Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Ransomware "Apocalittico" : Discussione generale

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Spaccy » ven mar 29, 2013 9:15 am

segnala ma attenzione, anche questo secondo me è un testo pre-compilato che conferma più che chi ha effettuato questo attacco è lo stesso che poco più di un anno fà fece un attacco simile....infatti se si va ad uno dei post che lui linka per dimostrare che non c'è soluzione al problema finisce su un topic del 2012, l'attacco invece è partito il 24 Marzo 2013 (almeno per quanto mi riguarda)!

Sono sempre loro e usano la stessa tecnica di un anno fà...solo con un virus rielaborato!!!

Particolare il nome della persona contattata "Alex Smith"...un caso perché "Smith" è un cognome ricorrente in America sopratutto... Ma a me fà pensare allo Smith di Matrix...il Virus! ;) ehehe
Avatar utente
Spaccy
Aficionado
Aficionado
 
Messaggi: 121
Iscritto il: ven feb 01, 2008 5:15 pm
Località: Roma

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda stelanob » ven mar 29, 2013 9:15 am

Confermo windows7 senza ultimi aggiornamenti
Avatar utente
stelanob
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 27, 2013 8:49 am

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda hashcat » ven mar 29, 2013 9:19 am

Windows 8 non aggiornato non risulta vulnerabile semplicemente perché la patch é già inclusa nella base (non aggiornata) del sistema operativo.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm


Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda ZioDJSub » ven mar 29, 2013 9:23 am

Il "mio cliente" l'ha preso su un pc Windows 7 Pro a 64Bit (non so a che stato d'aggiornamento, ma il cliente conferma agg. automatici attivi) con RDP 3389 aperta sul router telecom (verificato), con password del pc "server". [applauso+]

Gli altri miei clienti attualmente offline con RDP hanno la porta modifica, firewall o router con port forwording, OS Windows 2003 R2 STD aggiornati o 2008 R2 STD aggiornati ,password complesse.
Avatar utente
ZioDJSub
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer mar 27, 2013 9:19 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda smarties81 » ven mar 29, 2013 9:31 am

Risposta avuta dal supporto tecnico Winrar:

> Un virus sfruttando il vostro software WINRAR ha infettato centinaia
> di server in tutta Italia nella notte tra sabato 23 marzo e lunedi 25 marzo.
Trovo l'affermazione non corretta: il virus non ha sfruttato il nostro software per infettare centinaia di server. Il virus ha sfruttato una vulnerabilità di Windows (che poteva essere risolta prima dell'attacco del virus) per diffondersi, e ha usato RAR, come poteva utilizzare WinZip, PkZip, 7Zip o altro, per criptare alcuni documenti.

> tutti i forum che si stanno occupando dell’argomento si chiedono se da
> parte vostra è possibile avere un aiuto.
Come scriviamo da sempre: http://www.winrar.it/faq.php#faq0010
non esistono backdoor o altro per eludere la criptatura, anche perché sarebbe un segno di poca professionalità da parte dello sviluppatore di WinRAR.

Penso che le possibili opzioni al momento siano:
* utilizzare un programma di "password recovery" per cercare d'individuare la
password con il metodo "brute force" (non penso che una rainbow table o un
dizionario siano utili in questo caso); meglio scegliere un programma che può
lavorare in parallelo, magari su più PC;
* effettuare una denuncia alla polizia postale perché risalga agli autori del
virus e quindi all'algoritmo che collega il numero pseudo_casuale alla
password di decriptazione.

So che entrambi le soluzioni non hanno tempi di applicazione brevi e gli esiti potrebbero essere incerti, ma non vediamo altre soluzioni.
--
Cordialmente,

Andrea
Supporto WinRAR Italia
Avatar utente
smarties81
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: mar mar 26, 2013 10:41 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Spaccy » ven mar 29, 2013 9:38 am

Un'altro colpo a vuoto..... i programmi che dice lui per le recovery password io ne ho provato uno e dopo due giorni di analisi non ha trovato una cippa....
Avatar utente
Spaccy
Aficionado
Aficionado
 
Messaggi: 121
Iscritto il: ven feb 01, 2008 5:15 pm
Località: Roma

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Archangel256 » ven mar 29, 2013 9:49 am

Non so a quanti possa interessare, ma per controllare di essere al sicuro su Windows 7 (oltre a fare gli aggiornamenti!), potete verificare le vostre impostazioni per le connessioni remote. Per farlo basta andare nel Pannello di controllo, selezionare la voce Sistema e nella colonna di sinistra premere su Impostazioni di connessione remota. Se il vostro pc è come nell'immagine sottostante (assistenza remota disattivata e connessioni al computer non consentite) dovreste essere al sicuro!

Immagine
Tra i fiori il ciliegio, tra gli uomini il guerriero
Avatar utente
Archangel256
Senior Member
Senior Member
 
Messaggi: 297
Iscritto il: lun set 27, 2010 8:08 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda ZioDJSub » ven mar 29, 2013 9:51 am

Spaccy ha scritto:Un'altro colpo a vuoto..... i programmi che dice lui per le recovery password io ne ho provato uno e dopo due giorni di analisi non ha trovato una cippa....


Io avevo provato dei tools similari tempo fà (x test) e su alcuni file con password "banali" e corte ci metteva dai 5 minuti alle ore...
Su file di clienti che dimenticano le password (excel o word) con password si pensa complesse... dopo 10gg nulla... su pc i7 dedicato solo a quello...

Quindi penso che ci vogliano sistemi multi-core, multi-cpu, multi-server con tonnellate di potenza di calcolo.... quando le password passano i 6 caratteri con tutti i simobli e caratteri utilizzabili...la vedo durissima...
Avatar utente
ZioDJSub
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer mar 27, 2013 9:19 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda gianpietro » ven mar 29, 2013 10:25 am

Da Kroll Ontrack.

Attenzione ai Ransomware, i malware che cifrano i dati e chiedono il riscatto

Per maggiori informazioni vedi qui:

http://www.datamanager.it/news/attenzio ... 45573.html
Avatar utente
gianpietro
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1757
Iscritto il: mar set 29, 2009 3:44 pm
Località: Rovato BS

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda farbix89 » ven mar 29, 2013 10:36 am

Ne abbiamo parlato anche qui su MLI

www.MegaLab.it/8597/windows-server-sott ... di-sistema

Lo tengo aggiornato alle ultime novità, non appena riemerge qualcosa aggiorno e avviso anche qui!
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda bigparty » ven mar 29, 2013 12:18 pm

Ciao a tutti,

drweb mi ha riscritto chiedendomi di eseguire un comando e girargli il log:

"Run these commands
dir C:\/s/a>"%userprofile%\dirc.log"
explorer.exe /select,"%userprofile%\dirc.log"

and send me dirc.log in archive. Do not delete any files!"

Ho fatto eseguire la procedura e ho girato il file a drweb ma la risposta che mi è tornata è la seguente:

"Unfortunately, we don't see any way to get the password. It was in txt-file and
criminals got it via RDP, then it was securely deleted. If we found a solution,
we'll write you.
Now you should save your server RDP-access logs, ask your provider for
RDP-access logs and report to the Police."

[cry] [cry] [cry]
Avatar utente
bigparty
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun mar 25, 2013 5:07 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda clkurtz » ven mar 29, 2013 12:32 pm

Anche io ho avuto lo stesso identico scambio di email.
Immagino che il senso di tutto ciò fosse soltanto verificare se da qualche parte nel disco C: fosse rimasto il file txt con la password.
Avatar utente
clkurtz
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer mar 27, 2013 9:46 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda stelanob » sab mar 30, 2013 1:06 pm

Buon giorno,
ho proceduto alla formattazione del disco c infetto (ho effettuato copia dei dati nella speranza di una soluzione). Ho installato KASPERSKY , e KASPERSKY mi dà i seguenti problemi: FIREWALL DISABILITATO, CONTROLLO INTRUSIONI DISABILITATO, CONTROLLO APPLICAZIONI DISABILITATO. La licenza che ho installato è già installata su altri pc senza alcun problema.
Controllando in un forum KASPERSKY un moderatore . rispondendo ad un precedente post, diceva che il pc era infetto.
E' possibile che il virus sia latente dopo una formattazione?
Saluti

link al forum http://forum.pctrio.com/sicurezza-pc/42 ... zione.html
Avatar utente
stelanob
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 27, 2013 8:49 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda sampei.nihira » sab mar 30, 2013 3:10 pm

Velocissimo,dopo una formattazione, Aigle, ha dimostrato che rimangono tracce del rootkit TDL4:

http://www.wilderssecurity.com/showthread.php?t=344358

Quindi in caso di infezione del MBR può accadere che i vari tool reperiscono sempre qualcosa di estraneo.
Morale della favola è sempre meglio prevenire. [^]
[ciao]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda stelanob » sab mar 30, 2013 3:55 pm

Perdonami Snampei , ma cosa posso fare per eliminare questo virus latente? Grazie
Avatar utente
stelanob
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 27, 2013 8:49 am

Re: R: Ransomware "Apocalittico" : Discussione generale

Messaggioda farbix89 » sab mar 30, 2013 5:05 pm

Da come descritto sembra un problema separato, consiglio di aprire un topic a parte [^]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda poppipoppi20 » sab mar 30, 2013 6:07 pm

Tra i due problemi, il recupero dei dati è la cosa più importante .... ovviamente meglio prevenire.
Avatar utente
poppipoppi20
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: gio mar 28, 2013 11:35 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Hironori » sab mar 30, 2013 7:06 pm

stelanob ha scritto:Buon giorno,
ho proceduto alla formattazione del disco c infetto (ho effettuato copia dei dati nella speranza di una soluzione). Ho installato KASPERSKY , e KASPERSKY mi dà i seguenti problemi: FIREWALL DISABILITATO, CONTROLLO INTRUSIONI DISABILITATO, CONTROLLO APPLICAZIONI DISABILITATO. La licenza che ho installato è già installata su altri pc senza alcun problema.
Controllando in un forum KASPERSKY un moderatore . rispondendo ad un precedente post, diceva che il pc era infetto.
E' possibile che il virus sia latente dopo una formattazione?
Saluti

link al forum http://forum.pctrio.com/sicurezza-pc/42 ... zione.html

Formattazione a basso livello e poi reinstalli
Avatar utente
Hironori
Aficionado
Aficionado
 
Messaggi: 149
Iscritto il: ven set 26, 2008 4:33 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda savellik » mar apr 02, 2013 10:25 am

nessuna novità?
Avatar utente
savellik
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: sab mar 12, 2011 10:31 am

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Giampy » mar apr 02, 2013 10:58 pm

Archangel256 ha scritto:come si fa a vedere se un pc ha la porta RDP aperta e se è vulnerabile a questo tipo di attacco?

Questo dovrebbe andare bene: http://www.nirsoft.net/utils/cports.html
Avatar utente
Giampy
Senior Member
Senior Member
 
Messaggi: 211
Iscritto il: mer ago 01, 2012 9:24 pm

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising