PDA

Visualizza versione completa : [Guida] Ransom.Win32.Rannoh: ecco la soluzione al trojan che cripta i files


VincenzoGTA
31-05-2012, 10.47.13
Da Kaspersky il tool che decripta i file resi inaccessibili dal Trojan-Ransom.Win32.Rannoh


Ci sono arrivate sul forum segnalazioni di una nuova e pericolosa infezione (http://forum.wintricks.it/showthread.php?t=156162).
Dico pericolosa perchè il worm si occupa di criptare tutti i nostri documenti (immagini, fogli di calcolo, testi...) ed anche dopo la sua rimozione, i files restano inaccessibili.
Ringraziamo anymore1982 utente del WinTricks forum che ci ha segnalato il tool (http://support.kaspersky.com/faq/?qid=208286527) messo a disposizione da Kaspersky per risolvere l'infezione e riappropriarci dei nostri file.


Segni dell'infezione

Il virus cambia nome ed estensioni ai file nel modo seguente :
" locked- <nome_del_file> < 4 caratteri casuali >. ".


Disinfettiamo il sistema


Scarichiamo RannohDecryptor.exe (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) ;
Eseguiamo RannohDecryptor.exe sul pc infetto ;
Riavviamo il sistema una volta completata la disinfezione.




Come utilizzare l' utility

[1] Eseguiamo RannohDecryptor.exe.
[2] Facciamo clic su Start scan per iniziare il processo.

http://support.kaspersky.com/images/support_new/8547-1-en.png

Indichiamo al tool il percorso di un file criptato ed il programma tenterà di decriptare automaticamente tutti i files. Tuttavia se non riesce al primo colpo, sarà necessario trovare una copia originale di almeno uno dei file crittografati così da poter fare un confronto e trovare la chiave per decriptare tutti gli altri files.

Finito il recupero, assicuriamoci che i nuovi files decriptati siano effettivamente accessibili.
Se tutto è andato per il verso giusto, usiamo l'opzione Delete crypted files after decryption per cancellare in un sol colpo tutte le copie dei file crittografati denominati " locked - <nome_del_file>. <4 caratteri casuali > "


Il log che elenca tutte le operazioni eseguite dall'utility, lo troviamo sul disco di sistema (quello con il sistema operativo installato).
Ad esempio, C : \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.tx t


Commenti... (http://forum.wintricks.it/showthread.php?p=1659277#post1659277)