Pagina 1 di 1
Commenti a "Come ripulire un computer dal virus Tesla Crypotolocker"
Inviato: gio feb 04, 2016 3:44 pm
da crazy.cat
Come ripulire un computer dal virus Tesla Crypotolocker
E’ ormai molto tempo che è in circolazione una famiglia di virus detta CryptoLocker il cui scopo è “rapire” i vostri documenti, criptandoli, e obbligarvi a pagare un riscatto per poterli riavere. In questi giorni sembra esserci in corso una massiccia distribuzione di mail infette dalla variante TeslaCrypt. [continua..]
Inserite di seguito i vostri commenti.
Re: Commenti a
Inviato: ven feb 05, 2016 11:41 am
da route67
con l'augurio a tutti di non averne mai bisogno,
mille grazie per questa chiarissima guida
Re: Commenti a
Inviato: ven feb 05, 2016 12:49 pm
da PippoDJ
crazy.cat ha scritto:Almeno in questa ultima variante non sembra esserci un virus attivo in memoria.
Mi hanno già portato due PC che hanno contratto il Tesla 3.0 e ti posso confermare che il virus è molto ben educato: dopo aver criptato tutti i file e rimosso tutti i punti di ripristino, cancella dal sistema anche ogni traccia di se stesso.
In qualche modo riesce a criptare i documenti senza crearne "copie di lavoro" temporanee (o per lo meno, se le fa, poi le rimuove definitivamente dal disco) per cui, anche i tentativi con vari strumenti per il recupero di file cancellati, sembrano essere inutili.
A volte penso che sarebbe bello se i software commerciali avessero la stessa qualità ed efficienza...
Re: Commenti a
Inviato: ven feb 05, 2016 1:02 pm
da crazy.cat
PippoDJ ha scritto:A volte penso che sarebbe bello se i software commerciali avessero la stessa qualità ed efficienza...
A 500 $ a riscatto devi essere almeno altamente professionale, altrimenti i tuoi "clienti" poi si lamentano. 
Mi ha colpito molto l'invio di mail da mittenti apparentemente validi in modo da far cadere in trappola il destinatario.
Sempre più efficienti diventano.
con l'augurio a tutti di non averne mai bisogno,
Assolutamente, spero proprio che serva a prevenire più che a curare.
Re: Commenti a
Inviato: ven feb 05, 2016 3:11 pm
da gianpietro
Ciao crazy.cat
Questa mattina passando per il laboratorio, erano presenti due portatili, arrivati ieri pomeriggio, colpiti dal Ransomware Tesla,
e a metà mattina una ditta a chiamato che era stata infettata, verificando i ragazzi del laboratorio anno riscontrato la presenza
di Tesla, e prima di mezzogiorno un altra ditta stesso problema, oltre agli altri casi indicati in un altro post.
Re: Commenti a
Inviato: ven feb 05, 2016 4:36 pm
da crazy.cat
Re: Commenti a "Come ripulire un computer dal virus Tesla Cryptolocker"
Inviato: ven feb 05, 2016 5:03 pm
da Uomo Senza Sonno
Brutta bestia quest'ultima variante. Giusto mercoledì si è propagata l'infezione in metà dei pc dell'ente regionale dove lavora mia madre. Mail arrivata da indirizzo attendibile, nessuna richiesta di riscatto e continue richieste di accesso alla copia shadow. Ovviamente tutti i file sono criptati, ma non avendo avuto mai a che fare con questo tipo di minacce, con una copia shadow è possibile recuperare tutto o bisogna sperare che nel server centrale ci siano delle immagini di backup?
Re: Commenti a
Inviato: sab feb 06, 2016 5:17 am
da crazy.cat
Uomo Senza Sonno ha scritto:Brutta bestia quest'ultima variante. Giusto mercoledì si è propagata l'infezione in metà dei pc dell'ente regionale dove lavora mia madre. Mail arrivata da indirizzo attendibile, nessuna richiesta di riscatto e continue richieste di accesso alla copia shadow. Ovviamente tutti i file sono criptati, ma non avendo avuto mai a che fare con questo tipo di minacce, con una copia shadow è possibile recuperare tutto o bisogna sperare che nel server centrale ci siano delle immagini di backup?
Le copie shadow, sempre che esistano ancora, dovrebbero permettere il recupero, strano che manchino le richieste di riscatto forse l'infezione non è riuscita del tutto.
Re: Commenti a "Come ripulire un computer dal virus Tesla Cryptolocker"
Inviato: sab feb 06, 2016 8:35 am
da Uomo Senza Sonno
Potrebbe essere perché viene usato un account limitato e perché è stato spento immediatamente?
Re: Commenti a
Inviato: sab feb 06, 2016 2:21 pm
da crazy.cat
Uomo Senza Sonno ha scritto:Potrebbe essere perché viene usato un account limitato e perché è stato spento immediatamente?
Spento subito sicuramente ha fatto bene, sull'account limitato non saprei, dipenderebbe anche se ci sono policy aziendali che impediscono l'avvio degli eseguibili da quelle cartelle. Se l'exe parte lo stesso può sicuramente dire addio ai documenti che trova nella cartella personale dell'utente.
Non funziona nemmeno il task manager con il virus attivo, ho visto che i documenti vanno a finire le cestino dopo aver creato la copia criptata.
Comunque stavo provando il virus su un pc che potevo demolire ed è piuttosto interessante, ci ragiono sopra e vedo se riesco a tirarci fuori un articolo:
"come il virus infetta il tuo pc se sbagli ad aprire l'allegato..."
Re: Commenti a
Inviato: dom feb 07, 2016 2:00 pm
da crazy.cat
Alcune parti delle istruzioni del riscatto sono quasi divertenti, a parte la traduzione in pseudo italiano ci sono alcuni passaggi interessanti.
Codice: Seleziona tutto
Congratulazioni!!! È diventato parte della grande unità di CryptoWall
Codice: Seleziona tutto
Purtroppo questi siti sono temporari, perché le ditte di antivirus sono interessati di farLe impossibile restituirei Suoi file, ma vorrebbero farLa comprare i loro prodotti.
Non siamo come loro, La vogliamo aiutare sempre.
Codice: Seleziona tutto
Purtroppo, le ditte di antivirus non sanno difendere ed anzi restituire i Suoi file, ma Le fanno del peggio quando cancellano delle istruzioni per restituire dei file crittografati.
Codice: Seleziona tutto
La ditta CryptoWall non danneggia e non viene fatta per danneggiare la persona oppure i suoi dati personali.
La campagna viene fatta soltanto con l’obiettivo di educare le persone nel campo della sicurezza dell’informazione, ed anche la verificazione dei prodotti delle ditte di antivirus dal punto di vista della loro capacità di difendere i dati.
Facciamo l’Internet meglio e più sicuro insieme!
Comunque è molto interessante capire come lavora il virus, appena finisco l'articolo pubblico le prove fatte.
Intanto segnatevi anche questo viewtopic.php?f=26&t=4724
Re: Commenti a
Inviato: dom feb 07, 2016 7:15 pm
da Silver Black
Ma se l'account non ha privilegi amministrativi il virus può comunque agire? E se si è Admin, non viene comunque richiesta elevazione dei privilegi per eseguire l'eseguibile come quando si avvia un setup?
Se l'infezione avviene solo tramite esecuzione di allegati email allora è abbastanza facile evitarla. Se invece avviene anche tramite navigazione web allora è più ostica e consiglio sempre di navigare con SandBoxie o ancora meglio su macchina virtuale adibita a tale scopo.
Copie di backup dei propri dati su più dischi esterni non perennemente connessi al PC sono sempre più che raccomandate.
Re: Commenti a
Inviato: mar feb 09, 2016 8:48 am
da crazy.cat
Silver Black ha scritto:Ma se l'account non ha privilegi amministrativi il virus può comunque agire?
Ho appena finito di fare le prove con account limitato e uac attivo.
Il virus non richiede nulla quando lo avvii, ne da utenza admin ne standard, l'unico intervento che si nota è con utenza standard e uac attiva quando il virus tenta di andare a cancellare le copie shadow che ti chiede il permesso, sempre con la stessa utenza crea i file del riscatto però solo nella cartella dell'utente e non li sparge ovunque. Anche dei documenti che avevo messo in radice del disco fisso non sono stati criptati.
Con utente standard e uac attivo limiteresti i danni, il virus però riuscirebbe lo stesso ad agire.
Se l'infezione avviene solo tramite esecuzione di allegati email allora è abbastanza facile evitarla.
Basterebbe azionare il cervello e non aprire porcherie, non come un utente che ha aperto tutti gli allegati solo perché non conosceva chi gli scriveva.
Indovinate cosa è successo al suo pc?
Copie di backup dei propri dati su più dischi esterni non perennemente connessi al PC sono sempre più che raccomandate.
Direi che sono obbligatorie.
Re: Commenti a
Inviato: mar feb 09, 2016 1:20 pm
da sephire93
Ciao Crazy.cat
Hai provato per caso se usare comodo firewall, può aiutare a proteggerti o è in grado di bloccare alcune operazioni di questo virus?
Re: Commenti a
Inviato: mar feb 09, 2016 1:26 pm
da crazy.cat
sephire93 ha scritto:Ciao Crazy.cat
Hai provato per caso se usare comodo firewall, può aiutare a proteggerti o è in grado di bloccare alcune operazioni di questo virus?
Leggi qui https://turbolab.it/windows-10/come-vir ... rativo-837 e guarda in quante occasioni potresti fermarlo il virus.
Re: Commenti a
Inviato: mar feb 09, 2016 4:29 pm
da Silver Black
crazy.cat ha scritto:Il virus non richiede nulla quando lo avvii, ne da utenza admin ne standard, l'unico intervento che si nota è con utenza standard e uac attiva quando il virus tenta di andare a cancellare le copie shadow che ti chiede il permesso, sempre con la stessa utenza crea i file del riscatto però solo nella cartella dell'utente e non li sparge ovunque. Anche dei documenti che avevo messo in radice del disco fisso non sono stati criptati.
Con utente standard e uac attivo limiteresti i danni, il virus però riuscirebbe lo stesso ad agire.
Beh ripensandoci è ovvio che funzioni comunque: perché si limiterà ad agire sui dati dell'utente, quindi il virus come l'utente avrà la possibilità di scrivere/creare, modificare e cancellare i propri file. Sicuramente la cancellazione delle copie shadow è invece inibita e potrebbe essere un'arma non da poco contro il virus nel malaugurato caso uno non disponga di backup aggiornati. Un altro buon motivo per usare sempre un utente non amministrativo per il lavoro di tutti i giorni!
Re: Commenti a
Inviato: ven mag 20, 2016 3:50 pm
da crazy.cat
Se avete ancora i file criptati ora si può tentare di recuperarli
https://turbolab.it/pc-642/come-recuper ... -tesla-920