Benvenuti nel nuovo forum aggiornato.

[TESLACRYPT 3.0] RECUPERO DEI FILES PERDUTI CRIPTATI

WEB, Hardware, Software e generali

Moderatore: MODERATORE

Rispondi
Avatar utente
Rombo di Tuono
Site Admin
Messaggi: 6509
Iscritto il: 04 lug 2007, 18:07
Località: Seconda stella a DESTRA...
Contatta:

[TESLACRYPT 3.0] RECUPERO DEI FILES PERDUTI CRIPTATI

Messaggio da Rombo di Tuono » 05 feb 2016, 11:42

Allo stato attuale Teslacrypt 3.0 è un ransomware (vi "ruba" qualcosa e vi chiede un riscatto) che vi arriva nella posta elettronica, con mittente a voi noto, con un messaggio il cui oggetto è una semplice data (o contiene una data) e con un allegato avente estensione .zip oppure .js, lo zip contiene un file .js (javascript)

Se cliccate l'allegato senza averlo passato prima all'antivirus, COSA SBAGLIATISSIMA SEMPRE, il codice scarica il virus, vi cripta i files dei documenti e delle immagini con algoritmo RSA-4096 e scarica in ogni cartella un file che inizia con help_recover..., che contiene le istruzioni per pagare il riscatto.

I vostri files documenti, immagini, musica e video hanno ora estensione .xxx .ttt oppure .micro

Rimouvere il virus è semplice: fate partire windows in modalità provvisoria e lanciate l'antivirus.
O cercate su internet come rimuoverlo manualmente, sapendo dove sono salvati i files del virus, in modalità provvisoria potrete cancellare tutto in pochi minuti.

Il vero problema è che attualmente non si conoscono metodi per decriptare i vostri files, e sembra che il virus cancelli anche le copie shadow, tanto che shadowrecover non funziona.

Nè - personalmente - ho ottenuto miglior fortuna con Testdisk, con recuva e con PhotoRec

L'unico metodo che mi ha dato un qualche risultato è quello descritto di seguito.
--------------------------------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------------------------------

Seguite passo passo questa procedura, qualsiasi difficoltà abbiate, scrivete un messaggio, potete connettervi al forum anche via facebook:

1) Spegnere immediatamente il pc colpito, infatti la procedura si basa sull'operazione di recupero dei file cancellati dal virus.
2) Procurarsi una chiavetta USB da 8GB (ne bastano 4GB), un secondo PC con connessione internet, un disco o altro supporto esterno su cui copiare i files recuperati.
3) USANDO IL SECONDO PC: Scaricare questi strumenti: 4) Installare Linux Live Usb Creator (Lili), ed usarlo per creare una chiavetta con Kali linux avviabile, seguite le istruzioni di Lili
5) inserire la chiavetta kali nel PC infetto, accenderlo e premere ogni secondo il tasto F8 (necessario far comparire il Boot menu)
6) Selezionare il boot dalla chiavetta
7) la prima opzione di Kali dovrebbe andare bene, una volta avviato, inserire anche il disco esterno od altro supporto per il recupero dei files.
8) Supponiamo che abbiate ora il desktop di kali davanti: aprite un terminale (icona in alto a sinistra) e digitate fdisk -l , comando che vi elencherà i dischi, aiutandovi ad identificare il vostro da cui fare il recupero e quello esterno su cui copiare i files recuperati
----8.1) Se il vostro disco non fosse stato montato aprite il file manager, identificatelo sulla sinistra, tasto destro del mouse e scegliere MOUNT
9) Supponiamo che il vostro disco sia /dev/sdc1 e quello esterno sia /media/sdd1: aprite un terminale e digitate il comando foremost la cui sintassi è questa:

# foremost [-h|V] [-qv] [-t type1,type2...] [-s num] [-i ] [-o ] \ [-c ] [] ....

-h Stampa il messaggio d'aiuto ed esce
-V Stampa le informazioni di copyright ed esce
-v Modalità Verbose
-q Modalità Quick. Ricerca l'header solo all'inizio del settore
-i Legge i file da analizzare nella cartella passata come parametro
-o Imposta la directory nella quale saranno salvati i file recuperati
-c Imposta il file di configurazione da utilizzare
-s Salta il numero di bytes specificato prima di iniziare la ricerca
-n Estrae i file senza aggiungere l'estensione
-t Elenca le estensioni dei file da recuperare

un primo esempio di uso può quindi essere:

Codice: Seleziona tutto

foremost -v -t jpeg,jpg,doc,pdf,xls -o /media/sdd1/cartellaincuisalvare /dev/sdc1
foremost può operare anche con devices non montati, ecco spiegata l'indicazione di /dev/sdc1 alla fine, come disco target da cui recuperare i files

Divertitevi!

Se aveste domande, loggatevi al forum, e postatele.
Avatar utente
Rombo di Tuono
Site Admin
Messaggi: 6509
Iscritto il: 04 lug 2007, 18:07
Località: Seconda stella a DESTRA...
Contatta:

Re: [TESLACRYPT 3.0] RECUPERO DEI FILES PERDUTI CRIPTATI

Messaggio da Rombo di Tuono » 20 mag 2016, 02:41

ESET ha rilasciato un programma per decrittare e recuperare i vostri files, QUI (cliccate)
Rispondi