HELP decriptare i dati rapiti da CTB-Loker

[technicianhighweb]

non so proppio come procedere
ho eliminato il virus CTB-Loker con Combofix MalwareBytes Ccleaner iobit

ma al riavvio del pc i dati erano tutti gia criptati
come posso recuperarli

in pochi secondi ha criptato anche hdd esterno che conteneva i bacup giornalieri

CryptoDefense Virus è un’infezione ransomware che intende rubare più soldi possibili agli utenti spaventati. Secondo vari resoconti, CryptoDefence Virus è apparso per la prima volta a Febbraio 2014 e da allora ha infettato oltre 20.000 computer in più di 100 paesi. Come risultato, i criminali alle spalle di quest’infezione sono riusciti a raccogliere oltre $34.000 sotto forma di multe. Se sei stato infettato da CryptoDefence Virus, non valutare nemmeno di pagare la multa, perché pagando non eliminerai CryptoDefence Virus. Devi rimuovere CryptoDefence Virus dal tuo computer e poi investire in uno strumento antimalware affidabile che protegga il tuo sistema da simili infezioni.

A causa del suo comportamento, CryptoDefence Virus sembra essere collegato a CryptoLocker Virus, anche noto come un’applicazione ransomware odiosa. Sembra, tuttavia, esserci una forte differenza tra i due programmi. CryptoLocker Virus ti blocca fuori dal tuo computer e cripta i tuoi file. A meno che tu non ottenga una chiave privata dopo aver pagato il riscatto, non puoi ripristinare i tuoi file (specialmente se non hai mai impostato un punto di ripristino di sistema prima d’ora). La situazione con CryptoDefence Virus è leggermente diversa.

Quando CryptoDefence Virus entra nel tuo computer e blocca il tuo accesso ai file, quest’infezione ti chiede anche di pagare $500 o E500 sotto forma di bitcoin per poter decriptare i tuoi file. Tecnicamente la chiave privata che ti permette di decriptare i file dovrebbe trovarsi sul server dell’infezione, ma CryptoDefence Virus fa l’errore di lasciare la chiave privata sul computer infetto. Dopo aver rimosso CryptoDefence Virus dal sistema puoi , quindi, decriptare tu stesso tutti i file colpiti.

È necessario cancellare CryptoDefence Virus prima possibile e poi evitare simili infezioni in futuro. Per evitare che i ransomware entrino nel tuo sistema, devi astenerti dall’aprire email spam e messaggi di social engineering. Per esempio, CryptoDefence Virus è distribuito tramite allegati a email spam. Email spam che portano CryptoDefence Virus sono spesso inviati da luoghi diversi e diversi indirizzi IP, in modo che sia difficile determinare il colpevole alle spalle di questa truffa.

Una volta eseguita la truffa, vedrai apparire un pop-up che t’informa che i tuoi file sono stati criptati:

Quote

Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD/EUR. If payment is not made before [date] the cost of decrypting files will increase 2 times will be 1000 USD/EUR.
We are present a special software – CryptoDefense Decrypter – which is allow to decrypt and return control to all your encrypted files.

Fortunatamente CryptoDefence Virus non blocca l’accesso al tuo desktop o a Internet. Puoi, quindi, scaricare uno strumento antimalware affidabile e terminare l’infezione automaticamente senza difficoltà. Eseguire una scansione del sistema con uno scanner antimalware potente ti aiuterà anche a determinare se ci sono altre infezioni sul PC.

[frakka]

In giro c'erano due tipologie principali di queste infezioni (al di là dei nomi utilizzati che possono variare in diverse sfumature): I veri crypto virus ed i fake che, sfruttando la fama dei primi, si facevano pagare i riscatti senza aver fatto assolutamente nulla sul pc dell'utente se non qualche scenetta appariscente.

Se la tua infezione è del secondo tipo, prova semplicemente ad aprire i files presunti criptati e vedi se invece sono normalmente funzionanti.

Se invece ti sei preso una infezione del primo tipo, purtroppo non c'è modo di decriptare i files se non pagando il riscatto richiesto. La tecnologia utilizzata per cifrare i file è una delle più forti attualmente disponibili sul mercato quindi non è probabile riuscire a fare un decrypt a meno che non abbiano davvero lasciato la chiave privata da qualche parte sul tuo pc.
Tempo fà Totocellux ha postato un link ad un sito che permetteva di tentare un decrypt per un utente che ha avuto un problema simile ma temo che non abbia dato esito positivo perchè non c'è più stato riscontro in merito.

[technicianhighweb]

In giro c'erano due tipologie principali di queste infezioni (al di là dei nomi utilizzati che possono variare in diverse sfumature): I veri crypto virus ed i fake che, sfruttando la fama dei primi, si facevano pagare i riscatti senza aver fatto assolutamente nulla sul pc dell'utente se non qualche scenetta appariscente.

Se la tua infezione è del secondo tipo, prova semplicemente ad aprire i files presunti criptati e vedi se invece sono normalmente funzionanti.

Se invece ti sei preso una infezione del primo tipo, purtroppo non c'è modo di decriptare i files se non pagando il riscatto richiesto. La tecnologia utilizzata per cifrare i file è una delle più forti attualmente disponibili sul mercato quindi non è probabile riuscire a fare un decrypt a meno che non abbiano davvero lasciato la chiave privata da qualche parte sul tuo pc.
Tempo fà Totocellux ha postato un link ad un sito che permetteva di tentare un decrypt per un utente che ha avuto un problema simile ma temo che non abbia dato esito positivo perchè non c'è più stato riscontro in merito.

come riconosco e dove posso cercare il file contenente la chiave ?

[technicianhighweb]

dove posso trovare le eventuali copie Shadow ?

[frakka]

Le copie shadow le raggiungi cliccando sul file con il tasto destro -> Proprietà e cercando nella label "Versioni precedenti" ma non credo funzioni... A tutti gli effetti, l'archivio cifrato è un nuovo file, quella originale è stato cancellato. Non credo sia possibile utilizzare la copia shadow per tentare di recuperarlo. Forse usando una utility per il recupero di files cancellati ma non ci spererei...

Vedi se qui c'è qualcosa che ti può essere d'aiuto:
Digital Forensics Today Blog: Examining Volume Shadow Copies ? The Easy Way!
A simple way to access Shadow Copies in Vista - Antimail - Site Home - MSDN Blogs


L'eventuale chiave privata dovrebbe essere contenuta in un normale file di testo che non significa necessariamente ".txt": Il file potrebbe avere qualunque estensione (o anche non averla) ed essere comunque apribile con notepad.

[frakka]

Il post che hai citato prima, che parla della chiave lasciata sul pc, trova riscontro anche qui:

How to remove CryptoDefense virus and restore your files

C'è il link ad una utility che potrebbe decrittare i files se rientri nel caso fortunato di esserti preso una vecchia versione del virus, nelle ultime il bug è stato fixato.
Altrimenti dicono di provare a ripristinare il sistema ad un precedente punto di ripristino ma mi sembra una cavolata... Non mi risulta che i recovery point salvino anche i dati utente.

[Totocellux]

stiamo provando un nuovo e diverso approccio alla soluzione di questo problema.

Appurato che:

1) forzare il recupero della chiave è con ogni probabilità un compito estremamente
proibitivo

2) confidando che il ransomware crei ex-novo i file con un'estensione random
(univoca per ogni pc colpito) sui quali memorizzare il contenuto crittato, provvedendo
subito dopo semplicemente a cancellare (velocemente) gli originali

abbiamo provato a stoppare ogni attività sul sistema infetto, avviando un programma
di recupero file/partizioni alla ricerca dei nostri files originali credendoli solo, presumibilmente,
cancellati.

A questo particolare scopo abbiamo utilizzato, come facciamo di norma, il software GetDataBack.

Su alcune macchine abbiamo avuto riscontri parzialmente positivi (una buona percentuale di
documenti recuperati), ma tutto potrebbe dipendere dall'evoluzione del ceppo del ransomware
utilizzato: purtroppo ne esistono di diversi tipi e non tutti attivano le medesime funzionalità.

Pertanto bisogna solo investire un po di tempo provando con questa tecnica.

Soprattutto, ad ogni buon conto, consiglio di copiare prima possibile i file crittati su un supporto
di memorizzazione esterno. Questo accorgimento potrebbe rivelarsi utile al momento, un domani,
si possa riuscire in qualche modo a recuperare la chiave privata per poterli nuovamente decrittare.

[ciccoman]

Salve ragazzi, mi iscrivo alla discussione per rimanere aggiornato sulla situazione.

Lavoro in un'azienda di servizi informatici e ho avuto a che fare diverse volte con questo tipo di problematica... Purtroppo a oggi la soluzione più economica, in quei casi fine non è attivo un sistema di backup, risulta quella di pagare il riscatto... Non lo ho mai proposto ai nostri clienti e ho sempre sconsigliato di "finanziare i propri aguzzini" qualora mi fosse stato chiesto, ma in un paio di occasioni è stato inevitabile .

Bisogna ammettere che questi criminali sono stati intelligenti anche nel dimensionare la richiesta... Costa meno pagare il riscatto che cercare vie alternative... anche perché questo diavolo di ransoware è in continuo mutamento e, anche se si dovesse trovare la cura, dopo poche settimane non sarebbe più efficace .

Comunque vi faccio i complimenti per il lavoro che state svolgendo.

Rimango in ascolto

[Totocellux]

[...]
anche in assenza di snapshot, dovrebbe essere drammaticamente più semplice recuperare le versioni non criptate dei files usando la tecnica che hai suggerito. Bisogna poi verificarne l'applicabilità al caso reale (quindi con compressione e/o deduplica attiva) ma sicuramente offre degli spunti di riflessione.
[...]

esatto, oltre a pensarci noi speriamo che qualcun altro legga e possa prendere spunti per
futuro

[...]
Anche la possibilità di effettuare degli snapshot periodici (ed inviarli magari ad un dispositivo remoto per la replica) sicuramente può essere una manna, in situazioni del genere.
[...]

si, anche perché in tutti i casi su cui mi sono imbattuto (stranamente) la problematica è
rimasta relegata sui dispositivi di memorizzazione del singolo pc

[...]
Più che altro, stavo pensando ai rischi connessi alla pratica (molto diffusa nelle PMI) di utilizzare per i backup dischi esterni USB/SATA direttamente collegati al dispositivo di storage primario. In un caso del genere, insieme ai dati si perde anche il supporto di backup, quindi predisporne una rotazione e scollegare fisicamente il dispositivo al termine diventa sempre più indispensabile.

si, lo storage usb viene purtroppo con ogni probabilità preso di mira dal ransomware

Salve ragazzi, mi iscrivo alla discussione per rimanere aggiornato sulla situazione.

Lavoro in un'azienda di servizi informatici e ho avuto a che fare diverse volte con questo tipo di problematica... Purtroppo a oggi la soluzione più economica, in quei casi fine non è attivo un sistema di backup, risulta quella di pagare il riscatto... Non lo ho mai proposto ai nostri clienti e ho sempre sconsigliato di "finanziare i propri aguzzini" qualora mi fosse stato chiesto, ma in un paio di occasioni è stato inevitabile .
[...]

si è innegabile come in alcuni casi valga la pena provare a spendere una cifra tutto sommato
non troppo elevata.

Il problema è che in alcuni casi si è verificato che dopo il riscatto non è stata fornita la
chiave privata di decrittazione.

Ritengo che non sia volontà premeditata dei criminali, ma più semplicemente una diretta
conseguenza del fatto che gli ip dei server vengono spostati con massima frequenza (le
famose 48/72 ore del riscatto) per evitare di dare lo spazio temporale necessario alla
localizzazione da parte degli inquirenti.

Quindi più tardi si arriva a pagare (nell'arco dei due/tre giorni di tempo) maggiormente si
riducono le possibilità che si possa avere la chiave.

[...]
anche perché questo diavolo di ransoware è in continuo mutamento e, anche se si dovesse trovare la cura, dopo poche settimane non sarebbe più efficace .
[...]

non è detto in maniera categorica.

Le chiavi private potrebbero anche derivare da un unico keyring e una volta avuto modo
di accedere al sistema dei creatori, si potrebbe risalire ad un numero +o- ampio di chiavi
singolarmente usate nel tempo. Tutto sta nel conoscere le modalità e le frequenze di
aggiornamento dda parte dei creatori/utilizzatori del ransomware.

E' un po quello che si è verificato nella fase 1.0 di Cryptolocker con l'intervento di aziende
quali FireEye (USA) e FoxIt (Olanda) che una volta avuto modo di coadiuvare il lavoro degli
inquirenti in America ed Europa e subentrare nei sistemi utilizzati, hanno pensato di poter
dare aiuto a molti mettendo su in proprio e a titolo assolutamente gratuito, il servizio
offerto dall'ormai famoso:

https://www.decryptcryptolocker.com/

[...]
Comunque vi faccio i complimenti per il lavoro che state svolgendo.

Rimango in ascolto

grazie per l'apprezzamento

Qui, l'unica cosa veramente a mancarci è un quantitativo adeguato di tempo libero a
disposizione per poter fare ancora qualcosa in più.

:-)

[frakka]

Qui, l'unica cosa veramente a mancarci è un quantitativo adeguato di tempo libero a
disposizione per poter fare ancora qualcosa in più.
:-)