Cryptolocker

[federosso]

DA parte mia ho seguito i consigli di Bigbore:

scaricato MBAM e fatto la procedura indicata.

NON sono state rilevate minacce o files sospetti.

Grazie.

OT
comunque resto ancora stupito della coincidenza che ha voluto che lo stesso giorno che è stato nominato il virus, da parte vostra, io abbia avuto bisogno di informazioni a riguardo.

Mica porterete un zinzinninino di s--f--i--g--a-- ?! 

[Filippo]

O che qualcuno di qua te lo abbia proprio mandato?

[federosso]

ecco. 

[Zio Guido]

Cari regazzi, non dormite tranquilli MAI.
abbiamo notato come questo bastardissimo ramsom venga sistematicamente lanciato all'inizo, metà e fine anno......non ci sono antivirus che tengano anche perchè non è un virus ma un semplice programmino che una volta lanciato va in comunicazione con il proprio server il quale gli manda indietro le chiavi di crypt.Parliamo di almeno 128mb, algoritmi inespugnabili se non dopo anni ed anni di attacchi mirati.

La raccomandazione è sempre quella....dalle mail che vi arrivano anche da fonti sicure o presunte tali, prima di aprire l'allegato LEGGETE BENE!!spessissimo se non sempre il corpo delle mail presenta errori più o meno vistosi di punteggiatura o un Italiano molto stentato e a meno che non ne abbiate fatto esplicita richiesta TUTTI gli istituti che siano banche o posta NON MANDANO documenti per mail. Se il mittente è un vostro amico e sempre se non stiate aspettando una sua mail vi consiglio di leggere bene l'indirizzo e di chiedere conferma allo stesso dell'invio.

Semplici passi ed accortezze che vi preservano da un' infestazione sistematica e al ramsom possiamo anche 

N.B. se vi ha cryptato qualche file ed altri no...salvate subito questi altrimenti al riavvio del pc...si saluta TUTTO

[Isiki]

Maggiori informazioni su cryptolocker - http://nabzsoftware.com/types-of-threats/cryptolocker

[Apelle]

Sono affranto.

Ho fatto tanto il bullo su come si faccia a essere così coglioni da beccarsi crypolocker e... me lo sono beccato io!

O meglio, l'ha beccato il pc della tigre, e la cosa che più mi sconvolge è che sono sicuro al 3000% sul di me e pressoché altrettanto su di lei che non abbiamo cliccato su alcun allegato alle numerose mail a rischio che giornalmente arrivano.
La tigre sa perfettamente come comportarsi, sia perché gliel'ho detto io sia perché in uffcio da lei hanno avuto anche loro il problema, per cui il responsabile IT li martella continuamente.

Eppure, ecco che ho un pc infettato con pressoché tutto criptato, e il terrore che l'infezione si sia estesa anche agli altri in rete di casa.

E no, non ho backup.
Mi ci vorrebbe un HD di riserva da un tera, per farli.


Ho subito passato il pc al setaccio di MBAM, ma non ha rilevato nulla...

Non sono tanto i dati criptati, che non erano vitali e che scoccia perderli ma pazienza... è proprio la paura che l'infezione sia estesa.

Una cosa strana è che l'infezione si è palesata oggi pomeriggio dopo un po' che il pc era acceso, e l'unica cosa fatta era stata di scaricare dal telefono delle foto, che poi la tigre ha messo su faccialibro.

Poco dopo è partito il virus-scanner di AVIRA, che ha rilevato non ricordo cosa, e abbiamo dato l'ok alla quarantena.

In qualche minuto, è sparita l'immagine del desktop, sostituita da sfondo nero e tutto il discorsino di 'sti fiji di troia.

Ora è prioritario debellare la piaga, poi si penserà ai file con shadow explorer o altro.
Qual'è il software più efficace per l'eliminazione del virus?

[bigbore]

il virus nele sue ultime varianti modifica il sistema operativo per non farsi levare di torno. In pratica il sistema operativo diventa colluso col virus, pertanto un software antivirus che si deve appoggiare ai servizi del sistema opertivo colluso, viene ingannato e non trova il virus.
Ciò detto occorre quindi avviare la macchina compromessa con un altro sistema operativo e che permetta a uno scanner AV di funzionare corettamente.

In pratica le software house antivirus mettono a disposizione del pubblico dei tools "sverminanti" basati su linux e che contengono il loro scanner AV.

Quinid scarica kaspersky rescue CD e/o avira rescue CD e/o ESET sysrescue live, sono dei file .ISO da masterizzare su CD che poi userai per avviare la macchina e da li in poi avrai a disposizione gli strumenti per ripulire la macchina.

Insomma inizia a scaricarti questa roba, direi tutti e tre, masterizzali e poi vediamo.... comunque NON accendere le macchine compromesse.

[Apelle]

Aggiornamento.
Con alcune osservazioni premliminari di carattere generale, che dimostrano quanto l'industria informatica sia sempre più orientata a escludere l'utente dal controllo e, in definitiva, dal *possesso" del PC.

Dopo mille peripezie, per lo più incomprensibili e dovute al fatto che non c'era verso né di masterizzare Kaspersky CD né preparare la versione USB, che funzionassero, me li sono fatti fare entrambi da mio fratello, e finalmente ho potuto fare la scansione del pc di lavoro (quello infetto conclamato invece ne parliamo dopo, ora l'urgenza è assicurarsi che il pc di lavoro non corra pericoli).

Prima osservazione collaterale: ho scoperto con questa vicenda che i bios dei pc sono tutti molto "fantasiosi" e non sempre le cose stanno come sembrano fartele vedere.
Ad esempio per il boot da CD/USB, una volta bastava settare la priorità del dispositivo, ora invece c'è sempre qualcosina (o in alcuni casi "qualcosona") in più da fare, non spiegata.
Il pc di lavoro non ha effettuato l'avvio da CD finché non solo gli ho messo quello in prima fila (fatto subito) ma anche ho disabilitato l'avvio da hard disk.
Sul mini-pc HP di cucina c'è una procedura di 8 pagine di stampa per abilitare l'avvio da CD, peccato che non abbia trovato finora istruzioni sul caso dell'USB. La procedura per il CD non funziona perché il bios non la riporta proprio, la voce USB nel boot menu.
Apoteosi per il PC della tigre, quello infetto, che non solo proprio si rifiuta di riconoscere il CD e la chiavetta USB che hanno funzionato su altri 4 PC (il mio di lavoro e altri 3 di mio fratello), ma che a livello di bios presenta sì le funzioni per abilitare/disabilitare i vari dispositivi di boot, ma l'unica attiva è quella relativa a Windows, che in tal modo è sempre dominante su qualsiasi altro dispositivo. Sorge spontanea la domanda "ma se volessi installare un altro SO? come faccio, se il boot da live cd non funziona?
Ho chiamato il Servizio Clienti Acer e, dopo una lunga telefonata in cui l'operatore ha fatto di tutto per capire il contrario di ciò che gli dicevo e spiegavo del mio caso, alla fine ha sentenziato che:

"se il pc si avvia regolarmente, per loro non ha problemi e considerano l'opzione dell'avvio da live cd/usb come argomento su cui non sono tenuti a dare assistenza, e il fatto che quei cd/usb fuznzionino su altri pc non ha alcuna rilevanza"
E con questo, dopo "mai più FMI", anche "mai più Acer".

Tornando a bomba, dopo oltre 8 ore di lavoro, Kaspersky CD ha trovato qualche adware e oltre un centinaio di trojan, raddoppiati a quasi 250 per via del fatto che ho collegato al pc anche l'HD esterno su cui avevo salvato i dati importanti del Pc, per cui ha fatto doppia scansione.
Sono tutti nelle cartelle di posta, molti dei quali direttamente nel cestino, per cui dovrebbero essere quelli allegati alle mail di spam che cestino regolarmente senza nemmeno aprirle.
In questo caso dovrebbero essere innocui, ma mi piacerebbe cmq levarli di torno.

Ma no so come fare, Kaspersky non li può "disinfettare" perché sono inibiti alla scrittura, e non offre una funzione di cancellazione individuale ma solo della cartella che contiene il file (queata peraltro non la comprendo, mi sembra folle).
Ok, allora andiamo individualmente, il report mi dà percorso e nome file per cui sarà noioso ma si può fare.
E invece no, questi file sono cmq inaccessibili, vuoi perché non li si trova, vuoi perché le path a volte sono "strane", tipo con due slash di seguito che non so cosa significhino.

Per cui sono un po' bloccato, sia sul pc di lavoro, che vorrei rimettere pienamente in rete solo dopo averlo totalmente ripulito, sia sugi altri due, che invece non so ancora neppure come avviare con il Rescue CD...

C'è qualcosa di banale che mi sfugge?

[bigbore]

questa bella cosa del "BIOS" che si rifiuta di fare alcune cose si chiama UEFI (http://www.uefi.org/faq).

Vedi se trovi nelle impostazioni qualcosa del tipo "legacy boot" o "compatible/standard boot", in pratica disabilitare le funzioni di UEFI che impediscono l'avvio di qualsiasi cosa se non il loro prezioso e meraviglioso -uindous-
In modalità UEFI parte solo ed esclusivamente da hard disk interno e solo -uindous-

Per quanto attiene la incancellabilità di alcuni file, kaspersky rescue CD non permette di agire su alcuni file a seconda di come sono "segnati" nelle proprietà, ad esempio il file pagefile.sys ubicato nella radice del file system (cioè c:\ ) non riesci ad eliminarlo sebbene sia uno dei tanti file che in caso di pulizie di primavera, andrebbe eliminato.
Scaricati e crea il boot CD di Avira rescue CD, che non ha questa limitazione, oppure una qualsiasi distro live linux; consiglierei la knoppix.

Quando trovi un percorso file che inizia con le due " \\ " sappi che sei di fronte a un percorso file indicato secondo la sintassi UNC.

Il PC che hai pagato con i TUOI soldi, all'atto pratico e il LORO pc visto che su ormai tutte le macchine digitali si può scindere nettamente il possesso fisico dalle possibilità di libero uso ed eventualmente anche abuso se l'acquirente così decidesse.

Non si tratta solo di tutela da truffe pertinenti la garanzia bensì di un modello di uso che supinamente viene accettato da chiunque compri un dispositivo digitale (a parte quei pochi che si rendono conto di cosa sta succedendo) bensì di attuazione di un preciso piano che un passo alla volta, e di cui windows 10 è un altro tassello, nel quale colui che paga per l'acquisto, non solo viene continuamente monitorato nelle sue attività mediate dal quel dispositivo, ma viene totalmente spodestato dal reale e pieno possesso di quella cosa che ha acquistato. Eventualmente modificare (leggasi come "sfuggire") la fruibilità del dispositivo o piegarlo ai proprio voleri è cosa quanto mai invisa poichè ciò:

lede la vendibilità della prossima versione di quel coso che "a grande richiesta adesso offre anche XYZ e rimedia al problema ZXC". lede la continuità della sorveglianza globale attuata mediante questi dispositivi
lede il monopolio di alcuni
ecc
ecc
ecc

[federosso]

Spoiler

     http://www.agendadigitale.eu/competenze-digitali/550_per-favore-non-chiamateli-nativi-digitali.htm 

[Apelle]

http://www.agendadigitale.eu/competenze-digitali/550_per-favore-non-chiamateli-nativi-digitali.htm

Parole tanto pesanti quanto assolutamente veritiere.
L'esempio del bambino che "non va su internet, usa Youtube" è emblematico della cecità di questi ragazzi, che come detto nell'articolo, è estesa ben oltre alla generazione attualmente da scuola elementare.
Forse l'ho già scritto altrove, ma su un altro forum dove avevo provato a perorare la causa "anti-Win10", sono stato letteralmente fatto a brani da una masnada di utenti tutti almeno maggiorenni (è un forum di car-audio, quindi tutta gente che ha almeno 18 anni per guidare la macchina), che mi hanno dato dello stupido complottista e del vecchio incompetente che non vede la meravigliosità dell'integrazione delle App (marò, questo termine mi provoca l'orticaria...) che rende la vita così più facile.

Ossia *esattamente lo stesso atteggiamento* del bambino di scuola elementare che "non va su internet, usa Youtube*.

[Apelle]

questa bella cosa del "BIOS" che si rifiuta di fare alcune cose si chiama UEFI (http://www.uefi.org/faq).

Sì, l'avevo intuito, ma UEFI appare solo sul mini-pc HP, mentre sul desktop Acer vititma dell'infezione, non è menzionato in alcuna voce del bios.

Vedi se trovi nelle impostazioni qualcosa del tipo "legacy boot" o "compatible/standard boot", in pratica disabilitare le funzioni di UEFI che impediscono l'avvio di qualsiasi cosa se non il loro prezioso e meraviglioso -uindous-
In modalità UEFI parte solo ed esclusivamente da hard disk interno e solo -uindous-

Sull'HP c'è la procedura di cui parlavo, e fa qproprio questo, ma è finalizzata al solo avvio da CD, la voce USB o cmq ext device non è proprio presente.

Sull'Acer, l'unica cosa che mi pre possa andare in tal senso è questa:

[attach=1]

Le righe nere non sono interattive, non ci passa sopra neppure il cursore.
Quelle blu si, diventano bianche quando ci va sopra il cursore e sono arrivato a questa schermata dopo aver cambiato il "Secure Boot Mode" da Standard a Custom, come visibile in foto.

Non sono andato oltre per via dell dicitura "install"...

Per quanto attiene la incancellabilità di alcuni file, kaspersky rescue CD non permette di agire su alcuni file a seconda di come sono "segnati" nelle proprietà, ad esempio il file pagefile.sys ubicato nella radice del file system (cioè c:\ ) non riesci ad eliminarlo sebbene sia uno dei tanti file che in caso di pulizie di primavera, andrebbe eliminato.

In realtà non è che mi impedisca di cancellare determinati file, in senso stretto.
E' proprio che non li trovo.
Seguo la path fino a un certo punto, dopodiché non si va oltre.
E la ricerca con ilnime-file non porta a nulla.

Scaricati e crea il boot CD di Avira rescue CD, che non ha questa limitazione, oppure una qualsiasi distro live linux; consiglierei la knoppix.

Ci provo, ma rimane il problema di *trovare* fisicamente i file..

Quando trovi un percorso file che inizia con le due " \\ " sappi che sei di fronte a un percorso file indicato secondo la sintassi UNC.

No, non le trovo all'inizio, le trovo in mezzo.

Il PC che hai pagato con i TUOI soldi, all'atto pratico e il LORO pc visto che su ormai tutte le macchine digitali si può scindere nettamente il possesso fisico dalle possibilità di libero uso ed eventualmente anche abuso se l'acquirente così decidesse.

Non si tratta solo di tutela da truffe pertinenti la garanzia bensì di un modello di uso che supinamente viene accettato da chiunque compri un dispositivo digitale (a parte quei pochi che si rendono conto di cosa sta succedendo) bensì di attuazione di un preciso piano che un passo alla volta, e di cui windows 10 è un altro tassello, nel quale colui che paga per l'acquisto, non solo viene continuamente monitorato nelle sue attività mediate dal quel dispositivo, ma viene totalmente spodestato dal reale e pieno possesso di quella cosa che ha acquistato. Eventualmente modificare (leggasi come "sfuggire") la fruibilità del dispositivo o piegarlo ai proprio voleri è cosa quanto mai invisa poichè ciò:

lede la vendibilità della prossima versione di quel coso che "a grande richiesta adesso offre anche XYZ e rimedia al problema ZXC". lede la continuità della sorveglianza globale attuata mediante questi dispositivi
lede il monopolio di alcuni
ecc
ecc
ecc

E' esattamente la stessa riflessione che ho fatto anch'io.

[federosso]

Spoiler

http://www.agendadigitale.eu/competenze-digitali/550_per-favore-non-chiamateli-nativi-digitali.htm

Parole tanto pesanti quanto assolutamente veritiere.
L'esempio del bambino che "non va su internet, usa Youtube" è emblematico della cecità di questi ragazzi, che come detto nell'articolo, è estesa ben oltre alla generazione attualmente da scuola elementare.
Forse l'ho già scritto altrove, ma su un altro forum dove avevo provato a perorare la causa "anti-Win10", sono stato letteralmente fatto a brani da una masnada di utenti tutti almeno maggiorenni (è un forum di car-audio, quindi tutta gente che ha almeno 18 anni per guidare la macchina), che mi hanno dato dello stupido complottista e del vecchio incompetente che non vede la meravigliosità dell'integrazione delle App (marò, questo termine mi provoca l'orticaria...) che rende la vita così più facile.

Ossia *esattamente lo stesso atteggiamento* del bambino di scuola elementare che "non va su internet, usa Youtube*.

In realtà io mi trovo al centro: vedo le nefandezze degli uomini ma vedo pure la "potenza" dell'integrazione di applicazioni e documenti fra più dispositivi.
Anche in questo caso non mi sento di condannare l'idea di per se, ma l'uso che ne viene fatto o , peggio, lo scopo recondito e non palesato** per cui è stata pensata sin dall'inizio.

** che poi ritengo che chi nega la cosa sia cieco. Discorso diverso di chi invece, come me, si "sente" costretto ad accettarla pur vedendone le prospettive preoccupanti. (e comprendo che già di per se questa sola affermazione può aprire il classico vaso di pandora.