Precedente :: Successivo |
Autore |
Messaggio |
niklair Dio maturo
Registrato: 31/10/03 10:38 Messaggi: 2289 Residenza: Piu' a nord della dea della grafica
|
Inviato: 26 Feb 2015 12:27 Oggetto: Cryptolocker - l'ultimo |
|
|
Ola,
sono alle prese con CryptoLocker ... per ora sono riuscito a limitare i danni ma, visto che sono piuttosto tenace pure io, stavo cercando qualche soluzione per decrittare i file ...
ho letto questo (lo cito da un'altra news):
"Il ransomware CTB-Locker, inoltre, ed è proprio su quest'aspetto che si sta concrentando l'analisi di XXX, offre una funzionalità freemium. Il ransomware dà cioè la possibilità di decodificare 5 file criptati, con il preciso obiettivo di mostrare all'utente che è in grado di farlo.
Se il ransomware può decodificare i file senza scaricare la chiave privata dal server, allora probabilmente significa che la chiave RSA privata è ancora in locale da qualche parte. Infine, CTB-Locker - conclude Giuliani - non si appoggia alle librerie CryptoAPI di Windows ma include nel proprio codice OpenSSL."
... mi pare mooolto interessante, qualcuno ne sa nulla?? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 26 Feb 2015 17:58 Oggetto: |
|
|
Ciao niklair.
Citazione: | allora probabilmente significa che la chiave RSA privata è ancora in locale da qualche parte. |
Non sò che variante hai preso, ma le precedenti non funzionavano così.
Di solito, la chiave si trova in un server, (come hai citato) che ti verrà spedita dopo il riscatto richiesto.
E' possibile che ti sia rilasciata una chiave per decriptare 5 file, ma di sicuro non tutti.
Gli altri file, devono avere un'altra chiave, altrimenti sarebbe troppo comodo.
Comunque, se usi un S.O superiore a XP, puoi provare con Shadow Explorer (se non lo hai già fatto)
Scarica Shadow Explorer sul desktop:
link
Avvia il programma e ti compare una finestra con tutte le cartelle del S.O.
In alto a sinistra trovi C: e poi una data .
La data deve essere antecedente a quando hai avuto l'infezione.
C'è un menù a tendina, per trovare le date antecedenti all'infazione.
Cerca la cartella dove risiedono i file che ti interessano,e con un doppio clic aprila.
Vedi se al suo interno, trovi i file originali, che NON sono stati criptati dal virus.
Se i file NON sono criptati, puoi esportare l'intera cartella sul desktop cliccando sulla cartella con il tasto destro e clicca "Export".
Ti chiederà dove vuoi esportarla, e potrai esportarla dove vuoi. (per comodità puoi esportarla sul desktop per il momento.)
Chiudi tutto, e dovresti vederla sul desktop.
P.S:
Il virus lo hai eliminato? |
|
Top |
|
|
niklair Dio maturo
Registrato: 31/10/03 10:38 Messaggi: 2289 Residenza: Piu' a nord della dea della grafica
|
Inviato: 27 Feb 2015 09:57 Oggetto: |
|
|
.. grazie della risposta ... ero convinto che gli algoritmi RSA potessero avere soltanto una coppia di chiavi ... e quindi che la chiave privata fosse unica, ma so talmente poco di 'ste cose
Ti ringrazio della dritta, in realtà il virus ha fatto pochi danni perchè ha attaccato un pc usato soltanto per cose marginali e chi l'ha preso (my wife) ha avuto il riflesso di spegnerlo subito ... e siccome io sono per gli interventi forti ho estratto l'hdd e lo ho attaccato come disco esterno al mio Mac ... ho già scaricato tutti i file che mi interessavano (era riuscito a criptare soltanto una decina di mega di file).
Il virus non l'ho cancellato perchè non ho ancora avuto il tempo di provarci, mi interessava di più avere copia dei file che mi servivano |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 27 Feb 2015 18:26 Oggetto: |
|
|
Ciao.
Citazione: | ero convinto che gli algoritmi RSA potessero avere soltanto una coppia di chiavi ... |
E hai ancora ragione.....
La doppia chiave, è stata creata SOLO per i 5 file, proprio per farti vedere, che se pagavi, loro erano in grado di decrittare anche gli altri file.
Ovviamente con un'altra doppia chiave RSA.
Citazione: | Il virus non l'ho cancellato perchè non ho ancora avuto il tempo di provarci, |
Se ti serve una mano sai dove trovarmi.
Ciao. |
|
Top |
|
|
niklair Dio maturo
Registrato: 31/10/03 10:38 Messaggi: 2289 Residenza: Piu' a nord della dea della grafica
|
Inviato: 02 Mar 2015 17:32 Oggetto: |
|
|
|
|
Top |
|
|
ottoboni Comune mortale
Registrato: 05/03/15 13:35 Messaggi: 1
|
Inviato: 05 Mar 2015 14:07 Oggetto: |
|
|
Anche un mio amico ha preso il virus. Ha cliccato sulla mail di sda (fenomeno!!)
Ora il virus non c'è più ma si è ritrovato con tutti i file e le cartelle del desktop criptate con estensione .encrypted.
E' una settimana che ci smanetto ma non sono riuscito a decriptare i file.
Con Shadow copy anche li niente. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 05 Mar 2015 17:44 Oggetto: |
|
|
Ciao ottoboni, e benvenuto.
Citazione: | E' una settimana che ci smanetto ma non sono riuscito a decriptare i file. |
Purtroppo non esiste attualmente un qualcosa, che risolve il problema.
L'unica via, è la prevenzione. ( fare i backup dei dati, e salvarli da qualche parte)
Il virus non è difficile da eliminare, ma il suo vero scopo sono i dati.
E lì, lo scopo, lo raggiunge sempre.
Puoi provare su questo sito:
link
Che permette di decifrare i file cifrati dal virus gratuitamente.
Citazione: | inserire un indirizzo email valido e caricare un file cifrato da Cryptolocker;
il servizio restituisce una email che contiene: una chiave di decodifica; un link per scaricare il programma decryptolocker.exe.
Una volta scaricato il programma, occorre digitare sul prompt dei comandi:
Decryptolocker.exe – key “< key >” < nome_file_cifrato > |
Non aspettarti il miracolo, ma tentar non nuoce. |
|
Top |
|
|
antonyf430 Comune mortale
Registrato: 04/02/16 11:14 Messaggi: 1 Residenza: bari
|
Inviato: 04 Feb 2016 11:38 Oggetto: |
|
|
ciao r16
sono stato colpito dal virus cryptoloker, mi ha codificato parecchi file, tra i quali file di disegni 3d
sarebbe proprio impossibile recuperarli? sono lavori che ho in esecuzione, spero di non essere spacciato.
ho gia scaricato shadow Explorer, ma nella tendina della data non appare una data precedente all' attacco del visrus.
ti ringrazio anticipatamente |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 04 Feb 2016 17:29 Oggetto: |
|
|
Ciao.
Se vuoi, mandami 2 o 3 file criptati, in un Messaggio privato.
Vedo se si può fare qualcosa.
Poi fai questa scansione:
Scarica FRST sul desktop: (è obligatorio)
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
link
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt) |
|
Top |
|
|
Piodella Comune mortale
Registrato: 08/02/16 12:13 Messaggi: 1
|
Inviato: 08 Feb 2016 12:21 Oggetto: |
|
|
niklair ha scritto: | Ola,
sono alle prese con CryptoLocker ... per ora sono riuscito a limitare i danni ma, visto che sono piuttosto tenace pure io, stavo cercando qualche soluzione per decrittare i file ...
ho letto questo (lo cito da un'altra news):
"Il ransomware CTB-Locker, inoltre, ed è proprio su quest'aspetto che si sta concrentando l'analisi di XXX, offre una funzionalità freemium. Il ransomware dà cioè la possibilità di decodificare 5 file criptati, con il preciso obiettivo di mostrare all'utente che è in grado di farlo.
Se il ransomware può decodificare i file senza scaricare la chiave privata dal server, allora probabilmente significa che la chiave RSA privata è ancora in locale da qualche parte. Infine, CTB-Locker - conclude Giuliani - non si appoggia alle librerie CryptoAPI di Windows ma include nel proprio codice OpenSSL."
... mi pare mooolto interessante, qualcuno ne sa nulla?? |
Ciao!
Sì, molto interessante!
ma si parla di virus cui, per favore:link
o il
link |
|
Top |
|
|
|