Virus forze dell'ordine e DirtyDecrypt

Tripod · 17-08-2013, 17.11.59

Ciao ragazzi, ho un guaio piuttosto serio, dopo aver contratto il virus in oggetto l'ho eliminato con malwareBityes, fin qui tutto ok.. al successivo riavvio mi sono accordo che mi ha criptato quasi tutti i file .pdf .doc .jpeg... mi ha fatto un danno enorme.
Ho fatto varie ricerche su internet ho scaricato i tools di Kaspersky ( quelli dove ti richiedono un file identico a quello criptato per poter decriptare tutti gli altri) il problema e' che ho reperito alcuni file originali di quelli criptati, ma il virus ha cambiato la dimensione di poco dei file criptati e cosi facendo il tool non li rileva uguali!! Qualcuno sa' aiutarmi? Sistema operativo Win XP - qui allego foto della schermata di un file criptato:
http://imageshack.us/photo/my-images/819/eke7.jpg/
Grazie saluti Federico

AMIGA · 17-08-2013, 19.23.40

Bentrovato su Wintricks Tripod, la criptazione potrebbe essere finta, in modo da farti lanciare il programma consigliato. Sei sicuro che l'infezione appartenga alla famiglia detta "virus delle Forze Ordine", puoi allegare uno screeshot, qui, abbiamo parlato sull'argomento, se puoi allega anche qualche file criptato (togli prima l'estensione) così verifichiamo se si tratta realmente di criptazione, corruzione o finzione.

xilo76 · 17-08-2013, 19.51.48

http://www.f-secure.com/weblog/archives/00002349.html
http://support.kaspersky.com/4264?el=88446#

Tripod · 17-08-2013, 22.30.13

Intanto grazie per l'aiuto

https://hotfile.com/dl/240165273/7c30b13/survivor.html a questo link c'e' un file che risulterebbe criptato.
sto seguendo questa procedura: http://support.kaspersky.com/4264?el=88446# qualcuno mi puo' aiutare a capire bene come funziona? in inglese non sono un asso

Tripod · 17-08-2013, 22.32.54

https://hotfile.com/dl/240165273/7c30b13/survivor.html

ecco il link funzionamente per scaricare il file

AMIGA · 18-08-2013, 01.35.30

Caro Tripod spero di sbagliarmi, secondo me i file non sono criptati ma sovrascritti da un file immagine convertito in PDF, che poi sarebbe quella che tu hai postato, se così fosse potrai dire addio per sempre ai tuoi file.

xilo76 · 18-08-2013, 10.19.32

Quota:

Inviato da Tripod

Intanto grazie per l'aiuto

sto seguendo questa procedura: http://support.kaspersky.com/4264?el=88446# qualcuno mi puo' aiutare a capire bene come funziona? in inglese non sono un asso

E' semplice: scarichi il file rectordecryptor.exe, lo doppioclicchi, premi start scan.
A quanto pare, fa la scansione di tutto il pc, a meno che non modifichi le (poche) opzioni.

Tripod · 18-08-2013, 17.03.58

Allora vado per ordine:
i tentativi con rectordecryptor.exe e gli altri tools della kaspersky non hanno funzionato.
Amiga non credo siano sovrascritti perche' riesco a vedere l'anteprima delle foto con l'immagine originale, ma poi quando la apro mi da' quell'img che ho allegato nello screen.
Stavo provando questo adesso:
http://www.im-infected.com/ransomwar...crypt-exe.html
"6. You must run the program in Graphic Mode. This gives you easy access to all commands and menus."
ma quando vado a selezionare la grapich mode dopo il boot dalla pennetta mi va' in errore, quindi non riesco ad utlizzare il programma... mi sto esasperando una cifra raga

AMIGA · 18-08-2013, 17.29.27

Siamo sicuri che l'anteprima non la prenda da qualche altra parte ?, magari memorizzata nella cache, prova a rinominare un file, spostarlo su un percorso diverso e poi verifica che l'anteprima dia il contenuto del file originale.

Può essere che la sovrascrizione avvenga dentro il file senza sostituirlo.
Con quale strumento guardi l'antepriama ?
Il file che hai allegato in origine in che formato era ?

Tripod · 18-08-2013, 17.34.07

il file postato era un pdf, ho rinominato una foto in jpeg l'ho spostata in un'altra cartella e l'anteprima e' cambiata, adesso da' quella della schermata file encrypted....

Tripod · 18-08-2013, 17.36.41

uso il visualizzatore di immagini per windows per le foto

Tripod · 18-08-2013, 17.55.40

Allego il log della scansione e fatta con avira questa notte

AMIGA · 18-08-2013, 18.17.41

Quota:

Inviato da Tripod

ho rinominato una foto in jpeg l'ho spostata in un'altra cartella e l'anteprima e' cambiata, adesso da' quella della schermata file encrypted....

Questo conferma quello che avevo previsto sopra, i file sono stati sostituiti tutti con un'unico file, quello da te posato.
I file potrebbero essere di grandezza differente, se è quello che penso corrisponde a realtà, una compressione in zip dovrebbe portare tutti i file alla stessa misura.
Secondo me nessun programma antivirus potrà aiutarti, questo perchè non si tratta di una infezione, ma di una normale sovrascrizione file.

AMIGA · 18-08-2013, 18.23.49

Questa è una vecchia tecnica che usavano i virus sui sistemi Amiga quasi trenta anni fa e nessun sistema anche l'ultimo dei sistemi Windows potrà fare nulla, l'unica protezione è fare più backup su PC differenti o dispositivi esterni.

Allega un file JPG senza estensione, vorrei confrontarlo con quello di prima in PDF

xilo76 · 19-08-2013, 16.17.19

Hai provato anche le altre due utility? Vedi qui (cliccami)

17-08-2013, 17.11.59	#1
Tripod Newbie Registrato: 17-08-2013 Messaggi: 11	Virus forze dell'ordine e DirtyDecrypt Ciao ragazzi, ho un guaio piuttosto serio, dopo aver contratto il virus in oggetto l'ho eliminato con malwareBityes, fin qui tutto ok.. al successivo riavvio mi sono accordo che mi ha criptato quasi tutti i file .pdf .doc .jpeg... mi ha fatto un danno enorme. Ho fatto varie ricerche su internet ho scaricato i tools di Kaspersky ( quelli dove ti richiedono un file identico a quello criptato per poter decriptare tutti gli altri) il problema e' che ho reperito alcuni file originali di quelli criptati, ma il virus ha cambiato la dimensione di poco dei file criptati e cosi facendo il tool non li rileva uguali!! Qualcuno sa' aiutarmi? Sistema operativo Win XP - qui allego foto della schermata di un file criptato: http://imageshack.us/photo/my-images/819/eke7.jpg/ Grazie saluti Federico

17-08-2013, 19.23.40	#2
AMIGA Gold Member Top Poster Registrato: 06-07-2006 Loc.: Brindisi Messaggi: 10.111	Rif: Virus forze dell'ordine e DirtyDecrypt Bentrovato su Wintricks Tripod, la criptazione potrebbe essere finta, in modo da farti lanciare il programma consigliato. Sei sicuro che l'infezione appartenga alla famiglia detta "virus delle Forze Ordine", puoi allegare uno screeshot, qui, abbiamo parlato sull'argomento, se puoi allega anche qualche file criptato (togli prima l'estensione) così verifichiamo se si tratta realmente di criptazione, corruzione o finzione. ___________________________________ Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k Ultima modifica di AMIGA : 17-08-2013 alle ore 19.29.04

17-08-2013, 19.51.48	#3
xilo76 Forum supporter Global Moderator Registrato: 23-08-2007 Messaggi: 2.704	Rif: Virus forze dell'ordine e DirtyDecrypt http://www.f-secure.com/weblog/archives/00002349.html http://support.kaspersky.com/4264?el=88446#

17-08-2013, 22.30.13	#4
Tripod Newbie Registrato: 17-08-2013 Messaggi: 11	Rif: Virus forze dell'ordine e DirtyDecrypt Intanto grazie per l'aiuto https://hotfile.com/dl/240165273/7c30b13/survivor.html a questo link c'e' un file che risulterebbe criptato. sto seguendo questa procedura: http://support.kaspersky.com/4264?el=88446# qualcuno mi puo' aiutare a capire bene come funziona? in inglese non sono un asso

17-08-2013, 22.32.54	#5
Tripod Newbie Registrato: 17-08-2013 Messaggi: 11	Rif: Virus forze dell'ordine e DirtyDecrypt https://hotfile.com/dl/240165273/7c30b13/survivor.html ecco il link funzionamente per scaricare il file

18-08-2013, 01.35.30	#6
AMIGA Gold Member Top Poster Registrato: 06-07-2006 Loc.: Brindisi Messaggi: 10.111	Rif: Virus forze dell'ordine e DirtyDecrypt Caro Tripod spero di sbagliarmi, secondo me i file non sono criptati ma sovrascritti da un file immagine convertito in PDF, che poi sarebbe quella che tu hai postato, se così fosse potrai dire addio per sempre ai tuoi file. ___________________________________ Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

18-08-2013, 17.03.58	#8
Tripod Newbie Registrato: 17-08-2013 Messaggi: 11	Rif: Virus forze dell'ordine e DirtyDecrypt Allora vado per ordine: i tentativi con rectordecryptor.exe e gli altri tools della kaspersky non hanno funzionato. Amiga non credo siano sovrascritti perche' riesco a vedere l'anteprima delle foto con l'immagine originale, ma poi quando la apro mi da' quell'img che ho allegato nello screen. Stavo provando questo adesso: http://www.im-infected.com/ransomwar...crypt-exe.html "6. You must run the program in Graphic Mode. This gives you easy access to all commands and menus." ma quando vado a selezionare la grapich mode dopo il boot dalla pennetta mi va' in errore, quindi non riesco ad utlizzare il programma... mi sto esasperando una cifra raga

18-08-2013, 17.29.27	#9
AMIGA Gold Member Top Poster Registrato: 06-07-2006 Loc.: Brindisi Messaggi: 10.111	Rif: Virus forze dell'ordine e DirtyDecrypt Siamo sicuri che l'anteprima non la prenda da qualche altra parte ?, magari memorizzata nella cache, prova a rinominare un file, spostarlo su un percorso diverso e poi verifica che l'anteprima dia il contenuto del file originale. Può essere che la sovrascrizione avvenga dentro il file senza sostituirlo. Con quale strumento guardi l'antepriama ? Il file che hai allegato in origine in che formato era ? ___________________________________ Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

18-08-2013, 17.34.07	#10
Tripod Newbie Registrato: 17-08-2013 Messaggi: 11	Rif: Virus forze dell'ordine e DirtyDecrypt il file postato era un pdf, ho rinominato una foto in jpeg l'ho spostata in un'altra cartella e l'anteprima e' cambiata, adesso da' quella della schermata file encrypted....

18-08-2013, 17.36.41	#11
Tripod Newbie Registrato: 17-08-2013 Messaggi: 11	Rif: Virus forze dell'ordine e DirtyDecrypt uso il visualizzatore di immagini per windows per le foto

18-08-2013, 18.23.49	#14
AMIGA Gold Member Top Poster Registrato: 06-07-2006 Loc.: Brindisi Messaggi: 10.111	Rif: Virus forze dell'ordine e DirtyDecrypt Questa è una vecchia tecnica che usavano i virus sui sistemi Amiga quasi trenta anni fa e nessun sistema anche l'ultimo dei sistemi Windows potrà fare nulla, l'unica protezione è fare più backup su PC differenti o dispositivi esterni. Allega un file JPG senza estensione, vorrei confrontarlo con quello di prima in PDF ___________________________________ Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

19-08-2013, 16.17.19	#15
xilo76 Forum supporter Global Moderator Registrato: 23-08-2007 Messaggi: 2.704	Rif: Virus forze dell'ordine e DirtyDecrypt Hai provato anche le altre due utility? Vedi qui (cliccami)

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Virus polli: 1° contagio da uomo a uomo (Update)	Gigi75	Chiacchiere in libertà	76	23-04-2006 13.38.10
CCleaner RiskWare?	AndyWarrior	Sicurezza&Privacy	7	10-04-2006 15.38.58
Aviaria - Ungheria: "Pronto vaccino per l'uomo, presto in commercio"	Giorgius	Chiacchiere in libertà	3	23-03-2006 16.06.00
Virus bufala tramite MSN Messenger	cavese	Internet e Reti locali	2	23-09-2004 13.50.14
E-mail, virus writer e spammer uniti per bug più insidiosi	Giorgius	Sicurezza&Privacy	1	19-08-2004 08.45.20