BUBS - Barely Ubuntu Bar Sport

Nerd Bar => Supporto TeNNico => Topic aperto da: Darko - 05 Dicembre 2015, 11:57:06

Titolo: Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 11:57:06
io padre si r beccato sta merda.
Come fare a sistemare?

Windows 7 ultimate
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 12:32:06
:omg:

Spegni il computer, intanto xD

Poi vediamo..
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 12:34:57
Cazzarola.
È una rogna e in rete si legge tutto e il contrario di tutto.
Intanto sto provando questo
Https://malwaretips.com/blogs/remove-cryptolocker-virus
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 12:35:40
Questo l'hai letto vero?
http://www.tomshw.it/news/cryptowall-4-0-e-chimera-il-ramsonware-e-scatenato-71681
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 12:36:16
Purtroppo sono a roma e non ho il pc dietro :(

Edit: ah ok questo recupera al più i file, ma già sarebbe tanto toglierlo xD

Dalla modalità provvisoria partirà?
Ci vorrebbe un bootcd tipo quello di kaspersky e vedere se intanto riesce a togliere qualcosa. Puoi provare anche con un punto di ripristino di windows.
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 12:41:53
Yes, ma non di nulla di utile sul da farsi.

Si, infatti è quello che voglio provare.
Pulisco e via di ripristino
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 13:14:41
@Darko http://www.hiren.info/pages/bootcd
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 13:58:40
Non ci sono punti di ripristino :facepalm:
Titolo: Re:Cryptowall di merda
Inserito da: noi3 - 05 Dicembre 2015, 13:59:29
Salva il salvabile, cambia disco e reinstalla.
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 14:00:39
Immaginavo... L'hiren boot l'hai provato?

Comunque: ha perso dati importanti? Che prpblemi ci sarebbero a reinstallare?
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 14:10:16
C'è l'inferno. In pratica mesi di lavoro.
Pure il disco usb :facepalm:
Titolo: Re:Cryptowall di merda
Inserito da: noi3 - 05 Dicembre 2015, 14:11:25
Tutto impestato?
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 14:14:45
Ok allora secondo me conviene usare il primo link per ripristinare i dati dall'esterno - ovvero secondo computer - e poi reinstallare. Che dici?
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 14:52:10
Faccio un breve riepilogo della situazione: computer pulito tramite malware-bites e hitman pro.
Ripristinato bitdefender che mio padre teneva inattivo :facepalm:

La fortuna ha voluto che il malware criptasse solo alcuni tipi di file (.jpg .pdf .txt .ods ecc), ma non i file proprietari dei programmi che usa per l'ufficio.
Quindi i dati più importanti dovrebbero essere ok.

I file criptati sono in formato nome_file.est_orig.vvv
Se qualcuno sa come recuperare un file a partire dal .vvv dia suggerimenti.

In ogni caso è da formattare tutto.
Il problema è che quel software esiste solo per windows (SOGEI del cazzo :facepalm:)
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 05 Dicembre 2015, 15:03:39
Uhm non molto incoraggiante http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#decrypt
Però è datato 2014 :pipp:
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 15:09:49
Sto lavorando con photorec (sia lodato l'opensource) e sembrerebbe stia recuperando un botto di file, lì dove recuva ha fallito. Speriamo bene :pipp:
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 05 Dicembre 2015, 15:16:50
La versione .vvv è l'ultima del TeslaCrypt/AlphaCrypt.
Al momento c'è poco da fare. Spero che photorec trovi tutto quello che c'è da trovare.
Titolo: Re:Cryptowall di merda
Inserito da: Cire - 09 Dicembre 2015, 09:20:04
Scusa, arrivo solo adesso.

http://blog.nln.it/cryptolocker

Riassuntino (per tutti se dovesse servire)

1. Mai aprire la spam (mail tracking di SDA -> link al sito -> scarica pdf.exe.zip -> estrailo -> installalo) (ma spero non serva dirlo)
2. Se si viene infettati e compare il messaggio è tardi, decriptare i file è molto molto difficile (praticamente impossibile)
3. Il computer infetto va scollegato dalla rete, alcune versioni infettano i file delle cartelle condivise.

Detto ciò se esiste un backup formattone e via.

Se non esiste un backup Photorec (io uso Rstudio) è l'unico modo, però è un lavoraccio, perchè vanno cercate le vecchie versioni dei file e non è detto che si trovino.

Eliminare Cryptolocker non è difficile, solo che serve a poco.

Per fortuna comunque infetta solo i file tipo documenti, il resto lo lascia stare.
Titolo: Re:Cryptowall di merda
Inserito da: Buntolo - 10 Dicembre 2015, 00:53:51
Se funziona per estensioni è buona cosa fare backup in forma di archivi con estensione farlocca personalizzata.

Prima di andare di photorec e altre robe forensi, farei sempre una copia con dd o quell'altro strumento analogo ma più adatto a queste situazioni.
Titolo: Re:Cryptowall di merda
Inserito da: Cire - 10 Dicembre 2015, 08:26:02
Serve a poco copiare file criptati.
Titolo: Re:Cryptowall di merda
Inserito da: Buntolo - 10 Dicembre 2015, 08:44:18
Serve a poco copiare file criptati.

È per usarci photorec ma liberando il disco, così nel frattempo formatta.

Si può impedire la crittografia su tutto il disco?
Titolo: Re:Cryptowall di merda
Inserito da: Cire - 10 Dicembre 2015, 09:05:49
Con photorec non so, ma usando Rstudio se copi i file del disco su un altro non recuperi più niente, visto che va a recuperare i file cancellati o persi.

Poi il recupero non va fatto sullo stesso disco da cui si sta recuperando, altrimenti si rischia di sovrascrivere quello che si vuole recuperare.
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 10 Dicembre 2015, 09:36:26
infatti con dd fai una copia bit a bit, quindi non copi solo i file ma tutta la struttura del disco.

il problema è che se hai un disco da 1TB ti ritrovi un'immagine da 1TB quindi comunque ti serve 1TB di disco per ospitarla xD
Titolo: Re:Cryptowall di merda
Inserito da: Cire - 10 Dicembre 2015, 10:02:23
Bit a bit non è settore a settore, file eliminati non li copi in questo modo.

Io farei il recupero direttamente da quel disco, ma fate come volete.
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 10 Dicembre 2015, 10:19:54
uhm.. scusa ma bit per bit significa che copia appunto il bit, valorizzato o meno, indipendentemente dal fatto che possa avere senso o meno, per dirti ti ritrovi anche i bit valorizzati a 0, che sono spazio vuoto, ma pure quelli valorizzati ma che non fanno capo a nessun file (intestazione del file eliminata, quindi spazio marcato come vuoto).
Qui, per esempio, parlano di photorec applicato a immagine dd -> http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step
Qui, invece, ti dice come backuppare un disco prima di procedere all'analisi -> http://www.cgsecurity.org/wiki/Damaged_Hard_Disk
questo tipo di copia si fa normalmente proprio per congelare lo stato del disco.

edit: ovviamente magari mi sbaglio eh, però ne ero proprio convinto :pipp:
Titolo: Re:Cryptowall di merda
Inserito da: Darko - 10 Dicembre 2015, 10:25:14
Intanto photorec lavora da domenica xD
Titolo: Re:Cryptowall di merda
Inserito da: Cire - 10 Dicembre 2015, 10:26:29
Intanto photorec lavora da domenica xD
Rstudio di solito un 4/5 ore ha finito

uhm.. scusa ma bit per bit significa che copia appunto il bit, valorizzato o meno, indipendentemente dal fatto che possa avere senso o meno, per dirti ti ritrovi anche i bit valorizzati a 0, che sono spazio vuoto, ma pure quelli valorizzati ma che non fanno capo a nessun file (intestazione del file eliminata, quindi spazio marcato come vuoto).
Qui, per esempio, parlano di photorec applicato a immagine dd -> http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step
Qui, invece, ti dice come backuppare un disco prima di procedere all'analisi -> http://www.cgsecurity.org/wiki/Damaged_Hard_Disk
questo tipo di copia si fa normalmente proprio per congelare lo stato del disco.

edit: ovviamente magari mi sbaglio eh, però ne ero proprio convinto :pipp:
Dagli articoli sembrerebbe che funzioni  :pipp:
In ogni caso preferisco farlo direttamente dal disco orginale.
Titolo: Re:Cryptowall di merda
Inserito da: zeek - 10 Dicembre 2015, 10:38:10
Intanto photorec lavora da domenica xD

non ti invidio.
spero che tu abbia almeno filtrato le estensioni tipo txt altrimenti ti ritrovi la peggio mmerda :asd:
... per non parlare dei doppioni :asd:
Titolo: Re:Cryptowall di merda
Inserito da: Buntolo - 10 Dicembre 2015, 11:48:01
Preferisco dd perché appunto congeli lo stato del disco. Inoltre puoi fare più copie e più recuperi in parallelo.

C'era anche uno strumento tipo dd per scartare segmenti vuoti del disco, ma non ricordo né nome, né funzionamento. Ovviamente è da usare per le seconde copie.

Per lo spazio chissene, l'ultima volta che ho contato i miei dischi sono arrivato a 6 tera.