-
.
Per 200 euro ho salvato dei lavori che al mese mi danno anche 20 volte in più di ricavi. Non posso che ringraziarli anche perchè non parliamo di piccoli file ma anche di grandezze singole di 8GB per un totale di 10 TB di materiale. Insomma cose molto grosse. In tutto questo è normale come 200 e passa euro siano superflue. -
.
Il file deve essere un .doc o un .xls criptato. Ti mandano un software con un altro file dove c'è la chiave. Metti in due file in c: per esempio e lo avvii. Ti fa selezionare il file .dc criptato ed inizia a sistemare tutti i file che trova in c:. I file cryptati rimangono, vanno cancellati manualmente. La cosa migliore è lanciarlo sotto dos così se sceglie ogni volta la patch: te225decrypt.exe -path "D:\Path
Abbastanza veloce, nel senso 50GB li fa in pochi minuti. -
.
Allora diciamo che tutto si è concluso bene ed ho fatto tutto con i russi che sono stati rapidi a rispondere anche per acquistare il servizio in più. L' unica cosa negativa è che, avendo registrato la prima licenza e scaricato il software, si annulla il rimborso. Vuol dire che userò la seconda licenza su un altro computer. Ma oggi sono troppo sollevato anche per pensare che questo giochetto mi poteva costare 35 invece di 215 ma è anche vero che mi stava costando 350 euro senza garanzia del recupero dei file. Pensate che presso dall' agitazione e dalla fretta nel recuperare i file, avevo già fatto richiesta dei bitcoin ma fortunatamente la mia postepay aveva già fatto altre transazioni e quindi non accetto l' esborso. -
.
Ma esiste almeno un modo per vedere qua'è la chiave con cui hanno criptato i file? -
.
Allora, mi ha risposto l' assistenza italiana. Mi hanno detto che le cose sono cambiate e che oggi bisogna per forza comprare il pacchetto che costa 150+iva che comprende la licenza per due anni oltre a vari servizi tra cui il decriptatore. Per il rimborso della licenza acquistata non dovrebbero esserci problemi visto che sul sito di Dr.Web dice che si può chiedere il refund quindi appena ricevo la nuova chiedo il rimborso della prima.
Ora mi sto informando se fanno tutto direttamente in italia o se per l' assistenza devo sempre fare riferimento a Dr.Web. Visto che mi hanno chiesto due file decryptati penso che facciano tutto in Italia anche perchè sul loro sito c'è la possibilità di aprire ticket etc. Alla fine la spesa sarà di 183 euro, sempre meglio che dare 350 euro a quei pezzi di merda senza poi avere la certezza di recupero. -
.
Comunque a quanto pare mi era sfuggita la cosa più importante, che nella risposta in fondo mi hanno scritto: In your case decryption is possible. Penso questo dopo aver analizzato i file che gli ho spedito. Una cosa che non ho capito è che ora comprando Dr.Web Security Space cosa cambia? Nel senso avrò il programma ed il servizio per farmi decryptare i file ma avrò anche una nuova licenza? E con quella vecchia pagata 35 che ci faccio? Sapete se c'è la possibilità di rimborso? Alla fine sto giochetto mi costerà 215 euro 
Purtroppo col fatto che oggi è sabato e domani domenica sono totalmente al buio -
.
Se non è una beffa questa
Dear customer,
Free decryption is possible only if our
antivirus was already installed at your PC at the moment of
infection.
Our policy is that we help with decryption
to our users.
Please read more here - https://news.drweb.com/show/?c=5&i=9713&lng=en
For clients who didn`t have
our license installed at the moment of infection, we have
developed special product - Rescue Pack.
The packet includes the decryption service and a two-year Dr.Web Security Space
license for 1 PC (price for client 150 EUR+ VAT)
To get Rescue Pack, please contact our official distributor in Italy
Hanno cambiato le regole il 25 novembre causa troppe richieste. -
.
Hanno risposto chiedendo dei file più comuni tipo doc, exel e db. Glie li ho mandati. Speriamo bene! -
.
No, ho mandato 5 file tutti differenti tra loro (audio, video, immagine, testo). Ho anche ripulito il pc con il loro programma, non ho formattato nulla comunque. Leggendo il messaggio di farfugliante pensavo che bastasse inviare i file criptati.
File puliti e anche corrotti comunque li ho su c: che con shadow ho recuperato tutto. Il problema sono gli Hard Drive esterni. -
.Il programma purtroppo non va bene per tutti in quanto le chiavi di decriptazione sono diverse.
I files che estensione hanno?
.encrypted -
.Non mandiamo pm,scriviamo eventuali dubbi e problemi qui sul forum in quanto puo' essere d'aiuto per altri.GrazieCITAZIONECiao Vicky, anche tu sei stato infettato da questo virus?
No,ho gli anticorpi.
Più che altro era era per provare la procedura di farfugliante ed il programma che gli aveva mandato dr.web. Questo in attesa di ricevere notizie da loro. Ho aperto il ticket alle 11.30 ma ancora non mi rispondono
Martedì sera scade il riscatto a 299, che poi con bitcoin vanno a finire a 380 ma ho cose troppo ma troppo importanti da recuperare e se non risolvo entro quell' ora sarò costretto a pagare! -
.Aggiungo ulteriori informazioni che possono essere utili anche per altri utenti.
1) I messaggi di avviso che ero stato infettato sono arrivati quando il virus ha finito di criptare tutti i file. Il virus si annuncia come Cript0l0cker, con due "zero" al posto delle "o" e pretende il pagamento di circa 300Euro in bitcoin, pena la distruzione della chiave di decriptazione. Ho staccato la rete ma ormai era tardi. Tutti i file con le estensioni più comuni erano stati cancellati e sostituiti con files di estensione .encrypted.
2) Ho provato al lanciare MALWAREBYTES ANTI-MALWARE, ma non ha trovato nulla e si è bloccato alla fine sulla ricerca euristica.
3) Seguendo la citazione di Vicky da qui, ho provato a verificare il servizio proposto da Dr.Web, per cui ho acquisito un licenza antivirus (meno di 35 Euro) e il codice cliente che consente di usufruire del servizio di decrittazione gratuito per i clienti. Ho inviato un file .doc e un file .jpg (il secondo deve essere di dimensione maggiore di 2MB) crittati con l'estensione .encrypted
4) Dopo circa 4 ore mi è arrivato il messaggio che ero stato infettato da Trojan.Encoder.225 e che la decodifica era possibile. Era fornito un link da cui scaricare il tool di decrittazione e allegati c'erano la chiave di decrittazione e il file jpeg che avevo inviato loro correttamente decodificato.
5) Ho eseguito le operazioni di decodifica secondo istruzioni e dopo alcune ore di lavoro ho avuto i miei circa 90000 file recuperati. Quelli che ho verificato appaiono correttamente decodificati (le foto), ma ho trovato un pdf che Adobe Reader non riconosce, per cui non ho la garanzia che il recupero sia al 100%. Tuttavia passare dall'orlo del baratro ad avere perso solo qualche file fa una differenza enorme. Adesso che sono tornati gli originali procederò alla rimozione di tutti i file .encrypted.
Questa è la mia esperienza che spero possa servire a qualcuno. Tuttavia penso che il problema rimanga aperto. Credo di dover rimuovere i processi e i file che hanno portato alla contaminazione. Mi pare che FRST (vedi messaggio precedente) identifichi un file strano c:\WINDOWS\ivelypil.exe, ma prima di toccare qualcosa ho davvero bisogno di aiuto. La cosa che penso di fare è passare tutto di nuovo con Avira (l'antivirus che uso), Malwarebytes, e poi con l'antivirus Dr.Web che non ho ancora neppure scaricato pur avendolo acquistato.
Che ne pensi?
A presto
Ciao, sono nella stessa situazione. Mi sono registrato su Dr.web comprando l' antivirus. Ti ho mandato un PM, grazie.
Ciao Vicky, anche tu sei stato infettato da questo virus?
Posts written by markofwolves |