Olimpo Informatico

[estelos]

Salve, da stamani ho un grosso problema, già riportato da altri e relativo ad un messaggio che si apre all'avvio inerente una richiesta di soldi per decriptare i file nel mio computer.

Mi risultano inaccessibili tutti i file excel, word, pdf e le foto.

Ho provato ad utilizzare diverse utility antimalware ma il problema non è risolto (riavviando il sistema riappare il messaggio automatico del decrypter).

Posto di seguito i log rilasciati dalle varie utility.

Grazie anticipatamente a chi potrà e vorrà aiutarmi.

[estelos]

Malwarebyte

malwarebyte log.txt

[R16]

Ciao.
Scarica FRST sul desktop: (è obligatorio)

Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )

link

Avvialo e clicca Esegui.

Sulla finestra che ti compare clicca SI.

Clicca Scan.

Aspetta pazientemente la fine della scansione.

Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

[estelos]

.txt]AdwCleaner[C2].txt

[estelos]

JRT.txt

[estelos]

FRST.txt

Addition.txt

[estelos]

Ciao R16 e grazie per l'aiuto che potrai darmi.

continuo con OTL

OTL.Txt

Extras.Txt

[R16]

Eliminiamo per primo il virus:

scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Per decriptare i file sarà un grosso probleme; anche perchè quella variante è molto recente.
Fammi sapere con quale estensione sono sono criptati i file.

[estelos]

ecco il log.

Fixlog.txt

continua a presentarsi schermata iniziale del malware

[R16]

Elimina il log Fixlog.txt. (solo quello)
Ripeti l'operazione.
Posta il log.

[estelos]

mi dice che non trova il fixlog...

[R16]

Scarica questo file sul desktop.
link
Avvia FRST e clicca su FIX.
Posta il log.

P.S:
Purtoppo devo andare.
Se lo desideri ti riprendo stasera.

Per tentare di recuperare i file criptati:
Scarica Shadow Explorer sul desktop:
link
Avvia il programma e ti compare una finestra con tutte le cartelle del S.O.

In alto a sinistra trovi C: e poi una data .
La data deve essere antecedente a quando hai avuto l'infezione.

Cerca la cartella dove risiedono i file che ti interessano,e con un doppio clic aprila.
Vedi se al suo interno, trovi i file originali, che NON sono stati criptati dal virus.
Se i file NON sono criptati, puoi esportare l'intera cartella sul desktop cliccando sulla cartella con il tasto destro e clicca "Export".
Ti chiederà dove vuoi esportarla, e potrai esportarla dove vuoi. (per comodità puoi esportarla sul desktop per il momento.)
Chiudi tutto, e dovresti vederla sul desktop.

E' un tentativo, molto facilmente il virus avrà eliminato le copie originali che si trovavano nei punti di ripristino.

[estelos]

Fixlog.txt

eccolo scusa mi ero confuso

[R16]

Ti appare ancora il problema all'avvio?
Sopra ho scritto altre indicazioni.
Ci sentiamo stasera, (se puoi e se vuoi)
Ciao.

[estelos]

non mi appare piu.... beh proseguo con le indicazioni che mi hai dato!
grazie davvero!
semmai ci sentiamo piu tardi

[estelos]

purtroppo l'unico punto di ripristino è successivo all'infezione...

[R16]

Hai cliccato sul menù a tendina in alto a sinistra?

[estelos]

Si, ce n'è solo uno di stamattina. non so come mai non ci siano altri punti di ripristino.

Ed il fattaccio è capitato stanotte.

[R16]

[R16]

Dimenticavo:
Puoi tentare anche con Photorec:
link
E' un software che ricerca nel disco rigido i file eliminati per sbaglio.
Se il virus ha eliminato i file originali, e poi li ha sostituiti con quelli criptati, i file originali si trovano ancora nel disco rigido.
Photorec può recuperarli. (con un po di fortuna)