Bitcoin Forum

https://i.imgur.com/s6xoB69.jpg


Sono stato contattato da più persone che sono incorse in questo virus.
Questo è un virus che chiede il riscatto! Il suo nome tecnico è infatti ransomware, da to ransom, rapire
Una volta in esecuzione è in grado di cryptare tutto l'hard disk della macchina nonchè tutti i dischi in rete, Backup e Nas compresi.

Inviando il riscatto in Bitcoin ad un indirizzo indicato nella schermata del virus entro 72 ore dal contagio, si riceve la chiave privata - il virus adotta due chiavi una pubblica e una privata a 2048 bit - che permette di decrittare tutti i dischi e debellare il virus dalle macchine.
Dopo questo tempo è probabile che il server non sia più attivo e qui sta la novità: è messo a disposizione un sito Internet presso la darknet di TOR per scaricare un programma di decrittazione che contiene la nostra private key personale.

Le solite precauzioni dovrebbero bastare per non essere contagiati, non aprire mail sospette, non eseguire file sospetti allegati a mail da sconosciuti, disabilitare javascript e dare permessi solo a ciò che è realmente indispensabile per la produttività.
In caso foste incappati malaguratamente in questa calamità, tenete presente che oltre ai BTC richiesti dal virus (di solito 0,5 btc) è bene reperire sul mercato anche i fondi richiesti per inviare i btc all'indirizzo proposto (fees dei minatori circa 0,001 btc).

Consigliato vivamente fare backup esterni e copie di sicurezza in Cloud

RISERVATO

- seconda stesura -
contributo Sandro Kensan

per criptare tutto ci metterà almeno un oretta solo per i dischi locali, se è vero che cripta tutto, quindi come è possibile non accorgersene?
non sarà semplicemente come il virus che ti apriva una finestra della GdF chiedendoti 100€ per farlo ripartire (quando bastava entrare da riga di comando per risolvere il tutto in 3 minuti?)

No questo funziona davvero http://en.wikipedia.org/wiki/CryptoLocker

Interessante questo:

In December 2013, ZDNet traced four Bitcoin addresses posted by users who had been infected by CryptoLocker, in an attempt to gauge the operators' earnings. The four addresses showed movement of 41,928 BTC between October 15 and December 18, a value of about $27,000,000 USD per the exchange rate at that point in time

Grazie per il post !

Magari questo non funziona, pero' l'idea e' pericolosa... se hai i dati sulla nas, e il backup su usb,
ma per sfiga questo (o altro che segue questa idea) durante la notte di cripta /cancella tutto,
(pc, nas, copie magari lasciare erroneamente collegate) rischi di rimanere fottuto !

E' bene saperle certe cose :)

No, purtroppo funziona eccome, fa parte della famigerata famiglia dei ransomware. Non cripta l'intero disco, ma i file personali (documenti, foto, presentazioni ecc...). http://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery/

Davvero interessante. Fortuna vuole che non mi ci sia ancora mai incrociato, neanche per lavoro.

Certo l' idea è fine, c'è da congratularsi per l' ingegno. Per il resto... tacciloro  :D :D




FaSan

Ho letto tempo fa di una variante che oltre al ricatto ti attiva anche la webcam, mostrando il tuo volto sullo schermo  :D cattivi fino all'osso  ;D

Anch'io ho trovato l'idea di Cryptolocker sinistramente interessante e ho scritto un testo sull'argomento:

http://www.kensan.it/articoli/Ransomware.php

Ragazzi riporto in alto questo topic, mi ha appena chiamato mio fratello, che non saprebbe distinguere un bitcoin da un wurstel, che ha preso sto virus. In pratica la moglie cercava una cosa su un sito universitario e dopo 2 ore è uscita la schermata ecc.
Aveva 4 hard disk collegati e tutti e 4 sono stati criptati, ma come ha fatto in sole 2 ore? Ok che crypta solo i file personali, ma tra foto, video e file di lavoro, saranno stati almeno 300 giga.
Aveva un casino di lavori e soprattutto di foto delle bambine, nessuna possibilità di recupero (ovviamente senza pagare)?

Riusciresti ad avviare il PC con un live CD di ubuntu per vedere se i file sono effettivamente criptati o ancora in chiaro?

Mai usato linux, non saprei, però per prova gli ho fatto mettere le foto su un hosting mio e poi le ho scaricate su un mio pc (pc di prova, che formatto ogni giorno) e in effetti i file non si vedono, il visualizzatore foto dice "caricamente immagine" ma non va avanti

Davvero interessante come virus , non sapevo dell'esistenza di esso fino a che non mi sono imbattuto in questo thread.

Come dice brutale2 :

Scusate per curiosità quanti btc chiedono di riscatto?

C'è scritto tutto nell' OP :

Sticazzi, 150 euro mica poco.

Personalmente però considererei l'opzione di pagarli per non perdere tutto.
Se andassi da un tecnico la spesa sarebbe la stassa e non risolverei nulla.

C'è anche il rischio che non si risolva nulla neanche pagando però...

Finchè ci sarà gente che ragiona così, questi continueranno a fare stè porcate. Meglio darli ad un tecnico, IMHO.



FaSan

meglio darli al tecnico se c'è qualche possibilità. Ma se son criptati...

Edit.
Che poi, al 90% il tecnico te ne chiede 200 e con 150 ci paga il virus

Non chiedono mezzo bitcoin, chiedono 500 euro/dollari, questa schermata postata è vecchia, ora hanno cambiato a 500 euro.
Mio fratello guadagna 1000 euro al mese e ha moglie e 2 figlie, casa in affitto, non si può permettere ne 500 euro, ma nemmeno 200 per un tecnico, quindi direi che i file sono perduti.
Sta gente andrebbe uccisa e lasciata appesa in piazza come promemoria.

Mi chiedo, secondo voi, come abbia fatto a cryptare 300 giga in 1-2 ore massimo, con un pc abbastanza vecchio.

Magari i dati non sono stati criptati, ma avranno lavorato solo sulla fat. Oppure il processo ha continuato in background anche durante la schermata.

Se vuoi ti lascio i miei dati in pvt, mandami l' HDD che te lo controllo.




FaSan

Fasan ti ringrazio, ma dopo varie prove, stamattina mio fratello ha pensato bene di formattare i dischi a bassa risoluzione e ricominciare da zero :)

Per ultima prova, gli ho fatto mettere uno dei diski su un pc vergine e cmq non li apriva e poi ha attaccato il disco usb alla tv e non riusciva a leggere i file video

bastava avere backup dei file nel pc(cosa sempre gradita) e fare poi secure erase...

profit?

Bene, adesso prova con un recupero files cancellati e vedi che esce fuori ;)




FaSan

Avoja se sono crittati, Cryptolocker funziona e come. E se decidi di non pagare amen, hai davvero perso tutto. Unica salvezza? Un backup, direi "non usate Windows", ma il virus è talmente banale, tecnicamente, che a portarlo su Linux, se ne valesse la pena, ci metterebbero davvero poco (e magari lo hanno già fatto?).
E anche se mi attirerò contro le ire di molti, mi viene da dire ottimo virus, complimenti al creatore :D (non si fanno queste cose!)

(si fanno)
(non si fanno!)
(si fanno, si fanno)
(no no no !)

Per un momento credevo ci fosse tipo scritto "Scemo chi legge" ^^

Comunque come dicevo precedentemente, per non perdere la roba probabilmente l'unica soluzione e pagare quei bastardi. Ovvvio, solo se il gioco vale la candela

madooo... è incredibile come nel 2014 funzionino ancora questi vecchi trucchetti: c'è sempre qualcuno che ci casca. E riescono a farci fruttare milioni... veramente deprimente :(

http://www.corriere.it/tecnologia/economia-digitale/14_ottobre_20/phishing-comuni-hacker-bitcoin-ricatto-c457694c-5831-11e4-9d12-161d65536dad.shtml

La cosa drammatica della faccenda (oltre ovviamente alla perdita di dati/soldi) è che il bitcoin viene messo in cattiva luce.
L'anonimato si ritorce sempre contro in questi casi...

Certo che... Basta poco per capire quali mail sono palesemente virtus...

infatti stavo proprio notando che tra i commenti all'articolo non poteva mancare l'idiota che da la colpa ai bitcoin. Come se i virus di ogni categoria (compresi ransomware) non fossero mai esistiti prima... Non ho voglia di registrarmi al Corriere, altrimenti gli risponderei come si merita

Ho scritto che sarebbe anche da vietare l'email, visto che permette di veicolare questi ricatti e virus in modo anonimo!

HostFat non sono d'accordo
l'email è uno strumento e dipende da chi la usa e come
chiaramente usare sistemi "bacati" come windows non aiuta.. e poi quello che manca è il buon senso

come dice mitnick l'anello debole della sicurezza è l'humanware e non il pc

se ti arriva la foto "della tua collega nuda" sotto forma di exe e tu pigi per avviarlo.. beh.. te lo meriti anche un po'

Ma guardate che il virus , la moglie di mio fratello mica lo ha preso aprendo una mail.
Cercava delle tesine universitarie su un sito, erano tutte in pdf e in una di quelle c'era sto virus.
non penso che il bitcoin aiuti più di tanto ste merde che creano sta roba, perchè alla fine, un utente inesperto, non ha nemmeno idea di cosa sia un bitcoin. C'era anche il virus della finta polizia postale, era abbastanza simile, ti piazzava sullo schermo uno screen dove diceva che eri andato su un sito illegale e dovevi pagare xx euro tramite ukash, western union ecc

Io mi chiedo come sia possibile, al giorno d' oggi, avere ancora dati in locale nella pubblica amministrazione, senza uno straccio di backup e di disaster recovery, come prevede la normativa (che ricordo da 10000 a 120000 euro di sanzione e fino a due anni di reclusione per il responsabile del trattamento).




FaSan

Fasan vedendo l'alluvione di genova al tg, hanno detto che la questura aveva le schede dei permessi di soggiorno solo cartacei, quindi ora hanno perso tutto, altro che virus  ;D

Mi sembra una bufala, e ti spiego anche il perchè....

Prima di tutto i dati nei permessi di soggiorno sono stampati al pc e non scritti a mano, le impronte vengono prese con un lettore usb e non più con inchiostro e cartoncino, ogni straniero ha quindi una propria scheda che viene poi trasmessa alla questura generale a Roma.

Quello che invece rimane cartaceo è la documentazione che provi tale permesso. Ovvero quello che ogni singolo porta fisicamente alla questura durante la richiesta (contratto di lavoro, certificati vari, etc etc). Ma alla finfine se il permesso l' hai rilasciato, avrai avuto una documentazione adeguata, quindi non credo sarà un grosso problema :)




FaSan

ALT
Questa è una cosa molto importante, puoi fornirmi il link in questione? (Non all'eseguibile diretto ma dalla pagina dove si scarica)

Così qualche indagine in più la faccio... Probabilmente non si risale a nulla lo stesso in quanto sarà un sito che ha subito un injection e nel quale c'hanno caricato il virtus. Ma intanto controlliamo...

thebomber devo chiedere a mio fratello, ma a mio avviso la moglie avrà scritto su google, "tesine universitarie" e sarà andata su uno dei tanti siti gratuiti, cmq vediamo se si ricorda.
Sonon sicuro al 100% che non lo ha preso via mail, perchè su quel pc non ha nessuna mail collegata, ha solo un account gmail sul cellulare, non entra mai dal pc

Vedo solo adesso che il topic è tornato attualissimo, ti chiedo se riesci a girarmi un screenshot del virus per aggiornare l'OP.

thanks

webmail?

https://www.google.it/search?q=Cryptolocker+virus+screenshot&source=lnms&tbm=isch&sa=X&ei=Hf9NVPqGGsrpaOXZgsgP&ved=0CAgQ_AUoAQ&biw=1920&bih=955

PArma purtroppo non ho salvato lo screen, ma era lo stesso che hai in home, solo che la cifra era diversa, era 500 invece che 300

Ne hanno appena parlato a Striscia, facendo menzione della "Crypto-Valuta" che aggiunge un layer di complicazione nel risalire ai responsabili ;)

Approposito di cryptolocker,  ne hanno parlato stasera a striscia come ha detto il buon crypto, ecco il servizio! ;)

http://free-prd2.cdn.mediaset.net/mp4/2014/11/149a077436da2f-07_0.mp4

Il video sembra presentato da Scarface

https://i.imgur.com/13q0cC7.jpg

Sarà un caso? Io non credo :D

Cmq non è stato puntato il dito contro il BTC (neanche nominato tra l'altro).

Tutto sommato non mi è dispiaciuto come servizio. Altri pareri?

xe l'intonso Moreno Morello, ciò!  ;D

non ho visto il video, hanno parlato pure di mio fratello ?  ;D

Comunque nel video fanno vedere che l'utente scarica uno zip ricevuto per email ed esegue uno script, non un file pdf come si diceva nei post prima

Il virus è parecchio furbo e potrebbe funzionare anche su osx/linux, in quanto non servono i privilegi di root per modificare i file personali dell'utente o di quelli su altri supporti (usb, dischi di rete, etc) in cui l'utente ha facoltà di scrittura

Per sconfiggerlo basta un backup ;)

Non sei l'unico a cui il servizio non sia dispiaciuto :)

Stile Striscia (che non vedo più da non so quanti anni, come quasi tutto ciò che passa in televisione), ma tecnicamente accurato e preciso, e per niente fazioso. Ottimo davvero.

Colpito oggi anche il mio commercialista
l'ha preso da un link dentro una mail quasi perfetta che sembrava di sda
criptato server  e backup, sistemista e gdf hanno consigliato di pagare
fortunatamente tempo fa gli parlai dei bitcoin e se ne è ricordato nel momento meno simatico..
pagato, non hanno atteso nemmeno una conferma,  è apparso il link per scaricare il decripter e in 10 minuti tutto risolto

Allora mio fratello non è l'unico pirla  ;D
Mxmenga ma aveva il backup collegato sulla stessa linea? Non mi sembra una cosa astutissima

si, dei dischi collegati al server, ma sai in molti usano dischi nas o dischi esterni, non si pensa che possano essere attaccati pure quelli.
Parlando con un sistemista con cui collaboriamo mi diceva che a lui è già toccato varie volte sto virus, e che in molti il backup nemmeno lo hanno... Mi accennava che ci sono dei nas che hanno una funzione di spegnimento integrata, che si accendono solo al momento dell'effettivo backup, con questi tipi di nas eventualmente si si puo salvare..
ma come diceva oggi il mio commercialista, "ok, anche se ho i backup sono di ieri, ma il lavoro di oggi? e cosa mi costa in tempo a tirar su i backup ammesso siano validi? 300 euro li pago al volo se mi risolvono velocemente il problema"

altra curiosità mi ha stupito la "localizzazione" del messaggio del virus,
nelle varie istruzioni su dove acquistare bitcoin nella lista c'erano soprattutto siti italiani, coinbit, bitboat, mars78 ecc..

Alla faccia, non avevo fatto caso (nel virus a mio fratello) del fatto che proponeva dove comprare bitcoin. E' stato cmq "fortunato" il tuo commercialista, leggevo che in molti casi, anche dopo pagato non forniscono niente, almeno è riuscito a risolvere

Io mi son quasi preso di pirla perchè a suo tempo in questo thread consigliai di pagare :P
Purtroppo non c'è altro da fare con queste cose  :(

La gdf ha consigliato di pagare? Andiamo bene  :-\

brutale2 mi hai tolto le parole di bocca.

pultroppo bisogna tener conto delle problematiche che puo causare il fermo macchina.
dovevano effettuare entro mezzanotte una serie di pagamenti di alcune posizioni, pena multe e ravvedimenti salati.. 300 euro son il male minore in questo caso  :-\

Hanno consigliato di pagare e basta? Nemmeno un'indagine sull'indirizzo a cui sono stati mandati i bitcoin?

Ok che è difficile, ma almeno potevano far finta di provarci

e' un'indirizzo creato nuovo.. che/chi cercano ?
tra l'altro l'importo è ancora lì fermo


piu' che altro la denuncia, se la voleva fare, era per eventuali problematiche di contestazioni di clienti e cose legate al lavoro in se'

Hai ragione, purtroppo c'è poco da fare di fronte a queste situazioni  :-\

Se è un fiscalista, non poteva certo perdere dati oppure perdere tempo a recuperarli.
non capisco come nessun antivirus rilevi la cosa, è vecchio come virus

http://antrodelnerd.blogspot.it/2011/02/nascondere-virus-agli-antivirus.html  ;)

Si però questi degli antivirus i soldi li vogliono ? allora si devono mettere a lavorare, mica i soldi servono solo a sponsorizzare la Ferrari  ;D

Oltre l'antivirus installato è buona norma utilizzare questo semplice uploader che manda i file scaricati a VirusTotal per la scansione  :) https://www.virustotal.com/it/documentation/desktop-applications/virustotal-uploader

E virustotal riesce a vedere che è un virus ?

Naturalmente nn c'è antivirus online o offline che possa prevedere come sia stato camuffato e in che modo il virus..

Sei vittima di un ransomware?
Sei finito qui perché cercavi informazioni su Cryptolocker e hai deciso di pagare il riscatto?

Se hai preso questa scelta, aspetta a pagare.

Ci sono molte incognite, ma puoi tentare una via per recuperare i tuoi soldi: https://bitcointalk.org/index.php?topic=960764.new#new

Contattami, prima di pagare, possiamo discuterne insieme.

+1

Magari qualche amministrazione comunale avrebbe avuto bisogno di questo aiuto qualche mesetto fa :D
Strano non ci siano arrivati da soli..

Effettivamente è un (potenziale) espediente quasi di sicuro di brevissima durata: solo le prime vittime che ricorreranno a Gangsta riusciranno a recuperare il maltolto, purtroppo.

Comunque bravissimo, gdassori: davvero complimenti per l'inventiva! Ottimo lavoro.

Sembra che siamo ad una svolta (a meno che le forze dell'ordine non abbiano preso un granchio pazzesco):

http://brescia.corriere.it/notizie/cronaca/15_luglio_08/diffondevano-virus-che-prende-ostaggio-pc-sette-denunciati-ff1901e8-255f-11e5-85c7-ee55c78b3bf9.shtml

Conoscete il nome dei 7?

[EDIT]
http://www.ilsoftware.it/articoli.asp?tag=Cryptolocker-interviene-la-Polizia-di-Stato_12452

 :o
[/EDIT]

mi è semblato di vedele un glanchio

a parte gli scherzi conoscendo un minimo kelpy penso proprio che si stiano sbagliando di grosso.

http://questure.poliziadistato.it/Trieste/articolo-6-631-83746-1.htm

Siccome onestamente qualche soldarello come dealer l'ho fatto anche io grazie a questo ransomware (intendo cambiando i bitcoin a chi ne ha avuto bisogno), come molti altri qui, mi pare quantomeno strano che la polizia indaghi da marzo e oggi, ne arresti sette di loro e chiuda coinbit.it così....solo perchè i gip hanno preso un granchio....
Fosse così, cioè se semplicemente scambi bitcoin a chi deve pagare per il cryptolocker e finisci in galera per associazione a delinquere, oltre ad essere un abnormità giuridica, allora significa che molti di noi son prossimi alla gattabuia... :-\ :-[ >:(
Siccome la vicenda riguarda il mio territorio e conosco fatti e particolari, vittime ed attori  ho già pubblicato tre post sull'argomento sul mio blog, l'ultimo dei quali sugli arresti e la chiusura di Coinbit.
Potete leggerli qui:
http://www.gavrilobtc.it/sgominata-la-banda-del-cryptolocker-chiuso-lexchanger-coinbit-it-08072015/
Mandi

Ragazzi non hanno chiuso coinbit a casaccio, hanno fatto delle verifiche, li hanno interrogati, incrociato i dati, cellulari e li hanno beccati!

Tutti possono diventare diffusori di cryptolocker grazie a toxicola.
Affermare "sgominata la banda dei cryptolocker" è insensato. Potrebbe essere bastato uno o due personaggi che rivendevano btc tramite il portale e che diffondevano il cryptolocker, per poter decidere il sequestro.
 

Che?!

https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us

Grazie zio;
ho postato d'impulso e poi sono andato a googlare... mi ci stavo già facendo due risate!

A me non è chiara questa frase dell'articolo: "I responsabili dell'azienda hanno deciso di pagare il riscatto versando la somma richiesta attraverso il sito Coinbit.it e ricevendo, in risposta, un'email contenente la chiave per decifrare i file "bloccati" da Cryptolocker."

Così fa capire che i pagamenti venivano mandati direttamente a coinbit

"devo fare un cryptolocker pure io" "oggi già 3, scaldate gli avvocati"  ;D ;D ;D

“Cercate di essere vaghi… E dire il meno possibile”, “Se non avete un avvocato di fiducia potete usare avv……”
Non lasciano molto all'immaginazione...

Io sono abbastanza sbalordito... ma aspettiamo di saperne un po' di più prima di emettere facili giudizi...

PS: meglio così però... io dico... che ci voleva a usare una chat criptata? Non li fanno più i delinquenti di una volta!

Io credo sia un refuso per ignoranza sull'argomento in quanto
1) Non si paga un venditore di bitcoin ma si acquistano bitcoin per poi essere inviati all'indirizzo indicato
2) Non ho mai visto cryptolocker che inviano via mail

Che sia cifrata può servire poco se chi vuole intercettare ha il controllo di uno degli utenti che vi ha accesso ;)

Quindi Ziomik è la solita disinformazione dei giornali/siti che possono sparare caxxate senza problemi. Non capisco anche un'altra cosa, se le indagini sono in corso, non ci sono stati arresti e non è iniziato un processo, da dove hanno preso le conversazioni telefoniche ?

Bè oddio.. bisogna vedere se il refuso è aver nominato Cryptolocker; magari si tratta d'altro fatto ad hoc.

Assurdo, è così semplice creare un virus simile? Basta semplicemente usare quel sito e mettere i propri dati per il pagamento in bitcoin ? Se è così, altro che sgominata la banda

RaaS - Ransomware as a Service (cit.) ;D

Ciao a tutti, è da un po' che non mi faccio vivo.
Riporto all'attenzione il topic in quanto è successo poche ore fa lo stesso inconveniente ad un mio conoscente.
Lui è rassegnato a pagare.
Giusto per curiosità, qualcuno ha più avuto esperienze in merito?
Grazie.

Capita con estrema frequenza....

Mi è capitato più di una volta che gente a caso mi chiamasse dicendomi che avevano preso questo virus....ad alcuni hanno chiesto più di 400 euro (naturalmente in bitcoin) fuori dal mondo proprio

Mi sa che il mio amico alla fine ha pagato. Faccio un paio di telefonate e vi aggiorno.

L'idea di essere messi di fronte alla scelta fra perdere tutti i propri dati o subire la violenza di dover pagare un riscatto mi sembra proprio insopportabile.

Io ultimamente uso dropbox pro, in modo che tutti i miei file importanti presenti sul pc siano sempre sincronizzati con una copia in remoto. Qualora prendessi il virus, anche la copia verrebbe criptata? E in tal caso l'opzione di dropbox che consente di ripristinare le versioni precedenti dei file dovrebbe consentire di ritornare alla situazione pre-virus?

Eppure il rischio di perdere i dati c'è sempre, non certo per colpa di cryptolocker, la soluzione è il backup. Se non si ha un backup si accetta il rischio di perdita dati in ogni caso.

Non ho mai usato dropbox con sincro automatica, potrebbe essere che sincronizzi i file cifrati mentre il virus agisce sostituendo quelli buoni.

Hai comunque 30gg su dropbox in cui puoi ripristinare la versione precedente, prima che sincronizzi una nuova versione

È proprio questo a cui mi riferivo, quindi in teoria utilizzando quel servizio sono coperto dal rischio di perdere i dati a causa del virus. Speriamo di non doverlo mai scoprire.


EDIT:

Andando sul forum di dropbox https://www.dropboxforum.com/hc/en-us/community/posts/201993779--CryptoLocker-and-similar-threats sembra che sia effettivamente possibile recuperare tutti i file:

Beh buono a sapersi  :)

leggevo su un forum della nuova versione di cryptowall 4.0 e chimera. Sempre peggio per noi utenti.
Sempre preso dalla fobia (che probabilmente fa piu danni che altro) cercando utility di protezione da aggiungere, ho installato hitman pro allert. Lo tengo per i primi 30 giorni durante i quali è gratuito.
Da una scansione ha trovato vari elementi legati al browser da eliminare.

piu qualche driver e un programma di nome stratup eye, che ho installato per essere avvertito quando qualcosa modifica il mio registro.

Pompatore dici che sia da provare ? :-P

Esiste  un programma che mi permetta di dare o meno l'autorizzazione  dei files exe alla modifica dei files presenti nel mio HD, tipo firewall solo che invece di essere legato alla connessione, sia legato alla modifica dei miei files?

Per i backup delle foto uso mega. sono 50 giga free.

sono felice che esistano i cryptolocker... cosi i nabbi che pretendono di usare il computer ma sono incapaci, pagano per la loro ignoranza...

ogni tizio che viene beccato stappo una bottiglia di champagne

guarda che può colpire tutti.. e se becca te, stappiamo affettuosamente una bottiglia tutti insieme :D

PS: non esigere che tutti siano come te, è mentalità dittatoriale

a me non puo capitare perche non uso OS da utonti (1) e sono alfabetizzato dal punto di vista informatico e della sicurezza informatica...

è piu facile che cicciolina ri-diventi vergine

cmq se accade offro io tranquillo

ps: io non esigo che la gente sia come me, figurati.. non possiamo tutti essere intelligenti/perfetti.. sarebbe innaturale

Nessuno sta considerando di mettere i propri files e i propri bitcoin in una partizione con una distro linux installata? Secondo me basta mettere su una ubuntu ma se uno vuole proprio essere sicuro allora ci sono tante distribuzioni minoritarie cui nessun virus o trojan o ramsonware pensa.

Mi sembra esagerato partire dal presupposto che con linux + alfabetizzazione in sicurezza informatica si è al sicuro.

è la tua opinione

la mia esperienza è differente (e di conseguenza anche l'opinione di sicurezza informatica)

che lavoro fai?

un mio amico ha beccato questo http://imgur.com/EYviBmO

che deve fare??

Se ha un back up completo formatta tutto..
Altrimenti devi pagare per ottenere il decrypter.

ma come si piglia sto virus? non c'è un antivirus che lo blocca?

Io onestamente non pagherei, anche perchè non è che sei sicuro che dopo ti viene sbloccato tutto. Degli utenti del forum sono indagati per sta cosa  ;D

Ps se ricordo bene c'era un thread con una soluzione per provare a fare double spending e provare così

spesso non viene rilevato
Ho sentito varie persone che hanno avuto il virus e hanno pagato, e tutti hanno ricevuto la chiave per decrittare i file, in ogni caso sconsiglio anche io vivamente di pagare.
E' una lezione cara che serve ad imparare a proteggere i propri dati.
Per quanto riguarda il double spend su alcune versioni del virus è fattibile, su altre no

Qualcosa sembra esserci:

http://www.chimerarevo.com/windows/malwarebytes-presenta-il-suo-anti-ransomware-202902/

Fatto sta che neanche una settimana fa ho dovuto formattare il computer di mio padre perchè ha deciso di aprire una mail da Equitalia  ::)
È veramente un problema sto virus, perchè continua a mietere vittime! A lui è andata "bene" nel senso che per fortuna il file contenete la copia di sicurezza del database dell'azienda aveva un'estensione non interessata dal virus, il CTB-Locker, ma tutto il resto non ancora backuppato è andato perso!

Leggendo su altri forum ho trovato anche questo: https://www.winpatrol.com/winantiransom/ però non l'ho testato e non so quanto sia efficace (è pure a pagamento).

Se paghi arriva sicuro il decripter(o come volete chiamarlo) .
Se a qualcuno non è successo così è pregato di mettere a conoscenza di tutti la propria storia.
Per evitare il "contagio" è necessario non cliccare su strani allegati o link anomali.
Se poi qualcuno più esperto nel forum ha avuto esperienze dirette può benissimo raccontare come funziona per filo e per segno.

Io ho avuto un esperienza diretta con 3 miei clienti .. 1 ha pagato ( la procedura lo fatta io ) e un attimo dopo avevo il decrypter, gli altri 2 non mi sono voluto prendere la responsabilita' e comuque non volevano pagare.

Io sinceramente non sarei cosi sicuro del BTC --- > Decrypter ... anzi io sono ancora convinto che a me e' andata di culo ed e' per quello che con gli altri 2 non lo voluto fare =)

Ma infatti non è sicuro, dipende da chi c'è dietro la versione del virus e sua diffusione

quindi ogni virus è diverso dagli altri ? C'è modo di capire se quel tipo di virus rilascia di sicuro i file al pagamento ?PErchè pagare e poi non avere nulla è 2 volte una truffa

Esperienza personale? 4 pagamenti= 4 decrypter. Questo in 60 giorni.

Nel frattempo vi segnalo questo post fatto da Assob.it:

http://www.assob.it/2016/02/01/16-46-50.html

Ottimi consigli!
Soprattutto backup backup e ancora backup fatti con criterio.

Non avevo mai sentito di questo: Teslacrypt , fa la stessa cosa ?

ho letto l'articolo su assobit, ma facendo scansionare il file con virustotal, riesce a vedere che il file continee il Cryptolocker ? pensavo nessun antivirus riuscisse ancora a vederlo

Ci saranno almeno una decina di varianti. Una volta che uno d'essi ha fatto la sua comparsa in mondo massiccio ovviamente gli antivirus si aggiornano aggiungendo la variante. Per ovvie ragioni arriveranno sempre ultimi..

Ho fatto una ricerca veloce su questo nuovo Teslascrypt, non so se posso inserire link a siti esterni, ma come primo risultato di google mi esce un forum dove dice: "A differenza di alcune versioni di CryptoLocker e le vecchie versioni di TeslaCrypt, non sono al momento noti metodi per recuperare i propri documenti".

Quindi ci sono delle versioni di cryprolocker dove è possibile recuperare i file senza pagare?

Questo è un articolo dove viene intervistata un'azienda che dovrebbe essere in grado di recuperare i file cryptati dal Teslascrypt. Tra le varie cose che dice, sottolinea il fatto che molto spesso la chiave non viene inviata nemmeno dopo aver effettuato il pagamento..

http://www.tomshw.it/news/ransomware-teslacrypt-3-0-c-e-chi-puo-recuperare-i-dati-74119

Intendevo il fatto che alcuni antivirus rilevano la minaccia prima che si attivi(per i ransomware conosciuti). Non che si occupano della decriptazione dei file criptati.

Ci sono software in grado di effettuare la decriptazione, ma solo per alcune versioni del virus. Se non ricordo male ne aveva parlato Attivissimo (fate una ricerca sul suo blog, se interessati).

Ciao!

Certo ne avevo parlato anche qui: http://blog.comprarebitcoin.info/category/informazione/ransomware/

Ma principalmente sfruttano bug dei software maligni

un tool free della Kasperky
https://noransom.kaspersky.com/

Strumenti come sandboxie e programmini che intercettano le scritture su registro di windows, possono essere efficaci contro queste minacce?
Se uno non ha i privilegi di amministratore, può essere infettato?

certo! la sandbox può aiutare ma non del tutto, anche con i privilegi da amministratore

Riporto una notizia nella speranza che possa essere utile a qualcuno:

http://www.tomshw.it/news/ransomware-decriptati-hydracrypt-e-umbracrypt-74319 (http://www.tomshw.it/news/ransomware-decriptati-hydracrypt-e-umbracrypt-74319)

Sono stati decriptati i ransomware Hydracrypt e Umbracrypt!

il leak del codice e un po di tempo fa
non riesco a trovare il link di pastebin

cmq e' un ottima notizia

qualcuno riesce a beccare il link del codice?

questa e' l'analisi statico/dinamica http://www.joesecurity.org/reports/report-5f2d13576e4906501c91b8bf400e0890.html#startup

ma quindi, se un domani riescono a decriptare il cryptolocker, sarà possibile recuperare i dati ? Perchè io avevo capito che dopo xx ore i dati venivano irrimediabilmente persi. Cioè conviene tenersi il disco con sopra i file criptati ?

Esistono molte varianti e, dal code pubblicato un anno fa, un programmatore è riuscito a creare un software che permette il recupero di un paio di queste varianti che si basano sul "ceppo" reso pubblico a suo tempo.
In tutti i ransomware, dopo un tot di ore/giorni la chiave privata custodita dal delinquente viene cancellata e, quindi, anche pagando lui non te la potrebbe consegnare. Mentre il software citato qui sopra non ha scadenza in quanto sfrutterebbe un bug del ransomware stesso.

hai link al codice in questione?
lo avevo visto un anno fa ma poi non lho studiato per mancanza di tempo

mo che lo ho non riesco a trovarlo

Credo che il riferimento è di questo doc pastebin: http://pastebin.com/1WZGqrUH

Mi è venuto un dubbio
sul pc del lavoro, abbiamo una cartella condivisa tra tre pc con onedrive.
se cryptolocker infetta uno dei pc, crypta anche la cartella condivisa? E nel caso, infetta anche gli altri quando si collegano alla condivisa?

Direi di si in quanto tutti i drive mappati sono a rischio (e anche quelli non mappati per alcune versioni)

Grazie Ziomik, domani mi tocca fare un mega backup anche della condivisa (visto che ci sono tutti i dati dal 2014 ad oggi), anche perchè oggi in radio hanno parlato di cryptolocker e la gente in zona è preoccupata  ;D

Esempio di come sfuggire al ricatto ( in una parola: backup  ;)):

http://www.pinobruno.it/2016/02/ransomware-cryptolocker-io-me-la-sono-cavata-cosi/

Ho letto l'articolo ma non ho capito una cosa, ha soltanto cancellato i file criptati ? Non ha formattato il pc?
quindi non è un virus che rimane attivo ? una volta cancellati i file si continua ad utilizzare il pc?

Hanno anche creato la variante per i siti web  :o http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

Brutale perdonami ma il mio inglese fa schifo al quadrato e  con google è ancora peggio.
In pratica lo hanno messo anche su siti web, dove ti basta entrare, senza clcicare o scaricare niente? Perchè se è così son volatili per diabetici

Praticamente il criminale 'buca' il sito e sostituisce l'index originale con una nuova index infettata che cripta tutto il contenuto del sito. Anche in questo caso l'unico modo per riavere i propri dati è :

 - Pagare il riscatto,
 - Possedere una copia backup (se non la si ha, rivolgersi all'hosting che molto probabilmente ne avrà una).




Ecco alcuni siti colpiti :  Elenco (https://www.google.it/search?q=intitle:%22CTB-Locker%22+%22Your+scripts,+documents,+photos,+databases+and+other+important+files+have+been+encrypted+with+strongest+encryption+algorithm+AES-256+and+unique+key,+generated+for+this+site.%22&biw=1793&bih=905&noj=1&ei=M2DXVp2pFoKCzAOh8rjYDw&start=10&sa=N&filter=0).

Ah grazie reds, per fortuna avevo capito male, pensavo che bastava entrare in un sito infetto e prendevi il virus e quindi stavo già facendo una cernita dei vari siti porno da non visitare  ;D

E' come dice red  ;D

Nel suo poco etico e sporco lavoro..geniale!

Per i siti web però è un pò pià facile perchè in genere con qualsiasi servizio di hosting discreto, si può impostare un autobackup ogni xx giorni e alla fine non si perde molto

Ma se in windows ho "Connesso un'unità di rete" del NAS mi cripta anche il NAS?

https://bitcointalk.org/index.php?topic=447745.msg13987127#msg13987127

Dipende da come configuri il NAS ... se e' accessibile senza user e password anche dalla tua LAN, certo che si' .. se no, NO ! =)

Quel coso crypta tutto quello che e' accessibile senza autenticazione, qualsiasi cosa sia.

Certo se hai gia' fatto la connessione da PC con autenticazione al NAS e poi prendi il virus te lo crypta lo stesso.

Parlo pe esperienza diretta non mia, ma di un conscente.

io non capisco molto di virus e malware, ma a istinto, mi sembra che una soluzione per bloccare sul nascere tali minacce possa essere banale.
Con le competenze informatiche dei personaggi di questo forum sono convinto che si potrebbe delineare con facilità un insieme di programmi per proteggerci.
Gli antivirus li uso, ma li odio, i primi virus che trovano sono sempre i miei programmini del tubo, e poi se la prendono spesso e volentieri con exe che non contengono virus, solo perchè di comportamento non troppo ortodosso.

Io provo a buttare li a caso un possibile caso di infezione.

Utente riceve un 'email con allegato, apri.zip.exe
o .scr
ovviamente con la solita  opzione nascondi le estensioni dei file di default, l'utente clicca sul file e lancia il file eseguibile o simile.

A questo punto già mi domando se non mi esce la finestra su windows che mi chiede di installarlo, il che dovrebbe far venire dei dubbi se sto tentanto di aprire un file che non sia di installazione

Questo malaware cosa farà prima di tutto penso io
Si accerterà di potersi riavviare anche dopo che il pc venga spento, perchè potrebbe anche non finire il lavoro in tempo prima della chiusura del pc, o perchè lo stesso utente potrebbe rendersi conto che qualcosa non va vedendo l'hd lavorare all'impazzata, e potrebbe chiudere il pc di brutto per paura.
Deve poi riavviarsi per chiedere il riscatto.
Deve quindi avviarsi con il pc.
A questo punto, un programmino del cavolo che blocca la scrittura sul registro, nell'area di lancio dei processi, salvo autorizzazione, bloccherebbe la minaccia ancora prima che possa fare danni o cmq potrebbe limitarne i danni.
Sarei io che mi troverei una finestra che mi indica che il processo XXX sta cercando di scrivere sul registro, processo che non riconosco e quindi blocco subito. Riavvio il pc e sono al punto di partenza prima del click sull'allegato.

Poi leggendo in giro ho trovato questo

preso da https://www.achab.it/achab.cfm/it/blog/cryptolocker/come-difendersi-da-cryptolocker-il-virus-che-chiede-il-riscatto

questa seconda parte me la devo studiare un po.

Poi mi pare impossibile che non ci sia un programma che possa intervenire chiedendo l'autorizzazione,  vedendo che parte una modifica massiccia a file presenti in tutti i miei HD.

Cosa ne pensate, avete altri suggerimenti?

Il software che uso si chiama Startup Monitor, uso questo perchè è il
primo che ho trovato, ce ne sono molti altri. Fortunatamente ancora non ho avuto segnalazioni a parte modifiche da parte di installazioni di programmi. Per funzionare funziona, poi si spera possa fare lo stesso contro i  malware

Segnalo ransomware che colpisce OSX: http://securityaffairs.co/wordpress/45101/cyber-crime/keranger-mac-os-x-ransomware.html

la versione online del corriere oggi ne parla nella rubrica tecnologia

http://www.corriere.it/tecnologia/provati-per-voi/cards/ransomware-virus-che-rapisce-pc-chiede-riscatto-ora-anche-mac/teslacrypt-30-colpisce-aziende-italiane_principale.shtml

Ciao a tutti!

Ho un amico che si è imbattuto nel crypto locker.. purtroppo gli ha fregato anche il back up visto che aveva l'hd di back up collegato.
Essendo un pc con parecchi documenti di lavoro e quindi abbastanza indispensabili ha deciso di pagare.

Ho mandato il mezzo btc richiesto all'indirizzo che gli appariva sul computer ieri sera.
La transazione è stata confermata però il pc non è stato sbloccato e continua ad apparire la stessa schermata con un nuovo indirizzo bitcoin.

Non so come agisce il virus nel dettaglio ne tanto meno come funziona una volta pagato.
Ma è normale faccia così?



Grazie!

Di solito si devono contattare i malfattori con la tx id della transazione e a quel punto ti danno chiave di decodifica e a volte tool per decriptare i file.
purtroppo non sempre collaborano. Spero per il tuo amico che riesca a risolvere.

mmmmm avete fatto backup prima di pagare? avete possibilità di contattare tramite chat l'hacker?
fai queste verifiche.
Potrebbe essere stato rilanciato il cryptolocker- aprendo la stessa mail - ?

Back up no..

c'è una mail a cui abbiamo scritto stà mattina dicendo che avevamo già mandato il pagamento.
ora provo a riscrivere includendo l'ID della transazione.


Né la mail né l'allegato sono stati riaperti.


Può essere che abbiano modificato l'indirizzo?

io dico sempre di non pagare anche perchè magari avete beccato un cryptolocker vecchio, e chi vi ha ricattati magari è morto o in galera. dovevate mandare una mail prima di pagare, per vedere se era ancora attiva

Ah ma se non rispondono non vuol poi dire niente.. possono essere ancora attivi lo stesso.


Ma secondo voi come può essere cambiato l'indirizzo btc a cui inviare il riscatto? avete altre "testimonianze"??
Da quel che avevo sentito e letto in giro di solito quando si paga poi i file vengono decriptati.. già mi scoccia dover dargli quei soldi.. se in più non li sbloccano mi si chiude un po' la vena...!

I file non si sbloccano da soli, la procedura cambia da virus a virus, ma a grandi linee funziona così:
Leggi il file che il virus lascia ovunque con l'indirizzo bitcoin dove inviare i btc (alcuni virus non lasciano indizzi btc ma solo indirizzi email a cui chiedere anche l'importo da pagare).
Paghi il riscatto
Ricontatti i truffatori inviando la txid del pagamento
I truffatori se sono truffatori "onesti" inviano la chiave di decodifica e un tool per decriptare i file (il tool non è fondamentale ma di norma gradito)
Può succedere che se il virus è datato i truffatori smettono di rispondere, e chi se lo prende lo ha nello stoppino.

Hanno sbloccatto...

purtroppo abbiamo dovuto ripagare.. doppio riscatto quindi.
Probabilmente ogni tot cambiano l'indirizzo bitcoin di default e noi abbiamo beccato proprio quella finestra temporale... che fortuna è?!? -.-

Per lomeno ora è risolto..!
Grazie del sostegno!!

Spiace che sia capitato a voi questa cosa, sarebbe da indagare perchè non risulta una prassi comune.Se ci fornite informazioni utili, come screenshot ed estensioni dei files.
Effettuare il Backup dei dati cryptati è sempre consigliato prima di eseguire il decripting

Ma i fondi mandati come primo pagamento sono stati movimentati o sono ancora fermi?