Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Ransomware "Apocalittico" : Discussione generale

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Giampy » mar apr 02, 2013 11:19 pm

Semi-OT.
Esaminando le mie porte con CurrPorts ho scoperto 6 attività con questo "Remote Host name":
ec2-184-72-242-188.compute-1.amazonaws.com
Il loro stato è "Time Wait" che secondo l'autore di CurrPorts indica comunque una porta chiusa.

Che vuol dire tutto ciò? Che Amazon (con cui mai ho avuto contatti) vorrebbe entrarmi dentro?
Avatar utente
Giampy
Senior Member
Senior Member
 
Messaggi: 211
Iscritto il: mer ago 01, 2012 9:24 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda nV 25 » mer apr 03, 2013 11:38 am

L'unico consiglio che mi sento di dare è quello di provare a chiedere aiuto su kminfo (forse il thread giusto potrebbe essere http://www.kernelmode.info/forum/viewto ... t=Accdfisa).

Molti degli utenti iscritti sono semplicemente "avanti".


In bocca al lupo
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda poppipoppi20 » mer apr 03, 2013 4:45 pm

A quanto pare c'è una luce in fondo al tunnel:


Prima procedura
http://www.bleepingcomputer.com/virus-r ... on-program

Seconda procedura
http://www.bleepingcomputer.com/forums/ ... try3001838

Attendo qualcuno che li provi e ci informi se funzionano o meno.

La cosa importante è aver l'HD intatto come subito dopo l'infezione.
Chi ha provato a ripulirlo dal virus, difficilmente decripterà i file con queste procedure.
Avatar utente
poppipoppi20
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: gio mar 28, 2013 11:35 am


Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda clkurtz » gio apr 04, 2013 9:02 am

Con la versione 2.0 nessuna delle due soluzioni sembra funzionare.
Avatar utente
clkurtz
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer mar 27, 2013 9:46 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda nV 25 » gio apr 04, 2013 9:23 am

ripeto:

sul forum di cui ho fornito l'indirizzo ci sono utenti "geniali" e con i canali "giusti".

Se qualcuno di voi conosce l'inglese, iscrivetevi e chiedete aiuto.

Certo, è necessario disporre quantomeno di qualche traccia da potergli fornire tipo gli MD5 dei file infetti, ecc...

In bocca al lupo 2..
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda nV 25 » gio apr 04, 2013 9:25 am

EDIT:
gli MD5 non certamente di *tutti* i file alterati (criptati) bensi' quello che si avvicina di più al payload del malware di modo che possano capire (e rintracciare) "di cosa si tratta"...
Avatar utente
nV 25
Aficionado
Aficionado
 
Messaggi: 76
Iscritto il: mar ott 26, 2010 7:47 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Cavaliere Nero » ven apr 05, 2013 5:40 pm

poppipoppi20 ha scritto:A quanto pare c'è una luce in fondo al tunnel:


Prima procedura
http://www.bleepingcomputer.com/virus-r ... on-program

Seconda procedura
http://www.bleepingcomputer.com/forums/ ... try3001838

Attendo qualcuno che li provi e ci informi se funzionano o meno.

La cosa importante è aver l'HD intatto come subito dopo l'infezione.
Chi ha provato a ripulirlo dal virus, difficilmente decripterà i file con queste procedure.


Ho provato la seconda procedura, ma in poche parole bisogna inviare i file a quelli di DrWeb, l'ho fatto e mi hanno risposto, come ad altri,di digitare questi comanadi:
dir C:\/s/a>"%userprofile%\dirc.log"
explorer.exe /select,"%userprofile%\dirc.log"

Mi chiedo, è possibile farlo dall'esterno? Collegando l'hard disk infetto come esterno?
Avatar utente
Cavaliere Nero
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: gio mar 28, 2013 11:33 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » ven apr 05, 2013 6:34 pm

Cavaliere Nero ha scritto:Mi chiedo, è possibile farlo dall'esterno? Collegando l'hard disk infetto come esterno?

Si, basta digitare il comando che segue (da prompt dei comandi eseguito con privilegi d'amministratore):

Codice: Seleziona tutto
DIR [Lettera_Del_Disco]:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

Al posto di [Lettera_Del_Disco] è necessario sostituire la lettera assegnata al disco rimovibile (da Windows).
Il risultato finale dovrebbe essere qualcosa del genere (lettera variando):

Codice: Seleziona tutto
DIR F:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

[^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » ven apr 05, 2013 6:53 pm

nV 25 ha scritto:ripeto:

sul forum di cui ho fornito l'indirizzo ci sono utenti "geniali" e con i canali "giusti".

Se qualcuno di voi conosce l'inglese, iscrivetevi e chiedete aiuto.

Certo, è necessario disporre quantomeno di qualche traccia da potergli fornire tipo gli MD5 dei file infetti, ecc...

In bocca al lupo 2..

A meno che i criminali non abbiano commesso qualche grave svista, dalle analisi di questa minaccia che si trovano in rete, il recupero della password sembrerebbe pressoché impossibile. I file sono infatti cifrati con due password: la prima rappresentata da una stringa pseudo-randomica (di 50 caratteri), inizialmente memorizzata in un file sul computer che i criminali hanno ottenuto via RDP ed in seguito eliminato con cancellazione sicura.
La seconda è tuttavia facilmente ricavabile, calcolata con un algoritmo basandosi sull'ID del disco da cui è stato avviato il computer.

Avevo già segnalato l'articolo che riporta queste informazioni QUI e QUI.

[;)]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Cavaliere Nero » sab apr 06, 2013 9:00 am

hashcat ha scritto:
Cavaliere Nero ha scritto:Mi chiedo, è possibile farlo dall'esterno? Collegando l'hard disk infetto come esterno?

Si, basta digitare il comando che segue (da prompt dei comandi eseguito con privilegi d'amministratore):

Codice: Seleziona tutto
DIR [Lettera_Del_Disco]:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

Al posto di [Lettera_Del_Disco] è necessario sostituire la lettera assegnata al disco rimovibile (da Windows).
Il risultato finale dovrebbe essere qualcosa del genere (lettera variando):

Codice: Seleziona tutto
DIR F:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

[^]


Ma %UserProfile% deve essere sostituito con il nome dell'utente?
Avatar utente
Cavaliere Nero
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: gio mar 28, 2013 11:33 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda crazy.cat » sab apr 06, 2013 9:09 am

Cavaliere Nero ha scritto:Ma %UserProfile% deve essere sostituito con il nome dell'utente?

No, la variabile %UserProfile% è già il nome dell'utente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » sab apr 06, 2013 9:10 am

No, é una variabile d'ambiente, a quel valore Windows sostituisce (trasparentemente) il percorso alla cartella "home" dell'utente.

EDIT: Mi ha preceduto crazy.cat.

[^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Cavaliere Nero » sab apr 06, 2013 9:57 am

Ma non credo la variabile si possa usare con Hard Disk esterni, come fa a sapere il nome dell'utente? Mi prende il nome dell'utente che sto usando in Windows a quanto ho capito.
Avatar utente
Cavaliere Nero
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: gio mar 28, 2013 11:33 am

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » sab apr 06, 2013 10:34 am

Il comando effettua questa procedura:

1°:

Codice: Seleziona tutto
DIR [Lettera_Del_Disco]:\ /S /A > "%UserProfile%\Desktop\dirc.log"


Elenca il contenuto del disco esterno e salva il report sul Desktop dell'utente corrente (colui che ha impartito il comando).
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Cavaliere Nero » sab apr 06, 2013 11:04 am

Fatto! Grazie mille!!!!
Mi hanno detto anche di fare una copia di C:\Programdata, ma dovrei mandargliela? Non l'ho capita questa cosa...
Avatar utente
Cavaliere Nero
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: gio mar 28, 2013 11:33 am

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » sab apr 06, 2013 11:21 am

Si, copia la cartella e comprimila in un archivio zip (o rar) ed inviagliela via e-mail (come allegato).
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » sab apr 06, 2013 11:41 am

Continuo la spiegazione del comando:

2°:

Codice: Seleziona tutto
&& explorer /select,"%UserProfile%\Desktop\dirc.log"


Dopo aver portato a termine il comando indicato nella porzione 1°, viene aperta la cartella (Desktop dell'utente) selezionando il file di report generato.

3°:

Codice: Seleziona tutto
&& notepad "%UserProfile%\Desktop\dirc.log"


Questo é un mio "tocco personale": il file di report generato viene aperto con il Blocco Note (per metterlo in evidenza all'utente).
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Cavaliere Nero » sab apr 06, 2013 12:12 pm

Infatti mi aspettavo ci fosse anche un "2°" leggendo "1° nell'altro post" [rotolo]
Grazie per le delucidazioni [:)]
Avatar utente
Cavaliere Nero
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: gio mar 28, 2013 11:33 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda stelanob » lun apr 08, 2013 9:48 am

Buon giorno,
forse è un "programma" già obsoleto, ma qualcuno ha dato un'occhiata a questo? http://support.kaspersky.com/8005?el=88446
Grazie e perdonate l'eventuale...mia ingenuità.
Saluti
Avatar utente
stelanob
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 27, 2013 8:49 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Cavaliere Nero » lun apr 08, 2013 10:28 am

C'è scritto che non effettua alcuna operazione sui file infetti dal ransomware, al massimo puoi eliminare il virus e credo prevenire un altra intrusione.

Mi hanno risposto quelli di Dr.Web, anche a me la solita risposta: "Unfortunately, we don't see any way to get the password. It was in txt-file and criminals got it via RDP, then it was securely deleted. If we found a solution, we'll write you.
Now you should save your server RDP-access logs, ask your provider for RDP-access logs and report to the Police".
[V]
Visto che a me non appariva il messaggio di blocco all'avvio del server speravo che qualcosa fosse andato storto al momento dell'attacco e fosse rimasta la password [V]
Avatar utente
Cavaliere Nero
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: gio mar 28, 2013 11:33 am

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising