CTB Locker - nuova variante del 27-01-2015 del famigerato virus - Pagina 6

il_nick · 31-01-2015, 18:48

Quote:

Originariamente inviato da Parnas72

Un mio amico mi ha chiamato ieri sera perchè ha incautamente aperto la mail con il virus, che gli ha criptato 25 GB di foto (è il PC di casa, quindi nessun documento importante).

Che tu sappia in quanto tempo ha criptato 25 GB di roba?

Quote:

Originariamente inviato da Parnas72

il virus si rimuove facilmente (sia AVG che Malwarebytes lo riconoscono).

Ah sì? non mi pareva... o cmq perché lo riconoscono dopo che ormai il danno è fatto e non prima?

Parnas72 · 31-01-2015, 18:56

AVG ha riconosciuto il CAB infetto come un "Generic Trojan", non specificamente come ctb locker... ma comunque lo ha bloccato. Purtroppo lo abbiamo installato a cose fatte, quindi non so se avrebbe potuto prevenire l'infezione.

omihalcon · 31-01-2015, 19:03

Anch'io mi faccio specie in qunto tempo fa la crittografia dei file.
Il cliente mi ha detto 10min, in quel tempo l' Hd locale se n' era andato ma non la rete.

occhio che oltre ai RAR e ZIP fa anche MDB e PST.

alcuni si sono salvati perchè avevano exchange con l' OST.

Per questi casi uso Combofix che ha pulito tutto naturalmente.

Copie shadow...
Non si può modificare nel servizio l' account di connesisone per evitare la disabilitazione?

x_Master_x · 31-01-2015, 19:31

Il mio punto di vista "tecnico" visto che mi é stato chiesto, per quello che posso:
Che sia impossibile decriptare i file senza la private key, sicuramente lunga e ben strutturata, presente sui loro server é poco ma sicuro. ECC\RSA rendono vana ogni operazione di bruteforce e usando TOR gli autori sono protetti. Le copie shadow anche se attive nell'ultima variante sono inutili poiché eliminate o simile, da verificare cosa effettivamente succede.

Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali?
Mi spiego, quando si cripta un file si genera un nuovo file del tutto indipendente dal file originale e poi volendo il sorgente viene eliminato. Ma la sovrascrizione richiede un tempo superiore rispetto alla semplice eliminazione, quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero.
Il dubbio mi é sorto poiché mi sono ritrovato durante lo sviluppo di EasyCrypt in una situazione analoga, cioé l'eliminazione sicura che in un primo momento non era prevista ( quindi il file non criptato era recuperabile ) ed é stata inserita in un secondo momento. Bisognerebbe provare, il post é dedicato ai volontari che hanno testato il virus in VM.

friscoss · 31-01-2015, 19:33

Quote:

Originariamente inviato da Parnas72

La prima cosa che ho fatto è stata verificare con Shadow Explorer la presenza di eventuali copie ripristinabili, ma il virus aveva rimosso tutti i punti di ripristino.

Strano, non credo che sia così articolato da rimuovere i punti di ripristino.
Anche perchè i miei punti ripristino ci sono ma il ripristino non va a buon fine.
(potrebbe anche non dipendere dal virus)
In ogni caso anche ripristinando i file criptati resterebbero tali.

il_nick · 31-01-2015, 22:37

Credo che i parametri importanti da sapere siano essenzialmente 3:

1. gli antivirus più usati/diffusi li riconoscono? se si quando, in realtime o dopo che il danno è fatto?

2. quanto tempo ci mette il virus a criptare un tot di giga? In altre parole da quando si è sicuri di aver aperto la mail col virus fino al messaggio della totale criptazione; il tempo impiegato per criptare un tot di giga potrebbe essere indicativo anche per rispondere alla domanda di Master, perché ovviamente se ci ha messo poco tempo plausibilmente non ha cancellato col metodo sicuro i file originali durante la loro eliminazione.

3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)?

Inocs · 31-01-2015, 23:59

Quote:

Originariamente inviato da il_nick

Credo che i parametri importanti da sapere siano essenzialmente 3:

1. gli antivirus più usati/diffusi li riconoscono? se si quando, in realtime o dopo che il danno è fatto?

2. quanto tempo ci mette il virus a criptare un tot di giga? In altre parole da quando si è sicuri di aver aperto la mail col virus fino al messaggio della totale criptazione; il tempo impiegato per criptare un tot di giga potrebbe essere indicativo anche per rispondere alla domanda di Master, perché ovviamente se ci ha messo poco tempo plausibilmente non ha cancellato col metodo sicuro i file originali durante la loro eliminazione.

3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)?

Kaspersky no di sicuro. Era installato e aggiornato sul PC della mia collega. 3 ore dopo il fattaccio ho inviato il file a virus total e solo 2 antivirus lo riconoscevano come tale (con un nome del tipo "kryptik*... ").

Quanto al tempo necessario non so, la mia collega mi ha chiamato dopo un'oretta dall'orario di arrivo dell'email, quando aveva notato sul desktop i file con estensione variata e io non ho impiegato certo pochi minuti a capire la situazione, anche perché il PC era di una lentezza cosmica. La mia collega, infatti, per non farsi mancare niente, aveva, ed ha tuttora, 2-3 Gb su 100Gb totali di spazio libero sulla partizione del SO, e i file criptati su quella partizione ammontavano a 55 Gb complessivi. Nel mio caso non avevo dunque alcuna speranza alternativa di recupero, ma questo non dirime effettivamente la questione.

Ciao dal mio tapatalk

x_Master_x · 01-02-2015, 08:48

Quote:

Originariamente inviato da il_nick

3. quali sono i migliori programmi o espedienti per la prevenzione (a pate, ovviamente, quello di non aprire gli allegati senza fare attenzione)?

Se il virus usa i diritti amministrativi può fare quello che vuole e quindi ripristinare la situazione di default, sono gli antivirus che dovrebbero fermarlo. Il metodo migliore è sicuramente GPO/Applocker per bloccare l'esecuzione dei file .scr, altrimenti si può re-indirizzare l'estensione ad una vuota ( CMD come amministratore )

Codice:

ASSOC .scr=null

Oppure ad un programma tipo Blocco Note

Codice:

ASSOC .scr=txtfile

In modo che non si possa eseguire e quindi non fare danni. Per ripristinarlo:

Codice:

ASSOC .scr=scrfile

/OT Hai poi letto quel documento AHCI per la tua SB600?

Parnas72 · 01-02-2015, 11:21

Quote:

Originariamente inviato da friscoss

Strano, non credo che sia così articolato da rimuovere i punti di ripristino.

A quanto ho letto, anche il "vecchio" cryptolocker faceva un "vssadmin delete shadows" dopo avere criptato i dati. Poi magari alcune varianti lo fanno e altre no.

nV 25 · 01-02-2015, 13:04

premesso che certi utenti riuscirebbero ad infettarsi anche a computer spento (e badate che non è un semplice luogo comune vista la fantasia messa in campo da costoro, semplici geni della superficialità informatica), il capitolo prevenzione realizzato col-minimo-sforzo potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).

CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert

HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware

Quindi, una protezione a priori (proattiva) contro questi rischi.

Perchè se la protezione è rimessa all'Antivirus...

nV 25 · 01-02-2015, 13:15

ultima cosa poi veramente me ne vado:

a meno di motivazioni tecniche come quelle sollevate da x_ che sfuggono evidentemente alla mia comprensione, la probabilità di un recupero dei file alterati è praticamente inesistente per cui generalmente è inutile sognare chissà quale miracolo.

il_nick · 01-02-2015, 13:51

Master, certo che quando ho letto questa discussione, e prima ancora che tu intervenissi, non ho potuto fare a meno di pensare a te: devo dire che questi del virus ti fanno una bella concorrenza.. criptare 60 GB di dati in un'ora (e magari cancellando le shadow in modo sicuro mi pare anche abbastanza veloce)..

Quote:

Originariamente inviato da x_Master_x

/OT Hai poi letto quel documento AHCI per la tua SB600?

- OT - Sì ho letto e ti ringrazio, ma non ho ancora avuto il tempo di fare delle prove (che conto però di fare a brevissimo), ho però trovato la sezione per windows 7 sullo stesso blog, ora ti mando un mp oppure scrivi sul topic ufficiale e continuiamo lì - /OT -

Quote:

Originariamente inviato da nV 25

a meno di motivazioni tecniche come quelle sollevate da x_ che sfuggono evidentemente alla mia comprensione, la probabilità di un recupero dei file alterati è praticamente inesistente per cui generalmente è inutile sognare chissà quale miracolo.

Appunto per questo, come nel caso dei virus letali per gli umani, salvo rari casi di guarigione spontanea, bisogna puntare tutto sulla prevenzione...

Quote:

Originariamente inviato da nV 25

potrebbe passare anche dall'impiego di un apposito strumento, HitmanPro.Alert (in particolare, nella sua versione 3 che vedrà la luce entro brevissimo).

CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert

HitmanPro.Alert 2.5 with CryptoGuard protecting against CryptoLocker ransomware

Sì era il software che avevo segnalato qualche post più su... ma tu ne sei lo sviluppatore per caso?

dema86 · 01-02-2015, 13:55

Quote:

Originariamente inviato da friscoss

ma il fatto è che il mio pc non ha mai avuto a che fare con bitcoin e non credo disponga di dati per verificarne eventuali indirizzi.
Inoltre la finestra attiva col timer è stata liquidata rapidamente.

Evidentemente mi sono spiegato male, il controllo sui pagamenti non lo fa il malware in locale sul tuo pc, lo fa il server remoto (quello dei malviventi), semplicemente il malware locale chiede conferma al server remoto e quello gliela da solo se trova il pagamento.
Se hai rimosso il malware, l'unica maniera è quella di collegarsi tramite TOR alla pagina specificata. In tal modo ti colleghi direttamente ad una pagina che sarà fatta in PHP o altri linguaggi simili, che interpellano il server del malware (che sia SQL o simili) ed eventualmente ti sbloccano il download di unlocker e chiave, nel caso tu abbia pagato.

nV 25 · 01-02-2015, 13:56

Quote:

Originariamente inviato da il_nick

Sì era il software che avevo segnalato qualche post più su... ma tu ne sei lo sviluppatore per caso?

seee!, magari perchè vorrebbe dire che avrei avuto due °° cosi'...

Gli sviluppatori di questo gioiellino (CHE NON E' SOLO CRYPTOGUARD) sono due fratelli olandesi molto conosciuti (e apprezzati) in questo campo (Mark & Erik Loman).

I loro prodotti:
http://www.surfright.nl/en/home

dema86 · 01-02-2015, 13:59

Quote:

Originariamente inviato da x_Master_x

Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali? {...} quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero.

Purtroppo è stata la prima cosa che ho provato a fare, ma l'esito è stato del tutto negativo, può darsi che il malware magari proceda ad eliminare solo alcune parti dei files, senza sovrascriverli del tutto, ma rendendoli comunque irrecuperabili. Faccio un esempio del menga, senza essere superesperto, magari un PDF da 16 mega, lo cripta su spazio libero e poi sovrascrive 3-400KB dell'originale, giusti giusti per impedirne il recupero... Ma non escludo neanche che sovrascriva tutto, perché non ero presente al momento del contagio.

Sterbo · 01-02-2015, 17:30

Io non apro mai queste email... ma x puro caso questa l'ho fatto... più x curiosità per vedere che si erano inventati... per fortuna l'ho aperta con un cellulare android... credo che nemmeno mi ha fatto scaricare l'allegato... e comunque non hanno effetto su sistemi android giusto? Ma per effetto cera da scompattare e far partire quello all'interno?

il_nick · 01-02-2015, 18:24

E di quest'altro "vaccino" che ne pensate? Qualuno ha avuto modo ti testarlo?

omihalcon · 01-02-2015, 19:37

Quote:

Originariamente inviato da x_Master_x

Ora però mi sorge un dubbio vista la "velocità" di esecuzione, che fine fanno gli originali?
Mi spiego, quando si cripta un file si genera un nuovo file del tutto indipendente dal file originale e poi volendo il sorgente viene eliminato. Ma la sovrascrizione richiede un tempo superiore rispetto alla semplice eliminazione, quindi in linea puramente teorica visti i tempi rapidi con cui agisce l'infezione con un software di recupero serio ( Testdisk\PhotoRec ) si potrebbe procedere al recupero.
Il dubbio mi é sorto poiché mi sono ritrovato durante lo sviluppo di EasyCrypt in una situazione analoga, cioé l'eliminazione sicura che in un primo momento non era prevista ( quindi il file non criptato era recuperabile ) ed é stata inserita in un secondo momento. Bisognerebbe provare, il post é dedicato ai volontari che hanno testato il virus in VM.

appunto E' troppo veloce a criptare e a cancellare... cosa ci sfugge?

SoldatoBiancaneve · 01-02-2015, 21:34

salve a tutti....
puntualmente quando ci sono questi virus in giro mi arrivano pc da ripulire...
ed oggi mi è arrivato appunto, un laptop win7 con tal "cryptowall3.0" sopra...

non avevo mai sentito ne visto questo virus, ma posso dirvi che i file non sembrano criptati, perchè le estensioni sono le stesse di prima, solamente non me le fa aprire... per ora ho provato le immagini che risulterebbero danneggiate come è ovvio che sia visto che sarebbero criptate..

cmq non c'è nessun countdown sulla macchina... in questo caso il countdown si avvia appena ci si connette via tor o via normale, sulle loro pagine e si visita la pagina personale col codice che il virus genera in loco sulla macchina...

volevo vedere se esisteva la decrittazione di prova e ho azionato il countdown... chiedono 500$ e tra una settimana saranno 1000%

non credo che il proprietario paghi, ma non l'ho ancora sentito...
non hho capito come si è infettato, non ho torvato mail sospette anche se cripta pure quelle quindi capirlo è imposibile per ora... sarà stato il solito cab....

volevo fare una domanda... il virus passa da un pc ad un altro con le chiavette?

vorrei evitare di infettarmi il mio pc se dovessi usare per prove le mie chiavette per trasportare files da un pc ad un altro....

PS OT(ma non troppo): ma è vero o no che utiizzare truecrypt per i propri files è pericoloso (nel senso che hanno bucato l'algoritmo)?

il_nick · 02-02-2015, 00:57

Quote: