Virus Win32.Gpcode.ak e files criptati
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 15/Maggio/2024 alle 15:04
Topic: Virus Win32.Gpcode.ak e files criptati Postato da: Dallolio
Soggetto: Virus Win32.Gpcode.ak e files criptati
Postato in data: 01/Aprile/2012 alle 11:03
Il mio pc è infettato da un virus; si presenta come un antivirus e mi blocca il pc quando decide autonomamente di fare lo scan. Più volte l'ho neutralizzato utilizzando la console di ripristino di sistema, ma dopo un paio di giorni ritorna. Ecco il log di HijacThis
************************
Log analizzato.
Sono state lasciate solamente le
voci infette o sospette
************************
Grazie a chi mi darà una mano!
Logfile of Trend Micro HijackThis v2.0.4
O4 - HKLM\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
O4 - HKCU\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
O4 - HKLM\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
O4 - HKCU\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
************************
Log analizzato.
Sono state lasciate solamente le
voci infette o sospette
************************
Risposte:
Postato da: RAVEN
Postato in data: 02/Aprile/2012 alle 10:46
Ci puoi dire il nome che viene visualizzato da questo falso antivirus ? Come abbiamo specificato in una nota di avvertimento tempo fa ce ne sono tantissimi....
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: Dallolio
Postato in data: 04/Aprile/2012 alle 10:56
Purtroppo o per fortuna dopo l'ultimo ripristino di configurazione del sistema non si è più presentato quindi il nome non so dirlo; si era già comunque assentato più di una volta ed è sempre puntualmente tornato, quindi appena torna vi faccio sapere il nome dello sgradito ospite!
Postato da: RAVEN
Postato in data: 04/Aprile/2012 alle 15:30
si perchè come già da noi denunciato in questo topic
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=12293&KW=falsi+antivirus - Attenzione !! Falsi antivirus da non usare
ce ne sono parecchi ed ognuno ha o potrebbe avere un suo modo di disinfestazione...
Nel frattempo una bella scansione con gli antimalware da noi spesso consigliati non può che fare bene al tuo PC
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=12293&KW=falsi+antivirus - Attenzione !! Falsi antivirus da non usare
ce ne sono parecchi ed ognuno ha o potrebbe avere un suo modo di disinfestazione...
Nel frattempo una bella scansione con gli antimalware da noi spesso consigliati non può che fare bene al tuo PC
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: RAVEN
Postato in data: 06/Aprile/2012 alle 20:30
fixa queste due voci intanto
O4 - HKLM\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
O4 - HKCU\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
O4 - HKLM\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
O4 - HKCU\..\Run: [Win2go] C:\Documents and Settings\Nicola.NICOLA-933408F0\Dati applicazioni\bot.exe
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: Dallolio
Postato in data: 09/Aprile/2012 alle 22:01
Ciao a tutti. Ho modificato il titolo del topic e cancellato due post di ieri per evitare confusione e per non far perdere tempo ai moderatori; ho fixato le due voci di hijack ma il virus si è ripresentato dopo due giorni; a questo punto il virus si è palesato definitivamente: come azione ha quella di criptare tutti i file e gli eseguibili del pc e per descrittarli richiede un pagamento.
Questo il messaggio di questo virus (che penso si chiami EnChripted):
Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail ............ During the day you receive the answer with the code.
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail ............ During the day you receive the answer with the code.
You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be
of all data irretrievably spoiled. Be
careful when you enter the code!
Ho formattato tutto, ma con mia amara sorpresa i file contenuti nella partizione (doc, mp3 e pdf) sono ancora tutti criptati. Avast ha rilevato numerose minacce, ma ugualmente non è stato in grado di fare nulla.
Come posso decrittare i file sulla partizione annullando i nefasti effetti di questo virus?
Postato da: Dallolio
Postato in data: 09/Aprile/2012 alle 23:14
.
Postato da: RAVEN
Postato in data: 10/Aprile/2012 alle 15:11
I files ti risultano effettivamente cifrati oppure è un messaggio ingannevole ?? Hai verificato ? non credo che il virus si chiami come tu lo hai descritto comunque perchè non si trova niente con quel nome...
Prova con http://www.norman.com/downloads/malware_cleaner/it - Norman Malware cleaner (è gratuito ma devi inserire la tua email per poterlo scaricare)
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Prova con http://www.norman.com/downloads/malware_cleaner/it - Norman Malware cleaner (è gratuito ma devi inserire la tua email per poterlo scaricare)
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: deniel86
Postato in data: 12/Aprile/2012 alle 11:35
Scusate la mia intrusione, ma anche io ho "contratto" questo virus, in particolare sul mio harddisk esterno. Ho scaricato NWC ed ha eseguito la scansione, non rilevando affatto la presenza di alcun file minaccioso.
Che fare adesso? Non voglio pagare questi pirati per riavere i miei file...
Postato da: RAVEN
Postato in data: 12/Aprile/2012 alle 17:29
Provate con http://www.malwarebytes.org/products/malwarebytes_free - Malwarebytes antimalware , prelevate ovviamente la versione FREE...
Ricordo ad entrambi che, salvo disposizioni specifiche del software in uso, le scansioni vanno eseguite in modalità provvisoria e comunque sia con il PC sconnesso da internet!
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Ricordo ad entrambi che, salvo disposizioni specifiche del software in uso, le scansioni vanno eseguite in modalità provvisoria e comunque sia con il PC sconnesso da internet!
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: deniel86
Postato in data: 12/Aprile/2012 alle 18:19
ok... in serata ci riprovo. Grazie
Postato da: Dallolio
Postato in data: 13/Aprile/2012 alle 20:40
Purtroppo questo diabolico virus continua a persistere: il mio disco dati è ancora criptato e nessuno dei miei file è visualizzabile... :(
Postato da: RAVEN
Postato in data: 14/Aprile/2012 alle 19:57
Ma avete eseguito le scansioni in modalità provvisoria e soprattutto da internet scollegato ??
Ci postate un log di Hijackthis ?
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Ci postate un log di Hijackthis ?
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: RAVEN
Postato in data: 14/Aprile/2012 alle 20:02
Il virus che vi ha infettato potrebbe essere il sempre più famoso
Pare che i produttori di antivirus non riescano a decryptare i files cryptati dal virus sebbene siano ormai in grado di riconoscere il virus...
L'algoritmo usa una cifratura a 1024 bit tramite RSA, difficile da crackare....inoltre il file, piccolissimo e che non lascia tracce sul registro, fa tutto da solo e si autoelimina, lasciando il vostro pc pieno di files inutilizzabili...
Sto in attesa di aggiornamenti per potervi aiutare...
Nel frattempo le uniche utility per combattere questo flagello (mi metto nei panni di chi vede files di lavoro cryptati con la prospettiva di non poterli più usare) li potete trovare qui come spiegato da Kaspersky
http://support.kaspersky.com/faq/?qid=208279822 - http://support.kaspersky.com/faq/?qid=208279822
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Virus.Win32.Gpcode.ak
Pare che i produttori di antivirus non riescano a decryptare i files cryptati dal virus sebbene siano ormai in grado di riconoscere il virus...
L'algoritmo usa una cifratura a 1024 bit tramite RSA, difficile da crackare....inoltre il file, piccolissimo e che non lascia tracce sul registro, fa tutto da solo e si autoelimina, lasciando il vostro pc pieno di files inutilizzabili...
Sto in attesa di aggiornamenti per potervi aiutare...
Nel frattempo le uniche utility per combattere questo flagello (mi metto nei panni di chi vede files di lavoro cryptati con la prospettiva di non poterli più usare) li potete trovare qui come spiegato da Kaspersky
http://support.kaspersky.com/faq/?qid=208279822 - http://support.kaspersky.com/faq/?qid=208279822
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: Dallolio
Postato in data: 14/Aprile/2012 alle 23:42
Grazie caro Raven, ho provato a seguire la procedure del sito che mi hai segnalato, ma i file sono rimasti criptati... come dici tu questo virus è davvero un flagello e non mi resta che cercare i backup di tutto ciò che ho scritto, anche se so che molte cose non le avevo backuppate, gravissimo errore...
Ciao e grazie!
Postato da: RAVEN
Postato in data: 16/Aprile/2012 alle 20:16
Non demordere, presto o tardi troveranno un modo per risanare i files cifrati da questo virus...
Tra l'altro è un virus del 2008 ma quella attuale è una nuova variante.... ho letto che per decifrare una chiave a 660 bit occorrerebbero 30 anni ! Quella usata da questa variante è a 1024 bit ...fate un po voi...
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Tra l'altro è un virus del 2008 ma quella attuale è una nuova variante.... ho letto che per decifrare una chiave a 660 bit occorrerebbero 30 anni ! Quella usata da questa variante è a 1024 bit ...fate un po voi...
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: Dallolio
Postato in data: 16/Aprile/2012 alle 21:44
Terrò duro, questi 30 anni passeranno in un lampo :P
Ciao e grazie!
Postato da: RAVEN
Postato in data: 17/Aprile/2012 alle 15:25
eh eh....carina questa
.... intendevo dire non formattare se hai cose importanti perchè piano piano troveranno una cura e ti precluderesti la possibilità di salvare i tuoi lavori
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
.... intendevo dire non formattare se hai cose importanti perchè piano piano troveranno una cura e ti precluderesti la possibilità di salvare i tuoi lavori
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: RAVEN
Postato in data: 17/Aprile/2012 alle 16:12
Fornisco un link in italiano per il possibile recupero dei files..... fonte: Kaspersky Lab
http://www.kaspersky.com/it/about/news/virus/2008/Kaspersky_Lab_informa_e_ora_possibile_recuperare_i_file_dopo_l-attacco_del_virus_Gpcode.ak - http://www.kaspersky.com/it/about/news/virus/2008/Kaspersky_Lab_informa_e_ora_possibile_recuperare_i_file_dopo_l-attacco_del_virus_Gpcode.ak
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
http://www.kaspersky.com/it/about/news/virus/2008/Kaspersky_Lab_informa_e_ora_possibile_recuperare_i_file_dopo_l-attacco_del_virus_Gpcode.ak - http://www.kaspersky.com/it/about/news/virus/2008/Kaspersky_Lab_informa_e_ora_possibile_recuperare_i_file_dopo_l-attacco_del_virus_Gpcode.ak
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>