[RISOLTO] Ransom.Rannoh: file danneggiati dopo rimozione malware polizia di stato

[aktarus76]

Buonasera,
problema serio.
dopo la rimozione con suddesso del famigerato malware della polizia di stato mi sono ritrovato con quasi tutti i file nel pc rinominati in questo modo:

locked-nome file.est.nnnn

dove
"locked-" è presente in tutti i file;
"nome file.est" è il nome del file originale con relativa estensione;
"nnnn" è una serie di 4 lettere causuali che diventano la "finta" estensione del nuovo file che di fatto è illeggibile ed ovviamente non riconosciuto dal sistema.

Ho tentato la rinomina prima puntuale (file x file), poi con lupas rename 2000 (sempre utile). i file vengono rinominati correttamente, l'icona torna quella corretta, ma di fatto tutti i file sono illeggibili. Premetto che:

1. ho tentato il ripristino file con le utilità native dei software che ne sono provvisti (es. office);
2. ho tentato con il ripristino con il freeware "file repair";
3. ho tentato aprendoli da un altro PC;

nulla di fatto.

quello che mi fa pensare è che tutti i file sono illeggibili: txt, doc, xls, pdf, jpg ed anche i database.
ciò mi porta a supporre che il vile autore del malware abbia escogitato un sistema per corrompere il file senza necessariamente leggerlo o "capirlo" magari rimuovendo un dato essenziale o modificando un parametro chissadove.

mi aiutate? sono piuttosto disperato...

grazie

[R16]

Ciao.
Questo tipo di infezione, è in continuo mutamento.
Questa è una nuova variante.

dopo la rimozione con suddesso del famigerato malware della polizia di stato

Puoi indicare con quali software, o in quale modalità lo hai rimosso?
Sei sicuro che l'infezione sia stata eliminata completamente?

[aktarus76]

Diciamo che il sintomo principale (schermata polizia) è sparito. Il pc funziona e non c'é nulla che mi fa pensare ad una infezione persistente.
L'ho rimosso con F-secure rescue cd.
Ricordo che i file non si aprono neanche su un pc pulito.
Grazie.

[CaTTiViT]

Ciao, anch'io non riesco a risolvere lo stesso idendico problema.

Sto provando di tutto ma non riesco nemmeno a riparare i file corrotti.

Hai trovato qualche soluzione?

[amvinfe]

in attesa di R16,

avete già provato queste utility?

http://support.kaspersky.com/downloa...rdecryptor.zip
http://www.malwarecity.com/community...c54a50e3311756

[CaTTiViT]

Ciao, ho provato rectordecryptor, ma non trova nulla.

Il secondo link invece non funge, mi da come errore:

"An Error Occurred
Sorry, an error occurred. If you are unsure on how to use a feature, or don't know why you got this error message, try looking through the help files for more information."

[R16]

Ciao a aktarus76 e a CaTTiViT.
Potete per cortesia mandarmi via PM un paio di quei file criptati?
Possibilmente con estensioni diverse.

Poi fate questa scansione:
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[aktarus76]

Combofix mi restituisce sempre schermata blu. Preciso che ho seguito alla lettera le tue istruzioni. Errore BAD_POOL_HEADER

Schermata blu anche se tento di avviare in modalitá provvisoria.


Grazie

[R16]

Mi è sfuggito quale S.O hai in uso.
Se Combofix si comporta così può essere che il pc ha ancora qualcosa nascosto.

Consiglio queste 2 scansioni:
Scarica TDSSKiller.zip sul desktop:
http://support.kaspersky.com/viruses...?qid=208280684
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

[amvinfe]

intervengo per chiedere a aktarus76 di eseguire una procedura perchè se la variante che ha infettato i file è quella che credo, si dovrà procedere diversamente.


Rendi visibile l'estensione dei file ed esegui uno screenshot su uno di quelli criptati, allegalo nella tua prossima risposta,

grazie e scusatemi per questa "intromissione"