Aiuto PC

(GUIDA)Come recuperare files personali criptati da un virus

« Older   Newer »
 
  Share  
.
  1.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous

    Come recuperare files personali criptati da un virus


    Di solito i nostri documenti personali vengono criptati con delle chiavi non facilmente individuabili da software che si trovano in rete.Pertanto se la guida in basso non vi aiuta e se avete bisogno di recuperare i vostri documenti lo potete fare sul sito di dr.web.
    E' uno dei pochi che riesce a decifrare la chiave di decriptazione.
    Solo che dalla fine di Novembre è cambiata la loro politica,mentre prima bastava acquistare un loro prodotto a pochi euro per ricevere la chiave di decriptazione tramite l'invio di alcuni vostri files,adesso per poter ricevere la loro assistenza si deve aver installato il loro antivirus prima dell'infezione o acquistare un loro prodotto alla cifra di 150 euro.
    https://news.drweb.com/show/?c=5&i=9713&lng=en
    Controllate sempre gli aggiornamenti in basso perchè alcune varianti è possibile decodificarle.

    Al momento è possibile decriptare TESLACRYPT(estensione dei files .vvv .ccc .abc .aaa .ecc .exx .ezz .zzz .abc)


    Modi per tentare di recuperare i nostri file criptati dall'infezione:

    1)Usando Shadow Copy
    Le shadow copy sono delle copie dei nostri file qualora avessimo attivato il ripristino configurazione di sistema.
    Di solito i ransom cancellano queste copie impedendoci di ripristinare i nostri files.Alcune volte la procedura di cancellazione del ransom non funziona,quindi diamo sempre un'occhiata alle copie shadow se presenti.

    Per accedervi cliccare con il pulsante destro del mouse su una cartella-proprietà-versioni precedenti e ripristinare l'ultima versione disponibile

    png

    2)Ripristino dei file usando dropbox (solo per chi ha condiviso i file sul sito web di dropbox)
    Qui www.dropbox.com/it/help/11 trovi una guida su come fare

    3)Utilizzando dei tools appositi in base al tipo di ransom

    4)Utilizzando software di recupero file cancellati,tipo Recuva od altri.


    NEWS AGGIORNAMENTO GENNAIO 2016
    Ransom TESLACRYPT(estensione dei files .xxx .ttt .micro)
    Al momento non è possibile una soluzione per la decriptazione dei files

    AGGIORNAMENTO DICEMBRE 2015
    Ransom TESLACRYPT(estensione dei file .vvv .ccc .abc .aaa .ecc .exx .ezz .zzz )

    E' possibile decriptare questa nuova variante del ransom che rinomina i file in .VVV etc.
    Chi è stato infettato e ha ritrovato i propri files con l'estensione sopra indicata puo' seguire questa procedura di decriptazione #entry585757308

    Aggiornamento Dicembre 2015
    Chi è stato infettato in questo periodo legga questo articolo per controllare se la variante è la stessa in quanto c'è possibilità di recupero files

    Aggiornamento Maggio 2015)
    Per chi è stato infettato nel mese di Maggio 2015 dal Cryptolocker PClock c'è la possibililità di recuperare i files.
    Per i periodi successivi il ransom potrebbe essere di variante diversa e quindi difficoltoso recuperare i files.

    Ultimamente alcuni helper di bleepingcomputer hanno trovato il modo di decriptare I files della nuova variante del Cryptolooker PClock anche se le varianti sono in evoluzione.

    Prima di eseguire qualsiasi operazione, anche di rimozione del virus, accertarsi di quale variante si tratti controllando l'immagine che vi appare a schermo sul desktop.(Se non sapete individuarla postare uno screen shot dell'immagine in questa discussione riportando anche se i file hanno l'estensione rinominata e quale).

    Quando PClock cripta i file crea un documento di testo localizzato in %­UserProfile%\enc_files.txt (C:\utenti\tuo nome utente) che contiene la lista dei file criptati.Controllare se è presentre tale file.

    Il malware è localizzato in %AppData%\WinCL\WinCL.exe (C:\Users\tuo nome utente\AppData\Roaming\wincl\wincl.exe)
    e cancella le Shadow Volume Copies per impedire di recuperare i file da un backup,anche se l'infezione muta e l'eseguibile puo' trovarsi in altre directory.

    Il tool per decriptare i file è a questo indirizzo http://emsi.at/DecryptPClock2

    Per decriptare i files scarica Emsisoft Decryptor e salvalo sul desktop.Una volta scaricato fai doppio click sul file,il programma automaticamente importerà la lista da %­UserProfile%\enc_files.txt list.Premere quindi il pulsante DECRYPT.

    Il programma comincerà a lavorare.Al termine creerà una copia del file originale criptato rinominato a *.decbak mentre creerà un nuovo file decriptato nella stessa cartella.

    Se durante l'esecuzione del tool appare il messaggio che indica che il tool non è riuscito a trovare la chiave sul tuo sistema è per diversi motivi:
    1)La variante che ha infettato il tuo pc non è supportata dal decrypter
    2)Te o alcuni programmi per la sicurezza hanno eliminato i file dell'infezione

    Queste sono le percentuali di successo del tool:
    I Files criptati della variante 1 possono essere ripristinati in tutti i casi
    I Files criptati della variante 2 possono essere ripristinati nel 95% dei casi
    I Files criptati della variante 3 possono essere ripristinati nel 95% dei casi
    I Files criptati della variante 4 possono essere ripristinati nell'1% dei casi
    I Files criptati della variante 5 possono essere ripristinati nel 95% dei casi
    I Files criptati della variante 5 possono essere ripristinati nel 95% dei casi
    I Files criptati della variante 5 possono essere ripristinati nel 95% dei casi



    png

    Se nell'immagine vediamo un url che inizia con "http://invisioncorp." siamo stati infettati dalla variante 1 o 2.
    Se nell'immagine vediamo un url che inizia con "http://korworks." siamo stati infettati dalla variante 3(se contiene "wl/" alla fine dell'URL)5(se contiene "wl2/" alla fine dell'URL)6(se contiene "wl3/" alla fine dell'URL)7(se contiene "wl4/" alla fine dell'URL)
    Se nell'immagine vediamo un url che inizia con "http://vgresgrweu5vpucb." siamo stati infettati dalla variante 4.

    Dato che l'infezione è in continua evoluzione le immagini postate potrebbero essere differenti nel vostro caso.

    In seguito se tutto si è svolto correttamente puoi cancellare i file con estensione .decbak creando un file di testo copiandoci dentro il seguente codice:
    HTML
    echo off
    del /A/F/S c:\*.decbak


    Salvare il file facendo salva con nome e scrivendo in
    "nome file": un nome a vostra scelta:esempio: delete.bat
    "salva come": inserire "tutti i file"

    IMPORTANTE:Una volta decriptati i files sarà necessario eliminare il virus.Postare il problema in questa discussione allegando un log di Farbar recovery Scan Tool come descritto qui

    ALTRE VARIANTI DI RANSOM


    CRYPTOWALL
    www.bleepingcomputer.com/virus-remo...are-information
    Bassa possibilità di recupero files

    CRYPTORBIT
    www.bleepingcomputer.com/virus-remo...are-information
    possibilità di recupero files

    COINVAULT
    www.bleepingcomputer.com/virus-remo...are-information
    bassa possibilità di recupero files

    CTB-LOCKER
    www.bleepingcomputer.com/virus-remo...are-information
    bassa possibilità di recupero files

    CRYPTOLOCKER
    www.bleepingcomputer.com/virus-remo...are-information
    bassa possibilità di recupero files

    PCLOCK-CRYPTOLOOKER
    www.bleepingcomputer.com/forums/t/5...are-discovered/
    Alta possibilità di recupero files.

    Edited by vicky67 - 28/1/2016, 10:56
     
    .
  2. TheMalwareMaster
     
    .

    User deleted


    Purtroppo con l ulima versione del cryptolocker non si possono più recuperare file con la shadow perché vengono cancellate
     
    .
  3.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous
    ciao
    Non solo con l'ultima versione ma un po' con tutte.Come spiegato nella guida solo se la procedura di cancellazione non funziona è possibile fare qualcosa con quelle copie.
     
    .
  4. president7977
     
    .

    User deleted


    ciao a tutti la mia titolare aprendo la posta ha scaricato queto virus, sono riuscito a recuperare praticamente tutto attraverso le versioni precedenti delle cartelle, ma avrei delle cartelle nel hard disk di backup che si sono infettate e nel hard disk non riesco ad usare questo procedimento, la mia domanda è posso dire al programma di andare a decriptare anche le cartelle nel hard disk in rete?
     
    .
  5.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous
    ciao president7977
    CITAZIONE
    posso dire al programma di andare a decriptare anche le cartelle nel hard disk in rete?

    Di quale programma stai parlando?Parli del ripristino delle copie delle cartelle o files?
    La protezione del sistema potrebbe non essere attivata per l'unità su cui sono archiviati i file,quindi se la protezione del sistema non è attiva, Windows non può creare versioni precedenti.

    Puoi ritenerti molto soddisfatto che sia riuscito a recuperare i file sul pc con quelle copie.

    Edited by vicky67 - 18/7/2015, 09:11
     
    .
  6. farfugliante
     
    .

    User deleted


    Ciao Vicky,
    purtroppo penso di avere, e non so come, preso il virus Cryptolocker perché molti file sono stati cambiati di estensione in .encrypted.

    La cosa strana, rispetto ad altre situazioni che ho letto è che i browser non mi danno alcun messaggio, mentre nella directory Documenti ho trovato un file ISTRUZIONI_DI_DECRITTAZIONE.txt. Inoltre non tutti i file sono crittati, ma ho il sospetto che l'infezione si possa propagare per cui vorrei spegnere il PC, ma poi ho paura a riavviarlo.

    Chiedo il tuo aiuto che in passato mi hai più volte fornito con grande competenza.

    Allego comunque FRST.txt.

    Grazie in anticipo.
    File Allegato
    FRST.txt
    (Number of downloads: 185)

     
    .
  7. farfugliante
     
    .

    User deleted


    Aggiungo ulteriori informazioni che possono essere utili anche per altri utenti.

    1) I messaggi di avviso che ero stato infettato sono arrivati quando il virus ha finito di criptare tutti i file. Il virus si annuncia come Cript0l0cker, con due "zero" al posto delle "o" e pretende il pagamento di circa 300Euro in bitcoin, pena la distruzione della chiave di decriptazione. Ho staccato la rete ma ormai era tardi. Tutti i file con le estensioni più comuni erano stati cancellati e sostituiti con files di estensione .encrypted.

    2) Ho provato al lanciare MALWAREBYTES ANTI-MALWARE, ma non ha trovato nulla e si è bloccato alla fine sulla ricerca euristica.

    3) Seguendo la citazione di Vicky da qui, ho provato a verificare il servizio proposto da Dr.Web, per cui ho acquisito un licenza antivirus (meno di 35 Euro) e il codice cliente che consente di usufruire del servizio di decrittazione gratuito per i clienti. Ho inviato un file .doc e un file .jpg (il secondo deve essere di dimensione maggiore di 2MB) crittati con l'estensione .encrypted

    4) Dopo circa 4 ore mi è arrivato il messaggio che ero stato infettato da Trojan.Encoder.225 e che la decodifica era possibile. Era fornito un link da cui scaricare il tool di decrittazione e allegati c'erano la chiave di decrittazione e il file jpeg che avevo inviato loro correttamente decodificato.

    5) Ho eseguito le operazioni di decodifica secondo istruzioni e dopo alcune ore di lavoro ho avuto i miei circa 90000 file recuperati. Quelli che ho verificato appaiono correttamente decodificati (le foto), ma ho trovato un pdf che Adobe Reader non riconosce, per cui non ho la garanzia che il recupero sia al 100%. Tuttavia passare dall'orlo del baratro ad avere perso solo qualche file fa una differenza enorme. Adesso che sono tornati gli originali procederò alla rimozione di tutti i file .encrypted.

    Questa è la mia esperienza che spero possa servire a qualcuno. Tuttavia penso che il problema rimanga aperto. Credo di dover rimuovere i processi e i file che hanno portato alla contaminazione. Mi pare che FRST (vedi messaggio precedente) identifichi un file strano c:\WINDOWS\ivelypil.exe, ma prima di toccare qualcosa ho davvero bisogno di aiuto. La cosa che penso di fare è passare tutto di nuovo con Avira (l'antivirus che uso), Malwarebytes, e poi con l'antivirus Dr.Web che non ho ancora neppure scaricato pur avendolo acquistato.

    Che ne pensi?

    A presto
     
    .
  8.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous
    ciao Farfugliante
    Per il cryptolooker purtroppo l'unica soluzione per recuperare i files è affidarsi a dr.web.
    Per eliminare i rimasugli lasciati dall'infezion scarica il file in allegato nella stessa directory di FRST e clicca sul pulsante FIX.
    Poi dai una pulita al sistema con ccleaner o simili.
    Puoi se vuoi eseguire anche la scansione con dr.web.
    File Allegato
    fixlist.txt
    (Number of downloads: 162)

     
    .
  9. farfugliante
     
    .

    User deleted


    Grazie della risposta Vicky.

    Ho proceduto con il fix. Questo è il fixlog, che però presenta un errore e la cartella da fixare è ancora lì.

    Fix result of Farbar Recovery Scan Tool (x86) Version:22-10-2015
    Ran by pc (2015-10-24 18:45:56) Run:1
    Running from C:\Documents and Settings\pc\Desktop
    Loaded Profiles: pc & (Available Profiles: pc & Administrator & Guest)
    Boot Mode: Normal

    ==============================================

    fixlist content:
    *****************
    HKLM\...\Run: [nlupekuh] => C:\WINDOWS\ivelypil.exe [335872 2015-10-23] ()
    015-10-23 19:42 - 2015-10-23 19:43 - 00000000 ____D C:\Documents and Settings\All Users\Dati applicazioni\evawydobeqywusuq
    2015-10-23 19:42 - 2015-10-23 19:42 - 00335872 _____ C:\WINDOWS\ivelypil.exe
    EmptyTemp:
    *****************

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\nlupekuh => value removed successfully.
    015-10-23 19:42 - 2015-10-23 19:43 - 00000000 ____D C:\Documents and Settings\All Users\Dati applicazioni\evawydobeqywusuq => Error: No automatic fix found for this entry.
    C:\WINDOWS\ivelypil.exe => moved successfully
    EmptyTemp: => 4 GB temporary data Removed.


    The system needed a reboot.

    ==== End of Fixlog 18:47:00 ====
     
    .
  10.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous
    Mancava il 2 davanti alla data. Cancellala manualmente.
    Sposerò questa discussione nella guida per essere più visibile ad altri.
     
    .
  11.  
    .
    Avatar

    Anziano

    Group
    Member
    Posts
    45

    Status
    Offline
    CITAZIONE (farfugliante @ 24/10/2015, 14:25) 
    Aggiungo ulteriori informazioni che possono essere utili anche per altri utenti.

    1) I messaggi di avviso che ero stato infettato sono arrivati quando il virus ha finito di criptare tutti i file. Il virus si annuncia come Cript0l0cker, con due "zero" al posto delle "o" e pretende il pagamento di circa 300Euro in bitcoin, pena la distruzione della chiave di decriptazione. Ho staccato la rete ma ormai era tardi. Tutti i file con le estensioni più comuni erano stati cancellati e sostituiti con files di estensione .encrypted.

    2) Ho provato al lanciare MALWAREBYTES ANTI-MALWARE, ma non ha trovato nulla e si è bloccato alla fine sulla ricerca euristica.

    3) Seguendo la citazione di Vicky da qui, ho provato a verificare il servizio proposto da Dr.Web, per cui ho acquisito un licenza antivirus (meno di 35 Euro) e il codice cliente che consente di usufruire del servizio di decrittazione gratuito per i clienti. Ho inviato un file .doc e un file .jpg (il secondo deve essere di dimensione maggiore di 2MB) crittati con l'estensione .encrypted

    4) Dopo circa 4 ore mi è arrivato il messaggio che ero stato infettato da Trojan.Encoder.225 e che la decodifica era possibile. Era fornito un link da cui scaricare il tool di decrittazione e allegati c'erano la chiave di decrittazione e il file jpeg che avevo inviato loro correttamente decodificato.

    5) Ho eseguito le operazioni di decodifica secondo istruzioni e dopo alcune ore di lavoro ho avuto i miei circa 90000 file recuperati. Quelli che ho verificato appaiono correttamente decodificati (le foto), ma ho trovato un pdf che Adobe Reader non riconosce, per cui non ho la garanzia che il recupero sia al 100%. Tuttavia passare dall'orlo del baratro ad avere perso solo qualche file fa una differenza enorme. Adesso che sono tornati gli originali procederò alla rimozione di tutti i file .encrypted.

    Questa è la mia esperienza che spero possa servire a qualcuno. Tuttavia penso che il problema rimanga aperto. Credo di dover rimuovere i processi e i file che hanno portato alla contaminazione. Mi pare che FRST (vedi messaggio precedente) identifichi un file strano c:\WINDOWS\ivelypil.exe, ma prima di toccare qualcosa ho davvero bisogno di aiuto. La cosa che penso di fare è passare tutto di nuovo con Avira (l'antivirus che uso), Malwarebytes, e poi con l'antivirus Dr.Web che non ho ancora neppure scaricato pur avendolo acquistato.

    Che ne pensi?

    A presto

    Ciao, sono nella stessa situazione. Mi sono registrato su Dr.web comprando l' antivirus. Ti ho mandato un PM, grazie.

    Ciao Vicky, anche tu sei stato infettato da questo virus?
     
    .
  12.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous
    Non mandiamo pm,scriviamo eventuali dubbi e problemi qui sul forum in quanto puo' essere d'aiuto per altri.Grazie

    CITAZIONE
    Ciao Vicky, anche tu sei stato infettato da questo virus?

    No,ho gli anticorpi. :D
     
    .
  13.  
    .
    Avatar

    Anziano

    Group
    Member
    Posts
    45

    Status
    Offline
    CITAZIONE (vicky67 @ 4/12/2015, 17:17) 
    Non mandiamo pm,scriviamo eventuali dubbi e problemi qui sul forum in quanto puo' essere d'aiuto per altri.Grazie

    CITAZIONE
    Ciao Vicky, anche tu sei stato infettato da questo virus?

    No,ho gli anticorpi. :D

    Più che altro era era per provare la procedura di farfugliante ed il programma che gli aveva mandato dr.web. Questo in attesa di ricevere notizie da loro. Ho aperto il ticket alle 11.30 ma ancora non mi rispondono :(
    Martedì sera scade il riscatto a 299, che poi con bitcoin vanno a finire a 380 ma ho cose troppo ma troppo importanti da recuperare e se non risolvo entro quell' ora sarò costretto a pagare! :(
     
    .
  14.  
    .
    Avatar

    Master Malware Expert

    Group
    Administrator
    Posts
    4,513
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous
    Il programma purtroppo non va bene per tutti in quanto le chiavi di decriptazione sono diverse.
    I files che estensione hanno?
     
    .
  15.  
    .
    Avatar

    Anziano

    Group
    Member
    Posts
    45

    Status
    Offline
    CITAZIONE (vicky67 @ 4/12/2015, 17:28) 
    Il programma purtroppo non va bene per tutti in quanto le chiavi di decriptazione sono diverse.
    I files che estensione hanno?

    .encrypted
     
    .
114 replies since 15/4/2015, 09:36   42254 views
  Share  
.