Topic: Cryptolocker virus che crypta l'intero hard disk chiede btc per decrittare (Read 18143 times)

Ma i fondi mandati come primo pagamento sono stati movimentati o sono ancora fermi?

Spiace che sia capitato a voi questa cosa, sarebbe da indagare perchè non risulta una prassi comune.Se ci fornite informazioni utili, come screenshot ed estensioni dei files.
Effettuare il Backup dei dati cryptati è sempre consigliato prima di eseguire il decripting

Hanno sbloccatto...

purtroppo abbiamo dovuto ripagare.. doppio riscatto quindi.
Probabilmente ogni tot cambiano l'indirizzo bitcoin di default e noi abbiamo beccato proprio quella finestra temporale... che fortuna è?!? -.-

Per lomeno ora è risolto..!
Grazie del sostegno!!

I file non si sbloccano da soli, la procedura cambia da virus a virus, ma a grandi linee funziona così:
Leggi il file che il virus lascia ovunque con l'indirizzo bitcoin dove inviare i btc (alcuni virus non lasciano indizzi btc ma solo indirizzi email a cui chiedere anche l'importo da pagare).
Paghi il riscatto
Ricontatti i truffatori inviando la txid del pagamento
I truffatori se sono truffatori "onesti" inviano la chiave di decodifica e un tool per decriptare i file (il tool non è fondamentale ma di norma gradito)
Può succedere che se il virus è datato i truffatori smettono di rispondere, e chi se lo prende lo ha nello stoppino.

Ah ma se non rispondono non vuol poi dire niente.. possono essere ancora attivi lo stesso.


Ma secondo voi come può essere cambiato l'indirizzo btc a cui inviare il riscatto? avete altre "testimonianze"??
Da quel che avevo sentito e letto in giro di solito quando si paga poi i file vengono decriptati.. già mi scoccia dover dargli quei soldi.. se in più non li sbloccano mi si chiude un po' la vena...!

io dico sempre di non pagare anche perchè magari avete beccato un cryptolocker vecchio, e chi vi ha ricattati magari è morto o in galera. dovevate mandare una mail prima di pagare, per vedere se era ancora attiva

Back up no..

c'è una mail a cui abbiamo scritto stà mattina dicendo che avevamo già mandato il pagamento.
ora provo a riscrivere includendo l'ID della transazione.


Né la mail né l'allegato sono stati riaperti.


Può essere che abbiano modificato l'indirizzo?

mmmmm avete fatto backup prima di pagare? avete possibilità di contattare tramite chat l'hacker?
fai queste verifiche.
Potrebbe essere stato rilanciato il cryptolocker- aprendo la stessa mail - ?

Di solito si devono contattare i malfattori con la tx id della transazione e a quel punto ti danno chiave di decodifica e a volte tool per decriptare i file.
purtroppo non sempre collaborano. Spero per il tuo amico che riesca a risolvere.

Ciao a tutti!

Ho un amico che si è imbattuto nel crypto locker.. purtroppo gli ha fregato anche il back up visto che aveva l'hd di back up collegato.
Essendo un pc con parecchi documenti di lavoro e quindi abbastanza indispensabili ha deciso di pagare.

Ho mandato il mezzo btc richiesto all'indirizzo che gli appariva sul computer ieri sera.
La transazione è stata confermata però il pc non è stato sbloccato e continua ad apparire la stessa schermata con un nuovo indirizzo bitcoin.

Non so come agisce il virus nel dettaglio ne tanto meno come funziona una volta pagato.
Ma è normale faccia così?



Grazie!

la versione online del corriere oggi ne parla nella rubrica tecnologia

http://www.corriere.it/tecnologia/provati-per-voi/cards/ransomware-virus-che-rapisce-pc-chiede-riscatto-ora-anche-mac/teslacrypt-30-colpisce-aziende-italiane_principale.shtml

Segnalo ransomware che colpisce OSX: http://securityaffairs.co/wordpress/45101/cyber-crime/keranger-mac-os-x-ransomware.html

io non capisco molto di virus e malware, ma a istinto, mi sembra che una soluzione per bloccare sul nascere tali minacce possa essere banale.
Con le competenze informatiche dei personaggi di questo forum sono convinto che si potrebbe delineare con facilità un insieme di programmi per proteggerci.
Gli antivirus li uso, ma li odio, i primi virus che trovano sono sempre i miei programmini del tubo, e poi se la prendono spesso e volentieri con exe che non contengono virus, solo perchè di comportamento non troppo ortodosso.

Io provo a buttare li a caso un possibile caso di infezione.

Utente riceve un 'email con allegato, apri.zip.exe
o .scr
ovviamente con la solita  opzione nascondi le estensioni dei file di default, l'utente clicca sul file e lancia il file eseguibile o simile.

A questo punto già mi domando se non mi esce la finestra su windows che mi chiede di installarlo, il che dovrebbe far venire dei dubbi se sto tentanto di aprire un file che non sia di installazione

Questo malaware cosa farà prima di tutto penso io
Si accerterà di potersi riavviare anche dopo che il pc venga spento, perchè potrebbe anche non finire il lavoro in tempo prima della chiusura del pc, o perchè lo stesso utente potrebbe rendersi conto che qualcosa non va vedendo l'hd lavorare all'impazzata, e potrebbe chiudere il pc di brutto per paura.
Deve poi riavviarsi per chiedere il riscatto.
Deve quindi avviarsi con il pc.
A questo punto, un programmino del cavolo che blocca la scrittura sul registro, nell'area di lancio dei processi, salvo autorizzazione, bloccherebbe la minaccia ancora prima che possa fare danni o cmq potrebbe limitarne i danni.
Sarei io che mi troverei una finestra che mi indica che il processo XXX sta cercando di scrivere sul registro, processo che non riconosco e quindi blocco subito. Riavvio il pc e sono al punto di partenza prima del click sull'allegato.

Poi leggendo in giro ho trovato questo

preso da https://www.achab.it/achab.cfm/it/blog/cryptolocker/come-difendersi-da-cryptolocker-il-virus-che-chiede-il-riscatto

questa seconda parte me la devo studiare un po.

Poi mi pare impossibile che non ci sia un programma che possa intervenire chiedendo l'autorizzazione,  vedendo che parte una modifica massiccia a file presenti in tutti i miei HD.

Cosa ne pensate, avete altri suggerimenti?

Il software che uso si chiama Startup Monitor, uso questo perchè è il
primo che ho trovato, ce ne sono molti altri. Fortunatamente ancora non ho avuto segnalazioni a parte modifiche da parte di installazioni di programmi. Per funzionare funziona, poi si spera possa fare lo stesso contro i  malware

Dipende da come configuri il NAS ... se e' accessibile senza user e password anche dalla tua LAN, certo che si' .. se no, NO ! =)

Quel coso crypta tutto quello che e' accessibile senza autenticazione, qualsiasi cosa sia.

Certo se hai gia' fatto la connessione da PC con autenticazione al NAS e poi prendi il virus te lo crypta lo stesso.

Parlo pe esperienza diretta non mia, ma di un conscente.

https://bitcointalksearch.org/topic/m.13987127

Ma se in windows ho "Connesso un'unità di rete" del NAS mi cripta anche il NAS?

Per i siti web però è un pò pià facile perchè in genere con qualsiasi servizio di hosting discreto, si può impostare un autobackup ogni xx giorni e alla fine non si perde molto

Nel suo poco etico e sporco lavoro..geniale!

E' come dice red 

Ah grazie reds, per fortuna avevo capito male, pensavo che bastava entrare in un sito infetto e prendevi il virus e quindi stavo già facendo una cernita dei vari siti porno da non visitare