Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Virus

Notices

Rispondi
 
Strumenti discussione
Vecchio 11-07-2014, 11.41.10   #1
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Exclamation File criptati e modificati nell'estensione finale con .enc.rtf

Salve a tutti.

Ho letto i post precedenti, ma prima di provare le soluzioni proposte ho pensato che sia meglio chiedere gentilmente il vostro parere per risolvere questo problema simile a quelli pubblicati, ma diverso come estensione.

Ho scaricato un file con estensione .scr , che credevo fosse un nuovo tipo di video, ma quando l’ho aperto è apparso l’avviso di "ZoneAlarm" che era un file sospetto; ho cliccato alla voce “non permettere”, ma continuava a riaprirsi l’avviso di ZoneAlarm, per moltissime volte, fino a quando ho provato a disabilitare la voce “memorizza impostazione” (in modo da non riattivarla) e poi ho cliccato “permettere”. L’avviso è subito sparito, ma poi mi sono accorto che è stata rinominata l’estensione di molti file nel disco fisso del mio computer ed anche nel disco fisso abbinato contenente il mio archivio di foto, libri digitali e video, modificati con una nuova estensione ( ad esempio, nome-file.doc.enc.rtf ) ma solo tutti i file con estensione .doc - .pdf - .jpg - .zip - .avi - .wmv - .mpg – INVECE non sono state rinominate le estensioni dei file .exe - .gif - .cbr - .wav - .mp4 - .flv - .VOB
Non ho più riavviato il computer, ed ho provato manualmente a rinominare un file che era .doc, togliendo la nuova estensione criptata, ma il file originario non si apre ed al suo posto si apre una pagina in cui c’è scritto in 3 lingue, escluso italiano:

[EN] The file is encrypted
To decrypt the file, follow these steps:
1. Disable antivirus (and firewall) installed on your computer
2. Enable internet connection
3. Unpack the archive C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (or archive with the same name on your desktop). Password BmyZWWiq
4. Run the unzipped MDgMpXCk.exe
5. Enter the correct code voucher Ukash, Paysafecard or MoneyPack
6. Do not restart the computer. Expect complete decoding


TRADOTTO CON GOOGLE

[IT] Il file è crittografato
Per decriptare il file, attenersi alla seguente procedura:
1. Disabilitare Antivirus (e firewall) installato sul computer
2. Abilita connessione a internet
3. Estrarre l'archivio C: \ Documents and Settings \ INTEL 2013 \ Impostazioni Locali \ Dati Applicazioni \ XUOWfvWD \ ilTFUBGq.zip (o archivio con lo stesso nome sul desktop). password BmyZWWiq
4. Eseguire il decompresso MDgMpXCk.exe
5. Inserire il voucher codice corretto Ukash, Paysafecard o MoneyPack
6. Non riavviare il computer. Aspettatevi decodifica completa

_________________________________________

Nel computer c'è Windows XP professional 2002 con tutti gli aggiornamenti e Service Pack 3 e sono installati: ZoneAlarm Antivirus e ZoneAlarm Firewall aggiornati, inoltre ZoneAlarm Security Toolbar; ho anche installato System Explorer 5.7.0. I programmi per scansione-rimozione di virus installati che ho già utilizzato tempo fa sono: Malwarebytes Anti-Malware, adwcleaner, e DOCTOR WEB, oltre che ComboFix Packages.

Come posso procedere per decriptare tutti i file e rinominarli in originale?
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 12.02.30   #2
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Come avrai intuito, questo è un ricatto: hanno criptato i file e ora ti chiedono di pagare un riscatto se vuoi decriptarli.

Il mio primo consiglio è: stacca il disco, attaccalo su un altro computer (possibilmente un sistema non windows, per evitare che venga attaccata l'infezione, magari una distribuzione live di linux) e recupera tutti i dati non criptati.

Valuta poi se i dati persi siano importanti, perchè se non hai perso nulla di vitale (spero tu abbia dei backup), la cosa migliore è ripristinare il sistema (ripulirlo, rinstallarlo, ecc... vedi tu).
Se ci sono i dati importanti può valere la pena spenderci un po' più di tempo, e controllare in rete se esiste qualche soluzione possibile.

Quello che non devi fare, ovviamente, è eseguire le istruzioni che hai trovato e lanciare quell'eseguibile.
E per la prossima volta, ricordati di non cliccare su "permetti"!

XP comunque ormai è un sistema a rischio. Purtroppo è stato progettato senza particolare riguardo all'aspetto sicurezza, e per di più ora è terminato anche il supporto esteso.
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 11-07-2014, 12.24.07   #3
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Sei sicuro che siano criptati ?
Seguendo il consiglio di borgata, apri il file incriminato con un editor esadecimale.
Se riscontri testo facente parte del .doc originale, allora hai possibilità di recupero, altrimenti formatta ed installa, valutando se sia il caso in base all'importanza dei files che hai perso.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 11-07-2014, 13.51.23   #4
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Grazie a voi per le risposte.

Lo so che XP è ormai superato ampiamente, ma ho tanti programmi vecchi che non sono compatibili con i nuovi sistemi operativi o comunque mi darebbero molto da fare per aggiornarli.

LoryOne, sono evidentemente criptati, perchè non si aprono, ma come ho detto solo quelli in cui è stata modificata l'estensione. Posso allegare un file prima e poi lo stesso file criptato.

Questo è un file normale, una foto JPG che ho scaricato adesso, di 131 kb, che fra poco verrà anche questa crittografata dal malware e cambiata di estensione.
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 14.20.28   #5
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Non è possibile inviare il file con l'estensione modificata, perchè è sconosciuta, ma ho provato a cancellare l'estensione e ripristinare il nome del file originale, ed è possibile farlo, ed ora si vede l'immagine come anteprima, ma se clicco per aprirla, appare questo avviso:
WARNING - Non si conosce in che modo leggere - Giovan Battista Ferraro, Zodiac Almanac for the care of the horse.jpg

Se apro con il mouse le proprietà dell'immagine con estensione modificata, non risulta più un File JPG, ma Documento Rich Text, e c'è scritto che si può aprire come un file word, ma invece si apre solo la pagina con la scritta in inglese che ho riportato sopra.
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 16.48.50   #6
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da Andrea60 Visualizza messaggio
Questo è un file normale, una foto che ho scaricato adesso, e la pubblico su Facebook, ma nel mio computer fra pochi minuti verrà modificata nell'estensione come tutti gli altri file .jpg [...]
Che significa che sul tuo computer questa foto verrà a breve modificata?
Stai ancora usando il sistema infetto? Stai dando modo al maleware di continuare a mettere mano e modificare i tuoi file?

Il computer doveva essere spento immediatamente appena accortoti del problema, nel tentativo di recuperare più dati possibile usando un sistema non infetto.
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 11-07-2014, 17.10.50   #7
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho cercato in rete consigli simili e non è consigliato spegnere il computer prima di avere trovato ed eliminato il virus o malware, perchè ormai quello che poteva l'ha già modificato e se spengo il computer rischio che non si riavvia più in caso che siano stati criptati anche dei file di Windows, dato che ho già visto che alcuni programmi non si aprono più e risultano introvabili perchè sono stati criptati anche alcuni file dentro le cartelle dei programmi.
Devo trovare subito il virus ed eliminarlo, poi posso riavviare.
Fra i programmi di avvio c'è questo che non ricordo se c'era:
Esecuzione Automatica\JtvfEBGz.exe
Ho fatto una ricerca e non risulta in rete esserci nessun file JtvfEBGz.exe
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 17.31.33   #8
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Difficile che Windows non si avvii, poichè devi effettuare le operazioni indicate dal malware ed è chiaro che nelle intenzioni del sabotatore c'è la volontà di infettarti oltre le apparenze dei files criptati.
Piuttosto fatti una copia del salvabile come indicato da borgata ed usa il meno possibile l'hd sotto Windows.
Purtroppo, credo che alla fine ti ritroveresti con un pc irrecuperabile, anche cedendo al ricatto. (oltre al danno, persino la beffa)
Sfortuna vuole che tu, anche con l'avviso insistente dell'av, abbia ceduto al nervosismo, facilitando l'azione del malware.
Quel che è certo, per criptarti il contentuo di qualsiasi file che non sia vitale per il S.O, basta un applicativo apposito che nessun av può identificare come pericoloso e che funzioni persino con privilegi ridotti.
L'av è scattato (ipotizzo) nel bloccare il tentativo del malware di autoavviarsi insieme al S.O., ma ormai era già in memoria e stava già agendo a tua insaputa eseguendo azioni del tutto lecite, anche se con risultati disastrosi per te, non per il S.O.
Fai tesoro dell'esperienza vissuta: E' sempre meglio un av insistente ed un backup frequente, piuttosto che un av lassista ed un utente ancora peggio.

Ps: Cerca sul sito di kaspersky se riesci ad identificare la tipolgia del virus. Di solito, anche se forniscono utilities di rimozione, viene spiegato quali siano le metodologie di infezione e come procedere per rimuovere almeno le voci di esecuzione automatica

Segnala dove hai scaricato 'sto accidenti di scr alla polizia postale. Anche se fosse presente su più server sparsi per il mondo e fungesse da botnet, sarebbe già un buon inizio.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 11-07-2014, 17.40.33   #9
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da Andrea60 Visualizza messaggio
Ho cercato in rete consigli simili e non è consigliato spegnere il computer [...]
Pessimo consiglio, il maleware ha bisogno di tempo per far fuori tutti i tuoi dati, e più tempo lo lasci agire più danni è in grado di fare.
Oltretutto tu stesso ti contraddici, se "ormai quello che poteva l'ha già modificato" perchè allora riguardo alla foto che hai condiviso dici che "nel mio computer fra pochi minuti verrà modificata "? Evidentemente sta ancora agendo.
Se anche Windows non si avviasse più non sarebbe un problema, si può sempre rinstallare (cosa che comunque ti consiglio di fare dopo l'infezione). Ciò che conta sono i dati, e quelli una volta andati, non li recuperi più (perchè, mi pare di capire dal silenzio stampa a riguardo, che di backup non ce ne siano).
L'ipotesi di cedere al ricatto non è neppure da prendere in considerazione, c'è la possibilità che i file siano già perduti, o che una volta pagato non ti vengano ripristinati.
Io il mio consiglio te l'ho dato, poi vedi tu...
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 11-07-2014, 18.05.44   #10
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Certamente, grazie borgata, il ricatto è patetico e ridicolo, anche perchè se qualcuno volesse pagare non hanno indicato dove pagare, contrariamente agli altri virus che ho visto che circolano in giro della falsa Polizia e Carabinieri.
A me sembra più che una minaccia uno scherzo di pessimo gusto di qualche haker demenziale, perchè non ho ancora trovato in rete niente che gli assomigli.
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 18.09.51   #11
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Non è detto, nelle istruzioni per sbloccare i file ti dicono di avviare un eseguibile, e quello potrebbe essere un programma che si occupa di far arrivare loro il pagamento (e chissà cos'altro fa...).
Comunque non è da escludere nessuna ipotesi, di questi maleware ce ne sono moltissime varianti, da quelli che fanno solo finta di criptare a quelli più aggressivi.
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 11-07-2014, 18.18.37   #12
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Simpatico il tuo motto, che sembra adagiarsi al problema del mio computer:
La risposta è dentro di te... (nel pc)
e però, è sbagliata!
Andrea60 non è collegato   Rispondi citando
Vecchio 11-07-2014, 18.34.12   #13
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da Andrea60 Visualizza messaggio
A me sembra più che una minaccia uno scherzo di pessimo gusto di qualche haker demenziale, perchè non ho ancora trovato in rete niente che gli assomigli.
Non è un hacker quello che l'ha prodotto, bensì un criminale e non è demenziale, è solo str...o
Ha/hanno violato il tuo computer (per colpa tua in primis, ma il risultato finale è un'aggravante non da poco), modificato il contenuto (il quale potrebbe essere copiato sui loro server ed attualmente irrecuperabile in locale) ed in più ti chiedono soldi per ripristinare (forse) e con risultato incerto, quindi segnala alla polizia postale: Sii preciso e non lesinare informazioni sul tuo operato * e su quello che hai riscontrato da parte del malware.
Anche se è uno scherzo, ma riesce male e procura danno, non deve essere perdonato.
Questo è il mio consiglio, poi fai quello che vuoi.

* Nessuno si prenderà gioco di te: Il momento del belinone può capitare a chiunque.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 11-07-2014, 19.14.04   #14
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.106
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Virus forze dell'ordine e DirtyDecrypt

Quota:
Inviato da Andrea60 Visualizza messaggio
Salve a tutti.

Ho letto i post precedenti, ma prima di provare le soluzioni proposte ho pensato che sia meglio chiedere gentilmente il vostro parere per risolvere questo problema simile a quelli pubblicati, ma diverso come estensione.
[...]
Allega un file .jpg e vediamo di che pasta è fatto, te lo controllo con AMiGA OS; sospetto che tu abbia preso la stessa infezione che si discuteva in questo topic, ora non toccare più il PC, più lo usi meno saranno i file recuperabili. Come ti hanno già detto (non aprire più discussioni tanto ti leggiamo comunqe, così facendo hai spezzato in due l'argomento) devi usare un sistema Live o collegare l'hardisk su altro computer che non abbia Windows (se ci sono Hardisk con dati Windows lo devi staccare) e recuperare solo i file "buoni", devi esaminarli uno per uno, se ti scappa qualcosa impesti altri PC. Riguardo le difese invece di usare software come Zone Allarm, usiamo Antivirus che eliminano da subito il file pericolosi senza stare li solo a dare messaggi anche in presenza di file infetti così gravemente, i file .SCR non sono file video ma Screensaver.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

Ultima modifica di AMIGA : 11-07-2014 alle ore 20.47.37
AMIGA non è collegato   Rispondi citando
Vecchio 11-07-2014, 20.44.14   #15
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Ho fatto la scansione con Malwarebytes Anti-Malware e sono risultati moltissimi file messi in quarantena; ecco il file log


Ultima modifica di VincenzoGTA : 11-07-2014 alle ore 20.49.21
Andrea60 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
avrei bisogno di aiuto.....grazie delfinaxx Sicurezza&Privacy 2 27-06-2013 15.02.21
[9x - 3.11] INSTALLARE WINDOWS 3.1 A FIANCO DI WINDOWS 98 booty island Windows 9x/Me/NT4/2000 1 27-11-2012 00.08.51
Imaging e Win Xp Cico2000 Windows 7/Vista/XP/ 2003 6 15-04-2005 19.01.01
Windows file protection:guida Deuced Windows 9x/Me/NT4/2000 7 16-03-2004 08.25.28

Orario GMT +2. Ora sono le: 20.32.56.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.