disk. Io, nel portatile di mia figlia maggiore, per togliere un adware, ci ho messo due giorni, ma avessi potuto rasarlo a zero l'avrei fatto. Il fatto è che c'era sopra un mucchio di sw che avrebbe avuto difficoltà a reinstallare (matlab, simulink, ecc.) per un problema di licenza.

Inviato dal mio SM-T535 utilizzando Tapatalk

In effetti la prima cosa da fare sarebbe provare la via suggerita da xenon, non con ubunto meglio partedmagic.
Il problema è che se uno è a zero di informatica (accendere e spegnere,mandare e-mail e cercare con google non aiutano ad elevare il livello, per essere chiari) tra il tempo che impiegherebbe (buttato perché le conoscenze potenzialmente acquisibili sono minate dalla mancanza di basi) e i danni che può fare fa prima a rivolgersi ad un esperto.
Sei incappato in un caso di ransonware.
Il fatto dei file nascosti è sempre possibile ma vecchio, sono anni che non sento più di cose del genere.
Adesso più semplicemente ti criptano il contenuto.
Decriptare la chiave, se non disponi di software dedicato e/o molta molta molta potenza di calcolo è cosa di mesi.
Se hai un backup reinstalla tutto e via.
Se non hai un backup e avevi dati rilevanti, spero non file con dati account in chiaro perché è una delle cose che cercano per loro scopi (quindi cambia tutte le password e pin), paga.
Io so di aziende che lo hanno fatto ed hanno potuto recuperare tutto.

Dopo sarebbe il caso di risalire alla causa primaria del problema ed isolarla => comprarle una macchina dedicata non in rete, così il problema è confinato.

Come hai potuto constatare, anche l'antivirus ha toppato.
L'unica è sapere cosa si fa, aggiornarsi, fare copie dei dati rilevanti periodiche conservate _non_ in rete.

kimiko fai denuncia alla polizia postale, qui si va oltre al virus ma ad una truffa con relativo ricatto.
io di pc non ne capisco molto ma prova con i passaggi che ti hanno indicato.

altra domanda AVG versione free ?

prova a scaricare questo programma anche se non credo di possano aiutare più di tanto :

Malwarebytes Anti-Malware

lo installi riavvi il pc e lo fai girare in modalità provvisoria, mentra carica il pc all'avvio premi F8 ti appare una scherma in cui ti chiede come avviare il pc

e fai partire il programma e fai la scansione completa del pc

poi ci sarebbero altri programmi m al momento non ricordo

Anche Superantispyware funziona !!

Landy

dati tali che valga la pena pagare non ce ne sono, mi girano le balle per le foto, per le raccolte di foto finalmente organizzate, per i manuali riparazione, per tutto quello scaricato dai siti o forum e salvato come pdf, la rogna è che hanno eliminato, o nascosto, pure i punti di ripristino, si sono resettate le preferenze dei vari browser, insomma una menata a ricordarsi come poi si fanno le cose o dove si è messo qualcosa.....:-?
avevo appena ripristinato sto pc e messo tutto sulle partizioni dei dischi secondari per fare da magazzino...invece mer.da :evil:


denunciare? a chi? alle nostre autorità? ma figuriamoci....questo giochetto pare abbia nelle varie forme visitato 500 milioni di pc e fatto incassare decine di milioni a sti criminle, senza che nessuno ne sia ancora venuto a capo:evil:

Capisco e mi spiace, ma altre soluzioni non ce n'è come avrai già capito.

altra soluzione era a monte salvare tutto in archivio esterno al Pc che utilizzi normalmente

Tutto condivisibile.
Se pagando (spero poco) si risolve il problema dei file .off, ti consiglio anch'io di farlo, e poi segui le indicazioni di Teddy (nuove password, backup) alle quali aggiungerei anche l'installazione di un nuovo antivirus di qualità.

;-)

Pagare? Ma non se ne parla neanche, e poi chi? Chi c'è dietro? Terroristi magari, rumeni, isis, il clero, naaaa, s'attaccano al caz.zo, l'80% delle foto è conservato da google/facebook/whatsapp, i manuali sono sul pc al lavoro, il resto non sò nemmeno io cosa è che mi han criptato per cui interessava poco prima e interessa poco ora.
Documenti segreti non ce ne sono, password scritte idem, che poi te le ciulano lo stesso se vogliono.
Mi interesserebbe capire come l'ha preso sto virus visto che nessuna e-mail è stata aperta, bho

Mi hai ansiato. In effetti sarebbe interessante sapere da dove è arrivato.

Mi spiace Kimik!

Ho avuto un paio di clienti con lo stesso problema e si è risolta solo pagando. Certo una ditta ferma che non riesce più a fare una bolla è un altro discorso.

Si paga in "bitcoin", circa 400 euro dipende dal cambio, solo manualmente e in forma anonima su poste pay intestate a Ciro Lapillo. Dietro c'è la cyberdelinquenza russa. Si stima che nel 2014 abbiano incassato circa 13 milioni di euro (quelli segnalati alle autorità).

Inutile dire che con queste risorse hanno al soldo il top della programmazione pirata del pianeta e mezzi aggiornati per nascondersi.
Undernet, Thor et simila sono i loro ambienti.

Arriva generalmente tramite mail DHL o TNT, senza allegato ma con la richiesta di seguire un link per tracciare la spedizione.
Non è corretto dire che antivirus o anti-malware "toppano", in realtà la macchina esegue un comando utente (quel maledetto klik sul link o l'eventuale apertura di una routine zippata che sia). Nessuno è immune nemmeno con le versioni a pagamento.
I codici del software maligno si distruggono a lavoro finito e vengono cambiati i comandi di start molto spesso. Quel che resta sul computer danneggiato è inutile ai fini della prevenzione.

State tutti molto attenti alle mail che aprite e soprattutto ai klik che vi suggeriscono di fare! Fate sempre un backup aggiornato del materiale che ritenete importante.

Ad oggi non ci sono altri rimedi, si può fare prevenzione informando oppure anche a livello sistemistico con accessi, permission eccetera ma sono discorsi ben lontani ai computers casalinghi!

quello che mi gira le balle è che sono sicuro al 1000% che non sono state aperte mail, io la posta la guardo al lavoro, a casa no, e di giorno ci sta la moglie che non la usa ( la sua posta è un mio alias)
quindi vorrei sapere da dove è venuto, e se ora dopo tutte le scansioni fatte con tutto e di più con quello che ho trovato in rete in merito, tutti programmi indicati da microsoft symantec kasper ecc ecc che non hanno rilevato nulla, posso elinare tutto il materiale criptato e riscaricare quello che trovo salvabile
inoltre, se attacco il disco esterno sul quale ho parecchia roba salvata, non è che mi attacca pure quello?
insomma non ho voglia di formattare.....è la terza volta da giugno, che formatto :-?

Non è corretto dire che antivirus o anti-malware "toppano", in realtà la macchina esegue un comando utente (quel maledetto klik sul link o l'eventuale apertura di una routine zippata che sia). Nessuno è immune nemmeno con le versioni a pagamento.
I codici del software maligno si distruggono a lavoro finito e vengono cambiati i comandi di start molto spesso. Quel che resta sul computer danneggiato è inutile ai fini della prevenzione.

Dissento.
Tutte le azioni che compi su un computer sono comandi utente.
Quindi come l'antivirus intercetta l'eseguibile di netcat, verifica il traffico web ed altre menate rallentatrici, dovrebbe intercettare e impostare una sandbox per tutti gli accessi a file compressi, come minimo.
Questo problema è conosciuto da più di un anno, non stiamo parlando dell'ultimo hack di flash...
L'antivirus è l'ogino knaus dell'informatica.
Ed infatti figli bastardi, indesiderati e molesti sono frequenti.
Come il rimpianto nei soggetti 'tutelati'.

Piccolo quiz: chi sa quali sono i permessi di default per l'utente standard creato durante l'installazione di win7?

Dissento.
Tutte le azioni che compi su un computer sono comandi utente.


Forse avrei dovuto scrivere "sono un comando dato dall'utente" (con relativa autorizzazione di processo da amministratore) che si differenzia da tutti quelli che i programmi danno.

Quel che indichi è corretto ma arriveremo ad avere qualcosa di simile quando l'antivirus sarà su un apposito computer e ne controllerà un altro.
Tutti i metodi a campione oggi funzionano, quelli a "naso" cioè che riconoscono processi a rischio sono terribilmente pesanti e di risultati se ne son visti ben pochi ... se non quelli di piantare la maggior parte delle macchine. Non posso fare nomi perché metterei in difficoltà il forum.
Insomma ... in teoria si può fare, in pratica ancora no e non lo sarà ancora per un bel po'.

L'utente standard creato in fase di installazione di Win7 è administrator con relativi diritti.

trovato sto articolo....solo che non ci capisco molto, magari a voi che vi occupate di sistemi si

http://www.ilfattoquotidiano.it/2015/05/21/ramsonware-finisce-incubo-file-criptati-arriva-kit-di-soccorso-per-liberarli/1704915/

Sembra proprio una via da seguire.
La mia idiosincrasia (sempre più accentuata) per i sistemi Windows è anche dovuta a queste difficoltà.
Ora ho su Windows 10 al posto del 7, e con mia somma disperazione ho scoperto che dopo un certo periodo lo strönzone cancella i file dei programmi installati nella versione precedente, compresi Office Suite e Google Earth (tanto per citarne due diffusissimi).
Ho dovuto reinstallare tutto, anche programmetti come WinAmp.
Linux o MacOs, queste sono le soluzioni definitive.

;-)

Si si è conosciuto. Ci sono in rete siti specializzati più o meno seri che offrono rimedi anche a pagamento. Gli spedisci un file criptato e loro tentano di trovare la chiave di lettura. A volte riescono a volte no.

Se il malware è quello originale Russo non c'è nulla che si possa fare. Se sono tentativi di emulazione come quello citato da Xenon qualche possibilità c'è.

Una precisazione rispetto a quanto dichiarato dall'articolo. Questo fenomeno ha beccato anche grosse aziende, spa con sedi in mezzo mondo.
Naturalmente non ha potuto devastare tutto, in oltre imprese di queste dimensioni hanno sistemi di backup tali da poter rimediare brillantemente in tempi molto rapidi.

Tanto per citare oggi si esegue il backup dell'intero server virtuale eseguendo una sorta di fotografia. Se danneggiato gravemente lo si distrugge il server in questione e lo si rigenera istantaneamente.

Sembra proprio una via da seguire.
La mia idiosincrasia (sempre più accentuata) per i sistemi Windows è anche dovuta a queste difficoltà.
Ora ho su Windows 10 al posto del 7, e con mia somma disperazione ho scoperto che dopo un certo periodo lo strönzone cancella i file dei programmi installati nella versione precedente, compresi Office Suite e Google Earth (tanto per citarne due diffusissimi).
Ho dovuto reinstallare tutto, anche programmetti come WinAmp.
Linux o MacOs, queste sono le soluzioni definitive.

;-)


a capirci....:evil:

a capirci....:evil:
Fai così: conta tempo perso tuo, di amici valorizzato a 20€/ora, i conti pagati di specialisti, fermo macchina, costo iniziale pc.
Vedrai che un mac ci esce.
E finite le rogne.
Punto.
Linux solo se hai voglia di fare un passo avanti nelle conoscenze informatiche ed hai tempo, tanto.
Fino a qualche anno fa lo proponevo ( da utente di 3 lustri in tutti gli ambiti e multidistribuzione quale sono), ma se il livello di conoscenza IT è basso e non c'è voglia e/o tempo per capire è tempo perso per tutti.
Mac.
E risolvi, come tutti quelli che sono passati attraverso le perdite di tempo di winzozz...

non mi serve un mac, col pc ci gioco, ci gioca la moglie, è un enorme baule dove mettere tutta la cianfusaglia digitale, pensa che riflettendoci nulla di quello che è criptato mi serve, giran più le balle alla moglie che ha perso ore a scannerizzare le foto vecchie, ma le foto vecchie son qui visibili in chiaro:mrgreen: sono altre le passioni dove perdo tempo (e scarico madonne dai calendari gratis per tutti :evil: )

sincero? non ho voglia di sbattermi ad imparare linus, non l'ho mai avuta perchè ripeto non mi serve realmente un pc per i miei interessi

mi hanno chiesto se sono ready to pay 4 bitcoin......ho rispost no capire :mrgreen:

Certo Kimiko, capisco.
Reinstalla e via.
Prossima volta che passi davanti ad un Mediaworld prenditi un hard disk esterno per i backup che tieni in un cassetto e sei a posto
[emoji106]

celo...ma non sò se attaccarlo o se il virus continua a lavorare, e reinstallare vista su quasto pc non c'ho voglia assolutamente, impiega 3 settimane per scaricare tutti gli aggiornamenti e ogni volta che ne installa un blocco va in....blocco o errore :evil:

Nella tua situazione io formatterei senza esitazione.

Non collegare l'hard disc esterno prima do aver sistemato il PC


Sent from my iPhone using Tapatalk

Allora non è solo una leggenda che Apple non contrae i virus e perché?


Sent from my iPhone using Tapatalk

è quello il mio dubbio, in rete ho letto che una volta spento il pc il bastard.... smette di lavorare, continuo a cercare conferme

Questo articolo è attinente al problema

http://www.ilfattoquotidiano.it/2015/05/21/ramsonware-finisce-incubo-file-criptati-arriva-kit-di-soccorso-per-liberarli/1704915/

messo prima quel link solo che non ho capito che diavolo dovrei usare di tutta la roba che c'è a disposizione

Questo articolo è attinente al problema

http://www.ilfattoquotidiano.it/2015/05/21/ramsonware-finisce-incubo-file-criptati-arriva-kit-di-soccorso-per-liberarli/1704915/

... tu si che sei avanti! :mrgreen:

Certo che smette... come l'auto smette di andare avanti se spegni il motore! Il fatto è che si rivela quando ha concluso il mestiere, non prima.
Certo per prudenza nn collegare nessuna memoria di massa prima di aver formaggiato e installato Win7! Vista buttalo via!

Se nutri ancora speranze per i tuoi contenuti cambia HD, mettici uno stato solido che ha prezzi abbordabili ormai e quello con i tuoi dati sopra dallo all'amico informatico che un tentativo almeno di verifica può farlo!

Allora non è solo una leggenda che Apple non contrae i virus e perché?


Sent from my iPhone using Tapatalk
In assoluto non è vero, come non lo per alcun sistema operativo che interagisca con il mondo esterno via rete o dispositivi rimovibili.
Il sistema operativo del mac deriva da BSD, un sistema molto sviluppato e collaudato sul lato rete. Più sicuro per impostazione rispetto a windows.
Inoltre nessun utente ha i privilegi di amministratore se non con passaggi espliciti da farsi solo alla bisogna.
Apple poi ha infiorettato l'interfaccia grafica a castrato alcune cose per limitare l'utonto medio.
Esiste comunque qualche falla, ma di portata meno catastrofica rispetto al mondo win...
Guarda caso, anche qui, la sicurezza dipende per prima cosa dall'utilizzatore.
La colpa principale del diavolo di Redmond è stata quella di far credere che usare un PC sia facile, che basti 'smanetterci'.
Questo ha creato generazioni di idioti digitali che annaspano inconsapevoli in un oceano popolato da ogni tipo di predatore e pericolo.
Apple è stata più brava ed ha creato un sistema chiuso per utonti standard ( io dopo 10 minuti che lu uso vado in fastidio..).
Per cui: poco tempo e poca voglia ma serve un computer => mac.
Spendi di più (ma non tanto a parità si caratteristiche) e sei a posto.

Grazie, allora fa x me.
Utontissimo sono. [emoji16][emoji16][emoji16][emoji16]


Sent from my iPhone using Tapatalk

Piccola news, fonte il giornale.
Ritirate dall'app store di Apple non so quante app che rubavano i dati da dove venivano installate, tra cui wechat.
Per lo più app dedicate al mercato asiatico. Per ora qui nulla.
Ma dimostra che volendo si può bucare anche ios.

Piccola news, fonte il giornale.
Ritirate dall'app store di Apple non so quante app che rubavano i dati da dove venivano installate, tra cui wechat.
Per lo più app dedicate al mercato asiatico. Per ora qui nulla.
Ma dimostra che volendo si può bucare anche ios.

ios è un buco da solo....:lol:....alla presentazione del nuovo iCoso han detto che SIRI ti ascolta anche con il terminale spento :shock:
giuro, l'ha rimarcato anche Paolo Attivissimo in un tweet :roll:

ios è un buco da solo....:lol:....alla presentazione del nuovo iCoso han detto che SIRI ti ascolta anche con il terminale spento :shock:
giuro, l'ha rimarcato anche Paolo Attivissimo in un tweet :roll:

IL GRANDE FRATELLO TI ASCOLTA


Sent from my iPhone using Tapatalk

Eh ma del resto se adesso promuovono il park assist e si parla sempre di più di auto con guida automatica (assurdità totale)....
C'è una generale tendenza al disimpegno, al rendere tutto 'facile'.
L'unica cosa facile è far crescere l'ignoranza e l'inconsapevolezza mascherandole sotto i nomi di progresso e tecnologia...
Pessimismo e fastidio.

Piccola news, fonte il giornale.
Ritirate dall'app store di Apple non so quante app che rubavano i dati da dove venivano installate, tra cui wechat.
Per lo più app dedicate al mercato asiatico. Per ora qui nulla.
Ma dimostra che volendo si può bucare anche ios.

... non è mica la prima volta!

Lo so ma era nella sezione tecnologia delle news del Cell proprio stamattina... Eccellente tempismo

son 2 giorni che mi spiegano come pagare :lol::lol::lol: e io continuo a rispondere sbagliando a capire o con risposte che non c'azzeccano per nulla...li prendo per disperazione :mrgreen:

son 2 giorni che mi spiegano come pagare [emoji38][emoji38][emoji38] e io continuo a rispondere sbagliando a capire o con risposte che non c'azzeccano per nulla...li prendo per disperazione :mrgreen:
Bravo [emoji106]

Lo so ma era nella sezione tecnologia delle news del Cell proprio stamattina... Eccellente tempismo

Tu aspetta che qualcuno riesca ad akkare la banca dati delle carte di credito della mela ... come era successo per Sony ... vedrai che ridere! 8)

Il virus in questione effettua una criptazione del disco, si cela molto bene. Certamente però un Nod32 o simili han protezione molto maggiore di avg avento l'anti rootkit integrato.

Pagare per riottenere i propri dati o cercare di recuperarli con il suddetto tool è fattibile, ma non prima di aver sporto denuncia alla polizia postale.

Faccio presente che non tutti hanno riottenuto i dati dopo aver effettuato il pagamento, per tanto non mi sento di consigliarlo.

NOTA BENE; Potete cercare di recuperare i dati con il tool, ma in questi casi la buona norma vuole che Non si cerchi mai di salvare il salvabile su chiavetta, molto probabilmente infettereste il pc che la riceve vanificando il ripristino. Lascerei perdere il "forse qualcosa lo salvo"
Per il tool io preferisco installare l'hardisk su di un pc "vergine" come hd secondario, avviare in modalità provvisoria ed effettuare tutte le varie operazioni. Al termine riformattare entrambi gli hd del pc di appoggio prima di rimontare l'hard disk sul pc originario.

Personalmente su pc lavorativi ricordo che è fondamentale effettuare backup regolari, senza offendere nessuno ma chi non li fa in questo tempo ove si stima che il 75% di traffico dati è spam o virus può biasimare solo se stesso.

Soluzione consigliata a livello generale: Mettersi il cuore in pace per i dati persi, verificare le restrizioni del firewall del router (consiglio un aggiornamento del firmware del router ogni volta che si hanno infezioni potenti, meglio evitare di mantenere delle backdoor aperte), formattare e reinstallare tutto possibilmente con internet scollegato sino ad installazione avvenuta dell'antivirus.

Is My Honest Opinion

Un backup per definizione non è un semplice drive secondario, se lasci sempre collegato al pc quasi sicuramente infetterai anche quello.

Ti consiglio di collegarlo esclusivamente per il backup e scollegarlo subito dopo. Aggiungo un consiglio banale spesso sottovalutato; è meglio effettuare sempre una scansione completa con l'antivirus prima di lanciare il backup.

ma secondo te qui http://www.ilfattoquotidiano.it/2015/05/21/ramsonware-finisce-incubo-file-criptati-arriva-kit-di-soccorso-per-liberarli/1704915/
e qui https://bitbucket.org/jadacyrus/ransomwareremovalkit/src c'è qualcosa che posso provare ad usare?
e come si usa?

Il virus in questione effettua una criptazione del disco, si cela molto bene. Certamente però un Nod32 o simili han protezione molto maggiore di avg avento l'anti rootkit integrato.

Pagare per riottenere i propri dati o cercare di recuperarli con il suddetto tool è fattibile, ma non prima di aver sporto denuncia alla polizia postale.

Faccio presente che non tutti hanno riottenuto i dati dopo aver effettuato il pagamento, per tanto non mi sento di consigliarlo.

NOTA BENE; Potete cercare di recuperare i dati con il tool, ma in questi casi la buona norma vuole che Non si cerchi mai di salvare il salvabile su chiavetta, molto probabilmente infettereste il pc che la riceve vanificando il ripristino. Lascerei perdere il "forse qualcosa lo salvo"
Per il tool io preferisco installare l'hardisk su di un pc "vergine" come hd secondario, avviare in modalità provvisoria ed effettuare tutte le varie operazioni. Al termine riformattare entrambi gli hd del pc di appoggio prima di rimontare l'hard disk sul pc originario.

Personalmente su pc lavorativi ricordo che è fondamentale effettuare backup regolari, senza offendere nessuno ma chi non li fa in questo tempo ove si stima che il 75% di traffico dati è spam o virus può biasimare solo se stesso.

Soluzione consigliata a livello generale: Mettersi il cuore in pace per i dati persi, verificare le restrizioni del firewall del router (consiglio un aggiornamento del firmware del router ogni volta che si hanno infezioni potenti, meglio evitare di mantenere delle backdoor aperte), formattare e reinstallare tutto possibilmente con internet scollegato sino ad installazione avvenuta dell'antivirus.

Is My Honest Opinion
ma secondo te qui http://www.ilfattoquotidiano.it/2015...rarli/1704915/
e qui https://bitbucket.org/jadacyrus/rans...removalkit/src c'è qualcosa che posso provare ad usare?
e come si usa?

Su consiglio di amici, io ho il backup automatico su hd secondario interno, e tutte le cartelle foto video documenti archivio pwd e dati di accesso salvati in hd esterno.

Tutte le volte che ho strinato un hd è finita che invece che il backup ho poi rifatto da capo per avere più ordine e meno cavolate.

Certo non ho mai rifatto tutto a così breve termine come kimiko

Molta confusione quando si parla di backup. Classico.

Innanzi tutto il link è questo: https://bitbucket.org/jadacyrus/ransomwareremovalkit/get/1b5b95ca4d69.zip
Quello che hai postato riguarda i codici sorgenti.

Lo stesso creatore del kit specifica molte delle cose già accennate: Rilevare quale versione di rasomware avete, scollegare il pc dalla rete, effettuare una copia ghost del disco prima di provare a recuperarlo e solo allora tentare la decriptazione. Consiglia inoltre di effettuare un ripristino ad un vecchio "punto di ripristino" appena riusciti a decriptare.

Puoi tentare? Certamente.
Può riuscire (soprattutto a non portarti dietro l'infezione) un utente medio con poche nozioni di crittografia? Dubito fortemente.
Però tentar non scuoce voglio dire. Se i dati son importanti provaci.


Ora chiariamo subito alcune cose:
1) Un disco secondario non è un backup, tutt'altro, si utilizza per separare il buffer dei programmi dal buffer del sistema operativo, questo velocizza di molto il lancio delle applicazioni. Lo stesso motivo per cui non si metteva mai Cdrom e Hard Disk sullo stesso cavo ide

2) Un raid non è un backup. Anche se in effetti il raid1 crea una copia del disco su un clone secondario, in realtà non è un backup ma un supporto temporaneo a guasti meccanici. Nasce quindi per garantire l'attività anche in caso di danneggiamento del disco...il disco primario vuole però immediatamente sostituito.
Nota dell'esperto: non montate mai 2 dischi identici con progressivi consecutivi in raid, i dischi durano x ore e quando salta il primo sarebbe molto probabile veder saltare il secondo. Il mio trucco è montare, installare ecc... poi rimuovere il disco secondario per un periodo di circa 2 settimane.

3) Un backup ha senso se incrementale e differenziato, quindi si fa un primo backup complessivo (periodicità lunga) e poi si effettueranno backup dei soli elementi modificati da allora (periodicità breve), questo ridurrà di molto il tempo di salvataggio e lo spazio necessario.

4) Un backup non è un disaster recovery, quest'ultimo è sempre un backup ma studiato nel caso di danni gravi. Ad esempio come disaster recovery per piccole aziende si potrebbe estrarre il disco secondario del raid 1 e portarlo in un altra sede (consiglio cassetta di sicurezza in banca) per poi montar un disco nuovo al suo posto. Si avranno salvati tutti i dati anche in caso di trombe d'aria, incendio o qualsiasi voglia motivo.
Un azienda seria dovrebbe sempre avere un piano di backup ed uno di disaster recovery.

5) Ogni tanto il supporto di backup deve essere verificato e nel caso sostituito prima che possa presentare malfunzionamento. Se utilizzate un Hard Disk un metodo molto semplice è fare un analisi con Smart, visualizzando il numero delle ore di operatività, se si avvicinano all'85% delle ore massime dichiarate dal costruttore effettuate la sostituzione. Non c'è nulla di peggio che scoprire che il backup è illeggibile.

Spero di aver dato qualche informazione utile e chiarito un minimo ai profani.

Ciao

merd.a....non avevo masterizzato l'ultima serie di csi :evil:

ma come lo riconosco il mio ospite che non ho avuto nessuna schermata di blocco o riconducibile alle schermate che mettono come esempio?
non è stata aperta nessun allegato di posta elettronica, ripeto, è comparso solo l'avviso di avg che aveva trovato due trojan e nulla di più, non blocco internet o browser o pc...... fatto scansioni con tutto quel che ho trovato in tema di cryptolocker ma nulla, symantec avg defender bitdefender e tutti gli altri tool per la rimozione non rilevano nulla :roll:

Vabbè dai ora che ho fatto la ramanzina (scusa ma era d'obbligo, in Italia il backup è uno sconosciuto) ti aiuto un po'.... ;-)

Nota 1: mai installare e far girare più di un antivirus alla volta, spesso si ottiene semplicemente che vadano in conflitto non rilevando nulla o quasi. Rimuovi tutti gli antispyware che hai che potrebbero causare falsi positivi e lascia solo avg (personalmente tra i gratuiti trovo avast decisamente migliore).

Nota 2: prima di recuperare i file è necessario essere sicuri che il pc sia pulito e che i file siano effettivamente recuperabili, per questo dovremo rimuovere avg, installare un antivirus eccellente (Karpesky, nod32 o simili han tutti le proprie versioni di prova utili in questi casi) lanciamo una scansione completa. Poi installiamo l'anti malmware/spyware e anche qui lanciamo una scansione completa.

Nota 3: Karpesky ha sviluppato il tool per la rimozione di questa tipologia di virus https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe
https://noransom.kaspersky.com/static/convault-decrypt-manual.pdf

Pagina karpesky che verifica l'infezione: https://noransom.kaspersky.com/?utm_source=KD&utm_medium=text&utm_campaign=kd-com

Programma per verificare l'integrità dei file che sono crittografati : http://omnispear.com/cryptolocker-scan-tool/

Programma antispyware https://it.malwarebytes.org/mwb-download/

Programma di pulizia registi da far girare alla fine : https://www.piriform.com/ccleaner/download

Finito tutto disinstalla tutti i software di supporto e reinstalla l'antivirus che preferisci e dovresti essere a posto anche se sarebbe meglio formattare.


Riferimento al sito con tutte le informazioni di Karpesky: https://blog.kaspersky.com/coinvault-ransomware-removal-instruction/8363/

Inviato dal [emoji298]️ThunderPhone[emoji298]️

no, non ci siamo, per esempio https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe che valori metto? ho provato a mettere a single file un file criptato mi dice che non è valido, e non ho nessun altro dei valori richiesto


qui https://noransom.kaspersky.com/?utm_source=KD&utm_medium=text&utm_campaign=kd-com enter your data here....ma quale data?????? non ho nulla niente di niente di quanto descrivono in rete, tra l'altro l'estensione aggiunta .off non l'ha mai avuta nessuno

Scusa kimiko non è che puoi postare un paio di screenshot del tuo pc?

il mio pc funziona bene, non ha problemi, cosa vuoi vedere di preciso?

Le istruzioni sono nel pdf che ti ho girato nel post precedente:
https://noransom.kaspersky.com/static/convault-decrypt-manual.pdf

Ti chiede il codice in basso nella schermata che ti chiede di pagare.

Queste si riferiscono al CoinVault. Come ti spiegavo per l'utente medio è molto difficile. Ogni giorno escono versioni differenti leggermente modificate e non è facile identificarle da dietro ad un monitor.

Occhio che magari solo alcuni file sono recuperabili, per tanto potresti doverne provare molti.

Ha ragione anche topo, il minimo per aiutarti è qualche screenshot; almeno della schermata che ti chiede il pagamento, della cartella C:\, dell'area di notifica e dell'elenco dei processi dal task manager.

Mi fa un po' strano che tu dica che un pc, affetto da uno dei peggiori virus degli ultimi anni, con buona parte dei dati criptati .... funziona bene :roll:... beh... utilizzalo così :mrgreen:

PS: Per mac stanno nascendo svariati trojan. Tra l'altro tutti i giochini e applicativi tramite browser permettono molte più attività di quanto dovrebbero.
Quindi? Quindi un utente mac (ovviamente senza antivirus perché "tanto non li prende") potrebbe essere molto più infetto di alcuni pc Windows con un antivirus serio.
Vero, un trojan non è un virus che blocca il pc o ci cripta i dati o altro... potrebbe però inviare le ns. password e tutti i ns dati a terzi. Non so voi ma mi sembra molto più pericoloso in quest'era di internet banking e simili.

Aggiungo che applicazioni come DropBox o le suite Google nel contratto a cui si preme "Accetto" che mai nessuno legge, spiegano che sfrutteranno tutti dati cloud per effettuare ricerche di mercato e analisi dei dati. Una bella violazione della privacy a cui pochi fan caso.

Lo stesso Apple alla pari di Microsoft sfrutta back door per monitorare l'utilizzo dei software per "indagini di mercato".

O si vuol parlare di Skype che si è scoperto che (anche su sistemi Mac, unix e Linux) riesce ad integrarsi a livello kernel bypassando molte security e creando backdoor a piacimento.

Il problema "Windows non è sicuro" resta come sempre un bello slogan... tuttavia lo si demonizza un po' troppo tralasciando tutto il resto.

Ti chiede il codice in basso nella schermata che ti chiede di pagare.

non c'è nessuna schermata, c'è un file di testo con le istruzioni


almeno della schermata che ti chiede il pagamento

non è una schermata, come dicevo sopra han creato in ogni cartella del pc un file di testo con le istruzioni e un altro file con estensione key che non sò cosa sia


Mi fa un po' strano che tu dica che un pc, affetto da uno dei peggiori virus degli ultimi anni, con buona parte dei dati criptati .... funziona bene ... beh... utilizzalo così


"eppur si muove" non sò che dirti, stò aspettando a reinstallare proprio per questo, non ho disco di installazione, posso solo ripristinare con le istruzioni acer allo stato iniziale, che non credo sia lo stesso che fare una formattazione completa

stasera posso farvi gli screen che volete, ditemi cosa volete visionare.

ribadisco IL TUTTO NON PROVIENE DALL'APERTURA DI UN LINK O DA UNA EMAIL
stava (mia moglie) visionando facebook e scambiando fotografie con parenti all'estero, in un momento in cui non stava facendo nulla è comparsa la schermata di avg del rilevamento di due trojan e lai ha smesso di usare il pc, alla sera ho guardato l'avviso dell'antivirus, chiuso la schermata e quando ha ripreso a usare il pc si è accorta che non poteva più aprire le foto, questa la dinamica

che poi che ******* di haker sono che stanno perdendo tempo a fornirmi istruzioni via un programmino peer to peer che stasera ti do uil nome da 4 giorni.....e continuo a fare il tonto travisando quel che mi dicono, in italiano e si sbattono loro a fare la traduzione????:shock:

Beh, non avrai la schermata ma almeno potresti postare il contenuto del file con le istruzioni e il contenuto del file .key (aprilo con notepad)

Il .key è la tua chiave pubblica che identifica la criptazione. Per decriptare serve la chiave privata ed è quella che questi tool dovrebbero riuscire a calcolare data la chiave pubblica.

come dicevo... per un utente medio se parliamo di crittografia è difficile anche solo capire i passaggi base in genere.


La formattazione ai dati di fabbrica se fatta all'avvio del bios tramite i pulsanti funzione (mi sembra F6 0 F8) va a riformattare completamente l'hard disk e ci installa la versione di Windows originaria con i driver e i software base del produttore.
Va benissimo per una formattazione veloce ed indolore in quanto ti evita cd e ricerca dei driver.

Insomma, uno screen di cosa non funziona :) qualcun altro ne sa più di me ma non ci sto capendo più cosa ti è successo. Ma se scarichi una foto nuova te la cripta?

Insomma, uno screen di cosa non funziona :) qualcun altro ne sa più di me ma non ci sto capendo più cosa ti è successo. Ma se scarichi una foto nuova te la cripta?

funziona tutto, e le nuove foto non le cripta
ieri sera l'ho pure maltrattato sostituendo i tutti i file del registro di sistema con una versione vecchia di due anni...ovviamente è andato in tilt :lol: ma alla riaccensione ha fatto un ripristino all'avvio e si è pure ripreso

Questo è il programmino con cui mi contattano http://images.tapatalk-cdn.com/15/09/24/c7f83041064df3cffe3e9029b65bdb0b.jpg

Questo è il programmino con cui mi contattano http://images.tapatalk-cdn.com/15/09/24/c7f83041064df3cffe3e9029b65bdb0b.jpg
Si chiama bitmessanger, notate l'alto tenore tecnologico della conversazione?

Ok se usi i tool che ti ho dato riesci a recuperare tutto teoricamente. E' proprio bitcoin.

Evita di usare e rispondere al programma, non ti risponde una persona reale ma il virus automaticamente.

Devi cercare di rimuoverlo tramite un antivirus potente prima di poter pensare alla decriptazione.

Potresti provare con il cd di Panda Cloud Security, è gratuito ed effettua una scansione e riparazione direttamente da cdrom, senza avviare il sistema operativo.

Ok se usi i tool che ti ho dato riesci a recuperare tutto teoricamente. E' proprio bitcoin.

Evita di usare e rispondere al programma, non ti risponde una persona reale ma il virus automaticamente.

Devi cercare di rimuoverlo tramite un antivirus potente prima di poter pensare alla decriptazione.

Potresti provare con il cd di Panda Cloud Security, è gratuito ed effettua una scansione e riparazione direttamente da cdrom, senza avviare il sistema operativo.

Dove si prende sto cd?


Sent from my iPhone using Tapatalk

ooo io son de coccio ma non ho capito:oops:
1) quali tool? non me ne funziona uno...
2) cosa recupero? il sistema o i file criptati? il sistema va già....:oops:

Ma non è che alla fine devi pagare
Unsanpei ? :mrgreen:

Inviato dal mio GT-I9505 utilizzando Tapatalk

http://acs.pandasoftware.com/pandacloudcleaner/rescuedisk/PandaCloudCleanerFull.iso

Ecco il link dei tool enterprise di panda (evita la versione installabile che è buggata, usa l'immagine cd che è più sicura):
http://www.pandasecurity.com/italy/enterprise/support/tools.htm

in azienda abbiamo beccato Cryptolocker (o come diavolo si chiama) , grazie ad una disattenzione di un collega che ha aperto una mail di TNT Traco.
Noi lavoriamo in Terminal Server e ci ha criptato tutti e dico tutti i file pdf , exc e word . Non potevamo più fare nulla , appariva un messaggio in txt che ci chiedeva di pagare.
E' uscito il tecnico di fiducia e ci ha spiegato cosa fosse e come lo abbiamo preso. Questo Cryptolocker si istalla per 10-15 minuti , cripta quello che deve e poi si auto-disistalla. Così mi è stato spiegato.

Ci siamo salvati grazie al backup giornaliero , indi per cui abbiamo "bruciato" solo una giornata di dati.

Capiamoci, ne esistono varie versioni e si comportano tutte in modo differente e non voglio criticare l'enunciato di colleghi senza cognizione dei fatti, però qualcosa stride in ciò che hai detto.

Cryptolocker tendenzialmente sfrutta una backdoor per entrar nel pc (spesso tramite javascript di pagine web o exploit di qualche programma tipo Outlook o internet explorer), da li effettua una criptazione Aes dei dati di tutte le unità interne e di rete collegate ma assolutamente non si disinstalla automaticamente.
In realtà resta silente all'interno di alcuni file criptati per permettere di mantenere attiva una backdoor secondaria.

Tant'è che al ns. amico Kimko il virus continuava a modificare il file txt delle istruzioni ogni volta che tentava di modificarlo o eliminarlo inserendo frasi precotte.

Tuttavia alcuni antivirus riescono a rilevare e rimuovere la minaccia, ma non ad impedire la crittografia dei dati. Per questo probabilmente da voi si è "disinstallato", probabilmente l'antivirus ha impedito al virus di infettare i file durante la crittografia.

Comunque è un modo particolare e di difficile decifrazione anche per gli esperti, non esiste una verità assoluta.

Vabbè dai ora che ho fatto la ramanzina (scusa ma era d'obbligo, in Italia il backup è uno sconosciuto) ti aiuto un po'.... ;-)

Nota 1: mai installare e far girare più di un antivirus alla volta, spesso si ottiene semplicemente che vadano in conflitto non rilevando nulla o quasi. Rimuovi tutti gli antispyware che hai che potrebbero causare falsi positivi e lascia solo avg (personalmente tra i gratuiti trovo avast decisamente migliore).

Nota 2: prima di recuperare i file è necessario essere sicuri che il pc sia pulito e che i file siano effettivamente recuperabili, per questo dovremo rimuovere avg, installare un antivirus eccellente (Karpesky, nod32 o simili han tutti le proprie versioni di prova utili in questi casi) lanciamo una scansione completa. Poi installiamo l'anti malmware/spyware e anche qui lanciamo una scansione completa.

Nota 3: Karpesky ha sviluppato il tool per la rimozione di questa tipologia di virus https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe
https://noransom.kaspersky.com/static/convault-decrypt-manual.pdf

Pagina karpesky che verifica l'infezione: https://noransom.kaspersky.com/?utm_source=KD&utm_medium=text&utm_campaign=kd-com

Programma per verificare l'integrità dei file che sono crittografati : http://omnispear.com/cryptolocker-scan-tool/

Programma antispyware https://it.malwarebytes.org/mwb-download/

Programma di pulizia registi da far girare alla fine : https://www.piriform.com/ccleaner/download

Finito tutto disinstalla tutti i software di supporto e reinstalla l'antivirus che preferisci e dovresti essere a posto anche se sarebbe meglio formattare.


Riferimento al sito con tutte le informazioni di Karpesky: https://blog.kaspersky.com/coinvault-ransomware-removal-instruction/8363/

tra questi c'è un programma per tentare di sistemare i file criptati?