|
|
|
|
Strumenti |
06-02-2016, 00:58 | #761 | |
Member
Iscritto dal: Dec 2010
Messaggi: 196
|
Quote:
|
|
06-02-2016, 09:31 | #762 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Attualmente sto usando una forma di autoprevenzione-salvaguardia dell'ultimo minuto contro il 99% dei ransomware esistenti che agisce all'inizio dell'infezione. Vi spiego l'idea che ho avuto, tutti questi cryptolocker in un modo o nell'altro aggiungono una nuova estensione al file criptato ( che sia .micro, .vvv, .ccc, .encrypted, .carattericasuali e così via ) e quando si crea un file con una estensione sconosciuta al sistema Windows la annota nel registro. Ecco non faccio altro che monitorare in tempo reale le "nuove" estensioni, se viene rilevata una nuova chiave appare istantaneamente un popup che in 10 secondi mi lascia decidere se l'estensione aggiunta è voluta e continuare ( es. da un setup ma sono casi rari, non si aggiungono quotidianamente nuove estensioni in un PC già configurato ) oppure alla scadenza del timer effettuare un logout-shutdown del sistema, in questo modo i danni del virus saranno minimi-insignificanti...
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 06-02-2016 alle 09:33. |
06-02-2016, 09:33 | #763 | |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Quote:
Pensandoci bene questi malware crittografano molti file, pure le immagini stupide delle temp dei browser, se un software specifico utilizza un'immagine al suo interno per funzionare correttamente, renderà il software stesso instabile o inutilizzabile. Non sono troppo intelligenti questi malware, criptano tutti i file più comuni in tutti i path possibili. Gli auguro tutto il male possibile a questi pirati informatici. bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
|
06-02-2016, 11:05 | #764 |
Junior Member
Iscritto dal: Jul 2013
Messaggi: 14
|
Settimana infernale.
Ho 5 clienti con i file criptati in .micro . Ad alcuni gli hanno criptato tutti i documenti del computer e le unità mappate in rete (sul nas), ma a 2 è andata di lusso: Numero file criptati in .micro 1) 11527 (computer locale) + 5241 (rete) AV: Microsoft Security Essential + Avira (non aggiornato) 2) 22237 (computer locale) AV: nessun antivirus (solo programmi anti-spyware Iobit) 3) 37974 (computer locale) AV: Trend 4) 16 (tutti nel cestino) AV: Virit Professional 5) 198 (computer locali) AV: Virit Professional (i file sono stati recuperati) I 2 clienti che usano la versione a pagamento di virit, mi hanno chiamato perche' l'antivirus era scattato segnalando un possibile cryptomalware in un file con nome casuale EXE. Quando sono andato dal cliente n. 4 aveva i file di "help_" del riscatto, ma cercando i file .micro ne aveva solo 16 e tutti nel cestino. L'ultimo cliente ne aveva 198 con estensione .micro, ma erano nelle prime cartelle del disco C: Il cliente ha contattato il supporto tecnico, si sono collegati in remoto e hanno recuperato i file criptati . Da quello che mi hanno detto, se ho capito bene, se c'e' la protezione attiva nel momento dell'attacco del tesla, l'antivirus lo inibisce e riesce a prendere la chiave utilizzata per criptare i file. In questo modo loro hanno recuperato i file. Mi sembra che anche Kaspersky e Hitman pro utilizzano una protezione simile . Lunedì devo andare da un nuovo cliente che ha pagato il riscatto di 1000 Euro del tesla, perche' gli era scaduto il tempo per pagare e il riscatto si è raddoppiato, non hanno copie di backup... sono disperati !!! Sempre fare le copie di backup... e tenerle non collegate alla rete! |
06-02-2016, 11:06 | #765 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
Quote:
http://www.bleepingcomputer.com/anno...dom-of-speech/ |
|
06-02-2016, 11:06 | #766 |
Senior Member
Iscritto dal: Nov 2001
Città: Roma
Messaggi: 16092
|
ragazzi ciao! E' ormai un po' che mi sto documentando circa questo ransomware e tutte le sue copie ma ancora non mi son chiare le seguenti cose (e non riesco in nessun modo a venirne a capo leggendo online):
1) Una volta preso il virus, ci si accorge di quest'ultimo solo a criptaggio avvenuto giusto? E ok, finito di imprecare cosa succede? Il virus scompare come ho letto o il rischio permane se collego unità esterne? 2) Ma è vero che questi virus attaccano anche Dropbox o è una cavolata?? 3) Se mi accorgo di averlo, per evitare che continui a crittografare roba, basta che lascio il pc acceso staccato dalla rete o è del tutto inutile risiedendo, il virus, in locale? |
06-02-2016, 11:10 | #767 | |
Junior Member
Iscritto dal: Jul 2013
Messaggi: 14
|
Quote:
|
|
06-02-2016, 11:27 | #768 | |
Junior Member
Iscritto dal: Jul 2013
Messaggi: 14
|
Quote:
2) Penso che il problema relativo a dropbox sia la sincronizzazione dei file, quindi ti fa le copie dei file criptati e ti cancella le buone. 3) Se ti accorgi di averlo... stacca immediatamente il cavo di rete, in modo da isolare il pc infetto . Dopo cerca di rimuovere il virus. |
|
06-02-2016, 11:28 | #769 |
Senior Member
Iscritto dal: Nov 2001
Città: Roma
Messaggi: 16092
|
ma con cosa si rimuove? Combofix non funziona su windows 10, adwcleaner credo non lo rilevi...con cosa si puo eliminare?
|
06-02-2016, 12:09 | #770 | |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Quote:
Sinceramente mi sono documentato sui vari ransomware che utilizzano metodi di criptazione ( non c'è un vero e proprio elenco oppure non l'ho trovato ) e tutti quelli che ho visto aggiungono una nuova estensione predefinita o casuale, ne esiste qualcuno che non lo fa? Ho scritto 99% solo per questa eventualità ma in realtà non ho riscontri.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
|
06-02-2016, 12:33 | #771 | ||
Member
Iscritto dal: Dec 2010
Messaggi: 196
|
Quote:
ps. naturalmente se fai con autoruns oltre ad eliminare il valore stringa del virus rimuovi anche il file dalla cartella scrivendo %appdata% (se si trova li) Quote:
si infatti anche i temp tipo come hai detto le immagini, io alla fine faccio sempre una pulizia con ccleaner... Ultima modifica di time00 : 06-02-2016 alle 12:55. |
||
06-02-2016, 13:16 | #772 | |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 4274
|
Quote:
2) se la cartella dropbox è mappata come unità di rete si, cripta tutto anche lì. Ad esempio onedrive è vista come una normale cartella con windows 8/10 se si ha account microsoft ed in questo caso il malware attacca. Altrimenti no. |
|
06-02-2016, 15:18 | #773 | |
Senior Member
Iscritto dal: Dec 2007
Messaggi: 1337
|
Quote:
|
|
06-02-2016, 15:39 | #774 |
Senior Member
Iscritto dal: Nov 2001
Città: Roma
Messaggi: 16092
|
beh ma dropbox se non sbaglio o non è mai mappata o lo è sempre no? Quando installi il client di inserisce una cartella nel tuo profilo come fosse una cartella di sistema. In quel caso viene mappato qualcosa?
|
06-02-2016, 16:02 | #775 |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 4274
|
Non uso dropbox quindi non saprei, ma se è accessibile direttamente dal pc come cartella e non necessita di inserire password allora verrà criptato anche il contenuto della cartella dropbox.
|
06-02-2016, 16:23 | #776 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Se sei programmare non é difficile e posso pure spiegarlo, al momento non posso rilasciare nulla pubblicamente perché dovrei starci dietro con tutto quello che ne consegue.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
06-02-2016, 18:59 | #777 | |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Quote:
bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
|
06-02-2016, 19:07 | #778 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Ciao,
mi è giunta voce che anche in un sistema Mac con Windows virtualizzato via WMware, sharando il disco mac anche in scrittura il cryptolocker abbia criptato pure i file sul mac, per fortuna che costui aveva dei backup sul TimeCapsule. bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
06-02-2016, 19:10 | #779 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
06-02-2016, 20:05 | #780 | |
Member
Iscritto dal: Dec 2010
Messaggi: 196
|
Quote:
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:08.