|
|
|
|
Strumenti |
30-03-2016, 18:47 | #21 |
Senior Member
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22135
|
giovanni , se ti cripta i file lo vedi subito
cartelle con file musicali, immagini ,video , documenti word ,excell , pdf vengono tutti alterati poi questi virus sono molto scenici ti piazzano i file con il riscatto in qualsiasi cartella , desktop compreso (e poi li esegue) molto difficile non accorgersi dell'infezione se invece ti riferivi a qualcosa che rilevi l'alterazione dei file nel durante bho... io qualcosa di alternativo a quello che ha realizzato x_Master_x non l'ho trovato Ultima modifica di Paky : 30-03-2016 alle 18:51. |
30-03-2016, 18:52 | #22 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8681
|
Vedi non posso semplicemente dire "ecco qua il link, buona fortuna" non si scherza con queste cose e con i file degli utenti. Il post che hai messo era la mia prima idea, monitorare tutto ed ogni nuova estensione dare una scelta all'utente da prendere in pochi secondi. Pensavo bastasse così ma...poi sì è evoluto in un database di estensioni a cui una persona quotidianamente dovrebbe dedicarci del tempo per verificare la situazione mondiale ( visto che non esiste un sito che li raggruppi tutte, quello che vedi è frutto di una ricerca tra vari siti ) poi sono usciti dei ransomware che utilizzano estensioni conosciute come i ".com" che non vengono salvate nel registro perché già presenti = altro aggiornamento, poi i ransomware senza modifica dell'estensione che ti obbligano alla verifica dell'header = altro aggiornamento...
Insomma se domani mattina mi stanco di starci dietro ( oppure un ransomware a cui tecnicamente non posso fare fronte ) e voglio buttare il codice nel cestino chissene, ma se lo rilascio non posso permettermelo per rispetto nei confronti degli utilizzatori e sono più che sicuro di non poterlo aggiornare costantemente perché la mia presenza qui, negli anni, non è mai stata continua. Spero che con questo lungo post ti abbia chiarito il perché alla fine non abbia rilasciato e non rilascerò un eseguibile pubblico, ripeto mi dispiace per questo P.S. Ci sono diversi post sull'evoluzione di "CryptoSaver" nel vecchio thread, se ti interessa leggili tutti cercando il mio nome utente in quella discussione.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
30-03-2016, 18:58 | #23 | |
Senior Member
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22135
|
Quote:
effettivamente loro sarebbero sempre un passo avanti, poi sarebbe impossibile tener conto di tutte le possibili combinazioni/estensioni che poi è la triste storia degli antivirus , sempre un passo indietro al virus |
|
30-03-2016, 20:01 | #24 | |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 21832
|
Quote:
E perchè dovrei aspettare il momento in cui ha finito e mi appare la scenata? Per questo intendevo uno scanner in grado di verificare l'header dei files per vedere se sono criptati o normali. |
|
30-03-2016, 20:11 | #25 |
Senior Member
Iscritto dal: Oct 2007
Città: Montecchio Emilia - MASSA
Messaggi: 300
|
Si è quel modello.. non conosco per nulla linux ragion per cui Vi chiedo aiuto..
Vi è qualche possibilità di recuperare file cancellati su quel tipo di dispositivo? "è questo? https://www.qnap.com/i/it/product/mo...II=131&event=3 non vorrei dire una castronata (forse la dirò) ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy?"
__________________
Ho concluso positivamente con: Cesare Renzi , sbronf , Lupin XXVII , spapparo82 , battalion75 , alemax505 , CaccamoJ, imperiial,JakobDylan |
30-03-2016, 20:14 | #26 |
Senior Member
Iscritto dal: Sep 2002
Messaggi: 1631
|
Nelle estensioni ci manca un *.locky, mio ultimo PC.
Per giunta ha cambiato il nome di tutti i files perciò non si sa cosa sono -> PC formattato brutalmente, per fortuna c'erano i backup
__________________
Prepare for jump to lightspeed! Windows10 "is a service": che servizio del driver di stampa WSD: What a Shit Driver! |
30-03-2016, 20:22 | #27 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8681
|
omihalcon veramente .locky c'è ma se leggi la premessa non ho intenzione di stare lì ad aggiornare quotidianamente, sarà una operazione una-tantum ogni x mesi per le varianti più famose-diffuse.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
30-03-2016, 22:33 | #28 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
http://www.hwupgrade.it/forum/showpo...postcount=1373
__________________
Try again and you will be luckier.
|
|
30-03-2016, 23:08 | #29 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8681
|
Chill-Out l'MBR é una cosa, l'MFT un'altra. Ripristinare l'MBR non modifica in alcun modo l'MFT perché l'MFT non si trova nell'MBR. La frase "se rispristini l'MBR ti giochi i dati" é valida solo se vuoi pagare il riscatto, cosa che nessuno dovrebbe fare, se lo ripristini non sei in grado appunto di inserire la chiave per decriptare la tabella. Ma vale per tutti i ransomware la frase "se rimuovi XYZ ti giochi i dati" nessuno escluso
Per il resto nessun dato viene effettivamente criptato, le possibilità di recupero dei file sono decisamente più alte rispetto ad un TeslaCrypt 3.0 per citarne uno. Di certo compromette l'operatività dell'OS in modo permanente a differenza degli altri e per questo non credo si diffonderà nel mondo consumer ma dipende dalla percentuale di persone "paganti" rispetto all'infezione stessa.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
30-03-2016, 23:14 | #30 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
31-03-2016, 13:45 | #31 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 1173
|
Quote:
Ovviamente i file svf devi averli fatti per tempo e averne copia al sicuro e le cartelle/file abbastanza statiche, ovvero non con modifiche costanti ai file se no diventa uno strazio. Io controllo ogni tanto le cartelle delle fotografie che tipicamente finito l'anno non subiscono più modifiche e quindi posso creare il file sfv. Non so se esista un software che monitori i cambiamenti dei file, ma penso sarebbe abbastanza invadente dal punto di vista prestazionale. |
|
31-03-2016, 15:02 | #32 |
Senior Member
Iscritto dal: Nov 2009
Città: Trento
Messaggi: 8879
|
Come all'altra discussione, mi iscrivo e seguo interessato. Complimenti per l'ottimo lavoro!
|
31-03-2016, 15:14 | #33 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8681
|
Grazie assassino di aragoste. Chill-Out non ho capito ora cosa dovrei fare, l'analisi grammaticale o quella logica del mio messaggio?
Vedo veramente difficile criptare un intero HDD, incluso l'OS, dall'OS stesso Petya non cripta né i dati né l'OS ma solo e soltanto l'MFT, quest'ultimo dato non di poco conto non presente nell'articolo che citava solo l'infezione dell'MBR ed affermava giustamente che i dati non venissero criptati. Confermo quanto detto. Classificabile come ransomware solo perché chiede un riscatto ma alla fine i dati sono sempre accessibili Con l'informazione mancate dell'MFT e solo quella dell'MBR ora come ora sostituirei "accessibili" con "recuperabili" Forse basta solo ripristinare l'MBR o un software che rimuove i bootkit, sono solo ipotesi. "Forse...sono solo ipotesi" ed erano solo ipotesi, infondate, che si poggiavano sulle informazioni di una settimana fa. Il ripristino dell'MBR non permette l'accesso ai file perché viene criptata l'MFT, ripeto dato non presente alla stesura dell'articolo e mio post, fine. gianluca.f, Software che monitorano le directory ne esistono, non sono affatto invadenti dal punto di vista prestazionale ed io stesso ne ho fatto uno quindi so di che parlo. Un esempio di programma che puoi provare è FolderChangesView così te ne rendi conto.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 31-03-2016 alle 15:22. |
31-03-2016, 15:17 | #34 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 1173
|
Quote:
|
|
31-03-2016, 15:36 | #35 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
Questo tipo d'attacco, invece, mi mette già più in allarme (e non è la prima volta che accade):
A prescindere infatti dall'aver attaccato OS X (pur in un breve lasso di tempo e quello che volete), la S O S T I T U Z I O N E di un installer con una copia appositamente manipolata mi trova infatti particolarmente impreparato (specie nel caso in cui lo stesso sito del produttore ometta di identificarli univocamente con elementi come SHA256,...). Si presume infatti d'aver scaricato un qualcosa d'assolutamente legittimo (al quale -come tale- accorderei tranquillamente maggiori privilegi ove richiesti neutralizzando pertanto lo 'spirito' dell'UAC)...e invece si scopre d'aver innescato un disastro (posto che non abbia altri moduli di tipo proattivo su cui poter contare o strumenti passivi come Backup)... Semplice semplice, subdolo subdolo... |
31-03-2016, 17:02 | #36 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5948
|
Quote:
poi se chi ha messo la versione maligna sul sito del produttore riesce a modificare la pagina web che contiene l'hash a quel punto anche una verifica tra hash dell'eseguibile e hash riportato sul sito del produttore combacerebbe generando ulteriore fiducia |
31-03-2016, 19:16 | #37 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8681
|
Phoenix2005 più che un esercizio di "stile" era più un modo per dimostrare quanto sia "semplice" contrastarli con pochi mezzi. Immagina quelli che hanno i produttori di antivirus che avrebbero potuto fermare la diffusione dei ransomware alla nascita. Invece sono sempre lì ancorati ancora alle definizioni e tecniche oramai obsolete..e i ransomware dilagano incontrastati
P.S. Non ho mai fatto caso quanto consumasse in memoria, te lo farò sapere ma credo pochi mega. Sulla "resa" mai controllato con un vero ransomware ma dai test effettuati li rilevava in pochi secondi. Per il resto concordiamo in pratica su tutto EDIT: VM con XP e 2GB di RAM dedicati
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 01-04-2016 alle 08:57. |
31-03-2016, 22:50 | #38 | ||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
http://www.hwupgrade.it/forum/showpo...postcount=1373
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 31-03-2016 alle 23:40. |
||
31-03-2016, 22:54 | #39 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Petya decoder
https://hshrzd.wordpress.com/2016/03...a-key-decoder/ Leggere attentamente >>> Disclaimer: This tool is an experiment in unlocking a particular kind of Ransomware, neither Malwarebytes or Hasherezade promise this tool will help in your particular case. This tool should not be considered an official solution to the Petya problem. Any files destroyed, further encrypted or otherwise tampered with against the desire of the user are not the responsibility of the developers. Please use at your own risk.
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 31-03-2016 alle 23:21. |
01-04-2016, 09:16 | #40 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8681
|
Aspetta ora che hai messo per la terza volta lo stesso identico messaggio, siamo vicini al record mondiale, forse ho capito l'antifona
Volevi dire che con la tua magica sfera di cristallo avevi intuito che Petya avrebbe avuto una falla nel codice, quindi sarebbe uscito un programma per decriptare l'MFT che nessuno allora sapeva che venisse criptata e che infine rimuovendo l'MBR non sarebbe stato più possibile inserire la chiave di decriptazione, infatti nel caso fosse stata ripristinata "ti saresti giocato i dati"! Ora tutto ha un senso Scherzi a parte, nella guida in prima pagina alla sezione "Quali varianti è possibile decriptare?" ho messo già dalla prima stesura come prima alternativa preferibile, in caso la variante NON fosse stata sconfitta, una immagine del disco ransomware compreso. Phoenix2005, Nel mio precedente post trovi uno screenshot di quanto occupava "CryptoSaver" tanto per referenza
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 01-04-2016 alle 09:21. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:44.