un virus che mi ha cambiato tutte le estensioni in .vvv?

**francescocalore** · 05-12-2015, 17:14

------- Scansione supplementare -------
.
uStart Page = https://it.yahoo.com/?fr=yset_ie_syc...ype=orcl_hpset
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com
mDefault_Search_URL = hxxp://www.google.com
mDefault_Page_URL = www.google.com
mStart Page = hxxp://www.google.com
mLocal Page = c:\windows\SysWOW64\blank.htm
mSearch Page = hxxp://www.google.com
mSearch Bar = hxxp://www.google.com
uSearchAssistant = www.google.com
uSearchURL,(Default) = www.google.com/
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\portatile\AppData\Roaming\DVDVideoSoftIEH elpers\freeytvdownloader.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\portatile\AppData\Roaming\Mozilla\Firefox \Profiles\fid4yniy.default\
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
Toolbar-Locked - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Toolbar-10 - (no file)
Wow6432Node-HKCU-Run-EEDSpeedLauncher - c:\windows\system32\eed_ec.dll
Wow6432Node-HKU-Default-Run-EEDSpeedLauncher - c:\windows\system32\eed_ec.dll
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{E3393495-8103-46A0-8181-270273EDDD60} - (no file)
AddRemove-ASUS_Screensaver - c:\windows\system32\ASUS_Screensaver.scr
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\bm_installer.exe
AddRemove-CPM 2014 - c:\windows\system32\javaws.exe
AddRemove-DealPly - c:\users\PORTAT~1\AppData\Roaming\Dealply\UpdatePr oc\UpdateTask.exe
.
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3B F-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macrome d\\Flash\\FlashUtil64_19_0_0_245_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3B F-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3B F-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUt il64_19_0_0_245_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3B F-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299 817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299 817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299 817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macrome d\\Flash\\FlashUtil32_19_0_0_245_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUt il32_19_0_0_245_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32 _19_0_0_245.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.19"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32 _19_0_0_245.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32 _19_0_0_245.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32 _19_0_0_245.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CL SID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\In terface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\In terface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\In terface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPl ugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPl ugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPl ugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPl ugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Nico Mak Computing\WinZip]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00 ,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00 ,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PC W\Security]
@Denied: (Full) (Everyone)
.
Ora fine scansione: 2015-12-05 16:03:51
ComboFix-quarantined-files.txt 2015-12-05 15:03
.
Pre-Run: 53.324.824.576 byte disponibili
Post-Run: 52.641.439.744 byte disponibili
.
- - End Of File - - C6B31BF0D3D2A0BC082CD0071729DF57
5C616939100B85E558DA92B899A0FC36

**issolution** · 23-12-2015, 12:19

The procedure at https://github.com/Googulator/TeslaCrack worked with vvv extension.
I think that can be a little difficult for average users.
If you have problem with it you can send me an email (italiansoftwaresolution@gmail.com) with one encrypted file and I will send you back the file decrypted.
After that I have to charge 50$ for the work that I have done (at least 2 hours), then I'll send you a little program that will unlock all vvv file on your computer.
I wanted to do it for free but I can't, that is the best I can do to help people that got this ransomware.
By the way if you can wait I think that in the near future someone will create an automatic tool that will solve this problem.

**Salpina** · 28-12-2015, 12:34

esso può aiutarmi a decifrare i file? http://nabzsoftware.com/types-of-threats/vvv-file

**latox** · 31-12-2015, 15:40

Originariamente inviata da issolution

The procedure at https://github.com/Googulator/TeslaCrack worked with vvv extension.
I think that can be a little difficult for average users.
If you have problem with it you can send me an email (italiansoftwaresolution@gmail.com) with one encrypted file and I will send you back the file decrypted.
After that I have to charge 50$ for the work that I have done (at least 2 hours), then I'll send you a little program that will unlock all vvv file on your computer.
I wanted to do it for free but I can't, that is the best I can do to help people that got this ransomware.
By the way if you can wait I think that in the near future someone will create an automatic tool that will solve this problem.

Ragazzi io ho contattato questo ragazzo il quale dopo avergli mandato un file ad analizzare mi ha mandato un programma che mi ha decryptato tutti i miei file .vvv

Ero titubante ma ha funzionato. Scrivo non per pubblicità ma perchè mi ha risolto un grossisimo problema!

Grazie a tutti!

**poldo76** · 04-01-2016, 00:17

è stata trovata la soluzione per recuperare i file .vvv

purtroppo è un po' complessa da mettere a punto, però si riesce a recuperare tutti i file.
per chi è ancora alla ricerca di una soluzione, suggerisco questo link http://www.cobaltica.it/recupero-file-vvv-teslacrypt/

**LuciferSam86** · 04-01-2016, 01:28

Originariamente inviata da poldo76

è stata trovata la soluzione per recuperare i file .vvv

purtroppo è un po' complessa da mettere a punto, però si riesce a recuperare tutti i file.
per chi è ancora alla ricerca di una soluzione, suggerisco questo link http://www.cobaltica.it/recupero-file-vvv-teslacrypt/

Sarebbe interessante sul come fanno a recuperarla. Qualche tempo fa cisco http://blogs.cisco.com/security/talos/teslacrypt e http://www.talosintel.com/teslacrypt_tool/ hanno rilasciato un piccolo tool gratuito per la decrittazione dei file.

Su 3 varianti di teslacrypt che ho recuperato, solo con 1 sono riuscito a decrittare i file correttamente, solo che chiede che sia presente un file particolare dimenticato dal ransomware. Inutile dire che versioni succesive di teslacrypt hanno corretto questo problema.

Sarebbe interessante sapere come fanno questi di Cobaltica a recuperare i file (Shadow Copy? La stessa cosa che fa il tool di Cisco? Hanno scoperto qualche vulnerabilità che si vogliono tenere per loro?), in quanto stiamo parlando di una chiave RSA a 2048 bit.

**poldo76** · 04-01-2016, 02:12

Io lavoro in Cobaltica, ti rispondo

No, certamente, non vogliamo tenerci la soluzione tutta per noi. E' stata scoperta una falla sulla codifica e di TeslaCrypt e attraverso un algoritmo da far girare (fattorizzazione dei numeri interi) si riesce ad evitare un attacco a forza bruta. Purtroppo non esiste un tool semplice come quello creato da Cisco e tra l'altro la chiave per decifrare non è salvata nel PC dell'utente. E' necessario installare un ambiente di scripting python, con una serie di librerie e disporre di un hardware bello potente, perché comunque l'algoritmo richiede anche parecchie decine di ore (a volte giorni) per fare il suo lavoro.

Nulla di impossibile per un utente più esperto (basta cercare teslacrack su google). Noi ci rivolgiamo a chi non ha competenze tecniche e chi desidera avere un interlocutore che ha già accumulato una buona esperienza su questo tipo di recupero di questo maledetto ransomware. I costi sono giustificati dal fatto che purtroppo al recupero della chiave non ci si arriva con un clic. C'è un po' di "fatica" per ottenere il risultato e sul fatto che maneggiamo i dati dei clienti con tutti i crismi.

Spero di essere stato chiaro e che la mia indicazione risulti utile. Per qualunque cosa sono qui

**Naiky** · 24-01-2016, 00:19

Ottima Notizia!!
Oggi Sono riuscito a Decriptare tutti i Files Crittografati da Tesla estensione .ccc
Si Dovrebbe riuscire a decriptare anche i files ezz, exx, xyz, zzz, aaa, abc, ccc, vvv
Se qualcuno e' disperato posso aiutarlo

**Naiky** · 24-01-2016, 00:27

Sono riuscito grazie TeslaDecoder 2.2.0 e yafu come spiegato al link
http://www.bleepingcomputer.com/foru...quests/page-29

**Naiky** · 24-01-2016, 00:52

Ho visto che cobaltica chiede 400 euro + iva per inviare la chiave di decodifica
Secondo me e' un'esagerazione!!!
100 euro se lo chiedessero a me.. Solo x il tempo che si perde e con codifica file garantita

Discussione: un virus che mi ha cambiato tutte le estensioni in .vvv?

Strumenti discussione

Ricerca discussione

Visualizza

La soluzione

Permessi di invio