Ranscam, il finto ransomware che cancella tutti i file

Ranscam, il finto ransomware che cancella tutti i file

Si comporta quasi come un ransomware: chiede un riscatto per sbloccare file criptati, che però sono stati cancellati. E' la nuova minaccia scoperta dai ricercatori di sicurezza Cisco

di pubblicata il , alle 16:25 nel canale Sicurezza
 
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
songohan13 Luglio 2016, 21:14 #11
Recentemente a lavoro ci siamo beccati un cryptolocker che ha criptato tutti i files su due pc. Stranamente su uno dei pc c'era un file Excel protetto con password: quello non é stato criptato. Evidentemente questi cryptolocker per criptare devono aprire il file prima. Allora basta mettere i files sensibili dentro archivi protetti da password per stare al sicuro (soluzione praticabile con alcuni limiti).
demon7713 Luglio 2016, 22:10 #12
Originariamente inviato da: songohan
Recentemente a lavoro ci siamo beccati un cryptolocker che ha criptato tutti i files su due pc. Stranamente su uno dei pc c'era un file Excel protetto con password: quello non é stato criptato. Evidentemente questi cryptolocker per criptare devono aprire il file prima. Allora basta mettere i files sensibili dentro archivi protetti da password per stare al sicuro (soluzione praticabile con alcuni limiti).


mmm.. non so.. però mi sembra strano.
Non credo proprio debbano aprire il file, alla fine un file, che sia protetto da pasword o meno è solo un pacchetto di dati.
Il cryptoloker lo prende lo legge in modalità "raw" e lo ricodifica secondo un algoritmo di criptazione.. non ha nessun bisogno di sapere di che tipo sia il file..
Anche perchè al di là dei formati più standard tipo office o immagini vengono criptati anche files con formati proprietari di software più specifici.

Per dire.. anche con 7zip posso comprimere e criptare files di qualsiasi tipo senza alcun vincolo e anche se non ho il programma per leggerli
pirlano14 Luglio 2016, 00:13 #13
Originariamente inviato da: demon77
mmm.. non so.. però mi sembra strano.
Non credo proprio debbano aprire il file, alla fine un file, che sia protetto da pasword o meno è solo un pacchetto di dati.
Il cryptoloker lo prende lo legge in modalità "raw" e lo ricodifica secondo un algoritmo di criptazione.. non ha nessun bisogno di sapere di che tipo sia il file..
Anche perchè al di là dei formati più standard tipo office o immagini vengono criptati anche files con formati proprietari di software più specifici.

Per dire.. anche con 7zip posso comprimere e criptare files di qualsiasi tipo senza alcun vincolo e anche se non ho il programma per leggerli


No, è molto molto molto più complesso di quanto immagini leggere i file su disco in modalità raw (cioè ignorando il tipo di file system).
Con l'NTFS ti assicuro che una marea di file non sono scritti in maniera sequenziale su disco.

Ti faccio un esempio con i software di recupero: mettiamo caso hai la tabella delle partizioni completamente sfanculata, e non si riesce proprio a riconoscere il file system...indovina un pò? Recuperi solo file relativamente piccoli, solo quando sono scritti in maniera sequenziale!
Stai recuperando un JPEG da 100kb (che si riconosce dall'header facilmente), e magari al 70kb hai una discontinuità (ci sono vari motivi per cui può accadere), quando vai ad aprirlo vedrai metà JPEG corrotto o decodificato male (magari in mezzo ci trovi un'altro file da 2kb che rompe i maroni e che il software di recupero non è riuscito ad analizzare perchè è un fottuto documento di testo utf8 con scritto "caccapupu".
Quando ti dice culo e recuperi pezzi grossi, è perchè le tabelle non sono completamente danneggiate.

Quindi se vuoi leggere un file in maniera corretta e completa hai solo due vie:
usi le API di deframmentazione (come fa SDelete ad esempio), o apri il file con le stracomunissime API di Windows quali CreateFile/Ex ReadFile/Ex...te conviene! Poi lo crypti come vuoi, con le API di Windows (tanto sti cryptocosi quelle usano), e poi cancelli l'originale in stile SDelete. Io farei così almeno, anche perchè credo che con una eventuale WriteFile per sovrascrivere lo stesso file, ma con dati cifrati, (anche se della stessa lunghezza la probabilità cala di molto), si ha sempre una minima possibilità di trovare il driver I/O incazzato che ti spiattella i dati a distanza siderale, lasciando parzialmente i vecchi scritto su disco nella vecchia posizione).
demon7714 Luglio 2016, 00:47 #14
Originariamente inviato da: pirlano
No, è molto molto molto più complesso di quanto immagini leggere i file su disco in modalità raw (cioè ignorando il tipo di file system).
Con l'NTFS ti assicuro che una marea di file non sono scritti in maniera sequenziale su disco.

Ti faccio un esempio con i software di recupero: mettiamo caso hai la tabella delle partizioni completamente sfanculata, e non si riesce proprio a riconoscere il file system...indovina un pò? Recuperi solo file relativamente piccoli, solo quando sono scritti in maniera sequenziale!
Stai recuperando un JPEG da 100kb (che si riconosce dall'header facilmente), e magari al 70kb hai una discontinuità (ci sono vari motivi per cui può accadere), quando vai ad aprirlo vedrai metà JPEG corrotto o decodificato male (magari in mezzo ci trovi un'altro file da 2kb che rompe i maroni e che il software di recupero non è riuscito ad analizzare perchè è un fottuto documento di testo utf8 con scritto "caccapupu".
Quando ti dice culo e recuperi pezzi grossi, è perchè le tabelle non sono completamente danneggiate.

Quindi se vuoi leggere un file in maniera corretta e completa hai solo due vie:
usi le API di deframmentazione (come fa SDelete ad esempio), o apri il file con le stracomunissime API di Windows quali CreateFile/Ex ReadFile/Ex...te conviene! Poi lo crypti come vuoi, con le API di Windows (tanto sti cryptocosi quelle usano), e poi cancelli l'originale in stile SDelete. Io farei così almeno, anche perchè credo che con una eventuale WriteFile per sovrascrivere lo stesso file, ma con dati cifrati, (anche se della stessa lunghezza la probabilità cala di molto), si ha sempre una minima possibilità di trovare il driver I/O incazzato che ti spiattella i dati a distanza siderale, lasciando parzialmente i vecchi scritto su disco nella vecchia posizione).


Mi sono espresso male dicendo modalità "RAW".
Il ransomware quando cripta non distrugge la partizione, semplicemente legge il file PIPPO.TKS (per dire un esempio a caso con terminazione a caso) e lo cripta secondo un algoritmo. Non ha nessuna necessità di sapere come è utilizzato / aperto quel file. Tutto qui.
Che poi il file sia didtribuito su più settori o meno è la normale gestione del file system del disco.
rockroll14 Luglio 2016, 03:22 #15
Originariamente inviato da: demon77
Mi sono espresso male dicendo modalità "RAW".
Il ransomware quando cripta non distrugge la partizione, semplicemente legge il file PIPPO.TKS (per dire un esempio a caso con terminazione a caso) e lo cripta secondo un algoritmo. Non ha nessuna necessità di sapere come è utilizzato / aperto quel file. Tutto qui.
Che poi il file sia didtribuito su più settori o meno è la normale gestione del file system del disco.


Certo, qualunque sia l'organizzazione più o meno cervellotica del cosidetto FileSystem, non c'è alcun particolare problema a leggere o meglio trattare in I/O la sequenza di bytes che costituisce quello che per il sistema è un file, chiaramente facendo ricorso alle routines di sistema (perchè reinventare l'acqua calda?).
L'unica nota da considerare è che questi maledetti ransomware almeno l'extention dei files candidato al cryptaggio o l'eventuale appartenenza a cartelle di sistema devono considerarla, per evitare di bloccare completamente le attività di sistema, che deve comunque essere ancora bootabile e stare comunque in piedi affinchè il malcapitato una volta pagato possa applicare la chiave inversa e ricostruirsi i files cryptati. Non tutti hanno a disposizone un secondo PC cui dare in pasto i files del PC compromesso per effettuarne il ripristino..
Pier220414 Luglio 2016, 07:55 #16
Mi chiedo chi è questa gente e da dove viene, una volta pagato il riscatto non dovrebbe essere difficile seguire il denaro, non credo che ti venga un tipo sotto casa a prendere i soldi. A meno di pagamenti tipo Moneytransfer...ma anche questi sono localizzabili con l'assistenza delle autorità del luogo, (es: Russia)

Possibile che questi la debbano fare franca?
Riccardo8214 Luglio 2016, 09:02 #17
Infatti l'estensione la considerano eccome.

Mia zia si è beccata un ransomware ed ha criptato tutte le foto, documenti vari universitari di mia cugina, file txt ed altri tipi di file.

Non ha criptato .iso .dll .exe .dat .bin ecc ecc

Fortunatamente era dipsonibile un bel backup della sera prima e diconseguenza formattazione senza pensarci due volte.

PS:
anche se cancellano solo i dati non è comunque detto che tu riesca a reuperarli completamente.
Dipende dall'attività del disco in quel momento e dal SO.

Esempio:
Cancello una directory di 150 GB di dati importanti sparsi in molti file.
Finito di cancellare arresto il sistema.
Estraggo il disco e lo inserisco in un altro pc e faccio il controllo.
Non tutti i file sono disponibili.








sintopatataelettronica14 Luglio 2016, 09:29 #18
Originariamente inviato da: Pier2204
Mi chiedo chi è questa gente e da dove viene, una volta pagato il riscatto non dovrebbe essere difficile seguire il denaro, non credo che ti venga un tipo sotto casa a prendere i soldi.


Ehm.. ma non hai mai sentito parlare dei bitcoin ?
Eress14 Luglio 2016, 10:08 #19
Originariamente inviato da: Pier2204
Mi chiedo chi è questa gente e da dove viene, una volta pagato il riscatto non dovrebbe essere difficile seguire il denaro, non credo che ti venga un tipo sotto casa a prendere i soldi. A meno di pagamenti tipo Moneytransfer...ma anche questi sono localizzabili con l'assistenza delle autorità del luogo, (es: Russia)

Possibile che questi la debbano fare franca?

Se continuano a farla franca da anni, mi viene il sospetto che non siano proprio dei poveracci qualsiasi. Chissà chi si potrebbe nascondere dietro questo genere di malware, ma ormai sarebbe più giusto definirlo business. E sappiamo bene come negli ultimi anni l'economia criminale sia cresciuta e non solo in Italia.
Hal-1000014 Luglio 2016, 14:20 #20
ma usare un sistema operativo basato su kernel linux no?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^