Ciao amvinfe,
Perdonami ma non ho capito bene cosa devo fare.
- devo rendere visibile l'estensione dei file conosciuti?
- la screenshot (stampa schermo) la devo fare relativamente ad un file prima della mia rinomina, cioè "locked-nomefile.est.nnnn" oppure sul file rinominato manualmente, quindi "nomefile.est"?
- cosa puoi evincere dalla screenshot?
- nella screenshot (che è un jpg) vuoi vedere solo l'icona del file corrotto anche altro?
Grazie
esattamente.
Esegui uno screenshot di un file con estensione modificata dal malware, se poi riesci ad inviarmene uno ancora meglio.
NB
istruzioni per l'invio del file:
comprimi il file con password: infected
inviamelo al servizio presente nella mia firma
grazie
x amvinfe
ho eseguito le screenshot, selezionato tre file e tentato l'upload sul sito che mi hai indicato. queste sono le risposte ricevute:
Deprecated: Assigning the return value of new by reference is deprecated in /home/mhd-01/www.suspectfile.com/htdocs/up2/system/codeigniter/Common.php on line 130
Deprecated: Assigning the return value of new by reference is deprecated in /home/mhd-01/www.suspectfile.com/htdocs/up2/system/codeigniter/Common.php on line 136
non so se è andato a buon fine.
grazie
Vittorio
x R16
il S.O che utilizzo è XP pro SP3 x86
antivirus: microsoft security essentials
fatto girare TDSSKiller. tutti file sospetti, fatto "skip" e "Continue"
nessu riavvio richiesto
ecco il link al log:
TDSSKiller.2.7.34.0_09.05.2012_08.41.46_log.txt
fatto girare OTL
ecco i link ai log
OTL.Txt
Extras.Txt
grazie
sì, il file è arrivato.
Segui le indicazioni di R16, se non si riesce a risolvere proveremo altre soluzioni
grazie.
indicazioni di R16 eseuite. attendo che mi illumini sul contenuto del log.
se mi permetto io penso, come accennato nel primo post,
che il vile autore del malware abbia escogitato un sistema per corrompere i files senza necessariamente leggerli o "capirli" magari rimuovendo un dato essenziale o modificando un parametro chissadove.
pensate che sia una sciocchezza?
il dubbio mi è anche venuto perchè, quando tento di aprire un file con il software nativo (ad esempio adobe reader per un pdf) il risultato è lo stesso che se tentassi di aprire un jpg "il formato sorgente non è un pdf" , cioè una corruzione del file a livello di proprietà, non so se mi spiego.
Se poi faccio "proprietà" per un file, una volta rinominato con estensione "corretta" questo mi mostra dei dati sbagliati: intanto data di creazione del file risulta risalire alla data dell'infezione (e questo forse è normale data la rinomina con cambio di estensione) ma anche nelle proprietà avanzate noto che tutti i dati relativi al file sono spariti (autore, titolo, creato il, modificato il, e poi, anche la versione PDF che viene settata su 0.0 quando dovrebbe essere ad esempio 5.0 o 6.0 e forse è anche per questo che il file non viene riconosciuto.
e questo anche se apro lo stesso file su PC non infetto
è per questo che penso che la soluzione del problema, se mai si troverà, sarà quella che mi consente di ripristinare quel parametro o parametri che il vile ha corrotto...
che ne dite?
non è pensabile poter andare a decrittare il codice e ti assicuro che probabilmente questa variante, una delle ultime, è quella che più di tutte crea problemi di risoluzione.
In attesa di R16 posto anche qui, lo farò anche in un'altra discussione, il tool della Kaspersky Lab., tieni presente che è stato rilasciato meno di una settimana fa, questo fa capire quanto recente sia la variante del malware.
NB
visto che sei seguito da R16, per correttezza nei suoi confrontui, aspetterei ad usarlo in attesa che veda i tuoi log e decida la soluzione migliore per te.
http://support.kaspersky.com/faq/?qid=208286527
grazie
certamente,
attendo la risposta di R16
grazie
scusami, forse leggo tra le righe,
pensi quindi che devo prepararmi a dire addio ai file?
grazie
non dico questo.
Negli anni ransom si è evoluto, questa variante è quella, al momento, più difficile da rimuovere o meglio, quella che crea più problemi per il recupero dei file.
Permessi di invio
Rispondi quotando