Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Samsung Galaxy S10+: il miglior regalo agli utenti per il decimo anniversario. La recensione
Samsung Galaxy S10+: il miglior regalo agli utenti per il decimo anniversario. La recensione
Arriva in un momento cruciale per l’azienda sud coreana che deve rafforzare il suo dominio sul mercato degli smartphone, ultimamente attaccabile dagli altri concorrenti. Arriva dopo dieci anni esatti dal primo Galaxy S della storia. Il nuovo Galaxy S10+ non è un “upgrade” come molti credono ma un concentrato di novità tecnologiche capace di far innamorare da subito l’utente non appena si accende il display. Vediamo allora i motivi di tutto ciò.
ASUS ROG Strix GeForce GTX 1660Ti: silenziosa e completa
ASUS ROG Strix GeForce GTX 1660Ti: silenziosa e completa
Anche per la nuova GPU GeForce GTX 1660Ti ASUS propone la ricetta ROG Strix, fatta di un PCB custom, overclock di serie e un efficiente sistema di raffreddamento a tripla ventola che spicca per silenziosità. Una ricetta vincente, per quanto non di certo si possa dire economica
LG V40 ThinQ, un gran flagship... se fossimo nel 2018: la recensione
LG V40 ThinQ, un gran flagship... se fossimo nel 2018: la recensione
LG V40 ThinQ è certamente uno degli smartphone più interessanti di questo momento. Dispone di cinque fotocamere, funzionalità avanzate di ogni tipo, offre una grande fluidità e l'esperienza d'uso multimediale è a livello top grazie al buon display OLED, allo speaker integrato e all'audio di qualità anche in cuffia. L'autonomia non è da primato e lo Snapdragon 845 potrebbe diventare presto molto vecchio, soprattutto a questo prezzo
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 03-04-2016, 19:53   #61
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 362
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Come dicevo anche nel precedente post gli antivirus devono evolversi perché le minacce non sono più le stesse.
Questo non succede perché non è conveniente che succeda: prima si lascia pascere i singoli nel campo dell'ignoranza informatica nutriti a suon di like, fino a farli diventare una moltitudine...poi chi di dovere passa ad intervalli regolari assieme a compari e compagni di merende (tutto l'indotto, insomma) per mungerli come si deve e al contempo ammansendoli con la costruzione tutt'intorno di un bel recinto di cartapesta chiamato pomposamente antivirus: i risultati sono sotto gli occhi di tutti.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Il problema della tua proposta è quanto pesa sul sistema una verifica del genere considerando che gli stessi AV sono pesanti già ora però rimane comunque una idea valida.
Il mio software agisce su due livelli: il primo controlla i file-utente mentre il secondo genera gruppi di file fake casuali da usare come esca per il ransomware. Se si opta per la prima soluzione (i file reali dell'utente) l'occupazione della CPU, come avevo già accennato, è rilevante... >=10% con gruppi di file intorno ai 30/50 MiB, mentre, nel secondo caso, si assesta intorno al 2%...però parliamo di test effettuati volutamente su macchine obsolete, ovvero nello scenario prestazionale ipoteticamente peggiore.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
C'è una sostanziale differenza tra il mio approccio e il tuo. Se il mio programma rileva qualcosa è sicuramente un ransomware.
Anche il mio, se si usa la seconda opzione di cui parlavo sopra (ovvero gruppi di file fake RND): quando rileva qualcosa è sicuramente un ransomware.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Non lo programmo ma eseguo immediatamente uno shutdown/logout forzato. Quando scrivo forzato intendo tutti i parametri possibili ( es. FORCEIFHUNG ) per far sì che avvenga nel tempo più rapido possibile.
Con “programmare lo spegnimento” intendevo: dare all'utente la possibilità di impostare un timer per lo spegnimento (da istantaneo a 'tot' secondi); IMHO è l'utente che deve gestire il software non il software gestire l'utente.
Comunque puoi inviare via SW tutti i parametri possibili ed immaginabili da “ExitWindows.ForceIfHung” a “Bimbumbam.Abacadraba” per effettuare uno spegnimento rapido ma se il PC non è particolarmente prestante e la CPU è saturata al 100% da un ransomware scritto come si deve che riesce ad utilizzare tutti i core disponibili spremendoli al massimo, ci sono ottime probabilità che la macchina andrà a spegnersi al rallentatore...dopo aver cifrato buona parte dei file (se non tutti).

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Mi sembra che i tuoi test sono avvenuti in OS virtualizzato anche parzialmente. Per quanto potrei farli anche io non li reputo, mia modesta opinione, affidabili. Il Guest di per sè non ha le stesse prestazioni dell'Host
Con test effettuati su OS virtualizzato non intendevo VM ma virtualizzazione delle partizioni fisiche; nello specifico ho usato “Shadow Defender”, che consente di settare delle 'eccezioni' alla virtualizzazione; nei test portati avanti con i ransomware, per ovvi motivi, (che nel caso specifico sono quelli di valutare l'efficienza delle routine di shutdown d'emergenza), dalla virtualizzazione devono essere esclusi i percorsi con le cartelle contenenti i documenti: in questo modo è possibile infettare il PC più e più volte senza dover ripristinare dopo ogni test un'immagine pulita ma semplicemente riaccendendo la macchina dopo il test dello shutdown d'emergenza per poi valutare la percentuale dei documenti alterati; inoltre si possono ottenere condizioni di utilizzo/reazione del sistema estremamente vicine alla realtà, in quanto il sistema virtualizzato in tal modo (via Shadow Defender) mantiene quasi le prestazioni originarie ed ha un comportamento non dissimile da quello reale, non avendo nessun componente HW emulato, come invece avviene nelle VM.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2016, 21:07   #62
zerothehero
Senior Member
 
L'Avatar di zerothehero
 
Iscritto dal: Aug 2003
Città: milano
Messaggi: 13607
Ma il criptoprevent settato in modalità default protegge?

No perchè ora come ora gli antivirus sono quasi totalmente inutili..e sperare che tutti quelli che lavorano in una rete non clicchino a caso è totalmente inutile.

Sto smanettando anche con questo-> http://www.sandboxie.com/

Non sarebbe utile sandoboxare outlook in modo da evitare danni con l'apertura degli allegati?
Sti ramsomware sono troppo devastanti..c'è qualcosa che non va.
__________________
We are the flame and darkness fears us !

Ultima modifica di zerothehero : 03-04-2016 alle 21:09.
zerothehero è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2016, 21:30   #63
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 362
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Una lettura interessante:
Petya – Taking Ransomware To The Low Level

Ho aggiunto la "Prevention Tip" in prima pagina anche se sinceramente invece di una BSOD un ransomware potrebbe più semplicemente forzare un riavvio, procedura che tra l'altro non richiede nessun diritto particolare da parte dell'eseguibile. Inoltre chi vede una BSOD difficilmente la associa ad un virus e riavvia il PC in modo "manuale" mandando in tal caso Petya nella cosiddetta "Fase 2" che non permette, ad oggi, un ripristino completo della MFT.
Riguardo Petya reco buone nuove : i dati, almeno stando ai test da me effettuati nel fine settimana, sono recuperabili al 100%. Ho infettato una macchina non virtualizzata per ben 4 volte e tutte e 4 le volte ho recuperato i documenti direttamente dalla partizione inaccessibile.

Nel dettaglio: La variante che ho utilizzato per i test è quella analizzata da G-Data (SHA256: 26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739) e questo è il LOG del mio HIPS (completamente disabilitato) che va dal momento dell'esecuzione del ransomware al riavvio forzato di Windows (XP SP3):

c:\windows\explorer.exe > Create new process
c:\ransomware Petya\Petya.exe > Permitted [App]*
Cmd line: "C:\Ransomware Petya\Petya.EXE"

c:\ransomware Petya\Petya.exe
Read physical disk\Device\Harddisk0\DR0 > Permitted [App]*

c:\ransomware Petya\Petya.exe
Load dynamic link library
c:\windows\system32\rsaenh.dll > Permitted
[App] c:\ransomware Petya\Petya.exe

c:\ransomware Petya\Petya.exe
Write physical disk\Device\Harddisk0\DR0 > Permitted
[App] c:\ransomware Petya\Petya.exe

c:\ransomware Petya\Petya.exe
Write physical disk (4) \Device\Harddisk0\DR0 > Permitted
[App] c:\ransomware Petya\Petya.exe

c:\ransomware Petya\Petya.exe
Shutdown Windows > Permitted
[App] c:\ransomware Petya\Petya.exe


...una manciata di istruzioni per un danno tutto sommato rilevante.

Ricapitolando:

1) Petya non cifra i file presenti sull'Hard Disk ma sovrascrive il MBR e cifra l'MFT + l'MFT mirrow

2) Petya danneggia ed opera solo sulla partizione di boot [ C ], le restanti – se presenti – vengono ignorate

3) Nei miei 4 test il PC si è riavviato senza problemi: il ciclo completo dell'infezione si è concluso in meno di 25 secondi (per giungere alla schermata con il teschio) e la prova è stata effettuata su macchina AMD single-core del 2007 senza software di protezione attivi/residenti; se sono stati segnalati casi di BSOD essi (a mio giudizio, ma potrei sbagliare) sono fortuiti e collegati con qualche incompatibilità SW/HW del malware stesso...il che è comprensibile, viste le innumerevoli possibili quasi-infinite configurazioni HW/SW

4) Petya è riuscito a bypassare ogni volta la protezione MBR presente sul BIOS della mia scheda madre, protezione che era ATTIVA durante i 4 test effettuati (!)

5) Dopo l'infezione, è possibile recuperare i file senza ripristinare MBR/MFT semplicemente utilizzando un Live CD + Recuva settato in modalità “scansione approfondita” sull'intera partizione di boot: a titolo di esempio, sulla mia partizione di BOOT (19 GiB) per il recupero del 100% file ci sono voluti circa 10 minuti, tempi di caricamento del Live CD esclusi

6) IMPORTANTE: queste considerazioni valgono per le varianti attualmente in circolazione e non necessariamente per quelle future
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2016, 22:39   #64
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 362
Quote:
Originariamente inviato da zerothehero Guarda i messaggi
Ma il criptoprevent settato in modalità default protegge?
Probabilmente sì ma non posso dirlo con la certezza del 100% per il semplice motivo che non l'ho mai provato concretamente nell'uso quotidiano continuato, poiché così come sono configurati miei OS risulterebbe ridondante e quindi superfluo...

Quote:
Originariamente inviato da zerothehero Guarda i messaggi
No perchè ora come ora gli antivirus sono quasi totalmente inutili..e sperare che tutti quelli che lavorano in una rete non clicchino a caso è totalmente inutile.

Sto smanettando anche con questo-> http://www.sandboxie.com/

Non sarebbe utile sandoboxare outlook in modo da evitare danni con l'apertura degli allegati?
Sti ramsomware sono troppo devastanti..c'è qualcosa che non va.
Adesso ti svelo un segreto...epperò-mi-racco-mando...non dirlo in giro... altrimenti poi gli AV non li compra più nessuno e pensiamo un attimino anche a quei bravi padri di famiglia intenti a confezionare tutta quella costosa fuffa assieme alle colleghe marmotte...e all'improvviso? senza lavoro?!

Con Sandboxie puoi proteggere:

Browser Web
Client di Posta Elettronica
Qualsiasi suite da Ufficio (da Office a LibreOffice)
Java & SW collegati
Flash
Silverlight
Lettore/editor PDF
P2P
Player multimediali
etc.

L'unico limite è la fantasia e per finire (ma ripeto! non dirlo in giro, ricordati di quei bravi padri di famiglia)...e per finire, dicevo, all'interno di queste aree virtuali puoi far girare solo i programmi abilitati con permessi granulari ed impedire, al contempo, l'esecuzione di qualsivoglia eseguibile non precedentemente autorizzato. Deve essere però chiaro che Sandboxie è la punta dell'iceberg della difesa pro-attiva del sistema, il punto di inizio, non quello di arrivo.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 09:51   #65
FiorDiLatte
Senior Member
 
L'Avatar di FiorDiLatte
 
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3162
Per un primo inizio su cosa ci ha infettato, e se è possibile recuperare i nostri file:

https://id-ransomware.malwarehunterteam.com/index.php

viene richiesto di uploadare un file del riscatto (ossia uno di quei file .png, .txt, .htm, ecc. con dentro le istruzioni su come pagare i pirati informatici con i bitcoin), ed un file cryptato qualsiasi, i file verranno analizzati e poi si vedrà.....

bye
__________________
Chieftec BigTower+Ali CX750M+Asus P6T-SE+Cpu Intel i7@920 (3.60 Ghz)+ 12 GByte di ram DDR3 + Radeon R9 380+dissy Zalman CNPS10X Flex+n°2 Hdd WD S-ata da 1TB+Asus U3S6+n°1 Samsung 840EVO 250GB+n°1 WD Blue 500 GByte S-ata2+Tim HUB@35b+Roccat Kave 5.1+Asus Xonar Rog Phoebus Solo.
FiorDiLatte è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 10:25   #66
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8402
Phoenix2005,

1) Giusto
2) Strana scelta quella di puntaere l'MFT del solo disco in cui è presente il boot, magari è un limite stesso del tipo di infezione. Ad esempio se avessi un secondo HDD con i dati verrebbe ignorato da Petya quando tutti gli altri ransomware lo avrebbero criptato.
3) Non è proprio questione di fortuna. Nel codice è presente una API non documentata chiamata NtRaiseHardError che dovrebbe far crashare il sistema e quindi potrebbe causare una BSOD. Essendo appunto non documentata i risultati possono variare da tanti fattori, magari la mancanza di un AV come nel tuo caso non l'ha causata.
4) Buono a sapersi, mai avuto una scheda madre con quel tipo di protezione. Non è una feature molto diffusa e ad oggi non credo esista più con l'avvento dell'UEFI.
5) Personalmente ho consigliato TestDisk\PhotoRec rispetto a Recuva al #3 post riguardo a Petya e al primo in generale, ognuno ovviamente usa ciò che vuole\preferisce. Una cosa però non mi è chiara, sul recupero dei file non avevo dubbi ma senza MFT i dati non dovrebbero perdere ogni informazione e/o struttura delle cartelle?
6) Ovvio ma è giusto ricordarlo. Secondo me infezioni come Petya non si diffonderanno in ambito consumer, l'utente comune non è in grado di gestirlo avrebbe difficoltà a pagare se ad esempio ha un solo PC.

P.S. Grazie per i test che effettui e l'apporto che dai al thread. Ho letto la tua risposta al mio precedente post, potremmo argomentare ancora a lungo sull'argomento ma vorrei evitare di "monopolizzare" il thread

FiorDiLatte,
Link già presente al primo post, ti invito ad una lettura. Inoltre quel sito non si occupa di decriptare i dati ne c'è una analisi particolare ( Can you decrypt my data? No ) ma ti aiuta solo a capire da quale variante sei stato colpito.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.

Ultima modifica di x_Master_x : 04-04-2016 alle 10:32.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 12:07   #67
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 3005
@ Phoenix2005

potresti fare un test con bitdefender antiransomware installato ed impostato in questa maniera affinchè si avvii per tutti gli utenti prima del logon?

http://snag.gy/V0Sw8.jpg

se puoi testarlo con vari ransomware così vediamo se la protezione funziona con tutti gli account e con quali tipologie
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 13:22   #68
Averell
Senior Member
 
L'Avatar di Averell
 
Iscritto dal: Jun 2015
Messaggi: 3598
Senza starsi a complicare la vita con n-mila test di altrettante soluzioni discutibili, Sandboxie (che comunque personalmente non uso) e via:
a meno infatti di non imbattersi in un malware specificamente disegnato per bypassarlo o in un exploit specie se di tipo kernel mode, il tasso di successo di questa soluzione è prossimo al 100%...e contro qualsiasi tipologia di malware (ad eccezione dei keylogger se non si ricorre a particolari settaggi).
Questo, in particolare, a favore degli utenti che non sanno praticamente nulla di informatica (ha infatti una curva d'apprendimento bassissima).

Altrimenti, ed è una soluzione altrettanto straordinaria e collaudata, HitmanPro.Alert 3 (anche se nasce fondamentalmente come soluzione pensata per contrastare altre minacce tra cui anche)...


Non c'è bisogno d'altro...a meno di non essere braccini e di stare a fare i pidocchiosi per 20€ circa l'anno (quando si va in pizzeria ogni 3x2, quando si spendono fior di quattrini per videogiochi o componenti hardware, ecc)
Averell è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 13:34   #69
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 362
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Strana scelta quella di puntaere l'MFT del solo disco in cui è presente il boot, magari è un limite stesso del tipo di infezione.
No, non è un limite, anzi è voluto: massimizzare il danno nel minor tempo possibile (20 – 30 sec.) risulta essere una strategia infettiva più efficiente rispetto a quella dei ransomware classici e di certo inibisce l'accesso ai file nella maniera più rapida possibile, anche se li rende recuperabili...però immagina un'azienda oppure un privato che in questo modo su [C] va a perdere 1 - 4 TiB di dati...quanto tempo sarebbe necessario per il recupero? sempre che il soggetto colpito sia in grado di operare autonomamente...altrimenti dovrà ricorrere ad una società specializzata e allora, economicamente parlando, conviene 1000 volte pagare il riscatto.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Ad esempio se avessi un secondo HDD con i dati verrebbe ignorato da Petya quando tutti gli altri ransomware lo avrebbero criptato.
Ricordiamoci del vecchio adagio: “Al peggio non c'è mai fine”...lasciamo tempo al tempo...IMHO valuto l'attuale ransomware Petya né più ne meno che una versione alpha: ci sono ottime probabilità che questa specifica classe di malware si evolva in maniera modulare mixando e migliorando le caratteristiche già presenti in questa versione d'esordio con quelle dei ransomware “classici”.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Non è proprio questione di fortuna. Nel codice è presente una API non documentata chiamata NtRaiseHardError che dovrebbe far crashare il sistema e quindi potrebbe causare una BSOD. Essendo appunto non documentata i risultati possono variare da tanti fattori, magari la mancanza di un AV come nel tuo caso non l'ha causata.
...o magari ad attivare la chiamata è proprio la presenza di un AV residente: ho volutamente evitato di leggere analisi tecniche prima di procedere alla valutazione del ransomware per non essere influenzato da tali analisi; tuttavia reputo che il comando NtRaiseHardError intervenga in seconda istanza ovvero solo se il riavvio standard dovesse (per un qualsiasi motivo di incompatibilità HW/SW o a causa di protezioni residenti) fallire.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Buono a sapersi, mai avuto una scheda madre con quel tipo di protezione. Non è una feature molto diffusa e ad oggi non credo esista più con l'avvento dell'UEFI.
Io invece ne ho diverse con quel tipo di protezione...alla fin fine tutto dipende dalla qualità di programmazione del BIOS: quasi sicuramente ci saranno in giro schede madri di vecchio tipo non bypassabili da Petya.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Personalmente ho consigliato TestDisk\PhotoRec rispetto a Recuva al #3 post riguardo a Petya e al primo in generale, ognuno ovviamente usa ciò che vuole\preferisce.
Normalmente anch'io mi avvalgo di TestDisk: ad esempio, per valutare lo stato dell'MFT ho utilizzato proprio TestDisk (risultato: MFT BAD / MFT mirrow BAD); tuttavia, TestDisk non è un programma di facile utilizzo...messo poi nelle mani dell'utente Windows-standard si possono cumulare, sopra danni già prodotti dal malware, altri danni probabilmente superiori a quelli dell'infezione stessa! Altro discorso è quello di PhotoRec (che però nello specifico caso non ho provato) oppure un programma similare tipo Recuva free (che è quello che ho invece usato).

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Una cosa però non mi è chiara, sul recupero dei file non avevo dubbi ma senza MFT i dati non dovrebbero perdere ogni informazione e/o struttura delle cartelle?
Sì...vengono perse le informazioni su cartelle e nomi dei file ma non sulle estensioni dei file stessi, quindi ipotizzando di recuperare dei pdf, si avrà una struttura simile a questa:

[00000000].pdf
[00000001].pdf
[00000002].pdf


etc.

I file risulteranno perfettamente integri: toccherà solo caricarli, capire di cosa si tratta e rinominarli di conseguenza. Unica eccezione: se la partizione NTFS su cui si tenta il recupero è eccessivamente frammentata, alcuni file potrebbero risultare corrotti e i tempi complessivi di recupero si dilateranno considerevolmente.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Secondo me infezioni come Petya non si diffonderanno in ambito consumer, l'utente comune non è in grado di gestirlo avrebbe difficoltà a pagare se ad esempio ha un solo PC.
Invece potrebbe diffondersi! specie se verrà distribuito “as service”, come sempre più spesso pare stia accadendo con questa tipologia di malware. E poi se i dati sequestrati sono “realmente” importanti, l'utente si adatterà pur di riscattarli...alla peggio si rivolgerà ad un amico oppure a qualcuno più competente per eseguire la procedura di pagamento.

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
P.S. Grazie per i test che effettui e l'apporto che dai al thread.
Ma Figurati! è un piacere, specie se in un thread sulla sicurezza trovi persone realmente interessare all'argomento: condividere informazioni ne è la logica conseguenza.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 14:29   #70
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 362
Quote:
Originariamente inviato da Unax Guarda i messaggi
@ Phoenix2005

potresti fare un test con bitdefender antiransomware installato ed impostato in questa maniera affinchè si avvii per tutti gli utenti prima del logon?

http://snag.gy/V0Sw8.jpg

se puoi testarlo con vari ransomware così vediamo se la protezione funziona con tutti gli account e con quali tipologie
Quoto quanto suggerito da Averell. Gli antivirus/anti-ransomware classici risultano efficaci solo “se” e “quando” riescono ad identificare l'infezione e/o a prevenire i meccanismi di esecuzione tramite una serie di regole che, in quanto tali, sono ben conosciute anche dai virus-writers; logico che prima o poi (più prima che poi) questi ultimi le aggireranno, quindi è perfettamente inutile eseguire il tipo di test che hai indicato: è solo una perdita di tempo.

Altro discorso è la virtualizzazione, specie se effettuata a compartimenti, magari unita alla supervisione dall'esterno tramite HIPS/HIDS/AKL/Firewall: questo tipo di protezione non dipende e non opera in base a riconoscimenti di ben definiti pattern virali, bensì per tracciamento ed inibizione dei processi non autorizzati, nonché per isolamento e contenimento degli stessi, impedendo la propagazione dell'agente infettivo all'ambiente reale e rendendo di fatto superflui antivirus/anti-ransomware residenti in memoria.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 14:36   #71
zerothehero
Senior Member
 
L'Avatar di zerothehero
 
Iscritto dal: Aug 2003
Città: milano
Messaggi: 13607
Ho fatto un pò di educational..spero abbiano capito..oggi ho anche parlato con il tecnico per chiedergli una soluzione al problema del backup (è un'unità mappata perennemente connessa al server)

Oggi è arrivata un'altra bastardella, sul mio piccì sfigato win xp senza antivirus che a breve mi verrà sostituito.




--> mail reale pare un certo : vortexyro1@tin.it

Lo salvo in chiavetta e ci giochicchio da casa.


Il precedentente ramsomware che ci ha crittato l'universo (ma che non ha eliminato shadowcopy e backup) ha crittato tutto in *.MICRO , quindi sembrerebbe il teslacript 3.0..o almeno credo.
__________________
We are the flame and darkness fears us !

Ultima modifica di zerothehero : 04-04-2016 alle 15:17.
zerothehero è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:02   #72
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8402
Phoenix2005,
Petya ha avuto come obiettivo le aziende tedesche e una azienda "normale" non lascia che gli utenti salvino i dati sul disco di boot, come minimo in percorsi di rete che in tal caso non vengono attaccati. Inoltre il fattore tempo è dalla sua parte, mostrando il finto Chkdsk che ci impieghi 30 secondi o 2 minuti l'utente medio aspetta che completi l'operazione, tanto o se ne accorge subito e spegne oppure non se ne accorge e lascia lavorare. Secondo me non sarà questa la strada dei ransomware del futuro proprio perché non rende la macchina utilizzabile, vedremo. Quando avevi detto "recuperati al 100%" avevo inteso altro, non essendoci l'MFT si perde la struttura delle cartelle e e tutte le informazioni sui file. Recuva riesce a darti delle estensioni precise perché guarda nell'Header, il software avrà sicuramente un database degli header più "famosi" quindi c'è un'alta possibilità di trovarsi dei file senza estensione.

P.S. Nell'articolo postato in precedenza non c'è traccia di uno Shutdown ma solo di uno BSOD intenzionale per entrare nella seconda fase, senza vedere il codice dobbiamo attenerci a quello. Infatti ho avuto i miei dubbi ma...
Quote:
Originariamente inviato da x_Master_x
Ho aggiunto la "Prevention Tip" in prima pagina anche se sinceramente invece di una BSOD un ransomware potrebbe più semplicemente forzare un riavvio
zerothehero,
Sì .micro è TeslaCrypt 3.0, nessuna soluzione al momento.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.

Ultima modifica di x_Master_x : 04-04-2016 alle 15:04.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:23   #73
zerothehero
Senior Member
 
L'Avatar di zerothehero
 
Iscritto dal: Aug 2003
Città: milano
Messaggi: 13607
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Probabilmente sì ma non posso dirlo con la certezza del 100% per il semplice motivo che non l'ho mai provato concretamente nell'uso quotidiano continuato, poiché così come sono configurati miei OS risulterebbe ridondante e quindi superfluo...



Adesso ti svelo un segreto...epperò-mi-racco-mando...non dirlo in giro... altrimenti poi gli AV non li compra più nessuno e pensiamo un attimino anche a quei bravi padri di famiglia intenti a confezionare tutta quella costosa fuffa assieme alle colleghe marmotte...e all'improvviso? senza lavoro?!

Con Sandboxie puoi proteggere:

Browser Web
Client di Posta Elettronica
Qualsiasi suite da Ufficio (da Office a LibreOffice)
Java & SW collegati
Flash
Silverlight
Lettore/editor PDF
P2P
Player multimediali
etc.

L'unico limite è la fantasia e per finire (ma ripeto! non dirlo in giro, ricordati di quei bravi padri di famiglia)...e per finire, dicevo, all'interno di queste aree virtuali puoi far girare solo i programmi abilitati con permessi granulari ed impedire, al contempo, l'esecuzione di qualsivoglia eseguibile non precedentemente autorizzato. Deve essere però chiaro che Sandboxie è la punta dell'iceberg della difesa pro-attiva del sistema, il punto di inizio, non quello di arrivo.
Punta dell'iceberg?
Qua c'è da passà a nuttata.
Speriamo nel backup, in symantec cloud, criptoprevent e nell'Iddio misericordioso
__________________
We are the flame and darkness fears us !
zerothehero è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:24   #74
zerothehero
Senior Member
 
L'Avatar di zerothehero
 
Iscritto dal: Aug 2003
Città: milano
Messaggi: 13607
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
zerothehero,
Sì .micro è TeslaCrypt 3.0, nessuna soluzione al momento.
Ma non ci ha fregato le shadowcopy, il tecnico ha detto che non ha neanche dovuto recuperare dal backup.
Possibile?
Cmq gli ho detto di tenere i file criptati sul server, anche se abbiamo recuperato tutto.
Dato che mi sto appassionando ai ramsom, mi porto il nuovo file per vedere che è se virus normale o ramsomware..almeno testo il criptoprevent..se serve a qualcosa..
__________________
We are the flame and darkness fears us !

Ultima modifica di zerothehero : 04-04-2016 alle 15:26.
zerothehero è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:30   #75
Bulldozer28
Senior Member
 
Iscritto dal: Apr 2010
Messaggi: 707
...prima infezione...

ciao, sul pc di un cliente mi è capitato di trovare, per la prima volta, un ransomware...
Ha criptato tutti i file del computer. A differenza della quasi totalità delle esperienze (altrui) lette in rete, nel mio caso ai file non è stata cambiata estensione: i jpg sono rimasti .jpg, i pdf .pdf, ecc; tuttavia sono criptati.
in ogni cartella sono comparse le "istruzioni" su cos'è successo e su come pagare, in 3 versioni; png, html e in txt.
Nella descrizione parlano di chiave crittografica rsa4096.
Ho provato ad usare tesladecoder: lancio teslaviewer e vado a cercare un file criptato per poter leggere la parte di chiave pubblica; risultato, teslaviewer non mi visualizza come file supportato nessun di quelli criptati (forse perchè hanno ancora la corretta estensione e non è stata modificata?).
Tab proprietà-versioni precedenti ovviamente non compare nulla...
shadowexplorer se non erro non mi visualizza nulla...

Sono andato su id-ransomware e ho inserito il file "istruzioni" e un'immagine criptata e mi ha risposto "this ransomware has no known way of decrypting data at this time. It is recommended to backup your encrypted files, and hope for a solution in the future."

c'è qualche possibilità di recuperare qualcosa?
grazie...
__________________
Ciao

B.
Bulldozer28 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:32   #76
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 362
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Petya ha avuto come obiettivo le aziende tedesche e una azienda "normale" non lascia che gli utenti salvino i dati sul disco di boot
“Normale”, appunto: ma il mio commento non era riferito alle aziende tedesche bensì alle Aziende...indovina un poco?

Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Quando avevi detto "recuperati al 100%" avevo inteso altro, non essendoci l'MFT si perde la struttura delle cartelle e e tutte le informazioni sui file. Recuva riesce a darti delle estensioni precise perché guarda nell'Header, il software avrà sicuramente un database degli header più "famosi" quindi c'è un'alta possibilità di trovarsi dei file senza estensione.
Recuperati al 100% a livello di integrità dei dati, non della struttura, ovviamente...mancando le informazioni relative all'MFT.
Dopo il recupero, gli eventuali file “spuri”, quindi senza estensione, possono comunque essere analizzati tramite appositi software e rinominati di conseguenza.


EDIT:

@zerothehero

Quote:
Originariamente inviato da zerothehero Guarda i messaggi
Punta dell'iceberg?
Qua c'è da passà a nuttata.
...e speriamo non sulla punta dell'iceberg!

Ultima modifica di Phoenix2005 : 04-04-2016 alle 15:42.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:40   #77
Bulldozer28
Senior Member
 
Iscritto dal: Apr 2010
Messaggi: 707
Quote:
Originariamente inviato da Bulldozer28 Guarda i messaggi
ciao, sul pc di un cliente mi è capitato di trovare, per la prima volta, un ransomware...
Ha criptato tutti i file del computer. A differenza della quasi totalità delle esperienze (altrui) lette in rete, nel mio caso ai file non è stata cambiata estensione: i jpg sono rimasti .jpg, i pdf .pdf, ecc; tuttavia sono criptati.
in ogni cartella sono comparse le "istruzioni" su cos'è successo e su come pagare, in 3 versioni; png, html e in txt.
Nella descrizione parlano di chiave crittografica rsa4096.
Ho provato ad usare tesladecoder: lancio teslaviewer e vado a cercare un file criptato per poter leggere la parte di chiave pubblica; risultato, teslaviewer non mi visualizza come file supportato nessun di quelli criptati (forse perchè hanno ancora la corretta estensione e non è stata modificata?).
Tab proprietà-versioni precedenti ovviamente non compare nulla...
shadowexplorer se non erro non mi visualizza nulla...

Sono andato su id-ransomware e ho inserito il file "istruzioni" e un'immagine criptata e mi ha risposto "this ransomware has no known way of decrypting data at this time. It is recommended to backup your encrypted files, and hope for a solution in the future."

c'è qualche possibilità di recuperare qualcosa?
grazie...
questo è il file "istruzione" che mi compare in versione html, png e txt:
Codice:
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

NOT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem) 

What exactly that means?

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .

What exactly happened to your files ???

*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

What should you do next ?

There are several options for you to consider :
***  You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
***  You can start getting BitCoins right now and get access to your data quite fast .
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data. 

In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below :
http://h3ds4.maconslab.com/2D6145D6FFBFE12F
http://aq3ef.goimocoa.at/2D6145D6FFBFE12F
http://fl43s.toabolt.at/2D6145D6FFBFE12F

If you can't access your personal homepage or the addresses are not working, complete the following steps:
*** Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en
*** Install TOR Browser and open TOR Browser
*** Insert the following link in the address bar: xzjvzkgjxebzreap.onion/2D6145D6FFBFE12F

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

***************IMPORTANT*****************INFORMATION********************

Your personal homepages 
http://h3ds4.maconslab.com/2D6145D6FFBFE12F
http://aq3ef.goimocoa.at/2D6145D6FFBFE12F
http://fl43s.toabolt.at/2D6145D6FFBFE12F 

Your personal homepage Tor-Browser xzjvzkgjxebzreap.onion/2D6145D6FFBFE12F
Your personal ID 2D6145D6FFBFE12F

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
Variante: Sconosciuto
Sistema Operativo: Windows 7
Antivirus: Avast
Livello UAC: default
Anti-Ransomware e/o Criteri di gruppo: Sconosciuto
Veicolo di infezione: Sconosciuto
Provider di posta: Sconosciuto
Macro di Office: Sconosciuto
Ad-Block: No
Flash: Sconosciuto
Java: Sconosciuto

purtroppo alcune informazioni non le conosco e non ho il computer sotto mano, in questo momento...
__________________
Ciao

B.

Ultima modifica di Bulldozer28 : 04-04-2016 alle 15:48.
Bulldozer28 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:41   #78
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8402
Bulldozer28,
Sarebbe utile se scrivi il "modello" come da prima pagina per le informazioni sulla configurazione del PC al momento dell'infezione. Posta inoltre il contenuto delle "istruzioni" meglio se sotto TAG

EDIT: Non avevo visto il post. Avevi ragione tu, è TeslaCrypt ma solo alcune estensioni sono decriptabili e la tua non-estensione non rientra tra quelle per questo non viene riconosciuto da TeslaCrack e alternative. In prima pagina trovi le varianti riconosciute.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.

Ultima modifica di x_Master_x : 04-04-2016 alle 15:50.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 15:48   #79
Bulldozer28
Senior Member
 
Iscritto dal: Apr 2010
Messaggi: 707
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Bulldozer28,
Sarebbe utile se scrivi il "modello" come da prima pagina per le informazioni sulla configurazione del PC al momento dell'infezione. Posta inoltre il contenuto delle "istruzioni" meglio se sotto TAG

EDIT: Avevi ragione tu, è TeslaCrypt ma solo alcune estensioni sono decriptabili e la tua non-estensione non rientra tra quelle per questo non viene riconosciuto. In prima pagina trovi le varianti riconosciute
rimodificato post precedente
__________________
Ciao

B.
Bulldozer28 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2016, 16:00   #80
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8402
Anche se incompleto il modello è sempre utile, grazie. Prima pagina, Cosa posso tentare per recuperare i file? e Quali varianti è possibile decriptare? Se un giorno ci saranno novità in merito alla tua variante ti basterà leggere questo thread, al momento non c'è una soluzione per decriptare i file.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Samsung Galaxy S10+: il miglior regalo agli utenti per il decimo anniversario. La recensione Samsung Galaxy S10+: il miglior regalo agli uten...
ASUS ROG Strix GeForce GTX 1660Ti: silenziosa e completa ASUS ROG Strix GeForce GTX 1660Ti: silenziosa e ...
LG V40 ThinQ, un gran flagship... se fossimo nel 2018: la recensione LG V40 ThinQ, un gran flagship... se fossimo nel...
NVIDIA GeForce GTX 1660: GPU Turing a circa 250€ NVIDIA GeForce GTX 1660: GPU Turing a circa 250€
Amazon Italia: ecco come funziona il magazzino grande come 11 campi da calcio Amazon Italia: ecco come funziona il magazzino g...
Iliad, debutto in Italia da record: 2,8 ...
Google presenta Stadia, la piattaforma &...
Black Shark 2: smartphone gaming con SD8...
Deloitte spiega come sarà la banc...
GPD Pocket 2, ecco il mini-notebook tasc...
Epic Games Store raccoglierebbe dati pri...
Unreal Engine e Unity: arriva l'integraz...
Siemens aggiorna NX e con algoritmi di m...
Come recuperare un file MS Project (.mpp...
Canon EF 400mm f/2.8L IS III USM e 600mm...
Samsung Galaxy Fold: trapela il video di...
No Man's Sky diventa multiplayer con Bey...
Atari VCS con AMD Ryzen e Vega, ma ancor...
Tumblr riduce i contenuti porno ma scend...
Sono Motors presenta il design finale de...
Norton Internet Security
Norton Antivirus
Paint.NET
GeForce Experience
Firefox 66
Filezilla
PeaZip
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
K-Lite Codec Tweak Tool
ZoneAlarm Antivirus + Firewall
GPU-Z
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 08:58.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Served by www2v