Ransomware: Prevenzione e soluzioni - Pagina 21

x_Master_x · 08-06-2016, 10:58

L'estensione .cryp1 é UltraCrypter/UltraDeCrypter che sembra una evoluzione e/o copycat di CryptXXX 3.0 ma in ogni caso non é la versione a cui fa riferimento il tool in prima pagina

zerothehero · 08-06-2016, 20:03

Sarebbe interessante capire PERCHE' gli ideatori di teslacript hanno pubblicato la master key mollando un business credo molto remunerativo..si sa qualcosa ?
Peraltro abbiamo conservato in ufficio i file crittati in micro..che a questo punto si possono recuperare (ma tanto abbiamo già i file recuperati con le shadowcopy).

mattware · 22-06-2016, 19:31

ragazzi qualcuno sa qualcosa sui files con estensione .woicaim ?
non si trova nulla in giro

x_Master_x · 22-06-2016, 19:41

mattware primo post prego, estensione generata casualmente quindi possono essere una serie di varianti come CTB-Locker. Prova con il sito di ID Ransomware

mattware · 22-06-2016, 22:39

Quote:

Originariamente inviato da x_Master_x

mattware primo post prego, estensione generata casualmente quindi possono essere una serie di varianti come CTB-Locker. Prova con il sito di ID Ransomware

si scusami

trovato, ma mi diece che non esiste ancora un modo....che faccio aspetto ?
il belllo è che su internete sembra nonessereci prorpio tracciadi questa estensione _ 0 risultati1
grazie

Paky · 22-06-2016, 23:33

Quote:

il belllo è che su internete sembra nonessereci prorpio tracciadi questa estensione

ovvio , se è generata random...

mattware · 23-06-2016, 07:38

Quote:

Originariamente inviato da Paky

ovvio , se è generata random...

ok, ma quindi come faccio per decriptarla e capire come e con quale strumento ?
grazie

Unax · 23-06-2016, 09:48

Quote:

Originariamente inviato da mattware

ok, ma quindi come faccio per decriptarla e capire come e con quale strumento ?
grazie

nessuno può garantire che sia possibile decriptarla

buone nuove? no peggiori

http://www.adnkronos.com/immediapres...aJ5pA55HO.html

ecro · 23-06-2016, 14:21

Quote:

Originariamente inviato da mattware

ok, ma quindi come faccio per decriptarla e capire come e con quale strumento ?
grazie

intanto bisogna capire che versione hai beccato
qui
https://id-ransomware.malwarehuntert...php?lang=it_IT

mattware · 23-06-2016, 14:36

Quote:

Originariamente inviato da ecro

intanto bisogna capire che versione hai beccato
qui
https://id-ransomware.malwarehuntert...php?lang=it_IT

come già scritto questo è il risultato:

CTB-Locker
Per questo ransomware attualmente non vi sono modi conosciuti per decifrare i file.

Si raccomanda di effettuare un backup dei file cifrati e sperare che vi siano soluzioni in futuro.
Identificato da

sample_extension: .<random 7 characters>
Per maggiori informazioni riguardo CTB-Locker clicca qui

Unax · 23-06-2016, 17:25

l'estensione è irrilevante, che sia .zxcvbnm o .pluto la variante che ti sei beccato non è al momento decriptabile senza pagare e forse non lo sarà mai

infatti ti scrivono "e sperare che vi siano soluzioni in futuro."

ma sperare molto intensamente del tipo spero che ilary blasi me la dia

mattware · 23-06-2016, 18:00

Quote:

Originariamente inviato da Unax

l'estensione è irrilevante, che sia .zxcvbnm o .pluto la variante che ti sei beccato non è al momento decriptabile senza pagare e forse non lo sarà mai

infatti ti scrivono "e sperare che vi siano soluzioni in futuro."

ma sperare molto intensamente del tipo spero che ilary blasi me la dia

perchè forse non lo sarà mai ?
le altra sono state decriptate

x_Master_x · 23-06-2016, 18:47

Se guardi la casistica le possibilità sono solo due:
1) Gli autori del malware per motivi sconosciuti ( per rimorso, perchè si sentono braccati, metti il motivo che preferisci tanto la verità non la sapremo mai ) decidono di rilasciare la chiave master che permette a chiunque di decriptare i file
2) Viene trovata una falla nell'implementazione dell'algoritmo di crittografia. Se c'è una falla, non passa molto tempo prima che venga rilevata quindi è vero l'opposto se una variante è in giro da molto tempo significa che non c'è nessuna vulnerabilità da sfruttare per decriptare i dati

Nel primo caso è successo si e no un paio di volte, si contano sulle dita di una mano. Per il secondo caso subentra spesso una nuova variante v2 v3 che soppianta la precendete e risolve la vulnerabilità. Lo stesso CTB Locker non è una "prima versione" ma deriva da CryptoLocker, quindi l'unica speranza che hai ad oggi è il primo punto.

ginotells · 26-06-2016, 13:31

scusate ma il cerber ransomware che rinomina in .cerbet i file che livello di criptazione usa?

x_Master_x · 26-06-2016, 13:47

AES con chiave a 256 Bit, se stavi pensando ad attacco brute force lascia perdere.

ginotells · 26-06-2016, 13:51

questa schifezza deve aver lavorato in background da tempo, visto che mi ha criptato i file mentre stavo facendo una scansione con avira, e poco prima ho visto da task manager si erano avviati 4 processi di nome bb.exe

x_Master_x · 26-06-2016, 14:12

Vedi la prima pagina per alcuni consigli per quelli nella tua situazione come software per recupero dei file eliminati, copie shadow e così via. Sono tentativi, nulla più.

Per chi si chiede il perchè il bruteforce sia inutile:
Dal "Technology Paper" della Seagate in riferimento all'AES con chiave a 128 Bit ( e qui si parla di chiavi a 256 Bit )

Quote:

Originariamente inviato da Seagate

Se si ipotizza che:

Ogni persona sul pianeta possiede 10 computer.
Ci sono 7 miliardi di persone sul pianeta.
Ognuno di questi computer è in grado di testare 1 miliardo di combinazioni di possibili chiavi al secondo.

In media, si può decifrare la chiave dopo aver testato il 50% delle possibilità.

L'intera popolazione della terra può decifrare una singola chiave di cifratura in 77,000,000,000,000,000,000,000,000 di anni

Le moderne GPU sono in grado di calcolare 2 miliardi di combinazioni di possibili chiavi al secondo quindi parliamo solamente di 38,500,000,000,000,000,000,000,000 di anni per una sola chiave a 128 bit, un bel risparmio di tempo

ginotells · 26-06-2016, 14:28

ma cerber da quanti mesi circola circa?

x_Master_x · 26-06-2016, 15:36

Se non sbaglio Febbraio 2016 quindi più o meno 4-5 mesi

Unax · 30-06-2016, 16:20

il successo della nuova variante

http://punto-informatico.it/4326332/...-variante.aspx

per x_Master_x

lo sai che le policy che adotto via registro per bloccare gli exe al di fuori dalle cartelle Programmi e Windows interferiscono con gli aggiornamenti di Windows Defender?

su Win 8.1 questo non succedeva mentre su Win 10 sì

"pare strano ma in win 10 sembra che venga usata la cartella %temp% per installare gli aggiornamenti delle firme di WD"

no mi sono sbagliato non c'entra la cartella %temp% però se disattivo le policy WD si aggiorna tranquillamente se le riattivo no

08-06-2016, 10:58	#401
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8685	L'estensione .cryp1 é UltraCrypter/UltraDeCrypter che sembra una evoluzione e/o copycat di CryptXXX 3.0 ma in ogni caso non é la versione a cui fa riferimento il tool in prima pagina __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

08-06-2016, 20:03	#402
zerothehero Senior Member Iscritto dal: Aug 2003 Città: milano Messaggi: 13960	Sarebbe interessante capire PERCHE' gli ideatori di teslacript hanno pubblicato la master key mollando un business credo molto remunerativo..si sa qualcosa ? Peraltro abbiamo conservato in ufficio i file crittati in micro..che a questo punto si possono recuperare (ma tanto abbiamo già i file recuperati con le shadowcopy). __________________ We are the flame and darkness fears us !

22-06-2016, 19:41	#404
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8685	mattware primo post prego, estensione generata casualmente quindi possono essere una serie di varianti come CTB-Locker. Prova con il sito di ID Ransomware __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

23-06-2016, 17:25	#411
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 5978	l'estensione è irrilevante, che sia .zxcvbnm o .pluto la variante che ti sei beccato non è al momento decriptabile senza pagare e forse non lo sarà mai infatti ti scrivono "e sperare che vi siano soluzioni in futuro." ma sperare molto intensamente del tipo spero che ilary blasi me la dia __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson)

23-06-2016, 18:47	#413
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8685	Se guardi la casistica le possibilità sono solo due: 1) Gli autori del malware per motivi sconosciuti ( per rimorso, perchè si sentono braccati, metti il motivo che preferisci tanto la verità non la sapremo mai ) decidono di rilasciare la chiave master che permette a chiunque di decriptare i file 2) Viene trovata una falla nell'implementazione dell'algoritmo di crittografia. Se c'è una falla, non passa molto tempo prima che venga rilevata quindi è vero l'opposto se una variante è in giro da molto tempo significa che non c'è nessuna vulnerabilità da sfruttare per decriptare i dati Nel primo caso è successo si e no un paio di volte, si contano sulle dita di una mano. Per il secondo caso subentra spesso una nuova variante v2 v3 che soppianta la precendete e risolve la vulnerabilità. Lo stesso CTB Locker non è una "prima versione" ma deriva da CryptoLocker, quindi l'unica speranza che hai ad oggi è il primo punto. __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 23-06-2016 alle 18:50.

22-06-2016, 19:31	#403
mattware Senior Member Iscritto dal: Jan 2014 Messaggi: 1253	ragazzi qualcuno sa qualcosa sui files con estensione .woicaim ? non si trova nulla in giro

26-06-2016, 13:31	#414
ginotells Junior Member Iscritto dal: Jun 2016 Messaggi: 6	scusate ma il cerber ransomware che rinomina in .cerbet i file che livello di criptazione usa?

26-06-2016, 13:47	#415
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8685	AES con chiave a 256 Bit, se stavi pensando ad attacco brute force lascia perdere. __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

26-06-2016, 13:51	#416
ginotells Junior Member Iscritto dal: Jun 2016 Messaggi: 6	questa schifezza deve aver lavorato in background da tempo, visto che mi ha criptato i file mentre stavo facendo una scansione con avira, e poco prima ho visto da task manager si erano avviati 4 processi di nome bb.exe

26-06-2016, 14:28	#418
ginotells Junior Member Iscritto dal: Jun 2016 Messaggi: 6	ma cerber da quanti mesi circola circa?

26-06-2016, 15:36	#419
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8685	Se non sbaglio Febbraio 2016 quindi più o meno 4-5 mesi __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

30-06-2016, 16:20	#420
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 5978	il successo della nuova variante http://punto-informatico.it/4326332/...-variante.aspx per x_Master_x lo sai che le policy che adotto via registro per bloccare gli exe al di fuori dalle cartelle Programmi e Windows interferiscono con gli aggiornamenti di Windows Defender? su Win 8.1 questo non succedeva mentre su Win 10 sì "pare strano ma in win 10 sembra che venga usata la cartella %temp% per installare gli aggiornamenti delle firme di WD" no mi sono sbagliato non c'entra la cartella %temp% però se disattivo le policy WD si aggiorna tranquillamente se le riattivo no __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 02-07-2016 alle 10:13.

Strumenti
Mostra una versione stampabile Invia questa pagina per email