Segnalazioni

Se avete ricevuto o siete stati infettati da un ransomware come Cryptolocker, CTB-Locker, Cryptowall, Torrentlocker, TeslaCrypt, Locky o i più recenti potete mandarci una segnalazione per permetterci di verificarne la tipologia e studiarne il comportamento.

Allo stesso modo, se avete sviluppato un software per difendersi dai ransomware o per recuperare i documenti cifrati dai cryptovirus, potete lasciare un commento in questa sezione, fornendo se possibile qualche dettaglio tecnico e comparativo sul prodotto che aiuti il lettore a farsi un’idea del sistema senza dover necessariamente visitare link.

Se avete ricevuto una mail con una richiesta di fattura, una bolletta ENEL, una mail con il tracciamento di una spedizione DHL, SDA o altri corrieri e siete convinti che possa trattarsi di un ransomware, inviateci una segnalazione inoltrando la mail all’indirizzo [email protected]. Tipicamente infatti i cryptovirus vengono trasmessi tramite mail, o come allegato o invitandovi a cliccare su un link al quale troverete una pagina che si finge il sito di un corriere o di una compagnia elettrica, dell’acquedotto, un servizio postale, etc… e vi invita a scaricare il trojan. In genere i trojan come Cryptolocker vengono mascherati come finte fatture in PDF, Word (DOC o DOCX) o Excel (XLS, XLSX) ma anche all’interno di file compressi ZIP/RAR o con estensione SCR, PF, CHM o JS.

Se vi siete imbattuti in un sito web che ha causato l’infezione tramite Exploit Kit o tramite download di software compromesso, indicateci l’URL del sito e, se possibile, inviateci copia del download compromesso dal malware.

Ricordiamo che non si tratta di un servizio a pagamento di recupero file criptati: la vostra segnalazione servirà per contribuire alla ricerca contro i ransomware e cercheremo di fornirvi indicazioni sul tipo di compromissione, sulla possibilità di decriptare i documenti e rimuovere il virus indicando gratuitamente – ove possibile – come decifrare o recuperare i file criptati dai ransomware.

Per inviare segnalazioni inviate una mail a [email protected] allegando se possibile:

Se avete ricevuto una mail sospetta e non l’avete cancellata, copia dell’email contenente il trojan, in ogni caso è importante segnalare se il mittente è uno dei vostri contatti o comunque un conoscente;
Se siete stati infettati dal ransomware navigando sul web, il sito su cui stavate navigando, il Sistema Operativo (Windows, Mac OS, Linux, Android, iOS, etc…) e il Browser (Internet Explorer, Chrome, Firefox, Safari, etc…) utilizzato.
Se siete già stati infettati, i riferimenti al metodo di contatto indicato dai ricattatori, che può essere uno dei seguenti:
- un file con le istruzioni per il pagamento del riscatto, in genere lasciato sul Desktop, nella cartella Documenti o nelle directory contenenti i file criptati (es. “ISTRUZIONI_DECRITTAZIONE“, “DECRYPT_INSTRUCTIONS“, “COME_RECUPERARE_I_FILE” e formato HTML o TXT);
- un indirizzo di posta elettronica (talvolta i file criptati vengono rinominati aggiungendo all’estensione un numero identificativo e un indirizzo email, come ad esempio “Tesi di [email protected]“);
Almeno tre file criptati, preferibilmente con estensione .DOC e .XLS. Se riuscite a recuperarli (es. da qualche backup o email) inviate anche i corrispondenti file originali, non criptati.
Se non volete o potete inviare i file criptati e originali, indicateci l’estensione dei file criptati, cioè cosa è stato aggiunto dopo il nome del file (es. “.ENCRYPTED”, “ECC”, etc…);
Nella denegata ipotesi in cui abbiate pagato il riscatto o contattato i delinquenti, vi chiediamo di farci avere le mail di risposta dei criminali in formato EML (RFC 822) così da poter acquisire informazioni utili per tentare di rintracciarli e il software per la decifratura che vi hanno eventualmente fornito (in genere chiamato “decryptor.exe“), facendoci sapere anche se ha funzionato per decriptare i vostri documenti.
Se riuscite e non avete problemi di privacy sui nomi dei file presenti sul vostro PC, inviateci il listing (cioè un file con nome, percorso e data di ultima modifica) dei file del disco sul quale gira il Sistema Operativo. Ipotizzando che il disco sul quale gira Windows sia il disco C: digitate il seguente comando nel campo di ricerca in basso a sinistra su sistemi Windows: cmd /c dir C:\ /a/s > “%userprofile%\dirc.log”. In alternativa, aprite il prompt del dos e digitate il comando dir C:\ /a/s > “%userprofile%\dirc.log”. In entrambi i casi, troverete un file dal nome “dirc.log” presente nella vostra cartella utente. Comprimetelo e inviatelo fra il materiale allegato alla mail di segnalazione per il ransomware che potrete inviarci per permetterci di fornirvi un feedback sulla possibilità di decifrare gratuitamente i file o comunque a fini di ricerca.
Se durante l’infezione avevate un antivirus attivo sul PC/Server, oppure un antimalware, anti-apt, segnalateci se potete – sempre a fini di ricerca – il prodotto utilizzato, se avevate una configurazione particolare, il numero di versione e se avevate aggiornato la definizione dei virus, indicando se possibile la data di aggiornamento del database con le definizioni dei virus.

Se non riuscite a inviare allegati con i sample, potete comprimerli in un unico file ZIP e caricarli in modo sicuro cliccando su questo link, indicandoci eventualmente in una mail il nome che avete dato al file caricato. In alternativa, potete utilizzare un servizio di invio file come WeTransfer che vi permetterà d’inviare direttamente a [email protected] qualunque file o cartella anche compressa senza limiti di spazio e problemi di blocco da parte di antivirus, firewall o antispyware.

I dati e i sample verranno utilizzati soltanto per finalità di ricerca. I risultati dei test verranno aggregati e pubblicati, ovviamente in forma anonima, su questo sito con il fine di aiutare eventuali altre vittime nella gestione dell’infezione e raccogliere dati utili per la prevenzione da fornire ai produttori di firewall e antivirus.

Se non volete inviare una mail con i campioni del ransomware, potete anche semplicemente lasciare un commento (pubblico) a questo post con la vostra segnalazione.

Elenco degli argomenti

Informativa sul trattamento delle segnalazioni

Ai sensi del D.Lgs. n. 196 del 30 giugno 2003 (“Codice in materia di protezione dei dati personali”), il trattamento delle informazioni personali che La riguardano sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.

In base all’art. 13 del D.lgs. n.196/2003 ed in relazione ai dati personali dei quali entreremo in possesso, La informiamo di quanto segue:

Finalità del trattamento

1.1 I dati personali da Lei forniti (indirizzo e-mail ed eventuali ulteriori informazioni fornite volontariamente) verranno trattati dai gestori del Ransomware Blog per lo svolgimento di operazioni connesse e strumentali all’attività del sito web Ransomware Blog. In particolare tali dati verranno utilizzati in caso di segnalazione di tentativi di infezione da malware al momento del ricevimento al fine di estrarre e catalogare il contenuto dell’e-mail, o in caso di segnalazione di illeciti e truffe per dar riscontro alla richiesta di informazioni e/o aiuto da parte dell’utente.

Modalità del trattamento

Il trattamento avverrà mediante l’utilizzo di strumenti e procedure idonee a garantirne la sicurezza e riservatezza e potrà essere effettuato sia mediante supporti cartacei, sia con l’utilizzo di mezzi informatici.

Natura del conferimento dei dati personali

Il conferimento dei dati è facoltativo per le finalità di cui al punto 1.1. In nessun caso l’eventuale rifiuto di fornire tali dati comporterà la possibilità di inviare segnalazioni in merito al perpetrarsi di tentativi di diffusione di ransomware al Ransomware Blog.

Ambito di comunicazione e diffusione

I dati personali da Lei forniti per lo svolgimento della finalità di cui al punto 1.1 della seguente informativa, non saranno oggetto di comunicazione, fatte salve specifiche richiesta da parte dell’autorità giudiziaria nell’ambito dell’accertamento e repressione di reati o in caso di controversia legale per far valere o difendere un diritto in sede giudiziaria. I dati personali forniti potranno essere portati a conoscenza dei nostri collaboratori appositamente incaricati e nell’ambito delle relative mansioni. I dati da Lei forniti non saranno comunque oggetto di diffusione.

Diritti dell’interessato

L’art.7 del D.Lgs.196/2003 conferisce agli interessati l’esercizio di specifici diritti. Più precisamente l’interessato può ottenere dal Titolare la conferma dell’esistenza o meno di propri dati personali e la loro comunicazione in forma intelligibile. L’interessato può altresì chiedere di conoscere l’origine dei dati nonché le finalità del trattamento; di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge nonché l’aggiornamento, la rettifica o, se vi è interesse, l’integrazione dei dati; di opporsi in tutto o in parte, per motivi legittimi, al trattamento stesso.

52 Responses to "Segnalazioni"

Erika ha detto:

25 Novembre 2018 alle 19:04

Oggi ho ricevuto questa mail riportata sotto.
Mi conferma che non c’è da preoccuparsi?

Hello!

My nickname in darknet is The_3xp0.
I hacked this mailbox more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

If you don’t belive me please check ‘from address’ in your header, you will see that I sent you an email from your mailbox.

Even if you changed the password after that – it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $500 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin): 3P5yeiyWLciKi28yY22LdRntJucSuedTq4
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I’ll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 48 hours!
After your reading this message, I’ll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don’t enter your passwords anywhere!
Good luck!

Rispondi
Vittorio ha detto:

14 Novembre 2018 alle 9:18

Ho ricevuto la seguente mail da indirizzo mail Valeda Karovska ([email protected]) con richiesta di estorsione monetaria a seguito di una mia presunta visita ad un sito pornografico.

I‌ a‌m w‌ell a‌wa‌r‌e vic2166 i‌s yo‌ur pa‌ss wo‌rds. L‌ets g‌et dir‌ectly to the purpo‌s‌e. No‌-on‌e ha‌s pa‌i‌d m‌e to‌ ch‌eck yo‌u. Yo‌u do‌n’t kno‌w me a‌nd you’r‌e proba‌bly thinki‌ng why yo‌u’r‌e g‌etti‌ng thi‌s ma‌i‌l?

i‌n fa‌ct, i‌ a‌ctually s‌etup a‌ softwar‌e o‌n th‌e xxx vi‌ds (po‌rno‌gra‌phi‌c ma‌teri‌al) w‌ebsi‌t‌e a‌nd th‌er‌e’s mo‌r‌e, yo‌u visi‌t‌ed this web si‌t‌e to‌ ha‌v‌e fun (you kno‌w what i mean). Whi‌le you w‌er‌e vi‌‌ewing vi‌d‌eo‌s, yo‌ur intern‌et bro‌ws‌er bega‌n o‌p‌era‌ti‌ng a‌s a‌ RDP ha‌vi‌ng a‌ k‌ey lo‌gg‌er whi‌ch ga‌v‌e m‌e a‌ccess to yo‌ur scre‌en a‌nd web camera. Ri‌ght a‌fter that, my so‌ftwa‌re pro‌gra‌m o‌bta‌in‌ed yo‌ur ‌enti‌r‌e contacts fro‌m yo‌ur M‌ess‌eng‌er, FB, and ‌e-ma‌i‌la‌cco‌unt. aft‌er tha‌t i‌ mad‌e a‌ do‌ubl‌e vid‌eo‌. 1st pa‌rt sho‌ws th‌e vi‌d‌eo‌ you w‌er‌e wa‌tchi‌ng (you’v‌e got a‌ fi‌n‌e ta‌st‌e lo‌l), a‌nd 2nd pa‌rt di‌spla‌ys th‌e r‌eco‌rdi‌ng o‌f yo‌ur webca‌m, yea‌h i‌ts u.

Yo‌u ha‌v‌e two‌ choi‌c‌es. We wi‌ll a‌na‌lyz‌e th‌ese typ‌es o‌f choi‌c‌es i‌n d‌eta‌i‌ls:

1st cho‌i‌c‌e i‌s to‌ di‌smi‌ss thi‌s ‌e ma‌i‌l. i‌n thi‌s situati‌o‌n, i‌ a‌m goi‌ng to‌ s‌end yo‌ur vi‌deo‌ta‌p‌e to a‌ll of yo‌ur p‌erso‌na‌l co‌nta‌cts a‌nd a‌lso‌ just think co‌ncerni‌ng the humili‌ation tha‌t you r‌eceive. a‌nd defi‌ni‌t‌ely sho‌uld yo‌u b‌e in a‌n intimat‌e r‌ela‌ti‌onshi‌p, pr‌eci‌s‌ely ho‌w i‌t wi‌ll ‌eventua‌lly a‌ff‌ect?

N‌ext a‌lterna‌ti‌v‌e wo‌uld b‌e to‌ pa‌y m‌e $7000. L‌ets d‌escri‌b‌e it as a do‌na‌ti‌on. Co‌ns‌equ‌ently, i mo‌st certainly will wi‌tho‌ut delay d‌elet‌e yo‌ur vi‌deo‌ foo‌ta‌g‌e. You could ca‌rry on wi‌th ‌ev‌eryda‌y life li‌k‌e thi‌s nev‌er o‌ccurr‌ed a‌nd yo‌u surely wi‌ll n‌ev‌er hea‌r ba‌ck a‌ga‌i‌n from me.

You wi‌ll mak‌e th‌e pa‌ym‌ent thro‌ugh Bi‌tcoi‌n (i‌f yo‌u do‌n’t kno‌w thi‌s, s‌ea‌rch ‘ho‌w to buy bit‌coi‌n’ i‌n Goo‌gl‌e s‌ea‌rch engine).

B‌T‌C‌ a‌ddr‌ess to‌ s‌end to: 14yns8MCgFtLRR8fjK8RcZ66vfKT43h9mz
[CaS‌e-S‌eNSi‌TiV‌e so‌ co‌py & pa‌ste i‌t]

i‌f yo‌u may b‌e making pla‌ns fo‌r go‌i‌ng to‌ th‌e a‌utho‌ri‌ti‌‌es, sur‌ely, thi‌s e-ma‌i‌l can not be tra‌c‌ed ba‌ck to‌ m‌e. I hav‌e co‌v‌er‌ed my mo‌v‌es. i‌ a‌m no‌t loo‌ki‌ng to‌ charg‌e a‌ f‌e‌e a hug‌e a‌mo‌unt, i‌ wo‌uld li‌ke to‌ be pa‌id for. Yo‌u no‌w have 4‌8 ho‌urs in order to mak‌e th‌e pa‌yment. i‌ hav‌e a‌ sp‌eci‌a‌l pi‌xel wi‌thi‌n thi‌s ma‌i‌l, a‌nd no‌w i‌ kno‌w that yo‌u hav‌e r‌ea‌d through thi‌s ma‌i‌l. i‌f i‌ do‌n’t g‌et the B‌itC‌o‌i‌ns, i‌ wi‌ll, no‌ do‌ubt s‌end o‌ut your vi‌d‌eo to‌ a‌ll of yo‌ur co‌ntacts i‌ncluding clo‌s‌e r‌ela‌ti‌ves, coll‌ea‌gu‌es, ‌etc. Ha‌vi‌ng sai‌d tha‌t, i‌f i‌ do‌ g‌et pa‌i‌d, i‌ will era‌s‌e the r‌eco‌rding ri‌ght a‌way. Thi‌s i‌s a‌ no‌nn‌ego‌tia‌ble off‌er th‌er‌efo‌r‌e do‌n’t wa‌st‌e mine ti‌me & yo‌urs by respo‌nding to‌ thi‌s mai‌l. i‌f you want to ha‌ve proo‌f, reply wi‌th Y‌ea‌h! & i‌ will c‌erta‌inly s‌end yo‌ur vi‌d‌eo‌ to‌ yo‌ur 12 co‌ntacts.

Traduzione:

Sono ben consapevole che vic2166 è il tuo pass word. Consente di ottenere direttamente allo scopo. Nessuno mi ha pagato per controllarti. Non mi conosci e probabilmente stai pensando perché stai ricevendo questa mail?

infatti, ho effettivamente installato un software sul sito Web xxx vids (materiale pornografico) e c’è dell’altro, hai visitato questo sito web per divertirti (capisci cosa intendo). Durante la visualizzazione dei video, il browser Internet ha iniziato a funzionare come un RDP con un keylogger che mi ha dato accesso allo schermo e alla webcam. Subito dopo, il mio programma software ha ottenuto tutti i tuoi contatti da Messenger, FB e account di posta elettronica. dopo di che ho fatto un doppio video. La prima parte mostra il video che stavi guardando (hai un buon gusto lol), e la seconda parte mostra la registrazione della tua webcam, sì è proprio così.

Hai due scelte. Analizzeremo questi tipi di scelte in dettaglio:

La prima scelta è quella di ignorare questa e-mail. in questa situazione, ho intenzione di inviare la tua videocassetta a tutti i tuoi contatti personali e anche solo pensare all’umiliazione che ricevi. e sicuramente dovresti essere in una relazione intima, precisamente in che modo influenzerà alla fine?

La prossima alternativa sarebbe pagarmi $ 7000. Lo descriviamo come una donazione. Di conseguenza, sicuramente cancellerò senza indugio il tuo filmato. Potresti andare avanti con la vita di tutti i giorni come quella che non è mai accaduta e sicuramente non mi sentirai mai più.

Effettuerai il pagamento tramite Bitcoin (se non lo sai, cerca “come acquistare bitcoin” nel motore di ricerca di Google).

Indirizzo BTC da inviare a: 14yns8MCgFtLRR8fjK8RcZ66vfKT43h9mz
[CaSe-SeNSiTiVe quindi copialo e incollalo]

se stai facendo progetti per andare alle autorità, sicuramente, questa e-mail non può essere ricondotta a me. Ho coperto le mie mosse. Non sto cercando di addebitare una tassa una quantità enorme, mi piacerebbe essere pagato per. Ora hai 48 ore per effettuare il pagamento. ho un pixel speciale all’interno di questa mail, e ora so che hai letto questa mail. se non ricevo i BitCoin, invierò, senza dubbio, il tuo video a tutti i tuoi contatti inclusi parenti stretti, colleghi, ecc. Detto questo, se vengo pagato, cancellerò immediatamente la registrazione. Questa è un’offerta non negoziabile quindi non sprecare il mio tempo e il tuo rispondendo a questa mail. se vuoi avere delle prove, rispondi con Yeah! & invierò sicuramente il tuo video ai tuoi 12 contatti.

Cosa devo fare?

Rispondi
1. arianna ha detto:
  
  30 Novembre 2020 alle 13:09
  
  Ho ricevuto la stessa email oggi con indirizzo Bitocoin diverso.
  
  Tu cosa avevi fatto alla fine?
  Grazie mille
  
  Rispondi
FRANCO ha detto:

18 Ottobre 2018 alle 9:57

MAIL RICEVUTA IL 16/10/2018

Il mio nickname in darknet è willi65.
Ho hackerato questa cassetta postale più di sei mesi fa,
attraverso di esso ho infettato il tuo sistema operativo con un virus (trojan) creato da me e ti sto monitorando da molto tempo.

Se non mi credi, per favore controlla ‘from address’ nella tua intestazione, vedrai che ti ho mandato una email dalla tua casella di posta.

Anche se hai cambiato la password, non importa, il mio virus ha intercettato tutti i dati di cache sul tuo computer
e automaticamente salvato l’accesso per me.

Ho accesso a tutti i tuoi account, social network, email, cronologia di navigazione.
Di conseguenza, ho i dati di tutti i tuoi contatti, file dal tuo computer, foto e video.

Sono rimasto molto colpito dai siti di contenuti intimi che occasionalmente visiti.
Hai una fantasia molto selvaggia, ti dico!

Durante il passatempo e l’intrattenimento lì, ho fatto uno screenshot attraverso la fotocamera del tuo dispositivo, sincronizzandoti con quello che stai guardando.
Dio mio! Sei così divertente ed eccitato!

Penso che tu non voglia che tutti i tuoi contatti ottengano questi file, giusto?
Se sei della stessa opinione, allora penso che 300$ sia un prezzo abbastanza onesto per distruggere il sudiciume che ho creato.

Invia l’importo sopra indicato sul mio portafoglio BTC (bitcoin): 1KGjDZ7RFV39r2q1JeSpZAF5L3fnpuenmT
Non appena ricevuto l’importo di cui sopra, garantisco che i dati verranno eliminati, non ne ho bisogno.

In caso contrario, questi file e la cronologia dei siti visitati otterranno tutti i tuoi contatti dal tuo dispositivo.
Ho anche salvato i log della tua corrispondenza. Tutti i tuoi contatti avranno accesso a loro!

Dopo aver letto questa lettera hai 50 ore!
(Non appena ricevi questo messaggio, sarò informato a riguardo).

Spero di averti insegnato una buona lezione.
Non essere così indifferente, visita solo risorse provate e non inserire le tue password ovunque!
In bocca al lupo!

Rispondi
1. Gian ha detto:
  
  29 Ottobre 2018 alle 0:55
  
  Ciao.
  Ricevuto oggi uno simile ma con BitCoin diverso.
  
  Dice di aver hackerato la password che in effetti risulta ma se non sbaglio gia cambiata tempo fa. L account che uso di mail, Vodafone, non la uso quasi mai.
  
  Rispondi
Alberto ha detto:

25 Luglio 2017 alle 22:06

ciao a tutti

venerdì sono stato colpito dal criptovirus CRBR Encryptor, non so quale versione.

Per sicurezza, il disco contenente le foto che ci tengo, lo tengo scollegato, per evitare ulteriori danneggiamenti.

Il resto, perso, non è un grosso problema, perché erano film che posso riscaricare o recuperare.

Secondo voi, in futuro, si riuscirà a decrittare i file?

Vi manderò per email quello che riesco, come indicato sopra.

Rispondi
Cristoforo ha detto:

12 Maggio 2017 alle 17:07

Salve, oggi il mio PC è infetto da “Wanna Decrypt0r 2.0” e chiede un pagamento di 200 dollari via Bitcoin. I file sono tutti criptati in formato .wincry e quasi in ogni directory è presente un file chiamato “@Please_Read_Me@” con su scritto questo
“Q: What’s wrong with my files?

A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let’s start decrypting!

Q: What do I do?

A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Next, please find an application file named “@[email protected]”. It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)

Q: How can I trust?

A: Don’t worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.

* If you need our assistance, send a message by clicking on the decryptor window.”

Rispondi
1. Paolo Dal Checco ha detto:
  
  12 Maggio 2017 alle 22:27
  
  Grazie per la segnalazione, il ransomware wannacry ha infettato in poche ore decine di migliaia di computer con sistema operativo Windows diffondendosi come worm tra PC sfruttando la vulnerabilità MS17-010 del protocollo SMB, tra l’altro risolta un paio di mesi fa e per la quale erano disponibili da tempo aggiornamenti… purtroppo al momento non sono ancora noti decryptor e soluzioni per ripristinare e recuperare i file, appena avremo notizia pubblicheremo aggiornamenti qui sul Ransomware Blog.
  
  Rispondi
Claudia ha detto:

18 Aprile 2017 alle 11:36

Ah, ho dimenticato di dire questo: in quei giorni l’unico allegato che sono stata costretta a scaricare è stata una bolletta Enel di cui avevo necessità di conoscere l’importo, in quanto non recapitata dal postino e prossima alla scadenza.
In questi mesi ci ho rimuginato parecchio… ma mi stranisce che possa c’entrarci in qualche modo, la fattura arrivava direttamente dal sito ufficiale (ho verificato l’indirizzo sulla barra, e comunque la bolletta era visualizzabile anche senza scaricare l’allegato, che in effetti non ho nemmeno aperto). Solitamente non visualizzo MAI le fatture via Internet, ma questa in oggetto era una vera urgenza! Tra l’altro, la fattura arrivata via mail combaciava in tutte le sue parti con quella che avevo già visualizzato dal sito Enel.
I fatti narrati si riferiscono al 23 agosto, giorno precedente all’infestazione.

Rispondi
Claudia ha detto:

18 Aprile 2017 alle 10:39

Aggiorno il mio commento del 24 agosto 2016: sono stata infettata dal maledettissimo CrypMic.
Il ripristino effettuato appena finito il processo d’infezione ha salvato soltanto i file mp3 (ho tre cartelle di musica, quindi perlomeno un grosso problema evitato… anche se sono gli unici file di cui ho il backup!).
Purtroppo ho lasciato passare un paio di settimane dall’infezione prima di ricevere l’illuminazione di poter recuperare dati usando Recuva: alcuni file ho potuto recuperarli, ma ovviamente nel frattempo avevo usato il computer e molti erano già parzialmente o totalmente irrecuperabili. Quindi consiglio a tutti di tentare questa strada (è efficace, ma dovete farlo immediatamente) per ritrovare quantomeno qualcosa.
Cosa abbia causato materialmente l’infestazione non so assolutamente dirlo: le mie abitudini su Internet sono molto parche, le email le leggo solo quando conosco chi le ha inviate e ne scarico gli allegati solamente se mi servono per lavoro. L’unica cosa che posso dire con certezza è che poco dopo la mezzanotte del 24 agosto è partito un aggiornamento automatico di Firefox (dalla versione 48 alla 49), cosa che poi ho dovuto regredire anche perchè il browser non si caricava affatto. Qualche ora dopo, alle 9, accendo il PC e l’inferno si è intrufolato nel mio sistema.
Spero che venga trovato un esorcista per scacciarlo, prima o poi.

Rispondi
Alessandro ha detto:

13 Marzo 2017 alle 11:59

Ho il computer infetto da una variante del ransomware shade, ha criptato tutto il contenuto delle cartelle immagini, documenti, musica, application data, programs data con estensione .no_more_ransom
Il virus pare abbia preso possesso del file di sistema crss.exe. Sto provando ad eseguire una pulizia dell’hd collegandolo esternamente, e tentare un recupero dei file cancellati dopo il criptaggio con un software di recovery. Anche se resto speranzoso del rilascio di un tool di decrittazione.

Rispondi
emilio ha detto:

13 Dicembre 2016 alle 16:43

Salve sono stato attaccato da Parisher Lokmann.Key993 con il file hello0. mi ha crittografato tutto il server aziendale compreso il backup. Vi prego un aiuto per salvare il possibile. grazie

Rispondi
Shisell ha detto:

12 Dicembre 2016 alle 23:16

Buonasera, il mio PC è infetto dal crypt0L0cker a causa di una mail con un allegato..Tutti i file sono stati criptati.. Ed hanno tutti una denominazione diversa. Non ho il backup dei file.. Cosa posso fare? Sono disperata..

Rispondi
1. Paolo Dal Checco ha detto:
  
  13 Dicembre 2016 alle 0:15
  
  La variante di Crypt0l0cker che cifra aggiungendo estensioni diverse ai file non sembra al momento essere decifrabile con modalità alternative. Tra l’altro, anche chi ha deciso di cedere e pagare il riscatto ci ha riferito di aver avuto alcune difficoltà a decifrare tutti i documenti criptati dal ransomware…
  
  Rispondi
  1. slickfish ha detto:
    
    15 Dicembre 2016 alle 9:52
    
    Anch’io sono stato attaccato da Crypt0L0cker a causa di un allegato email.
    In parte ho risolto con le copie Shadow ma gli hd in rete sono completamente criptati.
    Dopo aver ricercato soluzioni nel web ho individuato una “azienda” che si è proposta di fare da intermediatore, occupandosi di pagare il riscatto, gestendo tutta la pratica.
    Anche dopo aver ricevuto come garanzia un file ripulito non me la sono sentita di pagare…..ha tutta l’aria di essere una truffa bella e buona.
    Piuttosto aspetto che esca qualche tool di decriptaggio.
    
    Rispondi
Alessandro Canella ha detto:

11 Settembre 2016 alle 0:22

Ciao, la mia società ha appena lanciato un filtro web basato su DNS con una particolare attenzione al filtraggio dei server web che “fanno funzionare” i ransonmware e i malware in genere. Il prodotto non é certamente l’unico, ma é unico per i costi irrisori : da statistiche infatti i più colpiti sono quelli che non hanno protezioni articolate ma solo semplici antivirus. Il goal é quindi quello di alzare la protezione al pari di quella enterprise. Informazioni qui http://ow.ly/sNqb3045HJe

Rispondi
pinet ha detto:

10 Settembre 2016 alle 8:29

Stiamo elaborando una strategia a difesa dei dati tramite un backup criptato, utilizzando il software opensource urbackup, per chi è interessato: http://www.bakappa.it

Rispondi
Massimo ha detto:

8 Settembre 2016 alle 13:57

Buongiorno,
dopo più di un anno di lavoro abbiamo elaborato un programma che protegge i dati dalla criptazione da parte dei Ransomware.
Per ulteriori informazione basta effettuare una ricerca del programma Anvcrypt ©

Saluti

Rispondi
Andrea Val ha detto:

4 Settembre 2016 alle 18:50

Buongiorno a tutti.
In qualche caso è possibile recuperare PARTE dei dati persi utilizzando “shadow explorer”. Questo programma “ripesca” alcune cartelle e file che windows salva automaticamente. Cercate su youtube le guide.

Un’altro tentativo si può fare utilizzando software tipo Recuva, che cercano di recuperare i file cancellati. Per sperare di ottenere qualcosa da quest’ultimo tipo di software dovete avere cura di NON creare nuovi file, installare nuovi programmi o in generale non dovete scrivere nulla sul disco fisso altrimenti questi nuovi dati sovrascriveranno la traccia lasciata dai vecchi file. Servitevi di un HDD esterno per salvare i dati mentre li recuperate.

Ovviamente PRIMA di fare qualsiasi tentativo dovete rimuovere il virus, vi consiglio Malwarebytes antimalware.

Buona fortuna

Rispondi
1. Paolo Dal Checco ha detto:
  
  4 Settembre 2016 alle 23:32
  
  Certamente è un consiglio che merita tenere in considerazione, anche se purtroppo i ransomware moderni tendono a fare wipe dei file (eventualmente sovrascrivendo gli originali) e rimuovere definitivamente le shadow copy tramite il comando “c:\Windows\System32\vssadmin.exe delete shadows /all /Quiet”. Questo non esclude che ogni tanto si riesca a recuperare qualcosa, per cryptovirus scritti male oppure in caso siano presenti più versioni di un file sul sistema, magari non aggiornate ma recuperabili.
  
  Rispondi
roberto ha detto:

4 Settembre 2016 alle 11:57

Salve stiamo lavorando ad una soluzione di immunizzazione dai ransomware chi fosse interessato questa è la pagina del progetto https://www.kickstarter.com/projects/1707157687/ransomware-immunizer

Rispondi
1. Paolo Dal Checco ha detto:
  
  4 Settembre 2016 alle 23:43
  
  Progetto interessante, pubblichiamo volentieri il commento con il link, anche se forse si potrebbe chiarire meglio qualche aspetto tecnico – senza ovviamente fornire dettagli strategici – perché così è tutto un po’ generico. Ci sono decine di progetti simili, oltre agli antivirus e prodotti commerciali specifici per prevenire infezioni da ransomware o inibire l’attività di encryption, sarebbe innanzitutto interessante capire cosa contraddistingue il progetto Ransomware Immunizer.
  
  Rispondi
Claudia ha detto:

24 Agosto 2016 alle 19:00

Non so bene da cosa sia stata infettata, fatto sta che ogni mio file contenente testo è illeggibile e glia altri non si aprono. Maledizione! Anch’io ho Windows Xp.
Mi è venuta anche la bella idea di fare un ripristino del sistema, ma a quanto pare senza alcun risultato…

Rispondi

Lascia un commento Annulla risposta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.