|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
11-07-2014, 12.41.10 | #1 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
File criptati e modificati nell'estensione finale con .enc.rtf
Ho letto i post precedenti, ma prima di provare le soluzioni proposte ho pensato che sia meglio chiedere gentilmente il vostro parere per risolvere questo problema simile a quelli pubblicati, ma diverso come estensione. Ho scaricato un file con estensione .scr , che credevo fosse un nuovo tipo di video, ma quando l’ho aperto è apparso l’avviso di "ZoneAlarm" che era un file sospetto; ho cliccato alla voce “non permettere”, ma continuava a riaprirsi l’avviso di ZoneAlarm, per moltissime volte, fino a quando ho provato a disabilitare la voce “memorizza impostazione” (in modo da non riattivarla) e poi ho cliccato “permettere”. L’avviso è subito sparito, ma poi mi sono accorto che è stata rinominata l’estensione di molti file nel disco fisso del mio computer ed anche nel disco fisso abbinato contenente il mio archivio di foto, libri digitali e video, modificati con una nuova estensione ( ad esempio, nome-file.doc.enc.rtf ) ma solo tutti i file con estensione .doc - .pdf - .jpg - .zip - .avi - .wmv - .mpg – INVECE non sono state rinominate le estensioni dei file .exe - .gif - .cbr - .wav - .mp4 - .flv - .VOB Non ho più riavviato il computer, ed ho provato manualmente a rinominare un file che era .doc, togliendo la nuova estensione criptata, ma il file originario non si apre ed al suo posto si apre una pagina in cui c’è scritto in 3 lingue, escluso italiano: [EN] The file is encrypted To decrypt the file, follow these steps: 1. Disable antivirus (and firewall) installed on your computer 2. Enable internet connection 3. Unpack the archive C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (or archive with the same name on your desktop). Password BmyZWWiq 4. Run the unzipped MDgMpXCk.exe 5. Enter the correct code voucher Ukash, Paysafecard or MoneyPack 6. Do not restart the computer. Expect complete decoding TRADOTTO CON GOOGLE [IT] Il file è crittografato Per decriptare il file, attenersi alla seguente procedura: 1. Disabilitare Antivirus (e firewall) installato sul computer 2. Abilita connessione a internet 3. Estrarre l'archivio C: \ Documents and Settings \ INTEL 2013 \ Impostazioni Locali \ Dati Applicazioni \ XUOWfvWD \ ilTFUBGq.zip (o archivio con lo stesso nome sul desktop). password BmyZWWiq 4. Eseguire il decompresso MDgMpXCk.exe 5. Inserire il voucher codice corretto Ukash, Paysafecard o MoneyPack 6. Non riavviare il computer. Aspettatevi decodifica completa _________________________________________ Nel computer c'è Windows XP professional 2002 con tutti gli aggiornamenti e Service Pack 3 e sono installati: ZoneAlarm Antivirus e ZoneAlarm Firewall aggiornati, inoltre ZoneAlarm Security Toolbar; ho anche installato System Explorer 5.7.0. I programmi per scansione-rimozione di virus installati che ho già utilizzato tempo fa sono: Malwarebytes Anti-Malware, adwcleaner, e DOCTOR WEB, oltre che ComboFix Packages. Come posso procedere per decriptare tutti i file e rinominarli in originale? |
11-07-2014, 13.02.30 | #2 |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Come avrai intuito, questo è un ricatto: hanno criptato i file e ora ti chiedono di pagare un riscatto se vuoi decriptarli.
Il mio primo consiglio è: stacca il disco, attaccalo su un altro computer (possibilmente un sistema non windows, per evitare che venga attaccata l'infezione, magari una distribuzione live di linux) e recupera tutti i dati non criptati. Valuta poi se i dati persi siano importanti, perchè se non hai perso nulla di vitale (spero tu abbia dei backup), la cosa migliore è ripristinare il sistema (ripulirlo, rinstallarlo, ecc... vedi tu). Se ci sono i dati importanti può valere la pena spenderci un po' più di tempo, e controllare in rete se esiste qualche soluzione possibile. Quello che non devi fare, ovviamente, è eseguire le istruzioni che hai trovato e lanciare quell'eseguibile. E per la prossima volta, ricordati di non cliccare su "permetti"! XP comunque ormai è un sistema a rischio. Purtroppo è stato progettato senza particolare riguardo all'aspetto sicurezza, e per di più ora è terminato anche il supporto esteso.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
11-07-2014, 13.24.07 | #3 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Sei sicuro che siano criptati ?
Seguendo il consiglio di borgata, apri il file incriminato con un editor esadecimale. Se riscontri testo facente parte del .doc originale, allora hai possibilità di recupero, altrimenti formatta ed installa, valutando se sia il caso in base all'importanza dei files che hai perso.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
11-07-2014, 14.51.23 | #4 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Grazie a voi per le risposte.
Lo so che XP è ormai superato ampiamente, ma ho tanti programmi vecchi che non sono compatibili con i nuovi sistemi operativi o comunque mi darebbero molto da fare per aggiornarli. LoryOne, sono evidentemente criptati, perchè non si aprono, ma come ho detto solo quelli in cui è stata modificata l'estensione. Posso allegare un file prima e poi lo stesso file criptato. Questo è un file normale, una foto JPG che ho scaricato adesso, di 131 kb, che fra poco verrà anche questa crittografata dal malware e cambiata di estensione. |
11-07-2014, 15.20.28 | #5 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Non è possibile inviare il file con l'estensione modificata, perchè è sconosciuta, ma ho provato a cancellare l'estensione e ripristinare il nome del file originale, ed è possibile farlo, ed ora si vede l'immagine come anteprima, ma se clicco per aprirla, appare questo avviso:
WARNING - Non si conosce in che modo leggere - Giovan Battista Ferraro, Zodiac Almanac for the care of the horse.jpg Se apro con il mouse le proprietà dell'immagine con estensione modificata, non risulta più un File JPG, ma Documento Rich Text, e c'è scritto che si può aprire come un file word, ma invece si apre solo la pagina con la scritta in inglese che ho riportato sopra. |
11-07-2014, 17.48.50 | #6 | |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Stai ancora usando il sistema infetto? Stai dando modo al maleware di continuare a mettere mano e modificare i tuoi file? Il computer doveva essere spento immediatamente appena accortoti del problema, nel tentativo di recuperare più dati possibile usando un sistema non infetto.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
|
11-07-2014, 18.10.50 | #7 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Ho cercato in rete consigli simili e non è consigliato spegnere il computer prima di avere trovato ed eliminato il virus o malware, perchè ormai quello che poteva l'ha già modificato e se spengo il computer rischio che non si riavvia più in caso che siano stati criptati anche dei file di Windows, dato che ho già visto che alcuni programmi non si aprono più e risultano introvabili perchè sono stati criptati anche alcuni file dentro le cartelle dei programmi.
Devo trovare subito il virus ed eliminarlo, poi posso riavviare. Fra i programmi di avvio c'è questo che non ricordo se c'era: Esecuzione Automatica\JtvfEBGz.exe Ho fatto una ricerca e non risulta in rete esserci nessun file JtvfEBGz.exe |
11-07-2014, 18.31.33 | #8 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Difficile che Windows non si avvii, poichè devi effettuare le operazioni indicate dal malware ed è chiaro che nelle intenzioni del sabotatore c'è la volontà di infettarti oltre le apparenze dei files criptati.
Piuttosto fatti una copia del salvabile come indicato da borgata ed usa il meno possibile l'hd sotto Windows. Purtroppo, credo che alla fine ti ritroveresti con un pc irrecuperabile, anche cedendo al ricatto. (oltre al danno, persino la beffa) Sfortuna vuole che tu, anche con l'avviso insistente dell'av, abbia ceduto al nervosismo, facilitando l'azione del malware. Quel che è certo, per criptarti il contentuo di qualsiasi file che non sia vitale per il S.O, basta un applicativo apposito che nessun av può identificare come pericoloso e che funzioni persino con privilegi ridotti. L'av è scattato (ipotizzo) nel bloccare il tentativo del malware di autoavviarsi insieme al S.O., ma ormai era già in memoria e stava già agendo a tua insaputa eseguendo azioni del tutto lecite, anche se con risultati disastrosi per te, non per il S.O. Fai tesoro dell'esperienza vissuta: E' sempre meglio un av insistente ed un backup frequente, piuttosto che un av lassista ed un utente ancora peggio. Ps: Cerca sul sito di kaspersky se riesci ad identificare la tipolgia del virus. Di solito, anche se forniscono utilities di rimozione, viene spiegato quali siano le metodologie di infezione e come procedere per rimuovere almeno le voci di esecuzione automatica Segnala dove hai scaricato 'sto accidenti di scr alla polizia postale. Anche se fosse presente su più server sparsi per il mondo e fungesse da botnet, sarebbe già un buon inizio.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
11-07-2014, 18.40.33 | #9 | |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Oltretutto tu stesso ti contraddici, se "ormai quello che poteva l'ha già modificato" perchè allora riguardo alla foto che hai condiviso dici che "nel mio computer fra pochi minuti verrà modificata "? Evidentemente sta ancora agendo. Se anche Windows non si avviasse più non sarebbe un problema, si può sempre rinstallare (cosa che comunque ti consiglio di fare dopo l'infezione). Ciò che conta sono i dati, e quelli una volta andati, non li recuperi più (perchè, mi pare di capire dal silenzio stampa a riguardo, che di backup non ce ne siano). L'ipotesi di cedere al ricatto non è neppure da prendere in considerazione, c'è la possibilità che i file siano già perduti, o che una volta pagato non ti vengano ripristinati. Io il mio consiglio te l'ho dato, poi vedi tu...
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
|
11-07-2014, 19.05.44 | #10 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Certamente, grazie borgata, il ricatto è patetico e ridicolo, anche perchè se qualcuno volesse pagare non hanno indicato dove pagare, contrariamente agli altri virus che ho visto che circolano in giro della falsa Polizia e Carabinieri.
A me sembra più che una minaccia uno scherzo di pessimo gusto di qualche haker demenziale, perchè non ho ancora trovato in rete niente che gli assomigli. |
11-07-2014, 19.09.51 | #11 |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Non è detto, nelle istruzioni per sbloccare i file ti dicono di avviare un eseguibile, e quello potrebbe essere un programma che si occupa di far arrivare loro il pagamento (e chissà cos'altro fa...).
Comunque non è da escludere nessuna ipotesi, di questi maleware ce ne sono moltissime varianti, da quelli che fanno solo finta di criptare a quelli più aggressivi.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
11-07-2014, 19.18.37 | #12 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Simpatico il tuo motto, che sembra adagiarsi al problema del mio computer:
La risposta è dentro di te... (nel pc) e però, è sbagliata! |
11-07-2014, 19.34.12 | #13 | |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Ha/hanno violato il tuo computer (per colpa tua in primis, ma il risultato finale è un'aggravante non da poco), modificato il contenuto (il quale potrebbe essere copiato sui loro server ed attualmente irrecuperabile in locale) ed in più ti chiedono soldi per ripristinare (forse) e con risultato incerto, quindi segnala alla polizia postale: Sii preciso e non lesinare informazioni sul tuo operato * e su quello che hai riscontrato da parte del malware. Anche se è uno scherzo, ma riesce male e procura danno, non deve essere perdonato. Questo è il mio consiglio, poi fai quello che vuoi. * Nessuno si prenderà gioco di te: Il momento del belinone può capitare a chiunque.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
|
11-07-2014, 20.14.04 | #14 | |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Virus forze dell'ordine e DirtyDecrypt
Quota:
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k Ultima modifica di AMIGA : 11-07-2014 alle ore 21.47.37 |
|
11-07-2014, 21.44.14 | #15 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Ho fatto la scansione con Malwarebytes Anti-Malware e sono risultati moltissimi file messi in quarantena; ecco il file log
Ultima modifica di VincenzoGTA : 11-07-2014 alle ore 21.49.21 |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
avrei bisogno di aiuto.....grazie | delfinaxx | Sicurezza&Privacy | 2 | 27-06-2013 16.02.21 |
[9x - 3.11] INSTALLARE WINDOWS 3.1 A FIANCO DI WINDOWS 98 | booty island | Windows 9x/Me/NT4/2000 | 1 | 27-11-2012 01.08.51 |
Imaging e Win Xp | Cico2000 | Windows 7/Vista/XP/ 2003 | 6 | 15-04-2005 20.01.01 |
Windows file protection:guida | Deuced | Windows 9x/Me/NT4/2000 | 7 | 16-03-2004 09.25.28 |