pippo26

Virus Cryptolocker Decriptare I File

15 messaggi in questa discussione

Ciao a tutti, un mio amico è incappato su questo incredibile virus preso tramite email ricevuta da un corriere (non cliccate sui link e non scaricate nulla)...

Ora siamo riusciti ad eliminare il virus ma purtroppo tutti i file sono rimasti criptati (topo: nomefile.doc.encrypted e non ci sono back-up)...

E anche alcuni software sono ovviamente bloccati...

Qualcuno di voi sa se esiste un modo per decriptare questi file?

Ho trovato questo sito ma nulla:

https://www.decryptcryptolocker.com/

Spero in voi...!!!

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Qualcuno di voi sa se esiste un modo per decriptare questi file?

Pagare. Non è ironico nè disfattista, ma di fronte alla crittografia, se ben fatta, si può tentare solo con il bruteforce. E avendo c**o, in anni, si riesce a decodificare

Tuttavia...

Ho trovato questo sito ma nulla:

https://www.decryptcryptolocker.com/

Che significa "Nulla"?

Teoricamente, fornendo un file ed usando il loro programma (ovviamente non sullo stesso PC, ma collegando il disco ad un altro computer Windows) è possibile decrittare tutti i file.

Avete provato e non avete avuto risposte?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, ho caricato il file criptato e mi dice che non è infetto... boh...

The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.

Modificato da pippo26

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Preso atto di quanto ha scritto il sito domando: come fai a definire "l'ospite sgradito" del pc del tuo amico come CryptoLocker?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Preso atto di quanto ha scritto il sito domando: come fai a definire "l'ospite sgradito" del pc del tuo amico come CryptoLocker?

...scusami non ho capito...

Io il test lo sto facendo da un altro pc...

Ho capito... nel file html che ho trovato nelle directory dei file criptati c'è scritto:

<div class="euhc8gr58em6">

<p style="color:#ff0000">ATTENZIONE</p>

abbiamo criptato vostri file con il virus CryptoLocker

</div>

e poi c'è tutto un codice javascript...

Modificato da pippo26

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

...

Ho capito... nel file html che ho trovato nelle directory dei file criptati c'è scritto:

Ciao,

di per se potrebbe esserci scritto qualsiasi cosa... ed in ogni caso di CryptoLocker circolano diverse versioni. Per identificare il virus sarebbe più utile conoscere le informazioni dell'antivirus o dello strumento che ha usato per cancellare il virus.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

...a bel problema... ha fatto tutto il tools di norton però nei risultati non mi dava il nome della minaccia ma solo il file che generava il danno...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho trovato un file originale ovviamente non criptato... può essere utile per un confronto con qualche tools che decripta?

Grazie per i suggerimenti

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao pippo26, ne capisci qualcosa di inglese?

Dai un'occhiata qui'

Se mai riusciro' a liberarmi dai miei impegni ti daro' una mano a risolvere questo grattacapo, (piuttosto grosso) per ora posso solo darti questa dritta, mi spiace. :hi:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao pippo26, ne capisci qualcosa di inglese?

Dai un'occhiata qui'

Se mai riusciro' a liberarmi dai miei impegni ti daro' una mano a risolvere questo grattacapo, (piuttosto grosso) per ora posso solo darti questa dritta, mi spiace. :hi:

Ti ringrazio tantissimo se mi darai una mano...non sono molto ferrato con l'inglese ma ancora meno con gli algoritmi e file criptati

Modificato da pippo26

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

...nessuno ha altre soluzioni?

n.b. Robybel hai avuto del tempo libero?

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Salve. Anch'io ho avuto un problema simile e vorrei un vostro parere. In particolare non capisco se il mio PC è stato infettato da Cryptolocker e famiglia oppure si tratta di qualcos'altro.

Mi spiego meglio: dopo aver visitato siti "poco sicuri" mi si è spento il PC per interruzione della corrente elettrica. Al riavvio lo sfondo era cambiato e entrando nelle cartelle "immagini" o "documenti" vedevo i nomi dei files che cambiavano rapidamente uno dopo l'altro, con nomi lunghi e senza senso e sempre con estensione .xtbl.

Son riuscito ad interrompere questo micidiale processo facendo immediatamente un ripristino configurazione di sistema ad una data sicura precedente.

Poi ho fatto una scansione con avira che ha rilevato un virus (TR/Tinba.A.488) che è stato messo in quarantena. Poi la situazione si è stabilizzata, non è successo più niente.

Andando a fare poi la conta dei morti e dei feriti ho notato che non vedo più nessuna mail dentro Outlook Express (perchè probabilmente sono state tutte criptate e cambiata estensione.

Circa i tre quarti dei file dentro documenti sono stati anch'essi criptati e illeggibili.

A differenza di altri non ho ricevuto richieste di riscatto, ne avvisi di criptazione. In nessun file ho letto Blocked o simili.

Per decriptare i file ho provato la soluzione di inviare un file compromesso a Decryptcryptolocker ma risponde che non è un file di cryptolocker. Anche altri tentativi con le utility di kaspersky non hanno dato risultati.

Inoltre io ho un PC vecchio con sistema operativo windows XP che non tiene copia dei file passati.

Vi sarei grato se qualche esperto potesse darmi un parere in merito a questa situazione.

A presto

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

CTB Locker. Se credi puoi fare le ricerche in autonomia, ma la risposta è che non si può decrittare i file.

Detto questo, puoi tentare tramite i vari software come Recuva o PhotoRec di recuperare i file che il Ransomware ha cancellato.

E mentre il tuo computer cerca i file cancellati, tramite Tablet o smartphone inizia a farti una cultura sui backup...

Il fatto che il sistema operativo non ne faccia tramite le Shadow copies (inesatto, WinXP ha comunque il vetusto NTBackup volendo) non implica che tu non possa usare una delle tante soluzioni (anche gratuite) disponibili sul mercato.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

CTB Locker. Se credi puoi fare le ricerche in autonomia, ma la risposta è che non si può decrittare i file.

Detto questo, puoi tentare tramite i vari software come Recuva o PhotoRec di recuperare i file che il Ransomware ha cancellato.

E mentre il tuo computer cerca i file cancellati, tramite Tablet o smartphone inizia a farti una cultura sui backup...

Il fatto che il sistema operativo non ne faccia tramite le Shadow copies (inesatto, WinXP ha comunque il vetusto NTBackup volendo) non implica che tu non possa usare una delle tante soluzioni (anche gratuite) disponibili sul mercato.

Grazie mille per la risposta Pike. Fortunatamente un backup di un mese fa ce l'ho.... meglio di niente!

Recuva l'ho provato ma non ha trovato niente. Ora provo con "On track easy recovery" che mi sembra più potente.

L'impressione comunque è che questo virus non cancelli effettivamente i files ma li rinomina soltanto. E' forse per questo che non si riescono a trovare...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non la penso come te, Claudietto1700...

Se bastasse rinominarli, tu potresti rinominare e basta... e riaccederesti ai file. E non credo funzioni così.

La sequenza che ritengo più probabile è questa:

  • L'applicazione cerca i file da crittografare
  • Compila una piccola lista
  • Crittografa i file originali
  • cancella i file originali

Per assurdo potrebbe pure tentare di fare una cancellazione un po' più furba (tentando di operare sovrascritture multiple).

Puoi tentare eventualmente con PhotoRec in quanto può operare "offline", e quindi procedere senza il sistema operativo in funzione, il che può ridurre la possibilità di sovrascrivere inavvertitamente le sezioni di disco con i file non crittati.

In bocca al lupo per la tua caccia.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora