Olimpo Informatico

[Alek Deckard]

Ciao a tutti, ieri aprendo l'allegato di un email sono stato infettato da CTB locker, sia su un pc con windows 8.1 sia su uno con win 7. Sul pc con win7 credo di aver risolto usando combofix (lo sfondo con la scitta "i tuoi file sono stati criptati da CTB locker" è scomparso), invece per quanto riguarda il notebook con windows 8.1, dato che combofix non è compatibile, come posso fare per liberarmi del virus?

[R16]

Ciao e benvenuto.

[Alek Deckard]

ok, ho fatto la scansione... dei file non mi interessa, non c'era nulla di particolarmente importante.
link
link

[R16]

scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX una sola volta.

Attendi la fine della scansione.
Posta il file fixlog.txt.
Dimmi che problemi riscontri.

[Alek Deckard]

ok, fatto
http://wikisend.com/download/481268/Fixlog.txt
nessun problema, il sistema si è riavviato

[R16]

Ok.
In realtà, probabilmente il virus è stato eliminato con quella serie di software che hai usato.
Lo script che hai eseguito, ha eliminato solo dei rimasugli inutili.
Segui questo percorso ed elimina la cartella FRST:
C:\FRST

fai una pulizia con CCleaner. (registro compreso)
Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.

Se il pc funziona bene abbiamo concluso.

[linuxsun]

Ciao a tutti, mi accodo a questa discussione perche' ritengo che il problema e' lo stesso. Mi ritrovo tutti i file di un server criptati. Ho googolato un po' e' le notizie non sono confortanti ovviamente non ho un backup aggiornato.
Il malware e' stato bloccato e rimosso ma i file sono tutti criptati.
Ho provato con i Tool di Kaspersky ma non funzionano, dispongo di alcuni file originali prima della criptazione.
Sono qui a chiedere conferma sul da fare a qualcuno piu' aggiornato sulla questione.
Ritengo che si tratti di crypto looker o ctb-locker o meglio ancora cryptowall 3.0. Qualcuno e' a conoscenza di notizie in merito

[R16]

Ciao e benvenuto.
Le probabilità di recuperare i file criptati sono quasi nulle.
Se hai eliminato il virus prova a recuperare i file in questo modo: (se hai un S.O superiore a XP)

Scarica Shadow Explorer sul desktop:
link
Avvia il programma e ti compare una finestra con tutte le cartelle del S.O.

In alto a sinistra trovi C: e poi una data .
La data deve essere antecedente a quando hai avuto l'infezione.

Cerca la cartella dove risiedono i file che ti interessano,e con un doppio clic aprila.
Vedi se al suo interno, trovi i file originali, che NON sono stati criptati dal virus.
Se i file NON sono criptati, puoi esportare l'intera cartella sul desktop cliccando sulla cartella con il tasto destro e clicca "Export".
Ti chiederà dove vuoi esportarla, e potrai esportarla dove vuoi. (per comodità puoi esportarla sul desktop per il momento.)
Chiudi tutto, e dovresti vederla sul desktop.

[linuxsun]

Ti ringrazio innanzitutto per la celere risposta. Ho già verificato la presenza delle copie dei file shadow ma la particolarita' di questa nuova versione e' appunto questa la prima operazione che mette in atto e' proprio la rimozione delle copie shadow e la modifica del file di registro di windows bloccando il punto di ripristino.

[R16]

Ciao.
Mi dispiace ma attualmente non esistono rimedi contro questa variante del virus.
Puoi anche pagare il riscatto richiesto, ma non avrai la certezza di riavere i tuoi file.
Per evitare questa piaga, l'unica via è la prevenzione.

[linuxsun]

Grazie. ........... la prevenzione!!!!
leggendo mi e' sembrato di capire che nessuno sta' studiando la nuova versione, in pratica ha una crittografia molto complessa, e non univoca per utente ad esempio se hai due macchine compromesse le chiavi di criptazione non sono le stesse.
Riepilogando dalla mia esperienza (se potra' essere utile ad altri utenti) si puo' dire che:
1- Gli antivirus non rilevano il malware perche' viene costantemente aggiornato
2- In caso di infezione al fine di limitare i danni e' importante spegnere anche repentinamente tutte le macchine eventualmente collegate (la criptazione e' un processo lungo).
3- La rimozione dell'infezione è relativamente semplice.
4- E' necessario proteggersi con sistemi alternativi ad esempio utilizzando policy che non permettano di rinominare i files o che rilevino eccessivo funzionamento degli HD.
5- I backup devono essere conservati su dischi disconnessi fisicamente dai PC
6- Anche se tutti dicono di non pagare nessuno piu' studia il problema.
FARE I BACKUP FARE I BACKUP il 2015 sara' l'anno di questa tipologia di malware.
Vi terro' informati sull'evoluzione. Ciao

[R16]

[linuxsun]

Le quotazioni dei bitcoin stanno risalendo!!!!!!
Ciao

[Morfeo10]

Buonasera a tutti..
oggi a causa di un allegato di un email il virus CTB LOCKER mi ha infettato il pc.. ho cercato un pò in internet una soluzione e devo dire che non ne ho trovate fino a che non sono capitata su questo sito!

Premetto che io e il mondo informatico viviamo su pianeti opposti, voi mi potete dare una mano nel risolvere il problema?
Dei file criptati non mi interessa perchè ho un backup abbastanza recente quindi non mi spaventa perdere documenti.. la mia paura è quella di non riuscire a risolvere il problema e di dover ricorrere ad un centro specializzato (..scelta che vorrei evitare!!

Vi ringrazio in anticipo per il vostro aiuto!

[R16]

Ciao Morfeo10 e benvenuto.

Scarica FRST sul desktop: (è obligatorio)

Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )

link

Avvialo e clicca Esegui.

Sulla finestra che ti compare clicca SI.

Clicca Scan.

Aspetta pazientemente la fine della scansione.

Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

Per postare i log:

Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[Morfeo10]

Intanto ti ringrazio per la tempestività con il quale hai risposto..

FRST.txt
Addition.txt

sono i file ottenuti.. (spero di averli caricati correttamente!)

[R16]

Ciao.
Attenzione: hai scaricato FRST nella cartella "Downloads" e NON sul Desktop come indicato.
scarica questo file sulla cartella Downloads: dove si trova FRST altrimenti il procedimento non funziona.

link

Avvia FRST e clicca su FIX, una sola volta.

Attendi la fine della scansione.
Posta il file fixlog.txt.
Dimmi quali problemi riscontri.

[Morfeo10]

Era ovvio che qualcosa avevo sbagliato! Ma ci si riprova..

Allora ho scaricato FRST sul desktop, ho avviato la scansione la quale mi ha rilasciato due file:

Addition.txt
FRST.txt

Ok?

[R16]