Commenti a "Come ripulire un computer dal virus Tesla Cryptolocker"

I "Commenti" ad ogni articolo pubblicato sul nostro sito sono raccolti qui.
Regole del forum
Puoi rispondere alle discussioni già presenti, ma non aprirne di nuove.
Rispondi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Commenti a "Come ripulire un computer dal virus Tesla Crypotolocker"

Messaggio da crazy.cat »

Come ripulire un computer dal virus Tesla Crypotolocker

Immagine

E’ ormai molto tempo che è in circolazione una famiglia di virus detta CryptoLocker il cui scopo è “rapire” i vostri documenti, criptandoli, e obbligarvi a pagare un riscatto per poterli riavere. In questi giorni sembra esserci in corso una massiccia distribuzione di mail infette dalla variante TeslaCrypt. [continua..]

Inserite di seguito i vostri commenti.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Commenti a "Come ripulire un computer dal virus Tesla Crypotolocker"

Messaggio da System » gio feb 04, 2016 3:44 pm


Avatar utente
route67
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 19
Iscritto il: gio set 25, 2014 1:29 pm

Re: Commenti a

Messaggio da route67 »

con l'augurio a tutti di non averne mai bisogno,
mille grazie per questa chiarissima guida
:approvo :clap :grazie

Avatar utente
PippoDJ
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1678
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Commenti a

Messaggio da PippoDJ »

crazy.cat ha scritto:Almeno in questa ultima variante non sembra esserci un virus attivo in memoria.
Mi hanno già portato due PC che hanno contratto il Tesla 3.0 e ti posso confermare che il virus è molto ben educato: dopo aver criptato tutti i file e rimosso tutti i punti di ripristino, cancella dal sistema anche ogni traccia di se stesso.
In qualche modo riesce a criptare i documenti senza crearne "copie di lavoro" temporanee (o per lo meno, se le fa, poi le rimuove definitivamente dal disco) per cui, anche i tentativi con vari strumenti per il recupero di file cancellati, sembrano essere inutili.

A volte penso che sarebbe bello se i software commerciali avessero la stessa qualità ed efficienza...

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

PippoDJ ha scritto:A volte penso che sarebbe bello se i software commerciali avessero la stessa qualità ed efficienza...
A 500 $ a riscatto devi essere almeno altamente professionale, altrimenti i tuoi "clienti" poi si lamentano. :D

Mi ha colpito molto l'invio di mail da mittenti apparentemente validi in modo da far cadere in trappola il destinatario.
Sempre più efficienti diventano.
con l'augurio a tutti di non averne mai bisogno,

Assolutamente, spero proprio che serva a prevenire più che a curare.
Nulla di ciò che conta è facile da ottenere

Avatar utente
gianpietro
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1722
Iscritto il: ven mag 03, 2013 10:39 am
Località: città di Rovato / BS

Re: Commenti a

Messaggio da gianpietro »

Ciao crazy.cat

Questa mattina passando per il laboratorio, erano presenti due portatili, arrivati ieri pomeriggio, colpiti dal Ransomware Tesla,
e a metà mattina una ditta a chiamato che era stata infettata, verificando i ragazzi del laboratorio anno riscontrato la presenza
di Tesla, e prima di mezzogiorno un altra ditta stesso problema, oltre agli altri casi indicati in un altro post.

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Nulla di ciò che conta è facile da ottenere

Avatar utente
Uomo Senza Sonno
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1458
Iscritto il: mer mag 01, 2013 4:05 pm
Località: Sorgono (NU) - Alghero (SS)

Re: Commenti a "Come ripulire un computer dal virus Tesla Cryptolocker"

Messaggio da Uomo Senza Sonno »

Brutta bestia quest'ultima variante. Giusto mercoledì si è propagata l'infezione in metà dei pc dell'ente regionale dove lavora mia madre. Mail arrivata da indirizzo attendibile, nessuna richiesta di riscatto e continue richieste di accesso alla copia shadow. Ovviamente tutti i file sono criptati, ma non avendo avuto mai a che fare con questo tipo di minacce, con una copia shadow è possibile recuperare tutto o bisogna sperare che nel server centrale ci siano delle immagini di backup?
Siamo come l'Araba Fenice

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Uomo Senza Sonno ha scritto:Brutta bestia quest'ultima variante. Giusto mercoledì si è propagata l'infezione in metà dei pc dell'ente regionale dove lavora mia madre. Mail arrivata da indirizzo attendibile, nessuna richiesta di riscatto e continue richieste di accesso alla copia shadow. Ovviamente tutti i file sono criptati, ma non avendo avuto mai a che fare con questo tipo di minacce, con una copia shadow è possibile recuperare tutto o bisogna sperare che nel server centrale ci siano delle immagini di backup?
Le copie shadow, sempre che esistano ancora, dovrebbero permettere il recupero, strano che manchino le richieste di riscatto forse l'infezione non è riuscita del tutto.
Nulla di ciò che conta è facile da ottenere

Avatar utente
Uomo Senza Sonno
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1458
Iscritto il: mer mag 01, 2013 4:05 pm
Località: Sorgono (NU) - Alghero (SS)

Re: Commenti a "Come ripulire un computer dal virus Tesla Cryptolocker"

Messaggio da Uomo Senza Sonno »

Potrebbe essere perché viene usato un account limitato e perché è stato spento immediatamente?
Siamo come l'Araba Fenice

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Uomo Senza Sonno ha scritto:Potrebbe essere perché viene usato un account limitato e perché è stato spento immediatamente?
Spento subito sicuramente ha fatto bene, sull'account limitato non saprei, dipenderebbe anche se ci sono policy aziendali che impediscono l'avvio degli eseguibili da quelle cartelle. Se l'exe parte lo stesso può sicuramente dire addio ai documenti che trova nella cartella personale dell'utente.
Non funziona nemmeno il task manager con il virus attivo, ho visto che i documenti vanno a finire le cestino dopo aver creato la copia criptata.

Comunque stavo provando il virus su un pc che potevo demolire ed è piuttosto interessante, ci ragiono sopra e vedo se riesco a tirarci fuori un articolo:
"come il virus infetta il tuo pc se sbagli ad aprire l'allegato..."
Nulla di ciò che conta è facile da ottenere

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Alcune parti delle istruzioni del riscatto sono quasi divertenti, a parte la traduzione in pseudo italiano ci sono alcuni passaggi interessanti.

Codice: Seleziona tutto

Congratulazioni!!!  È diventato parte della grande unità di CryptoWall
Grazie, ma nessuno era particolarmente interessato di farne parte... :(

Codice: Seleziona tutto

Purtroppo questi siti sono temporari, perché le ditte di antivirus sono interessati di farLe impossibile restituirei Suoi file, ma vorrebbero farLa comprare i loro prodotti. 
Non siamo come loro, La vogliamo aiutare sempre. 
Certo ti vogliono aiutare sempre a farti comprare il loro programma... :acch

Codice: Seleziona tutto

Purtroppo, le ditte di antivirus non sanno difendere ed anzi restituire i Suoi file, ma Le fanno del peggio quando cancellano delle istruzioni per restituire dei file crittografati. 

Codice: Seleziona tutto

La ditta CryptoWall non danneggia e non viene fatta per danneggiare la persona oppure i suoi dati personali. 
La campagna viene fatta soltanto con l’obiettivo di educare le persone nel campo della sicurezza dell’informazione, ed anche la verificazione dei prodotti delle ditte di antivirus dal punto di vista della loro capacità di difendere i dati. 
Facciamo l’Internet meglio e più sicuro insieme! 
Ma che bravi che sono questi di cryptwall, lo fanno solo per noi per essere più sicuri.

Comunque è molto interessante capire come lavora il virus, appena finisco l'articolo pubblico le prove fatte.
Intanto segnatevi anche questo viewtopic.php?f=26&t=4724
Nulla di ciò che conta è facile da ottenere

Avatar utente
Silver Black
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 63
Iscritto il: gio gen 16, 2014 3:06 am
Località: Bassano del Grappa (VI)
Contatta:

Re: Commenti a

Messaggio da Silver Black »

Ma se l'account non ha privilegi amministrativi il virus può comunque agire? E se si è Admin, non viene comunque richiesta elevazione dei privilegi per eseguire l'eseguibile come quando si avvia un setup?

Se l'infezione avviene solo tramite esecuzione di allegati email allora è abbastanza facile evitarla. Se invece avviene anche tramite navigazione web allora è più ostica e consiglio sempre di navigare con SandBoxie o ancora meglio su macchina virtuale adibita a tale scopo.
Copie di backup dei propri dati su più dischi esterni non perennemente connessi al PC sono sempre più che raccomandate.
Silver Black
www.silvercybertech.com
www.tforumhifi.com

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Silver Black ha scritto:Ma se l'account non ha privilegi amministrativi il virus può comunque agire?
Ho appena finito di fare le prove con account limitato e uac attivo.

Il virus non richiede nulla quando lo avvii, ne da utenza admin ne standard, l'unico intervento che si nota è con utenza standard e uac attiva quando il virus tenta di andare a cancellare le copie shadow che ti chiede il permesso, sempre con la stessa utenza crea i file del riscatto però solo nella cartella dell'utente e non li sparge ovunque. Anche dei documenti che avevo messo in radice del disco fisso non sono stati criptati.
Con utente standard e uac attivo limiteresti i danni, il virus però riuscirebbe lo stesso ad agire.
Se l'infezione avviene solo tramite esecuzione di allegati email allora è abbastanza facile evitarla.
Basterebbe azionare il cervello e non aprire porcherie, non come un utente che ha aperto tutti gli allegati solo perché non conosceva chi gli scriveva.
Indovinate cosa è successo al suo pc?
Copie di backup dei propri dati su più dischi esterni non perennemente connessi al PC sono sempre più che raccomandate.
Direi che sono obbligatorie.
Nulla di ciò che conta è facile da ottenere

Avatar utente
sephire93
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: mar feb 09, 2016 1:15 pm

Re: Commenti a

Messaggio da sephire93 »

Ciao Crazy.cat
Hai provato per caso se usare comodo firewall, può aiutare a proteggerti o è in grado di bloccare alcune operazioni di questo virus?

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

sephire93 ha scritto:Ciao Crazy.cat
Hai provato per caso se usare comodo firewall, può aiutare a proteggerti o è in grado di bloccare alcune operazioni di questo virus?
Leggi qui https://turbolab.it/windows-10/come-vir ... rativo-837 e guarda in quante occasioni potresti fermarlo il virus.
Nulla di ciò che conta è facile da ottenere

Avatar utente
Silver Black
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 63
Iscritto il: gio gen 16, 2014 3:06 am
Località: Bassano del Grappa (VI)
Contatta:

Re: Commenti a

Messaggio da Silver Black »

crazy.cat ha scritto:Il virus non richiede nulla quando lo avvii, ne da utenza admin ne standard, l'unico intervento che si nota è con utenza standard e uac attiva quando il virus tenta di andare a cancellare le copie shadow che ti chiede il permesso, sempre con la stessa utenza crea i file del riscatto però solo nella cartella dell'utente e non li sparge ovunque. Anche dei documenti che avevo messo in radice del disco fisso non sono stati criptati.
Con utente standard e uac attivo limiteresti i danni, il virus però riuscirebbe lo stesso ad agire.
Beh ripensandoci è ovvio che funzioni comunque: perché si limiterà ad agire sui dati dell'utente, quindi il virus come l'utente avrà la possibilità di scrivere/creare, modificare e cancellare i propri file. Sicuramente la cancellazione delle copie shadow è invece inibita e potrebbe essere un'arma non da poco contro il virus nel malaugurato caso uno non disponga di backup aggiornati. Un altro buon motivo per usare sempre un utente non amministrativo per il lavoro di tutti i giorni!
Silver Black
www.silvercybertech.com
www.tforumhifi.com

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9502
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Se avete ancora i file criptati ora si può tentare di recuperarli
https://turbolab.it/pc-642/come-recuper ... -tesla-920
Nulla di ciò che conta è facile da ottenere

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Commenti a

Messaggio da System » ven mag 20, 2016 3:50 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio