Ciao a tutti,
spero sia la sezione appropriata per chiedervi aiuto - ne ho un disperato bisogno.
Ieri, in un momento di disattenzione, ho attivato un obsoleto plug-in Java di un pop-up e, prima che me ne rendessi conto, sono stato infettato dal virus Scotland Yard Ukash, un ransom trojan che impazza da un po' in varie versioni (in Italia assume le vesti della Guardia di Finanza). In sostanza, blocca l'operatività del PC e chiede di pagare una finta multa.
Mi sono liberato del virus con qualche difficoltà e, per maggiore sicurezza, ho eseguito il Vaio rescue (formattazione e reinstallazione del sistema operativo).
Il problema inatteso, che non riesco a risolvere spulciando forum e siti su Google, riguarda una grande massa di file "bloccati" o criptati (o addirittura corrotti del tutto, temo...) che non riesco più ad aprire. In giro si trova un decrypter Kaspersky sviluppato più o meno ad hoc per questa famiglia di virus, che però nel mio caso non ha efficacia (dovrebbe decriptare il file a partire da una copia dell'originale non criptata, tuttavia, a fronte di vari tentativi, sembra che i miei "originali" non coincidano più con i file criptati. Perciò temo che siano stati corrotti invece che criptati).
Sfortuna vuole che, proprio in quel momento, il mio HD esterno fosse collegato e, sebbene qualcosa si sia salvato, tonnellate di gigabyte fra film e musica, .doc e .pdf ora risultano unreadable. Le estensioni dei file, peraltro, non sono affatto cambiate.
Ecco finchè non hai scritto di aver fatto il vaio recovery andava tutto bene, poi il dramma...
Perchè voi utenti, nel dubbio, lanciate i recovery di sistema come fossero caramelle?
1) hai formattato formattato? o hai solo reinstallato il sistema senza formattare?
2) quali files non riesci più ad aprire? solo quelli sul disco esterno?
3) dopo la rimozione del virus e prima del vaio recovery li aprivi?
3bis) i programmi appositi, necessari all'apertura dei suddetti files li hai installati vero?
4) sta cosa dei files cryptati non mi è chiara, il virus della finanza, non crypta proprio nulla
5) tonnellate di giga completamente illeggibili -> prova a fare da prompt dei comandi " chkdsk X: \f " dove X è la lettera del disco in questione
Il Vaio rescue ha formattato il disco (SSD). Immagino che ti riferissi alla possibilità di tentare di ripristinare versioni precedenti dei file; ho proceduto a un ripristino generale di sistema prima di procedere alla formattazione, ma a nulla è servito. Se non avessi formattato, magari avrei potuto tentare il ripristino dei singoli file ma mi sono lasciato prendere dalla stanchezza e dalla fretta, mea culpa.
Quindi, 1) Sì, ho formattato esclusivamente la memoria interna (SSD), NON l'hard disk esterno.
2) Non riesco ad aprire tutti i file che erano contenuti nella memoria interna e la maggior parte delle cartelle dell'hard disk esterno, ma non tutte - alcune sono rimaste leggibili.
3) No, i file non erano più leggibili nemmeno prima della formattazione - e non sono tornati ad esserlo successivamente.
3bis) Sì, i programmi erano e sono installati. Eventuali dubbi che il problema fosse nei programmi, piuttosto che nei file, sono dissolti dopo la formattazione.
4) La mia versione del virus è "Scotland Yard", avendolo beccato in Inghilterra. Questa versione spesso cripta i files, talvolta anche rinominandoli o alterando l'estensione. Nel mio caso, i file sembrano assolutamente integri sia nel nome, sia nella dimensione, sia nell'estensione: tuttavia non si aprono (un .avi risulta .undf, "undefined", se provo a leggerlo con VLC; lo stesso accade con Word o Acrobat e così via). Inoltre i tools distribuiti per la decriptazione ad hoc non funzionano nel mio caso.
5) Ho già eseguito lo scandisk sull'hard disk esterno (che è rimasto tale dall'avvento del virus, senza subire formattazioni e ripristini) e non ha riscontrato problemi. D'altro canto, sono precise cartelle di file ad essere completamente illeggibili, mentre le altre sono completamente leggibili.
Io non ho grande cognizione di causa, vado solo per logica e per un po' di esperienza: mi sembra che qualcosa sia andato storto nella criptazione dei file ad opera del virus che, intenzionalmente oppure no, li ha danneggiati in massa. Ammesso che sia così, mi domando se ci sia un modo per "ripararli".
L'hard disk esterno non ha subito variazioni, ma non credo abbia "memoria" di versioni precedenti degli stessi file che riposavano lì immobili e non modificati...
Ultima modifica di charliedontsurf; 15-01-13 alle 23:06:54
Entrambi sono citati nelle varie discussioni che riguardano il virus, dal sito della Microsoft al forum Kaspersky etc. Però in nessuna di queste pagine, ho mai trovato qualcuno che si lamentasse del mio stesso problema; alla fine riuscivano tutti a decriptare.
Sì, sembra ostica anche a me!
Oltre al tool che hai già usato (di cui ti consiglio di controllare la versione per vedere se quella del sito ufficiale è più recente) ci sono altri tools per la decifrazione di file cifrati da altre versioni del trojan ransom. Provali e vediamo che succede
Nulla
I decryptor non rilevano niente di "criptato", mentre gli antispyware non rilevano alcuna infezione, pc e hard disk sono puliti.
Temo che non ci sia molto da fare, i file devono essere danneggiati. Solo non capisco proprio cosa sia andato storto rispetto al resto della casistica del virus.
Ultima modifica di charliedontsurf; 16-01-13 alle 13:00:43
Ho provato. Alcuni semplicemente non si aprono, altri appaiono così:
Stesso discorso per gli .avi
Alcuni non si aprono affatto, altri vengono "riprodotti" senza audio né video (ma la barra di scorrimento di VLC procede).
Detto ciò, un'altra strada potrebbe essere quella di tentare di recuperare i file con tool come Pc Inspector File, utile in caso si sia corrotto l'header.
Prima prova con Panda, poi con PC Inspector File.
P.S.
MAI scaricare roba da Softonic, uno dei link che hai postati veniva da lì.
Ho provato il Panda ma non funziona; sostanzialmente è come se non avesse nulla da decriptare. In effetti, tutti questi decrypter pongono il caso che i file abbiano cambiato nome o estensione, mentre i miei sono rimasti apparentemente inalterati.
Ora provo con il secondo software, ma non so bene come si usi. Farò dei tentativi!