Giuppo

INFEZIONE: PC infettato da Ransomware - ma quale?

Recommended Posts

Salve,

 

il mio pc è stato infettato da un ransomware. Il virus è stato eliminato tramite MalwareByte, ma ora per verificare che tipo di virus sia e se esiste un tool per recuperare i files ho qualche difficoltà:

ho eseguito l'analisi dei files sul sito id-ransomware.malwarehunterteam.com, il quale mi dice che sono stato infettato da PClock, ed in effetti la schermata è la stessa e le estensioni dei file criptati è rimasta l'originale. Tuttavia se vado a controllare i files in quarantena, quello che trovo è TorrentLocker insidiato nel file "spedizione_15093.zip".

Ho provato ad avviare il tool per PClock decrypt_pclock2.exe, ma mi compare una popup con la scritta: "this system does not appear to be targetted by PClock malware in the past"

Ho provato anche TorrentUnlocker.exe senza risultati.

A questo punto avrei bisogno di capire che malwer mi ha infettato realmente e se esiste una minima possibilità di recuperare i files.

 

Allego file di notifica e file criptato.

 

Grazie anticipatamente per l'aiuto

 

Your files are locked !!!!!.txt

file criptato.pdf

Share this post


Link to post
Share on other sites

Buongiorno,

 

Probabilmente è stato infettato da una nuova variante del ransomware. Se ha già effettuato la rimozione tramite Malwarebytes e quindi il file originale è stato cancellato, non c'è niente che possiamo fare.

 

L'unica cosa che può fare è attendere un aggiornamento del software di decriptazione.

 

Orlando

Share this post


Link to post
Share on other sites

Buongiorno e grazie per la risposta,

 

in realtà il dile contenente il malware non è cancellato ma in quarantena e si potrebbe ripristinare. Per completezza riporto in allegato i log dei seguenti software:

 

- MalwareBytes

- SpyHunter4

- EmsisoftEmergencyKit

- Farbar Recovery Scan Tool

 

se serve posso fornire anche il file con il virus

 

Saluti

 

Giuseppe

Scan MalwareBytes.txt

scan_161020-110628.txt

Addition.txt

FRST.txt

SpyHunter.pdf

Share this post


Link to post
Share on other sites

Buongiorno Giuppo,

 

Ho passato i log che ci hai fornito al nostro laboratorio tecnico. Probabilmente possono essere malware generici e non collegati con questo ransomware. Normalmente infatti i ransomware di questo tipo si autodistruggono dopo aver cryptato i file.

 

Ad ogni modo se il laboratorio riesce a trovare il file sorgente che ha criptato i malware, sarebbe molto interessante per noi averlo da analizzare.

 

Ti faccio sapere al più presto,

Orlando

Share this post


Link to post
Share on other sites

Buongiorno ancora,

 

Abbiamo analizzato i log che ci hai fornito. Apri il notepad e scrivi il seguende codice: 

 

Zip: C:\Users\Giuseppe\AppData\Roaming\jttvlp;C:\Users\Giuseppe\AppData\Roaming\Microsoft\Crypto\sysjar.exe


HKU\S-1-5-21-4239284712-2356466762-3749864507-1001\...\Run: [qupziokg] => C:\Users\Giuseppe\AppData\Roaming\jttvlp\rcteafn.exe
HKU\S-1-5-21-4239284712-2356466762-3749864507-1001\...\Run: [4ea4e1a1] => C:\Users\Giuseppe\AppData\Roaming\Microsoft\Crypto\sysjar.exe
HKU\S-1-5-21-4239284712-2356466762-3749864507-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [qupziokg] => C:\Users\Giuseppe\AppData\Roaming\jttvlp\rcteafn.exe
HKU\S-1-5-21-4239284712-2356466762-3749864507-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [4ea4e1a1] => C:\Users\Giuseppe\AppData\Roaming\Microsoft\Crypto\sysjar.exe
 
Salva questo file come fixlist.txt nella stessa cartella di Farbar. Avvia Farbar e clicca sul pulsante "Fix". Al termine dell'operazione un file zip verrà creato sul desktop. Allega qui quel file zip, grazie.
 
Orlando

Share this post


Link to post
Share on other sites

Buonasera Orlando,

 

ho fatto come hai scritto, ma non appena clicco Fix, mi compare la finestra di errore che vedi in allegato. Se vado avanti cliccando OK, il software resta in esecuzione "Fixing in progress, please wait" per ore senza risultati, sicchè ho dovuto interrompere il processo forzatamente.

 

Che fare ora?

 

Giuseppe

post-44249-0-53442600-1477083042_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

E' stato creato comunque lo zip sul tuo desktop? Se si allegacelo qui, per favore. Se non è stato creato prova ad inserire il seguente codice nel file fixlist.txt e ad eseguire la procedura ancora una volta (potrebbe darti lo stesso errore, ma in maniera leggermente differente):

Zip: C:\Users\Giuseppe\AppData\Roaming\Microsoft\Crypto\sysjar.exe


HKU\S-1-5-21-4239284712-2356466762-3749864507-1001\...\Run: [qupziokg] => C:\Users\Giuseppe\AppData\Roaming\jttvlp\rcteafn.exe
HKU\S-1-5-21-4239284712-2356466762-3749864507-1001\...\Run: [4ea4e1a1] => C:\Users\Giuseppe\AppData\Roaming\Microsoft\Crypto\sysjar.exe
HKU\S-1-5-21-4239284712-2356466762-3749864507-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [qupziokg] => C:\Users\Giuseppe\AppData\Roaming\jttvlp\rcteafn.exe
HKU\S-1-5-21-4239284712-2356466762-3749864507-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [4ea4e1a1] => C:\Users\Giuseppe\AppData\Roaming\Microsoft\Crypto\sysjar.exe

Fammi sapere,

Orlando

Share this post


Link to post
Share on other sites

Eccomi di nuovo,

 

ho fatto qualche verifica per conto mio. Non so se possono essere utili ma ti allego alcune informazioni che ho recuperato:

 

- Crypto.rar (Cartella che originariamente conteneva il file sysjar.exe di cui ovviamente non c'è più traccia)

- Crypto deleted.rar (alcuni file che sono stati cancellati dalla cartella Crypto e che ho recuperato)

- Cipher.rar (una cartella che risulta cancellata, simile a Crypto ma credo non sia correlata)

 

Sto cercando di recuperare il link o il file originale che ha installato il virus, se riesco lo invio.

Crypto deleted.rar

Cipher.rar

Crypto.rar

Share this post


Link to post
Share on other sites

Ciao Giuppo,

 

Ti chiedo scusa se ti rispondo solo ora.

 

Purtroppo tutti i file da te inviati sono o vuoti o legittimi e quindi non contengono il ransomware che necessitiamo da analizzare. Molto probabilmente esso si è autodistrutto dopo aver criptato i file. L'unica cosa che si può fare a questo punto è attendere il rilascio di un tool per la decriptazione da noi o da un'altra società di sicurezza.

 

Orlando

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.