Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Infezione da Ransomware estensione MP3 Opzioni
bartolo
Inviato: Sunday, February 28, 2016 9:25:47 AM
Rank: AiutAmico

Iscritto dal : 12/29/2007
Posts: 205
Ho commesso 2 errori: il primo ad aprire un allegato di provenienza dubbia, il secondo a non aver spento immediatamente il pc.
Difatti nel tentativo di eliminare il malware ho tenuto acceso il pc per alcuni giorni, dando così modo al virus di infettare
gradualmente tutti i file personali. All'inizio avevo perso solo la cartella delle foto, mentre quella dei documenti era ancora
sana; adesso ho perso veramente tutto.
Naturalmente, adesso, dopo aver impiegato tutti gli antimalware e antivirus del mondo il virus "dovrebbe" essere defunto, ma resta il problema
di decifrare i file, adesso in formato MP3.
Premetto che in informatica sono zero, per cui non so come affrontare l'impresa di entrare manualmente nel registro ed eliminare i file corrotti.
Su questo sito avevo trovato anche una guida, ma mi sono arenato al primo punto:
http://spywarecure.com/it/rimuovere-virus-di-estensione-di-file-mp3/
Fra l'altro ho anche dovuto scaricare l'antimalware da loro proposto e pagarlo profumatamente, altrimenti nella versione di prova avrebbe fatto solo la scansione ma non la riparazione.
Chi se la sente di seguirmi nell'impresa?


Grazie
Giovanni
Sponsor
Inviato: Sunday, February 28, 2016 9:25:47 AM

 
strepitoso
Inviato: Sunday, February 28, 2016 9:58:47 AM
Rank: Member

Iscritto dal : 11/24/2015
Posts: 15
Intanto posta qui un log di Hijackthis così si puo vedere in che stato è il PC, quali sono le cose da modificare o eliminare.

Dopo questo controllo riceverai, dai bravi, altre informazioni inerenti il tuo caso.

http://www.ilsoftware.it/dl.asp?id=754
bartolo
Inviato: Sunday, February 28, 2016 3:25:43 PM
Rank: AiutAmico

Iscritto dal : 12/29/2007
Posts: 205
Era questo il log?
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:20:42, on 28/02/2016
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17728)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
C:\Users\HP\Downloads\HiJackThis.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files (x86)\Hewlett-Packard\Smart Print\SmartPrintSetup.exe
O9 - Extra 'Tools' menuitem: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files (x86)\Hewlett-Packard\Smart Print\SmartPrintSetup.exe
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes - C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies Ltd. - C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: ZoneAlarm Privacy Service (ZAPrivacyService) - Check Point Software Technologies, Ltd. - C:\Program Files (x86)\CheckPoint\ZoneAlarm\ZaPrivacyService.exe

--
End of file - 5257 bytes


Io non me ne intendo, ma leggo da tutte le parti windows sistem 32... ma non dovrebbe essere 64?
bartolo
Inviato: Sunday, February 28, 2016 4:29:34 PM
Rank: AiutAmico

Iscritto dal : 12/29/2007
Posts: 205
Scusate ma non avevo detto la cosa più importante: insieme al malware è giunta sul pc la richiesta di "riscatto" per avere la chiave privata per decriptare i file. A quanto ammonta non lo so. Comunque copio e incollo il messaggio, magari qualcuno mi sa dire di che cifra si tratta. Però qui si tratta di un ricatto vero e proprio e se voglio salvare i miei file, non mi pare di aver scelta; all'infuori di seguire alla lettera le loro indicazioni. Ma se poi dopo aver fatto tutto quello che mi chiedono (e pagato), come faccio ad essere certo di riavere i miei dati?
Ecco il messaggio:

***************
NON tua lingua? UTILIZZARE https://translate.google.com

Che cosa è successo ai file?
Tutti i file sono stati protetti da una crittografia forte con RSA-4096.
Maggiori informazioni sulle chiavi di crittografia utilizzando RSA-4096 può essere trovato qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Come è successo ?
!!! Specialmente per il vostro PC è stato generato personale RSA-4096 KEY, sia pubblici che privati.
!!! Tutti i file sono stati crittografati con la chiave pubblica, che è stato trasferito al computer tramite Internet.
!!! Decrittografia dei file è possibile solo con l'aiuto della chiave privata e decifrare programma, che è sul nostro server Segreto

Cosa faccio ?
Quindi, ci sono due modi in cui puoi scegliere: aspettare un miracolo e ottenere il prezzo raddoppiato, o avviare l'ottenimento di Bitcoin ADESSO! , E ripristinare i dati in modo semplice.
Se si dispone di dati davvero preziosi, è meglio non sprecare il tuo tempo, perché non c'è altro modo per ottenere i file, ad eccezione di effettuare un pagamento.

Per informazioni più specifiche, si prega di visitare la vostra home page personale, ci sono alcuni indirizzi diversi che puntano alla tua pagina di seguito:
1. http://prest54538hnksjn4kjfwdbhwere.hotchunman.com/6E3338E4717BDBE
2. http://b4youfred5485jgsa3453f.italazudda.com/6E3338E4717BDBE
3. http://5rport45vcdef345adfkksawe.bematvocal.at/6E3338E4717BDBE
Se per qualche motivo gli indirizzi non sono disponibili, attenersi alla seguente procedura:
1. Scaricare e installare Tor-Browser: http://www.torproject.org/projects/torbrowser.html.en
2. Al termine dell'installazione, eseguire il browser e attendere l'inizializzazione
3. Digitare nella barra degli indirizzi: fwgrhsao3aoml7ej.onion / 6E3338E4717BDBE
4. Seguire le istruzioni sul sito.

---------------- INFORMAZIONI IMPORTANTI------------------------
* - * - * Le vostre pagine personali:
http://prest54538hnksjn4kjfwdbhwere.hotchunman.com/6E3338E4717BDBE
http://b4youfred5485jgsa3453f.italazudda.com/6E3338E4717BDBE
http://5rport45vcdef345adfkksawe.bematvocal.at/6E3338E4717BDBE
* - * - * La sua pagina Tor-Browser: fwgrhsao3aoml7ej.ONION / 6E3338E4717BDBE

***********************
ciocca956
Inviato: Sunday, February 28, 2016 6:26:27 PM
Rank: AiutAmico

Iscritto dal : 1/5/2012
Posts: 4,102
Non so a quanto ammonta il riscatto ma in rete si parlava di alcune centinaia di bitcoin e considerandob che nel 2013 un bitcoin valeva 540 Dollari USA (https://it.wikipedia.org/wiki/Bitcoin) l'ordine di grandezza deklla cifra che dovresti sborsare è subito chiaro.
Perciò penso che ti devi mettere l'animo in pace e formattare (per maggior sicurezza).
Se proprio volessi tentare un recupero dei tuoi dati puoi tentare questa via http://www.decryptolocker.it/
spendendo una cifra ragionevole in caso di successo anche parziale.
In ogni caso quanto successo ti serva da lezione e in futuro fatti una copia di sistema da archiviare in un disco esterno; pure i dati mettili nello stesso disco esterno e accendilo solo quando interessa; Non aprire mai file file di provenienza incerta.
bartolo
Inviato: Monday, February 29, 2016 7:35:47 PM
Rank: AiutAmico

Iscritto dal : 12/29/2007
Posts: 205
Dai dai mi sono arreso. Ho preso il pc e l'ho portato da un professionista. Ci penserà lui a formattare e reinstallare il SO.
Quello che potrà recuperare bene, il resto pace.

Grazie a tutti
Giovanni
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.