Buongiorno a tutti,
qualcuno di voi si è imbattuto nel ransomware CTB-LOCKER ?
Purtroppo io si e mi ha criptato quasi tutti i documenti presenti su un pc windows 7, files con estensione .txt .doc .xls .pdf e .jpg
Ovviamente rimosso il virus con semplicità i file criptati non si riesce a decriptare con niente se non pagando un cospicuo riscatto in bit-coin!!
Secondo voi c'è qualche possibilità di decriptare i files? ps. Non ho un backup di quest'ultimi.
GRAZIE
Ho davanti a me una mail di questo genere che ho aperto ma senza scaricare il contenuto zip e cab. questo è il testo:
Salve,
Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.
Il tuo numero di riferimento è: OF1DF34312966DD
Azienda: GRIFFITT S.R.L.
I seguenti oggetti sono stati rimborsati come richiesto:
===================
1 x CARTUCCIA INKDROPS COLOR HP C9352A BLIST ML17: 20.73 EUR
1 x FOTOCAMERA KODAK M863: 112.89 EUR
1 x STAMP. BROTHER MFC-9440CN: 928.27 EUR
3 x CD-R KRAUN 52 X 80 MIN SLIM 10 PZ: 8.65*3 = 25.95 EUR
2 x SW OEM 1PK WINDOWS VISTA BUSINESS 32B IT DVD: 149.97*2 = 299.94 EUR
2 x NB HP PAVILION DV5-1070E: 1015.93*2 = 2031.86 EUR
1 x JETDIRECT HP 620N FAST ETHERNET: 439.56 EUR
===================
Totale: 3859.2 EUR
Ho già bloccato il mittente da eventuali prossimi invii...
Devo ammettere di essere tentato a scaricare l'allegato...per vedere che succede...
Comunque evitiamo che è meglio....
Re: CTB-LOCKER
Inviato: mer gen 28, 2015 11:14 am
da crazy.cat
gioia271965 ha scritto:
Ho già bloccato il mittente da eventuali prossimi invii...
Ogni mail arrivata aveva un diverso mittente, alcuni anche molto reali perché la persona che usa quel pc ha riconosciuto i mittenti.
Re: CTB-LOCKER
Inviato: mer gen 28, 2015 11:23 am
da gioia271965
Capisco...manteniamo alta la guardia allora...buona giornata crazy.cat....
Re: CTB-LOCKER
Inviato: mer gen 28, 2015 11:26 am
da robyxb
Sì queste email stanno bersagliando molti utenti.
occhio a non aprire l'allegato!!
Re: CTB-LOCKER
Inviato: mer gen 28, 2015 11:30 am
da Al3x
Arrivata ieri ad un collega che allarmato mi chiede spiegazioni
Da: Franco Lerzo [mailto:rispetto@naitana.it]
Inviato: martedì 27 gennaio 2015 11:58
A: xxxxx@xxxxx.it
Oggetto: rispetto D38A061300D44230
Buona sera,
Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.
Il tuo numero di riferimento è: D38A061300D44230
Azienda: G3 FERRARI S.R.L.
I seguenti oggetti sono stati rimborsati come richiesto:
------------------------------------------------
1 x CASSE EMPIRE PS-2050 2.0 BIAMPLIFICATE: 84.36 EUR
9 x MINIMOUSE RAINBOW KRAUN ORANGE: 13.67*9 = 123.03 EUR
1 x TV LCD PHILIPS 42 42PFL5603 FULL HD: 779.55 EUR
1 x TONER EPSON NERO C13S050245 X ACULASER4200: 71.78 EUR
1 x GRANDSTREAM IP VIDEOPHONE GXV-3000 H.264: 348.12 EUR
1 x MEMORIA CORSAIR USB 2.0 1 GB VISTA READYBOOST: 6.62 EUR
1 x SCANNER CANON X DOCUMENTI DR-1210C CON ADF: 652.29 EUR
------------------------------------------------
Totale: 2065.75 EUR
Si prega di aprire il file allegato per maggiori informazioni.
La raccomandazione è di non aprire alcun allegato e di spargere la voce per mettere in guardia amici e parenti.
Re: CTB-LOCKER
Inviato: gio gen 29, 2015 8:28 pm
da Mark
Bene informare, cmq uso un programmino che riesco a vedere le mail Da.... A.... e Oggetto......, prima ancora di scaricarle su outlook e se la trovo una mail strana la cancello direttamente dal server (con questo programma) , cmq mai aprire zip !
Re: CTB-LOCKER
Inviato: lun feb 02, 2015 11:46 am
da crazy.cat
Ho provato ad aprire il file cab del virus, contiene un file con estensione scr, lanciando il file scr si apre un documento word in inglese, a questo punto direi che va a scaricare (anche perché non si creano altri file nuovi nel pc), in qualche modo, altri da file da internet per completare il resto del virus.
Non avevo però modo di collegare il pc alla rete per fargli finire l'infezione.
Re: CTB-LOCKER
Inviato: lun feb 02, 2015 4:13 pm
da gioia271965
crazy.cat ha scritto:Ho provato ad aprire il file cab del virus, contiene un file con estensione scr, lanciando il file scr si apre un documento word in inglese, a questo punto direi che va a scaricare (anche perché non si creano altri file nuovi nel pc), in qualche modo, altri da file da internet per completare il resto del virus.
Non avevo però modo di collegare il pc alla rete per fargli finire l'infezione.
Quindi a tuo modo di vedere se il pc non è collegato in rete non si infetta? A me stamttina è capitata un'altra "esperienza" in materia. Aperto Thunderbird per controllare i vari account di posta elettronica, nella casella di libero mi arriva un'altra mail dello stesso tipo e con i medesimi allegati. Stavolta però Eset interviene ancora prima di aprire la mail e rimuove gli allegati (tutti), lasciando solo la solita tiritera di cavolate già esposte. Comincio a pensare che qualche software di protezione si stia adeguando alla minaccia...
Re: CTB-LOCKER
Inviato: lun feb 02, 2015 4:16 pm
da crazy.cat
gioia271965 ha scritto:Quindi a tuo modo di vedere se il pc non è collegato in rete non si infetta?
Non si sono creati altri file, però il file scr era ancora attivo nel task manager, posso supporre in attesa del collegamento a internet.
Ormai sono passati giorni, gli antivirus devono averlo inserito nelle loro firme.
Re: CTB-LOCKER
Inviato: lun feb 02, 2015 5:24 pm
da PippoDJ
crazy.cat ha scritto:Ho provato ad aprire il file cab del virus, contiene un file con estensione scr, lanciando il file scr si apre un documento word in inglese, a questo punto direi che va a scaricare (anche perché non si creano altri file nuovi nel pc), in qualche modo, altri da file da internet per completare il resto del virus.
Non avevo però modo di collegare il pc alla rete per fargli finire l'infezione.
Ciao crazy.cat,
ti confermo che anch'io ho rilevato lo stesso comportamento.
In pratica il file .scr contiene il cavallo di troia TrojanDownloader:Win32/Dalexis.C che poi "apre le porte" allo scaricamento del CTB-LOCKER.
Facciamo molta attenzione e, come dice Al3x, spargiamo la voce, perché questo virus è una gran brutta bestia.
La guida indica il ricorso alle shadow copy per il recupero dei file ma per quanto riguarda la mia esperienza, se l'utente che lancia il virus è un amministratore, le copie vengono eliminate e quello stratagemma non funziona. Forse dipende anche dalla specifica variante di CryptoLocker che infetta la macchina.
Re: CTB-LOCKER
Inviato: lun feb 02, 2015 7:23 pm
da crazy.cat
Al3x ha scritto:se l'utente che lancia il virus è un amministratore, le copie vengono eliminate e quello stratagemma non funziona..
Infatti, quella che trovato io aveva spazzolato via tutti i punti di ripristino e le copie shadow. Il virus lo togli anche a mano, non è un problema.
Re: CTB-LOCKER
Inviato: lun feb 02, 2015 7:43 pm
da Al3x
suppongo che il virus faccia ricorso al comando "vssadmin delete shadows" per spazzare le copie shadow, il comando funziona solo con privilegi elevati
Inviato: gio feb 26, 2015 2:09 pm
da toni
Quindi attualmente nessuno utente del forum ha trovato una soluzione
Re:
Inviato: gio feb 26, 2015 2:57 pm
da gioia271965
toni ha scritto:Quindi attualmente nessuno utente del forum ha trovato una soluzione
Una soluzione effettiva non esiste. Bisogna solo fare attenzione a non scaricare allegati che arrivano con le mail soprariportate. In un caso, però Eset Smart security ha rimosso gli allegati ancora prima che aprissi la mail stessa...
Re: CTB-LOCKER
Inviato: gio feb 26, 2015 3:14 pm
da Fener
Una soluzione forse esiste per non avere dispiaceri. Entrare nel sito del provider selezionare le mail sospette , eliminarle e scaricare le altre.
