virus CTB-LOCKER e file criptati

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Avatar utente
robyxb
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: lun mar 10, 2014 10:02 am

virus CTB-LOCKER e file criptati

Messaggio da robyxb »

Buongiorno a tutti,
qualcuno di voi si è imbattuto nel ransomware CTB-LOCKER ?
Purtroppo io si e mi ha criptato quasi tutti i documenti presenti su un pc windows 7, files con estensione .txt .doc .xls .pdf e .jpg
Ovviamente rimosso il virus con semplicità i file criptati non si riesce a decriptare con niente se non pagando un cospicuo riscatto in bit-coin!! :nono
Secondo voi c'è qualche possibilità di decriptare i files? ps. Non ho un backup di quest'ultimi.
GRAZIE
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: virus CTB-LOCKER e file criptati

Messaggio da System » gio gen 22, 2015 12:07 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

Non ho mai avuto il "piacere" di un ramsoware del genere.
Se vuoi provare a leggere se trovi qualche aiuto.
http://www.bleepingcomputer.com/virus-r ... nformation
http://www.bleepingcomputer.com/forums/ ... k-program/
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Giampy
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 129
Iscritto il: gio giu 12, 2014 11:08 am

Re: CTB-LOCKER

Messaggio da Giampy »

Robyxb, come e dove l'hai preso?
Avatar utente
robyxb
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: lun mar 10, 2014 10:02 am

Re: CTB-LOCKER

Messaggio da robyxb »

Non io direttamente ma un amico aprendo un allegato .zip ricevuto per posta. La email era si in inglese ma lui avendo contatti esteri l'ha aperta.
Avatar utente
robyxb
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: lun mar 10, 2014 10:02 am

Re: CTB-LOCKER

Messaggio da robyxb »

Grazie crazy.cat
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

crazy.cat ha scritto:Non ho mai avuto il "piacere" di un ramsoware del genere.
Ieri ho avuto il dispiacere di incontrarlo al lavoro
viewtopic.php?p=32838#p32838
Bello tosto però come virus.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
gioia271965
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 490
Iscritto il: lun mar 24, 2014 2:22 pm
Località: Taranto

Re: CTB-LOCKER

Messaggio da gioia271965 »

crazy.cat ha scritto:
crazy.cat ha scritto:Non ho mai avuto il "piacere" di un ramsoware del genere.
Ieri ho avuto il dispiacere di incontrarlo al lavoro
viewtopic.php?p=32838#p32838
Bello tosto però come virus.
Sei riuscito a farlo fuori?
Se vuoi conoscere veramente una persona, guarda il suo Hard Disk!
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

gioia271965 ha scritto:Sei riuscito a farlo fuori?
Il sistema operativo era andato in pappa, gli ho messo un pc nuovo.

Occhio all'arrivo di mail del genere con allegato .cab

-----Messaggio originale-----
From: Biospa Carèra
Sent: Wednesday, January 28, 2015 2:34 AM
To: sarc@genertel.it
Subject: rispetto HA4459872D7273D8

Salve,

Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: HA4459872D7273D8
Azienda: TECNO SPA

I seguenti oggetti sono stati rimborsati come richiesto:
-------------------------------
1 x AVERMEDIA DVB-T HYBRID VOLAR HX USB: 66.58 EUR
1 x KIT PULIZIA HAMA OPTIC REIN. SET: 7.34 EUR
1 x PLOTTER HP DESIGNJET Z3100 PHOTO - 112CM/44: 7214.12 EUR
3 x HDD FUJITSU SIEMENS 160GB S.ATA X ECONEL200: 68.58*3 = 205.74 EUR
-------------------------------
Totale: 7493.78 EUR

Si prega di aprire il file allegato per maggiori informazioni.

-------------------------------
Biospa Carèra
+39-824-7099-578
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
gioia271965
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 490
Iscritto il: lun mar 24, 2014 2:22 pm
Località: Taranto

Re: CTB-LOCKER

Messaggio da gioia271965 »

Ho davanti a me una mail di questo genere che ho aperto ma senza scaricare il contenuto zip e cab. questo è il testo:
Salve,

Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: OF1DF34312966DD
Azienda: GRIFFITT S.R.L.

I seguenti oggetti sono stati rimborsati come richiesto:
===================
1 x CARTUCCIA INKDROPS COLOR HP C9352A BLIST ML17: 20.73 EUR
1 x FOTOCAMERA KODAK M863: 112.89 EUR
1 x STAMP. BROTHER MFC-9440CN: 928.27 EUR
3 x CD-R KRAUN 52 X 80 MIN SLIM 10 PZ: 8.65*3 = 25.95 EUR
2 x SW OEM 1PK WINDOWS VISTA BUSINESS 32B IT DVD: 149.97*2 = 299.94 EUR
2 x NB HP PAVILION DV5-1070E: 1015.93*2 = 2031.86 EUR
1 x JETDIRECT HP 620N FAST ETHERNET: 439.56 EUR
===================
Totale: 3859.2 EUR

Ho già bloccato il mittente da eventuali prossimi invii...
Devo ammettere di essere tentato a scaricare l'allegato...per vedere che succede... :D

Comunque evitiamo che è meglio.... :)
Se vuoi conoscere veramente una persona, guarda il suo Hard Disk!
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

gioia271965 ha scritto: Ho già bloccato il mittente da eventuali prossimi invii...
Ogni mail arrivata aveva un diverso mittente, alcuni anche molto reali perché la persona che usa quel pc ha riconosciuto i mittenti.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
gioia271965
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 490
Iscritto il: lun mar 24, 2014 2:22 pm
Località: Taranto

Re: CTB-LOCKER

Messaggio da gioia271965 »

Capisco...manteniamo alta la guardia allora...buona giornata crazy.cat....
Se vuoi conoscere veramente una persona, guarda il suo Hard Disk!
Avatar utente
robyxb
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: lun mar 10, 2014 10:02 am

Re: CTB-LOCKER

Messaggio da robyxb »

Sì queste email stanno bersagliando molti utenti.
occhio a non aprire l'allegato!!
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: CTB-LOCKER

Messaggio da Al3x »

Arrivata ieri ad un collega che allarmato mi chiede spiegazioni
Da: Franco Lerzo [mailto:rispetto@naitana.it]
Inviato: martedì 27 gennaio 2015 11:58
A: xxxxx@xxxxx.it
Oggetto: rispetto D38A061300D44230

Buona sera,

Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: D38A061300D44230
Azienda: G3 FERRARI S.R.L.

I seguenti oggetti sono stati rimborsati come richiesto:
------------------------------------------------
1 x CASSE EMPIRE PS-2050 2.0 BIAMPLIFICATE: 84.36 EUR
9 x MINIMOUSE RAINBOW KRAUN ORANGE: 13.67*9 = 123.03 EUR
1 x TV LCD PHILIPS 42 42PFL5603 FULL HD: 779.55 EUR
1 x TONER EPSON NERO C13S050245 X ACULASER4200: 71.78 EUR
1 x GRANDSTREAM IP VIDEOPHONE GXV-3000 H.264: 348.12 EUR
1 x MEMORIA CORSAIR USB 2.0 1 GB VISTA READYBOOST: 6.62 EUR
1 x SCANNER CANON X DOCUMENTI DR-1210C CON ADF: 652.29 EUR
------------------------------------------------
Totale: 2065.75 EUR

Si prega di aprire il file allegato per maggiori informazioni.

------------------------------------------------
Franco Lerzo
+39 182 4904 134
La raccomandazione è di non aprire alcun allegato e di spargere la voce per mettere in guardia amici e parenti.
I :amore Sasha
Avatar utente
Mark
Livello: BD-ROM (6/15)
Livello: BD-ROM (6/15)
Messaggi: 266
Iscritto il: lun giu 09, 2014 6:39 pm

Re: CTB-LOCKER

Messaggio da Mark »

Bene informare, cmq uso un programmino che riesco a vedere le mail Da.... A.... e Oggetto......, prima ancora di scaricarle su outlook e se la trovo una mail strana la cancello direttamente dal server (con questo programma) , cmq mai aprire zip !
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

Ho provato ad aprire il file cab del virus, contiene un file con estensione scr, lanciando il file scr si apre un documento word in inglese, a questo punto direi che va a scaricare (anche perché non si creano altri file nuovi nel pc), in qualche modo, altri da file da internet per completare il resto del virus.
Non avevo però modo di collegare il pc alla rete per fargli finire l'infezione.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
gioia271965
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 490
Iscritto il: lun mar 24, 2014 2:22 pm
Località: Taranto

Re: CTB-LOCKER

Messaggio da gioia271965 »

crazy.cat ha scritto:Ho provato ad aprire il file cab del virus, contiene un file con estensione scr, lanciando il file scr si apre un documento word in inglese, a questo punto direi che va a scaricare (anche perché non si creano altri file nuovi nel pc), in qualche modo, altri da file da internet per completare il resto del virus.
Non avevo però modo di collegare il pc alla rete per fargli finire l'infezione.
Quindi a tuo modo di vedere se il pc non è collegato in rete non si infetta? A me stamttina è capitata un'altra "esperienza" in materia. Aperto Thunderbird per controllare i vari account di posta elettronica, nella casella di libero mi arriva un'altra mail dello stesso tipo e con i medesimi allegati. Stavolta però Eset interviene ancora prima di aprire la mail e rimuove gli allegati (tutti), lasciando solo la solita tiritera di cavolate già esposte. Comincio a pensare che qualche software di protezione si stia adeguando alla minaccia...
Se vuoi conoscere veramente una persona, guarda il suo Hard Disk!
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

gioia271965 ha scritto:Quindi a tuo modo di vedere se il pc non è collegato in rete non si infetta?
Non si sono creati altri file, però il file scr era ancora attivo nel task manager, posso supporre in attesa del collegamento a internet.

Ormai sono passati giorni, gli antivirus devono averlo inserito nelle loro firme.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
PippoDJ
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1678
Iscritto il: sab nov 01, 2014 3:50 pm

Re: CTB-LOCKER

Messaggio da PippoDJ »

crazy.cat ha scritto:Ho provato ad aprire il file cab del virus, contiene un file con estensione scr, lanciando il file scr si apre un documento word in inglese, a questo punto direi che va a scaricare (anche perché non si creano altri file nuovi nel pc), in qualche modo, altri da file da internet per completare il resto del virus.
Non avevo però modo di collegare il pc alla rete per fargli finire l'infezione.
Ciao crazy.cat,
ti confermo che anch'io ho rilevato lo stesso comportamento.
In pratica il file .scr contiene il cavallo di troia TrojanDownloader:Win32/Dalexis.C che poi "apre le porte" allo scaricamento del CTB-LOCKER.

Facciamo molta attenzione e, come dice Al3x, spargiamo la voce, perché questo virus è una gran brutta bestia.

Ciao, Pippo.
Avatar utente
robyxb
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: lun mar 10, 2014 10:02 am

Re: CTB-LOCKER

Messaggio da robyxb »

Ciao a tutti vi giro questa utile recensione su CTB-LOCKER
http://www.andreapironi.com/ransomware- ... re-i-dati/
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: CTB-LOCKER

Messaggio da Al3x »

robyxb ha scritto:Ciao a tutti vi giro questa utile recensione su CTB-LOCKER
http://www.andreapironi.com/ransomware- ... re-i-dati/
La guida indica il ricorso alle shadow copy per il recupero dei file ma per quanto riguarda la mia esperienza, se l'utente che lancia il virus è un amministratore, le copie vengono eliminate e quello stratagemma non funziona. Forse dipende anche dalla specifica variante di CryptoLocker che infetta la macchina.
I :amore Sasha
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: CTB-LOCKER

Messaggio da crazy.cat »

Al3x ha scritto:se l'utente che lancia il virus è un amministratore, le copie vengono eliminate e quello stratagemma non funziona..
Infatti, quella che trovato io aveva spazzolato via tutti i punti di ripristino e le copie shadow. Il virus lo togli anche a mano, non è un problema.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: CTB-LOCKER

Messaggio da Al3x »

suppongo che il virus faccia ricorso al comando "vssadmin delete shadows" per spazzare le copie shadow, il comando funziona solo con privilegi elevati
I :amore Sasha
Avatar utente
toni
Livello: microSD (7/15)
Livello: microSD (7/15)
Messaggi: 310
Iscritto il: mar apr 15, 2014 8:46 pm

Messaggio da toni »

Quindi attualmente nessuno utente del forum ha trovato una soluzione
Avatar utente
gioia271965
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 490
Iscritto il: lun mar 24, 2014 2:22 pm
Località: Taranto

Re:

Messaggio da gioia271965 »

toni ha scritto:Quindi attualmente nessuno utente del forum ha trovato una soluzione
Una soluzione effettiva non esiste. Bisogna solo fare attenzione a non scaricare allegati che arrivano con le mail soprariportate. In un caso, però Eset Smart security ha rimosso gli allegati ancora prima che aprissi la mail stessa...
Se vuoi conoscere veramente una persona, guarda il suo Hard Disk!
Avatar utente
Fener
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 58
Iscritto il: dom gen 18, 2015 12:19 pm

Re: CTB-LOCKER

Messaggio da Fener »

Una soluzione forse esiste per non avere dispiaceri. Entrare nel sito del provider selezionare le mail sospette , eliminarle e scaricare le altre.
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: CTB-LOCKER

Messaggio da System » gio feb 26, 2015 3:14 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio