|
|
|
|
Strumenti |
30-01-2015, 15:19 | #81 | |
Senior Member
Iscritto dal: Jun 2006
Città: tezze sul brenta(vi)
Messaggi: 1497
|
Quote:
La garanzia non c'è, nel nostro piccolo io e Inocs abbiamo detto che ha funzionato. La procedura è complicata se non hai mai avuto a che fare con bitcoin, se invece sei già abbastanza esperto della cosa, potrebbe risultarti semplice. In sé devi acquistare i Bitcoin necessari (fare attenzione ad acquistare qualche frazione di Bitcoin in eccesso rispetto all'importo, di modo da poter pagare la commissione sulla transazione, che purtroppo non è facilmente calcolabile a priori). Nel nostro caso, l'importo richiesto era di 1,4BTC e la commissione si è rivelata di un millesimo di BTC, ne avevamo comprato 1,45 per sicurezza. Il servizio di acquisto da noi utilizzato metteva come regola esplicita di fornire un indirizzo del proprio portafoglio. Essendo bitcoin una cosa praticamente anonima e poco rintracciabile, non credo che quelli del servizio avessero veramente la possibilità di verificare la cosa, ma in azienda hanno deciso di andarci coi piedi di piombo, quindi ho dovuto prima installare loro un wallet (subito ho provato con il client ufficiale bitcoin, ma i tempi di sincronizzazione sono biblici, quindi optate per Multibit o simili che sono molto più veloci, nel caso), far caricare i BTC sul loro wallet, attendere che la transazione fosse confermata, usare Multibit per accreditare gli 1.4 BTC all'indirizzo dei malfattori, attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.
__________________
I MIEI FEEDBACK per il mercatino |
|
30-01-2015, 15:30 | #82 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
CTB Locker and Critroni Ransomware Information Guide and FAQ
http://www.bleepingcomputer.com/viru...formation#ctbl
__________________
Try again and you will be luckier.
|
30-01-2015, 15:37 | #83 |
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Allora ragazzi, ricapitolando:
Qualcuno può inoltrarmi il virus per poter fare delle prove in ambiente isolato? Scusa ma non c'è una chiave univoca per ciascun pc infetto? |
30-01-2015, 15:41 | #84 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
30-01-2015, 15:45 | #85 | |
Junior Member
Iscritto dal: Dec 2009
Messaggi: 14
|
Quote:
Bitboat ha accreditato i BTC pochi minuti dopo il versamento "esatto" dell'importo richiesto, nel mio caso fatto con postepay ricaricando un'altra postepay. Acquistati i BTC, poichè non mi si apriva la schermata sul desktop, ho scaricato il browser TOR, come indicato nelle istruzioni lasciate dal virus, e mi sono collegato al link suggerito nelle istruzioni stesse. Ho dovuto provare per 2-3 ore, aggiornando di continuo, fino a che non si è aperta una pagina in cui inserire la lunga chiave pubblica inserita nelle istruzioni. Fatto ciò si è aperta un'altra pagina in cui ho potuto fare una prova di decrittazione di un file (ne ho scelto uno prezioso per la mia collega) e tutto è andato a buon fine, dopo una ventina di tentativi di connessione. A quel punto, tramite blockchain , ho versato i BTC sull'account indicatomi nelle istruzioni del virus. Dopo una mezz'oretta (e dopo aver controllato che su quell'account i soldi erano arrivati e poi erano stati subito prelevati) sono riandato sulla pagina lasciata aperta su TOR, ho aggiornato un altro po' di volte e mi è uscito un link per il download dell'unlocker e della chiave. 2-3 minuti dopo mi è arrivato tutto in forma di download all'interno di TOR. Ho archiviato, come consigliato, l'unlocker.exe e la chiave e ho proceduto, dopo aver messo l'eseguibile sul desktop del computer infetto, a lanciare il processo di recupero. E' andato avanti durante la notte e stamattina i file erano tutti a posto. Ci tengo a precisare che ho ricevuto la chiave e il software di decrittazione circa 55 ore dopo l'avvio del countdown e dopo aver perso l'avvio automatico sul desktop. Ultima modifica di Inocs : 30-01-2015 alle 15:48. |
|
30-01-2015, 16:23 | #86 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Gente, a cose normali pagare il riscatto = incentivare questi soggetti nel proseguire la pratica criminosa.
A meno di casi specifici (= dati fondamentali per la prosecuzione del lavoro,...), PIANTO UNICO (e possibilmente in futuro ragionare di più prima di agire → valido nell'ipotesi dell'incauta azione circa l'apertura delle mail o esecuzione di un qualcosa di ignoto; ricorrere a strumenti dedicati antiexploit → coprendosi cosi' dall'ipotesi tutt'altro che infrequente di infezione "involontaria" ottenuta semplicemente visitando un sito "corrotto"). Ultima modifica di nV 25 : 30-01-2015 alle 16:26. |
30-01-2015, 16:53 | #87 |
Senior Member
Iscritto dal: Jan 2003
Città: Piacenza....ma piacentino MAI!!!
Messaggi: 1637
|
Ho usato con discreto successo questa soluzione.
http://www.digitalic.it/wp/mercato-2...are-file/88156 |
30-01-2015, 17:10 | #88 |
Junior Member
Iscritto dal: Jan 2015
Messaggi: 12
|
ma se pur pagando si aveva la certezza di recuperare i dati era un conto.. Qui c'è il rischio di pagare 500/600 euro senza ottenere nulla!
Fino a ieri dalla pagina http://w7yue5dc5amppggs.onion/ tramite rete tor e inserendo la key, era possibile decriptare un singolo file, oggi non appare più quella funzione.. |
30-01-2015, 17:23 | #89 |
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Sono assolutamente d'accordo, a meno che non si tratti di dati di estrema importanza come per esempio documenti aziendali che ne causerebbero un danno economico ingente, pazienza aver perso le foto ricordo o i documenti; se il vostro computer si fosse fuso in un incendio nemmeno tutto l'oro del mondo vi aiuterebbe a recuperare l'hard disk e non potreste fare nulla se non farvene una ragione. Pertanto non fate il gioco di questi bastardi che si stanno arricchendo a dismisura.
|
30-01-2015, 19:36 | #90 |
Junior Member
Iscritto dal: Jul 2006
Messaggi: 17
|
Rendere Windows Immune a CTB LOCKER e simili
Recuperare i Dati è estremamente difficile/improbabile, Quindi meglio
Prevenire anche perchè lo spieghi ma molti non ascoltano o non usano le misure base per non infettarsi. Raccomando inoculare ogni computer di persone a cui tenete con questo REG che Elimina l'esecuzione dei file SCR all'apertura da Mail. Non Disattiva Tutti gli screensaver, solo l'interazione Con L'apertura da Parte dell'utente. La modifica è innocua e reversibile, Sto testando su Windows XP x86 - Win 7 x86/64 - Win8 x86/64 Sistemo alcuni aspetti e lascio ultime tra poche ore quiDOWNLOAD PATCH (vedi fondo pagina) Nota: Fai CONSERVA a Chrome se dice che puo' essere pericoloso, Lo sono tutti i File Reg ed è giusto che ti avvisi, fondamentalmente ti stai curando il computer, se hai dubbi chiedi a un amico Esperto! Verifica pure: è uno zip contenente un reg che previene il problema. PS: La proposta qui fatta di disattivare l'apertura dei CAB puo' portare più bene che altro, I Cab non servono solo a installare windows ma anche Drivers di Periferiche, Stampanti o Programmi completi.
__________________
Intel 3570K 8Gb Ram + 512 SSD 840 Samsung - 960Strix Xeon 5420@435x7 3Ghz + 256 SSD Plextor - 470 GTX C2D 4500@3Ghz - Asus P5q-E - 2Gb DDr2 - 8800GT + Muletti e Raspberry |
30-01-2015, 20:08 | #91 | |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 20866
|
Quote:
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
|
30-01-2015, 22:10 | #92 | |
Senior Member
Iscritto dal: Jun 2008
Città: Roma
Messaggi: 808
|
Quote:
__________________
Asus P8Z77-M Intel® Core™ i3-3220 Win 8.1-OSx86 |
|
31-01-2015, 15:16 | #93 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6033
|
Quote:
non sembra che si sbattano loro da remoto a decrittare anche perchè questo aumenterebbe le possibilità di essere intercettati |
|
31-01-2015, 15:52 | #94 | |||
Senior Member
Iscritto dal: Jun 2006
Città: tezze sul brenta(vi)
Messaggi: 1497
|
Quote:
Ti do un'idea a grandi linee di cosa fa, magari potrebbe essere leggermente inesatto, ma intanto un'idea te la da. Il malware appena lo prendi verifica la connessione ad internet ed appena riesce a contattare il suo server credo scambi in qualche maniera i dati relativi a chiave crittografica, indirizzo bitcoin associato al tuo pc etc. Parte a crittare tutti i dati, genera i suoi file txt e png delle istruzioni, disseminati lungo l'hard disk, a fine del procedimento ti esce il famigerato popup con le istruzioni per il pagamento ed il timer. Questa finestra attiva, evidentemente si riaggiorna ogni tot tempo, controllando se il server gli dice che il pagamento è attivo. In quel caso si attiva automaticamente decrittando il tutto. Il server remoto in linea di massima è solo una sorta di database, non è qualcosa che ti controlla il pc. Sul server loro poi ci sarà qualche sorta di programma automatizzato che verifica i pagamenti sugli indirizzi bitcoin e una volta verificati sblocca un flag corrispondente al tuo record in database. Quote:
Quote:
Ha decrittato tutto, io poi ho spento la macchina, ho clonato l'hard disk su un paio di altri, per sicurezza, prima di mettermi al lavoro per ripulire il tutto con gli appositi metodi.
__________________
I MIEI FEEDBACK per il mercatino |
|||
31-01-2015, 16:54 | #95 |
Senior Member
Iscritto dal: Mar 2007
Messaggi: 1680
|
Che ne pensate di questo software? Dite che è efficace per la prevenzione del virus?
|
31-01-2015, 17:25 | #96 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6033
|
Quote:
funziona se è in grado di capire che è in atto un tentativo ma nessun anti qualcosa è infallibile al 100% comunque provarlo male non fa è utile per svariati malware non solo per lo specifico di cui si parla in questa discussione |
|
31-01-2015, 17:27 | #97 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6033
|
qualcuno ha fatto la prova con MBAE anti exploit?
quanti antivirus riconoscono il file .scr contenuto nel cab?
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 31-01-2015 alle 17:38. |
31-01-2015, 17:35 | #98 | |
Senior Member
Iscritto dal: Jun 2008
Città: Roma
Messaggi: 808
|
Quote:
Inoltre la finestra attiva col timer è stata liquidata rapidamente. Per rendere un attimino su come arriva questa nuova variante ecco gli screen della Mail ricevuta, un file txt apribile senza problemi e un file Cab da maneggiare con cautela.
__________________
Asus P8Z77-M Intel® Core™ i3-3220 Win 8.1-OSx86 |
|
31-01-2015, 17:39 | #99 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6033
|
hai fatto scansionare il cab o il scr su virustotal? giusto per vedere quanti antivirus lo riconoscono
|
31-01-2015, 18:42 | #100 |
Senior Member
Iscritto dal: Feb 2005
Città: Como
Messaggi: 4922
|
Un mio amico mi ha chiamato ieri sera perchè ha incautamente aperto la mail con il virus, che gli ha criptato 25 GB di foto (è il PC di casa, quindi nessun documento importante).
Oggi sono andato a vedere la situazione, il virus si rimuove facilmente (sia AVG che Malwarebytes lo riconoscono). Purtroppo per i file criptati c'è poco da fare, nel suo caso chiedevano 3,5 bitcoins (circa 700€) per la chiave di decodifica. La prima cosa che ho fatto è stata verificare con Shadow Explorer la presenza di eventuali copie ripristinabili, ma il virus aveva rimosso tutti i punti di ripristino.
__________________
Fritz!Box 7530 / NavigaBene FTTH 1000/1000 - Xiaomi Mi 11 Lite 4G - Samsung Galaxy A53 5G Panasonic PF37X10 - Soundbar "Bose Solo 5" e "Yamaha SR-C20A" - Xiaomi Mi Box - QNAP TS-212 - Xerox B215V Ultima modifica di Parnas72 : 31-01-2015 alle 18:48. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:17.