HELP decriptare i dati rapiti da CTB-Loker

Pagina 1 di 3 1 2 3 ultimo
Visualizzazione dei risultati da 1 a 10 su 26
  1. #1
    bit
    Registrato
    Aug 2014
    Età
    64
    Messaggi
    15

    Unhappy HELP decriptare i dati rapiti da CTB-Loker

    non so proppio come procedere
    ho eliminato il virus CTB-Loker con Combofix MalwareBytes Ccleaner iobit

    ma al riavvio del pc i dati erano tutti gia criptati
    come posso recuperarli

    in pochi secondi ha criptato anche hdd esterno che conteneva i bacup giornalieri



    CryptoDefense Virus è un’infezione ransomware che intende rubare più soldi possibili agli utenti spaventati. Secondo vari resoconti, CryptoDefence Virus è apparso per la prima volta a Febbraio 2014 e da allora ha infettato oltre 20.000 computer in più di 100 paesi. Come risultato, i criminali alle spalle di quest’infezione sono riusciti a raccogliere oltre $34.000 sotto forma di multe. Se sei stato infettato da CryptoDefence Virus, non valutare nemmeno di pagare la multa, perché pagando non eliminerai CryptoDefence Virus. Devi rimuovere CryptoDefence Virus dal tuo computer e poi investire in uno strumento antimalware affidabile che protegga il tuo sistema da simili infezioni.

    A causa del suo comportamento, CryptoDefence Virus sembra essere collegato a CryptoLocker Virus, anche noto come un’applicazione ransomware odiosa. Sembra, tuttavia, esserci una forte differenza tra i due programmi. CryptoLocker Virus ti blocca fuori dal tuo computer e cripta i tuoi file. A meno che tu non ottenga una chiave privata dopo aver pagato il riscatto, non puoi ripristinare i tuoi file (specialmente se non hai mai impostato un punto di ripristino di sistema prima d’ora). La situazione con CryptoDefence Virus è leggermente diversa.

    Quando CryptoDefence Virus entra nel tuo computer e blocca il tuo accesso ai file, quest’infezione ti chiede anche di pagare $500 o E500 sotto forma di bitcoin per poter decriptare i tuoi file. Tecnicamente la chiave privata che ti permette di decriptare i file dovrebbe trovarsi sul server dell’infezione, ma CryptoDefence Virus fa l’errore di lasciare la chiave privata sul computer infetto. Dopo aver rimosso CryptoDefence Virus dal sistema puoi , quindi, decriptare tu stesso tutti i file colpiti.

    È necessario cancellare CryptoDefence Virus prima possibile e poi evitare simili infezioni in futuro. Per evitare che i ransomware entrino nel tuo sistema, devi astenerti dall’aprire email spam e messaggi di social engineering. Per esempio, CryptoDefence Virus è distribuito tramite allegati a email spam. Email spam che portano CryptoDefence Virus sono spesso inviati da luoghi diversi e diversi indirizzi IP, in modo che sia difficile determinare il colpevole alle spalle di questa truffa.

    Una volta eseguita la truffa, vedrai apparire un pop-up che t’informa che i tuoi file sono stati criptati:

    Quote

    Your files are encrypted.
    To get the key to decrypt files you have to pay 500 USD/EUR. If payment is not made before [date] the cost of decrypting files will increase 2 times will be 1000 USD/EUR.
    We are present a special software – CryptoDefense Decrypter – which is allow to decrypt and return control to all your encrypted files.

    Fortunatamente CryptoDefence Virus non blocca l’accesso al tuo desktop o a Internet. Puoi, quindi, scaricare uno strumento antimalware affidabile e terminare l’infezione automaticamente senza difficoltà. Eseguire una scansione del sistema con uno scanner antimalware potente ti aiuterà anche a determinare se ci sono altre infezioni sul PC.
    Icone allegate Icone allegate Clicca sull'immagine per ingrandirla

Nome:   Immagine.jpg
Visite: 219
Dimensione:   153.9 KB
ID: 16091  

  2. #2
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,415
    configurazione

    Predefinito

    In giro c'erano due tipologie principali di queste infezioni (al di là dei nomi utilizzati che possono variare in diverse sfumature): I veri crypto virus ed i fake che, sfruttando la fama dei primi, si facevano pagare i riscatti senza aver fatto assolutamente nulla sul pc dell'utente se non qualche scenetta appariscente.

    Se la tua infezione è del secondo tipo, prova semplicemente ad aprire i files presunti criptati e vedi se invece sono normalmente funzionanti.

    Se invece ti sei preso una infezione del primo tipo, purtroppo non c'è modo di decriptare i files se non pagando il riscatto richiesto. La tecnologia utilizzata per cifrare i file è una delle più forti attualmente disponibili sul mercato quindi non è probabile riuscire a fare un decrypt a meno che non abbiano davvero lasciato la chiave privata da qualche parte sul tuo pc.
    Tempo fà Totocellux ha postato un link ad un sito che permetteva di tentare un decrypt per un utente che ha avuto un problema simile ma temo che non abbia dato esito positivo perchè non c'è più stato riscontro in merito.

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  3. #3
    bit
    Registrato
    Aug 2014
    Età
    64
    Messaggi
    15

    Predefinito

    Originariamente inviato da frakka
    In giro c'erano due tipologie principali di queste infezioni (al di là dei nomi utilizzati che possono variare in diverse sfumature): I veri crypto virus ed i fake che, sfruttando la fama dei primi, si facevano pagare i riscatti senza aver fatto assolutamente nulla sul pc dell'utente se non qualche scenetta appariscente.

    Se la tua infezione è del secondo tipo, prova semplicemente ad aprire i files presunti criptati e vedi se invece sono normalmente funzionanti.

    Se invece ti sei preso una infezione del primo tipo, purtroppo non c'è modo di decriptare i files se non pagando il riscatto richiesto. La tecnologia utilizzata per cifrare i file è una delle più forti attualmente disponibili sul mercato quindi non è probabile riuscire a fare un decrypt a meno che non abbiano davvero lasciato la chiave privata da qualche parte sul tuo pc.
    Tempo fà Totocellux ha postato un link ad un sito che permetteva di tentare un decrypt per un utente che ha avuto un problema simile ma temo che non abbia dato esito positivo perchè non c'è più stato riscontro in merito.
    come riconosco e dove posso cercare il file contenente la chiave ?

  4. #4
    bit
    Registrato
    Aug 2014
    Età
    64
    Messaggi
    15

    Predefinito

    dove posso trovare le eventuali copie Shadow ?

  5. #5
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,415
    configurazione

    Predefinito

    Le copie shadow le raggiungi cliccando sul file con il tasto destro -> Proprietà e cercando nella label "Versioni precedenti" ma non credo funzioni... A tutti gli effetti, l'archivio cifrato è un nuovo file, quella originale è stato cancellato. Non credo sia possibile utilizzare la copia shadow per tentare di recuperarlo. Forse usando una utility per il recupero di files cancellati ma non ci spererei...

    Vedi se qui c'è qualcosa che ti può essere d'aiuto:
    Digital Forensics Today Blog: Examining Volume Shadow Copies ? The Easy Way!
    A simple way to access Shadow Copies in Vista - Antimail - Site Home - MSDN Blogs


    L'eventuale chiave privata dovrebbe essere contenuta in un normale file di testo che non significa necessariamente ".txt": Il file potrebbe avere qualunque estensione (o anche non averla) ed essere comunque apribile con notepad.

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  6. #6
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,415
    configurazione

    Predefinito

    Il post che hai citato prima, che parla della chiave lasciata sul pc, trova riscontro anche qui:

    How to remove CryptoDefense virus and restore your files

    C'è il link ad una utility che potrebbe decrittare i files se rientri nel caso fortunato di esserti preso una vecchia versione del virus, nelle ultime il bug è stato fixato.
    Altrimenti dicono di provare a ripristinare il sistema ad un precedente punto di ripristino ma mi sembra una cavolata... Non mi risulta che i recovery point salvino anche i dati utente.

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  7. #7
    ●⁞◌ Ȏrȉzzȏntέ Ðέglȋ ȨvέntȊ ◌⁞●
    Registrato
    Aug 2008
    Località
    Palermo
    Messaggi
    2,952

    Predefinito

    stiamo provando un nuovo e diverso approccio alla soluzione di questo problema.

    Appurato che:

    1) forzare il recupero della chiave è con ogni probabilità un compito estremamente
    proibitivo

    2) confidando che il ransomware crei ex-novo i file con un'estensione random
    (univoca per ogni pc colpito) sui quali memorizzare il contenuto crittato, provvedendo
    subito dopo semplicemente a cancellare (velocemente) gli originali

    abbiamo provato a stoppare ogni attività sul sistema infetto, avviando un programma
    di recupero file/partizioni alla ricerca dei nostri files originali credendoli solo, presumibilmente,
    cancellati.

    A questo particolare scopo abbiamo utilizzato, come facciamo di norma, il software GetDataBack.

    Su alcune macchine abbiamo avuto riscontri parzialmente positivi (una buona percentuale di
    documenti recuperati), ma tutto potrebbe dipendere dall'evoluzione del ceppo del ransomware
    utilizzato: purtroppo ne esistono di diversi tipi e non tutti attivano le medesime funzionalità.

    Pertanto bisogna solo investire un po di tempo provando con questa tecnica.

    Soprattutto, ad ogni buon conto, consiglio di copiare prima possibile i file crittati su un supporto
    di memorizzazione esterno. Questo accorgimento potrebbe rivelarsi utile al momento, un domani,
    si possa riuscire in qualche modo a recuperare la chiave privata per poterli nuovamente decrittare.

  8. #8

    Predefinito

    Originariamente inviato da Totocellux
    stiamo provando un nuovo e diverso approccio alla soluzione di questo problema.

    Appurato che:

    1) forzare il recupero della chiave è con ogni probabilità un compito estremamente
    proibitivo

    2) confidando che il ransomware crei ex-novo i file con un'estensione random
    (univoca per ogni pc colpito) sui quali memorizzare il contenuto crittato, provvedendo
    subito dopo semplicemente a cancellare (velocemente) gli originali

    abbiamo provato a stoppare ogni attività sul sistema infetto, avviando un programma
    di recupero file/partizioni alla ricerca dei nostri files originali credendoli solo, presumibilmente,
    cancellati.

    A questo particolare scopo abbiamo utilizzato, come facciamo di norma, il software GetDataBack.

    Su alcune macchine abbiamo avuto riscontri parzialmente positivi (una buona percentuale di
    documenti recuperati), ma tutto potrebbe dipendere dall'evoluzione del ceppo del ransomware
    utilizzato: purtroppo ne esistono di diversi tipi e non tutti attivano le medesime funzionalità.

    Pertanto bisogna solo investire un po di tempo provando con questa tecnica.

    Soprattutto, ad ogni buon conto, consiglio di copiare prima possibile i file crittati su un supporto
    di memorizzazione esterno. Questo accorgimento potrebbe rivelarsi utile al momento, un domani,
    si possa riuscire in qualche modo a recuperare la chiave privata per poterli nuovamente decrittare.
    Ho tentato la scorsa settimana con un disco infetto, utilizzando EnCase, ma con esito negativo. Forse la versione che ha attaccato il disco esaminato non creava files temporanei durante il processo di criptazione dei files.

  9. #9
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,415
    configurazione

    Predefinito

    E' una possibilità... E come diceva Totocellux, i ceppi sono i più svariati.
    Non conosco nei dettagli come opera questo ransomware e per creare un file cifrato ci sono diverse possibilità con diversi effetti sul filesystem (ad esempio creare un archivio criptato contenente un documento ed eliminare l'originale oppure rinominare il file "in place" e sovrascriverlo con il suo contenuto criptato) quindi non è detto che la strada seguita in un caso, sia valida anche per altri.

    Ci sono poi una serie di complicazioni o agevolazioni ulteriori, dipendenti dalla natura del supporto... Una SSD con il trim attivo, ad esempio, potrebbe fare il gioco del ransomware, svuotando le celle di memoria anche se il virus non si era preoccupato di farlo.

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  10. #10
    ●⁞◌ Ȏrȉzzȏntέ Ðέglȋ ȨvέntȊ ◌⁞●
    Registrato
    Aug 2008
    Località
    Palermo
    Messaggi
    2,952

    Predefinito

    Originariamente inviato da Filippo Ciringione
    Ho tentato la scorsa settimana con un disco infetto, utilizzando EnCase, ma con esito negativo. Forse la versione che ha attaccato il disco esaminato non creava files temporanei durante il processo di criptazione dei files.

    benvenuto Fili :-)

    si, come da notizia ricevuta, il kit di partenza del ransomware (che può essere acquistato ad
    una cifra equivalente ~3000$ sulla rete parallela), plausibilmente non prevede una strategia
    estremamente sofisticata, come invece quello più avanzato in mano alle vere menti creatrici.
    Bisognerebbe poter stabilire con quale livello del malware si ha a che fare.

    Alla fin fine, su una macchina con dati rilevanti/sensibili e priva di backup, l'unica alternativa
    percorribile rimane portare subito a termine una raw copy del disco e lavorarci su con
    maggiore tranquillità.



    @frakka

    non so se ci hai già riflettuto su, ma non ritieni che in casi come questo ZFS potrebbe in qualche
    modo tornare utile con gli strumenti messi a disposizione dalla sua natura così sofisticata?
    Ultima modifica di Totocellux : 01-02-2015 a 00:53

Pagina 1 di 3 1 2 3 ultimo

Informazioni Thread

Users Browsing this Thread

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

Regole d'invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
nexthardware.com - © 2002-2022