|
|
|
|
Strumenti |
31-01-2015, 18:48 | #101 | |
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Quote:
Ah sì? non mi pareva... o cmq perché lo riconoscono dopo che ormai il danno è fatto e non prima? |
|
31-01-2015, 18:56 | #102 |
Senior Member
Iscritto dal: Feb 2005
Città: Como
Messaggi: 4919
|
AVG ha riconosciuto il CAB infetto come un "Generic Trojan", non specificamente come ctb locker... ma comunque lo ha bloccato. Purtroppo lo abbiamo installato a cose fatte, quindi non so se avrebbe potuto prevenire l'infezione.
__________________
Fritz!Box 7530 / NavigaBene FTTH 1000/1000 - Xiaomi Mi 11 Lite 4G - Samsung Galaxy A53 5G Panasonic PF37X10 - Soundbar "Bose Solo 5" e "Yamaha SR-C20A" - Xiaomi Mi Box - QNAP TS-212 - Xerox B215V |
31-01-2015, 19:03 | #103 |
Senior Member
Iscritto dal: Sep 2002
Messaggi: 1637
|
Anch'io mi faccio specie in qunto tempo fa la crittografia dei file.
Il cliente mi ha detto 10min, in quel tempo l' Hd locale se n' era andato ma non la rete. occhio che oltre ai RAR e ZIP fa anche MDB e PST. alcuni si sono salvati perchè avevano exchange con l' OST. Per questi casi uso Combofix che ha pulito tutto naturalmente. Copie shadow... Non si può modificare nel servizio l' account di connesisone per evitare la disabilitazione?
__________________
Prepare for jump to lightspeed! Windows10 "is a service": che servizio del driver di stampa WSD: What a Shit Driver! |
31-01-2015, 19:31 | #104 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Il mio punto di vista "tecnico" visto che mi é stato chiesto, per quello che posso:
Che sia impossibile decriptare i file senza la private key, sicuramente lunga e ben strutturata, presente sui loro server é poco ma sicuro. ECC\RSA rendono vana ogni operazione di bruteforce e usando TOR gli autori sono protetti. Le copie shadow anche se attive nell'ultima variante sono inutili poiché eliminate o simile, da verificare cosa effettivamente succede. Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali? Mi spiego, quando si cripta un file si genera un nuovo file del tutto indipendente dal file originale e poi volendo il sorgente viene eliminato. Ma la sovrascrizione richiede un tempo superiore rispetto alla semplice eliminazione, quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero. Il dubbio mi é sorto poiché mi sono ritrovato durante lo sviluppo di EasyCrypt in una situazione analoga, cioé l'eliminazione sicura che in un primo momento non era prevista ( quindi il file non criptato era recuperabile ) ed é stata inserita in un secondo momento. Bisognerebbe provare, il post é dedicato ai volontari che hanno testato il virus in VM.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 31-01-2015 alle 19:35. |
31-01-2015, 19:33 | #105 | |
Senior Member
Iscritto dal: Jun 2008
Città: Roma
Messaggi: 808
|
Quote:
Anche perchè i miei punti ripristino ci sono ma il ripristino non va a buon fine. (potrebbe anche non dipendere dal virus) In ogni caso anche ripristinando i file criptati resterebbero tali.
__________________
Asus P8Z77-M Intel® Core™ i3-3220 Win 8.1-OSx86 |
|
31-01-2015, 22:37 | #106 |
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Credo che i parametri importanti da sapere siano essenzialmente 3:
1. gli antivirus più usati/diffusi li riconoscono? se si quando, in realtime o dopo che il danno è fatto? 2. quanto tempo ci mette il virus a criptare un tot di giga? In altre parole da quando si è sicuri di aver aperto la mail col virus fino al messaggio della totale criptazione; il tempo impiegato per criptare un tot di giga potrebbe essere indicativo anche per rispondere alla domanda di Master, perché ovviamente se ci ha messo poco tempo plausibilmente non ha cancellato col metodo sicuro i file originali durante la loro eliminazione. 3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)? |
31-01-2015, 23:59 | #107 | |
Junior Member
Iscritto dal: Dec 2009
Messaggi: 14
|
Quote:
Quanto al tempo necessario non so, la mia collega mi ha chiamato dopo un'oretta dall'orario di arrivo dell'email, quando aveva notato sul desktop i file con estensione variata e io non ho impiegato certo pochi minuti a capire la situazione, anche perché il PC era di una lentezza cosmica. La mia collega, infatti, per non farsi mancare niente, aveva, ed ha tuttora, 2-3 Gb su 100Gb totali di spazio libero sulla partizione del SO, e i file criptati su quella partizione ammontavano a 55 Gb complessivi. Nel mio caso non avevo dunque alcuna speranza alternativa di recupero, ma questo non dirime effettivamente la questione. Ciao dal mio tapatalk |
|
01-02-2015, 08:48 | #108 | |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Quote:
Codice:
ASSOC .scr=null Codice:
ASSOC .scr=txtfile Codice:
ASSOC .scr=scrfile
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
|
01-02-2015, 11:21 | #109 |
Senior Member
Iscritto dal: Feb 2005
Città: Como
Messaggi: 4919
|
A quanto ho letto, anche il "vecchio" cryptolocker faceva un "vssadmin delete shadows" dopo avere criptato i dati. Poi magari alcune varianti lo fanno e altre no.
__________________
Fritz!Box 7530 / NavigaBene FTTH 1000/1000 - Xiaomi Mi 11 Lite 4G - Samsung Galaxy A53 5G Panasonic PF37X10 - Soundbar "Bose Solo 5" e "Yamaha SR-C20A" - Xiaomi Mi Box - QNAP TS-212 - Xerox B215V |
01-02-2015, 13:04 | #110 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
premesso che certi utenti riuscirebbero ad infettarsi anche a computer spento (e badate che non è un semplice luogo comune vista la fantasia messa in campo da costoro, semplici geni della superficialità informatica), il capitolo prevenzione realizzato col-minimo-sforzo potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).
CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware Quindi, una protezione a priori (proattiva) contro questi rischi. Perchè se la protezione è rimessa all'Antivirus... Ultima modifica di nV 25 : 01-02-2015 alle 13:28. |
01-02-2015, 13:15 | #111 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
ultima cosa poi veramente me ne vado:
a meno di motivazioni tecniche come quelle sollevate da x_ che sfuggono evidentemente alla mia comprensione, la probabilità di un recupero dei file alterati è praticamente inesistente per cui generalmente è inutile sognare chissà quale miracolo. |
01-02-2015, 13:51 | #112 | |||
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Master, certo che quando ho letto questa discussione, e prima ancora che tu intervenissi, non ho potuto fare a meno di pensare a te: devo dire che questi del virus ti fanno una bella concorrenza.. criptare 60 GB di dati in un'ora (e magari cancellando le shadow in modo sicuro mi pare anche abbastanza veloce)..
Quote:
Quote:
Quote:
Ultima modifica di il_nick : 01-02-2015 alle 13:53. |
|||
01-02-2015, 13:55 | #113 | |
Senior Member
Iscritto dal: Jun 2006
Città: tezze sul brenta(vi)
Messaggi: 1497
|
Quote:
Se hai rimosso il malware, l'unica maniera è quella di collegarsi tramite TOR alla pagina specificata. In tal modo ti colleghi direttamente ad una pagina che sarà fatta in PHP o altri linguaggi simili, che interpellano il server del malware (che sia SQL o simili) ed eventualmente ti sbloccano il download di unlocker e chiave, nel caso tu abbia pagato.
__________________
I MIEI FEEDBACK per il mercatino |
|
01-02-2015, 13:56 | #114 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Gli sviluppatori di questo gioiellino (CHE NON E' SOLO CRYPTOGUARD) sono due fratelli olandesi molto conosciuti (e apprezzati) in questo campo (Mark & Erik Loman). I loro prodotti: http://www.surfright.nl/en/home |
|
01-02-2015, 13:59 | #115 | |
Senior Member
Iscritto dal: Jun 2006
Città: tezze sul brenta(vi)
Messaggi: 1497
|
Quote:
__________________
I MIEI FEEDBACK per il mercatino |
|
01-02-2015, 17:30 | #116 |
Senior Member
Iscritto dal: Aug 2008
Messaggi: 646
|
Io non apro mai queste email... ma x puro caso questa l'ho fatto... più x curiosità per vedere che si erano inventati... per fortuna l'ho aperta con un cellulare android... credo che nemmeno mi ha fatto scaricare l'allegato... e comunque non hanno effetto su sistemi android giusto? Ma per effetto cera da scompattare e far partire quello all'interno?
__________________
Case Corsair 900D Alimentatore SilverStone Strider 1500W Scheda Madre Asus Rampage V Extreme Processore Intel 5820K Ram 2x G.Skill Ripjaws 16GB DDR4-2666Mhz PC4-21300 Scheda video MSI GTX 980 TI Gaming 6G Hard disk primario OCZ Vertex 3 240gb Hard disk secondario WD Caviar Black 2T |
01-02-2015, 19:37 | #118 | |
Senior Member
Iscritto dal: Sep 2002
Messaggi: 1637
|
Quote:
__________________
Prepare for jump to lightspeed! Windows10 "is a service": che servizio del driver di stampa WSD: What a Shit Driver! |
|
01-02-2015, 21:34 | #119 |
Senior Member
Iscritto dal: Feb 2005
Messaggi: 333
|
salve a tutti....
puntualmente quando ci sono questi virus in giro mi arrivano pc da ripulire... ed oggi mi è arrivato appunto, un laptop win7 con tal "cryptowall3.0" sopra... non avevo mai sentito ne visto questo virus, ma posso dirvi che i file non sembrano criptati, perchè le estensioni sono le stesse di prima, solamente non me le fa aprire... per ora ho provato le immagini che risulterebbero danneggiate come è ovvio che sia visto che sarebbero criptate.. cmq non c'è nessun countdown sulla macchina... in questo caso il countdown si avvia appena ci si connette via tor o via normale, sulle loro pagine e si visita la pagina personale col codice che il virus genera in loco sulla macchina... volevo vedere se esisteva la decrittazione di prova e ho azionato il countdown... chiedono 500$ e tra una settimana saranno 1000% non credo che il proprietario paghi, ma non l'ho ancora sentito... non hho capito come si è infettato, non ho torvato mail sospette anche se cripta pure quelle quindi capirlo è imposibile per ora... sarà stato il solito cab.... volevo fare una domanda... il virus passa da un pc ad un altro con le chiavette? vorrei evitare di infettarmi il mio pc se dovessi usare per prove le mie chiavette per trasportare files da un pc ad un altro.... PS OT(ma non troppo): ma è vero o no che utiizzare truecrypt per i propri files è pericoloso (nel senso che hanno bucato l'algoritmo)?
__________________
░░▒▒▓▓▀▄▀▄▀▄▀▄▀▄ Soldato Biancaneve ▄▀▄▀▄▀▄▀▄▀▓▓▒▒░░ |
02-02-2015, 00:57 | #120 | ||||
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Quote:
Quote:
Quote:
Quote:
Non c'è nulla di attendibile al momento in questa affermazione, per il momento di ufficiale c'è solo che è stato abbandonato il progetto dai suoi sviluppatori. Ultima modifica di il_nick : 02-02-2015 alle 17:29. |
||||
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:12.