Trojan Ransom Rannoh, file crittati [era: Problemi con trojan]

[Nygel]

Come ho detto in un'altra discussione ho aperto per sbaglio una mail (.exe), come quella citata da amvinfe in quella discussione. Mi si è aperta una videata che mi chiedeva soldi, io sono entrato in modalità provvisoria e ho fatto il ripristino a qualche giorno prima. Pensavo di aver risolto invece il giorno dopo il pc mi ha richiesto un aggiornamento che sembrava di office e poi mi sono accorto che molti file presenti nel PC (file per me molto importanti) erano modificati in questo modo locked-[nome originale file].[estensione originale file].[4 lettere random].
Ho usato i metodi con i tool consigliati in altre discussioni ma non ci sono ancora riuscito a decriptarli.
Inoltre se mi aiutate vorrei capire se il mio pc è ancora infetto o se è pulito vi posto alcuni log:
http://wikisend.com*********************

http://www.wikisend.com*****************

http://www.wikisend.com********************

http://www.wikisend.com********************

Grazie

N

[R16]

Ciao.
Per favore mandami in PM, 4 file criptati dal malware.
Devo verificare se la decriptazione che ho fatto, funziona anche con i tuoi file.

[Nygel]

Scusa cosa vuol dire in PM?

[R16]

Vuol dire in privato (P= Private M= message)
Ma siccome non sono virus, e se non disturbano la tua Privacy, li puoi postare anche qui.
Fai così:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file criptato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[Nygel]

C'è qualcuno che mi darebbe un' occhiata ai log, per capire se il mio PC ha ancora problemi?
Sembra di no, ma vorrei essere rassicurato da qualcuno che ne capisce più di me.
Grazie
N

[amvinfe]

credo tu abbia fatto molta confusione sui file caricati su wikisend.com

il file di log di HJT in realtà era un eseguibile
il file di log di TDSSKiller era in realtà un .mp3
.....

esegui una scansione con SystemScan, non so in realtà quanto possa servire ma almeno avremo un quadro un po' più chiaro per capire se la tua macchina è ancora infetta.

Scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Vai su www.wikisend.com e carica il file con estensione .zip

Nella tua prossima risposta copia/incolla l'URL per poter scaricare il report.

Ricordati d'effettuare la scansione senza connessione attiva.

NB:
ricordati di disattivare l'antivirus prima di scaricare il programma e prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.

[Nygel]

Grazie amvinfe, ecco l'URL:

26_05_2012_15_51_report.zip

Sui file bloccati per quelli come che hanno fatto il ripristino di sistema hai notizie?
Grazie ancora
N

[amvinfe]

no, diversamente avrei dato notizie.

Scarico il report.

[amvinfe]

purtroppo dal report, come sospettavo, non ho riscontrato infezioni.

Il problema del mancato decrittaggio non è solo un tuo problema, ho ricevuto diverse mail da utenti che, come te, hanno i file bloccati.

Sto seguendo inoltre una discussione in merito, all'interno di un "forum non italiano riservato a ricercatori", dove cerchiamo di capire se esiste una soluzione.

Ti/vi terrò informati.

[edit]
dimenticavo...
ho già scritto a diverse aziende del settore riportando loro il problema, al momento sono in contatto con due di queste aziende, non mancherò di scrivere direttamente anche alla Kaspersky Lab spiegando che il tool per decrittare file infettati dalla variante Rannoh, non sempre è la soluzione al problema
[/edit]

[fede10]

nelle stesse condizioni dell'utente Nygel, con la differenza di non aver fatto il ripristino del sistema.
Se avete bisogno di qualche log/report ditemelo.
grazie dell'aiuto.
parecchio disperato.

ciao