Aiuto PC


(GUIDA)Come recuperare files personali criptati da un virus

« Older   Newer »
 
  Share  
.
  1. markofwolves
    Posted on 4/12/2015, 14:35 by: markofwolves
     
    .

    Anziano

    Group
    Member
    Posts
    45

    Status
    Offline
    CITAZIONE (farfugliante @ 24/10/2015, 14:25) 
    Aggiungo ulteriori informazioni che possono essere utili anche per altri utenti.

    1) I messaggi di avviso che ero stato infettato sono arrivati quando il virus ha finito di criptare tutti i file. Il virus si annuncia come Cript0l0cker, con due "zero" al posto delle "o" e pretende il pagamento di circa 300Euro in bitcoin, pena la distruzione della chiave di decriptazione. Ho staccato la rete ma ormai era tardi. Tutti i file con le estensioni più comuni erano stati cancellati e sostituiti con files di estensione .encrypted.

    2) Ho provato al lanciare MALWAREBYTES ANTI-MALWARE, ma non ha trovato nulla e si è bloccato alla fine sulla ricerca euristica.

    3) Seguendo la citazione di Vicky da qui, ho provato a verificare il servizio proposto da Dr.Web, per cui ho acquisito un licenza antivirus (meno di 35 Euro) e il codice cliente che consente di usufruire del servizio di decrittazione gratuito per i clienti. Ho inviato un file .doc e un file .jpg (il secondo deve essere di dimensione maggiore di 2MB) crittati con l'estensione .encrypted

    4) Dopo circa 4 ore mi è arrivato il messaggio che ero stato infettato da Trojan.Encoder.225 e che la decodifica era possibile. Era fornito un link da cui scaricare il tool di decrittazione e allegati c'erano la chiave di decrittazione e il file jpeg che avevo inviato loro correttamente decodificato.

    5) Ho eseguito le operazioni di decodifica secondo istruzioni e dopo alcune ore di lavoro ho avuto i miei circa 90000 file recuperati. Quelli che ho verificato appaiono correttamente decodificati (le foto), ma ho trovato un pdf che Adobe Reader non riconosce, per cui non ho la garanzia che il recupero sia al 100%. Tuttavia passare dall'orlo del baratro ad avere perso solo qualche file fa una differenza enorme. Adesso che sono tornati gli originali procederò alla rimozione di tutti i file .encrypted.

    Questa è la mia esperienza che spero possa servire a qualcuno. Tuttavia penso che il problema rimanga aperto. Credo di dover rimuovere i processi e i file che hanno portato alla contaminazione. Mi pare che FRST (vedi messaggio precedente) identifichi un file strano c:\WINDOWS\ivelypil.exe, ma prima di toccare qualcosa ho davvero bisogno di aiuto. La cosa che penso di fare è passare tutto di nuovo con Avira (l'antivirus che uso), Malwarebytes, e poi con l'antivirus Dr.Web che non ho ancora neppure scaricato pur avendolo acquistato.

    Che ne pensi?

    A presto

    Ciao, sono nella stessa situazione. Mi sono registrato su Dr.web comprando l' antivirus. Ti ho mandato un PM, grazie.

    Ciao Vicky, anche tu sei stato infettato da questo virus?
     
    .
114 replies since 15/4/2015, 09:36   42274 views
  Share  
.

Guide per la sicurezza del pc
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumFree