io padre si r beccato sta merda.
Come fare a sistemare?
Windows 7 ultimate
:omg:
Spegni il computer, intanto xD
Poi vediamo..
Cazzarola.
È una rogna e in rete si legge tutto e il contrario di tutto.
Intanto sto provando questo
Https://malwaretips.com/blogs/remove-cryptolocker-virus
Questo l'hai letto vero?
http://www.tomshw.it/news/cryptowall-4-0-e-chimera-il-ramsonware-e-scatenato-71681
Purtroppo sono a roma e non ho il pc dietro :(
Edit: ah ok questo recupera al più i file, ma già sarebbe tanto toglierlo xD
Dalla modalità provvisoria partirà?
Ci vorrebbe un bootcd tipo quello di kaspersky e vedere se intanto riesce a togliere qualcosa. Puoi provare anche con un punto di ripristino di windows.
Yes, ma non di nulla di utile sul da farsi.
Si, infatti è quello che voglio provare.
Pulisco e via di ripristino
@Darko http://www.hiren.info/pages/bootcd
Non ci sono punti di ripristino :facepalm:
Salva il salvabile, cambia disco e reinstalla.
Immaginavo... L'hiren boot l'hai provato?
Comunque: ha perso dati importanti? Che prpblemi ci sarebbero a reinstallare?
C'è l'inferno. In pratica mesi di lavoro.
Pure il disco usb :facepalm:
Tutto impestato?
Ok allora secondo me conviene usare il primo link per ripristinare i dati dall'esterno - ovvero secondo computer - e poi reinstallare. Che dici?
Faccio un breve riepilogo della situazione: computer pulito tramite malware-bites e hitman pro.
Ripristinato bitdefender che mio padre teneva inattivo :facepalm:
La fortuna ha voluto che il malware criptasse solo alcuni tipi di file (.jpg .pdf .txt .ods ecc), ma non i file proprietari dei programmi che usa per l'ufficio.
Quindi i dati più importanti dovrebbero essere ok.
I file criptati sono in formato nome_file.est_orig.vvv
Se qualcuno sa come recuperare un file a partire dal .vvv dia suggerimenti.
In ogni caso è da formattare tutto.
Il problema è che quel software esiste solo per windows (SOGEI del cazzo :facepalm:)
Uhm non molto incoraggiante http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#decrypt
Però è datato 2014 :pipp:
Sto lavorando con photorec (sia lodato l'opensource) e sembrerebbe stia recuperando un botto di file, lì dove recuva ha fallito. Speriamo bene :pipp:
La versione .vvv è l'ultima del TeslaCrypt/AlphaCrypt.
Al momento c'è poco da fare. Spero che photorec trovi tutto quello che c'è da trovare.
Scusa, arrivo solo adesso.
http://blog.nln.it/cryptolocker
Riassuntino (per tutti se dovesse servire)
1. Mai aprire la spam (mail tracking di SDA -> link al sito -> scarica pdf.exe.zip -> estrailo -> installalo) (ma spero non serva dirlo)
2. Se si viene infettati e compare il messaggio è tardi, decriptare i file è molto molto difficile (praticamente impossibile)
3. Il computer infetto va scollegato dalla rete, alcune versioni infettano i file delle cartelle condivise.
Detto ciò se esiste un backup formattone e via.
Se non esiste un backup Photorec (io uso Rstudio) è l'unico modo, però è un lavoraccio, perchè vanno cercate le vecchie versioni dei file e non è detto che si trovino.
Eliminare Cryptolocker non è difficile, solo che serve a poco.
Per fortuna comunque infetta solo i file tipo documenti, il resto lo lascia stare.
Se funziona per estensioni è buona cosa fare backup in forma di archivi con estensione farlocca personalizzata.
Prima di andare di photorec e altre robe forensi, farei sempre una copia con dd o quell'altro strumento analogo ma più adatto a queste situazioni.
Serve a poco copiare file criptati.
Citazione di: Cire il 10 Dicembre 2015, 08:26:02
Serve a poco copiare file criptati.
È per usarci photorec ma liberando il disco, così nel frattempo formatta.
Si può impedire la crittografia su tutto il disco?
Con photorec non so, ma usando Rstudio se copi i file del disco su un altro non recuperi più niente, visto che va a recuperare i file cancellati o persi.
Poi il recupero non va fatto sullo stesso disco da cui si sta recuperando, altrimenti si rischia di sovrascrivere quello che si vuole recuperare.
infatti con dd fai una copia bit a bit, quindi non copi solo i file ma tutta la struttura del disco.
il problema è che se hai un disco da 1TB ti ritrovi un'immagine da 1TB quindi comunque ti serve 1TB di disco per ospitarla xD
Bit a bit non è settore a settore, file eliminati non li copi in questo modo.
Io farei il recupero direttamente da quel disco, ma fate come volete.
uhm.. scusa ma bit per bit significa che copia appunto il bit, valorizzato o meno, indipendentemente dal fatto che possa avere senso o meno, per dirti ti ritrovi anche i bit valorizzati a 0, che sono spazio vuoto, ma pure quelli valorizzati ma che non fanno capo a nessun file (intestazione del file eliminata, quindi spazio marcato come vuoto).
Qui, per esempio, parlano di photorec applicato a immagine dd -> http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step
Qui, invece, ti dice come backuppare un disco prima di procedere all'analisi -> http://www.cgsecurity.org/wiki/Damaged_Hard_Disk
questo tipo di copia si fa normalmente proprio per congelare lo stato del disco.
edit: ovviamente magari mi sbaglio eh, però ne ero proprio convinto :pipp:
Intanto photorec lavora da domenica xD
Citazione di: Darko il 10 Dicembre 2015, 10:25:14
Intanto photorec lavora da domenica xD
Rstudio di solito un 4/5 ore ha finito
Citazione di: zeek il 10 Dicembre 2015, 10:19:54
uhm.. scusa ma bit per bit significa che copia appunto il bit, valorizzato o meno, indipendentemente dal fatto che possa avere senso o meno, per dirti ti ritrovi anche i bit valorizzati a 0, che sono spazio vuoto, ma pure quelli valorizzati ma che non fanno capo a nessun file (intestazione del file eliminata, quindi spazio marcato come vuoto).
Qui, per esempio, parlano di photorec applicato a immagine dd -> http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step
Qui, invece, ti dice come backuppare un disco prima di procedere all'analisi -> http://www.cgsecurity.org/wiki/Damaged_Hard_Disk
questo tipo di copia si fa normalmente proprio per congelare lo stato del disco.
edit: ovviamente magari mi sbaglio eh, però ne ero proprio convinto :pipp:
Dagli articoli sembrerebbe che funzioni :pipp:
In ogni caso preferisco farlo direttamente dal disco orginale.
Citazione di: Darko il 10 Dicembre 2015, 10:25:14
Intanto photorec lavora da domenica xD
non ti invidio.
spero che tu abbia almeno filtrato le estensioni tipo txt altrimenti ti ritrovi la peggio mmerda :asd:
... per non parlare dei doppioni :asd:
Preferisco dd perché appunto congeli lo stato del disco. Inoltre puoi fare più copie e più recuperi in parallelo.
C'era anche uno strumento tipo dd per scartare segmenti vuoti del disco, ma non ricordo né nome, né funzionamento. Ovviamente è da usare per le seconde copie.
Per lo spazio chissene, l'ultima volta che ho contato i miei dischi sono arrivato a 6 tera.