Cryptolocker virus che crypta l'intero hard disk chiede btc per decrittare

[ziomik]

Ho fatto una ricerca veloce su questo nuovo Teslascrypt, non so se posso inserire link a siti esterni, ma come primo risultato di google mi esce un forum dove dice: "A differenza di alcune versioni di CryptoLocker e le vecchie versioni di TeslaCrypt, non sono al momento noti metodi per recuperare i propri documenti".

Quindi ci sono delle versioni di cryprolocker dove è possibile recuperare i file senza pagare?

Intendevo il fatto che alcuni antivirus rilevano la minaccia prima che si attivi(per i ransomware conosciuti). Non che si occupano della decriptazione dei file criptati.

[Stemby]

Non che si occupano della decriptazione dei file criptati.

Ci sono software in grado di effettuare la decriptazione, ma solo per alcune versioni del virus. Se non ricordo male ne aveva parlato Attivissimo (fate una ricerca sul suo blog, se interessati).

Ciao!

[ziomik]

Certo ne avevo parlato anche qui: http://blog.comprarebitcoin.info/category/informazione/ransomware/

Ma principalmente sfruttano bug dei software maligni

[Italone100]

un tool free della Kasperky
https://noransom.kaspersky.com/

[nutriagrigia]

Strumenti come sandboxie e programmini che intercettano le scritture su registro di windows, possono essere efficaci contro queste minacce?
Se uno non ha i privilegi di amministratore, può essere infettato?

[Italone100]

Strumenti come sandboxie e programmini che intercettano le scritture su registro di windows, possono essere efficaci contro queste minacce?
Se uno non ha i privilegi di amministratore, può essere infettato?

certo! la sandbox può aiutare ma non del tutto, anche con i privilegi da amministratore

[ReDPoiSoN]

Riporto una notizia nella speranza che possa essere utile a qualcuno:

http://www.tomshw.it/news/ransomware-decriptati-hydracrypt-e-umbracrypt-74319

Sono stati decriptati i ransomware Hydracrypt e Umbracrypt!

[babo]

il leak del codice e un po di tempo fa
non riesco a trovare il link di pastebin

cmq e' un ottima notizia

qualcuno riesce a beccare il link del codice?

questa e' l'analisi statico/dinamica http://www.joesecurity.org/reports/report-5f2d13576e4906501c91b8bf400e0890.html#startup

[rodrigobitcoin]

Riporto una notizia nella speranza che possa essere utile a qualcuno:

http://www.tomshw.it/news/ransomware-decriptati-hydracrypt-e-umbracrypt-74319

Sono stati decriptati i ransomware Hydracrypt e Umbracrypt!

ma quindi, se un domani riescono a decriptare il cryptolocker, sarà possibile recuperare i dati ? Perchè io avevo capito che dopo xx ore i dati venivano irrimediabilmente persi. Cioè conviene tenersi il disco con sopra i file criptati ?

[ziomik]

Esistono molte varianti e, dal code pubblicato un anno fa, un programmatore è riuscito a creare un software che permette il recupero di un paio di queste varianti che si basano sul "ceppo" reso pubblico a suo tempo.
In tutti i ransomware, dopo un tot di ore/giorni la chiave privata custodita dal delinquente viene cancellata e, quindi, anche pagando lui non te la potrebbe consegnare. Mentre il software citato qui sopra non ha scadenza in quanto sfrutterebbe un bug del ransomware stesso.

[babo]

Esistono molte varianti e, dal code pubblicato un anno fa, un programmatore è riuscito a creare un software che permette il recupero di un paio di queste varianti che si basano sul "ceppo" reso pubblico a suo tempo.
In tutti i ransomware, dopo un tot di ore/giorni la chiave privata custodita dal delinquente viene cancellata e, quindi, anche pagando lui non te la potrebbe consegnare. Mentre il software citato qui sopra non ha scadenza in quanto sfrutterebbe un bug del ransomware stesso.

hai link al codice in questione?
lo avevo visto un anno fa ma poi non lho studiato per mancanza di tempo

mo che lo ho non riesco a trovarlo

[ziomik]

Credo che il riferimento è di questo doc pastebin: http://pastebin.com/1WZGqrUH

[bittaitaliana]

Mi è venuto un dubbio
sul pc del lavoro, abbiamo una cartella condivisa tra tre pc con onedrive.
se cryptolocker infetta uno dei pc, crypta anche la cartella condivisa? E nel caso, infetta anche gli altri quando si collegano alla condivisa?

[ziomik]

Direi di si in quanto tutti i drive mappati sono a rischio (e anche quelli non mappati per alcune versioni)

[bittaitaliana]

Direi di si in quanto tutti i drive mappati sono a rischio (e anche quelli non mappati per alcune versioni)

Grazie Ziomik, domani mi tocca fare un mega backup anche della condivisa (visto che ci sono tutti i dati dal 2014 ad oggi), anche perchè oggi in radio hanno parlato di cryptolocker e la gente in zona è preoccupata 

[arulbero]

Esempio di come sfuggire al ricatto ( in una parola: backup  ):

http://www.pinobruno.it/2016/02/ransomware-cryptolocker-io-me-la-sono-cavata-cosi/

[rodrigobitcoin]

Esempio di come sfuggire al ricatto ( in una parola: backup  ):

http://www.pinobruno.it/2016/02/ransomware-cryptolocker-io-me-la-sono-cavata-cosi/

Ho letto l'articolo ma non ho capito una cosa, ha soltanto cancellato i file criptati ? Non ha formattato il pc?
quindi non è un virus che rimane attivo ? una volta cancellati i file si continua ad utilizzare il pc?

[brutale2]

Hanno anche creato la variante per i siti web  http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

[bittaitaliana]

Hanno anche creato la variante per i siti web  http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

Brutale perdonami ma il mio inglese fa schifo al quadrato e  con google è ancora peggio.
In pratica lo hanno messo anche su siti web, dove ti basta entrare, senza clcicare o scaricare niente? Perchè se è così son volatili per diabetici

[redsn0w]

Hanno anche creato la variante per i siti web  http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

Brutale perdonami ma il mio inglese fa schifo al quadrato e  con google è ancora peggio.
In pratica lo hanno messo anche su siti web, dove ti basta entrare, senza clcicare o scaricare niente? Perchè se è così son volatili per diabetici

Praticamente il criminale 'buca' il sito e sostituisce l'index originale con una nuova index infettata che cripta tutto il contenuto del sito. Anche in questo caso l'unico modo per riavere i propri dati è :

 - Pagare il riscatto,
 - Possedere una copia backup (se non la si ha, rivolgersi all'hosting che molto probabilmente ne avrà una).




Ecco alcuni siti colpiti :  Elenco.