MegaLab.it

segnala ma attenzione, anche questo secondo me è un testo pre-compilato che conferma più che chi ha effettuato questo attacco è lo stesso che poco più di un anno fà fece un attacco simile....infatti se si va ad uno dei post che lui linka per dimostrare che non c'è soluzione al problema finisce su un topic del 2012, l'attacco invece è partito il 24 Marzo 2013 (almeno per quanto mi riguarda)!

Sono sempre loro e usano la stessa tecnica di un anno fà...solo con un virus rielaborato!!!

Particolare il nome della persona contattata "Alex Smith"...un caso perché "Smith" è un cognome ricorrente in America sopratutto... Ma a me fà pensare allo Smith di Matrix...il Virus! ;) ehehe

Confermo windows7 senza ultimi aggiornamenti

Windows 8 non aggiornato non risulta vulnerabile semplicemente perché la patch é già inclusa nella base (non aggiornata) del sistema operativo.

Il "mio cliente" l'ha preso su un pc Windows 7 Pro a 64Bit (non so a che stato d'aggiornamento, ma il cliente conferma agg. automatici attivi) con RDP 3389 aperta sul router telecom (verificato), con password del pc "server".

Gli altri miei clienti attualmente offline con RDP hanno la porta modifica, firewall o router con port forwording, OS Windows 2003 R2 STD aggiornati o 2008 R2 STD aggiornati ,password complesse.

Risposta avuta dal supporto tecnico Winrar:

> Un virus sfruttando il vostro software WINRAR ha infettato centinaia
> di server in tutta Italia nella notte tra sabato 23 marzo e lunedi 25 marzo.
Trovo l'affermazione non corretta: il virus non ha sfruttato il nostro software per infettare centinaia di server. Il virus ha sfruttato una vulnerabilità di Windows (che poteva essere risolta prima dell'attacco del virus) per diffondersi, e ha usato RAR, come poteva utilizzare WinZip, PkZip, 7Zip o altro, per criptare alcuni documenti.

> tutti i forum che si stanno occupando dell’argomento si chiedono se da
> parte vostra è possibile avere un aiuto.
Come scriviamo da sempre: http://www.winrar.it/faq.php#faq0010
non esistono backdoor o altro per eludere la criptatura, anche perché sarebbe un segno di poca professionalità da parte dello sviluppatore di WinRAR.

Penso che le possibili opzioni al momento siano:
* utilizzare un programma di "password recovery" per cercare d'individuare la
password con il metodo "brute force" (non penso che una rainbow table o un
dizionario siano utili in questo caso); meglio scegliere un programma che può
lavorare in parallelo, magari su più PC;
* effettuare una denuncia alla polizia postale perché risalga agli autori del
virus e quindi all'algoritmo che collega il numero pseudo_casuale alla
password di decriptazione.

So che entrambi le soluzioni non hanno tempi di applicazione brevi e gli esiti potrebbero essere incerti, ma non vediamo altre soluzioni.
--
Cordialmente,

Andrea
Supporto WinRAR Italia

Un'altro colpo a vuoto..... i programmi che dice lui per le recovery password io ne ho provato uno e dopo due giorni di analisi non ha trovato una cippa....

Non so a quanti possa interessare, ma per controllare di essere al sicuro su Windows 7 (oltre a fare gli aggiornamenti!), potete verificare le vostre impostazioni per le connessioni remote. Per farlo basta andare nel Pannello di controllo, selezionare la voce Sistema e nella colonna di sinistra premere su Impostazioni di connessione remota. Se il vostro pc è come nell'immagine sottostante (assistenza remota disattivata e connessioni al computer non consentite) dovreste essere al sicuro!

Spaccy ha scritto:Un'altro colpo a vuoto..... i programmi che dice lui per le recovery password io ne ho provato uno e dopo due giorni di analisi non ha trovato una cippa....

Io avevo provato dei tools similari tempo fà (x test) e su alcuni file con password "banali" e corte ci metteva dai 5 minuti alle ore...
Su file di clienti che dimenticano le password (excel o word) con password si pensa complesse... dopo 10gg nulla... su pc i7 dedicato solo a quello...

Quindi penso che ci vogliano sistemi multi-core, multi-cpu, multi-server con tonnellate di potenza di calcolo.... quando le password passano i 6 caratteri con tutti i simobli e caratteri utilizzabili...la vedo durissima...

Da Kroll Ontrack.

Attenzione ai Ransomware, i malware che cifrano i dati e chiedono il riscatto

Per maggiori informazioni vedi qui:

http://www.datamanager.it/news/attenzio ... 45573.html

Ne abbiamo parlato anche qui su MLI

www.MegaLab.it/8597/windows-server-sott ... di-sistema

Lo tengo aggiornato alle ultime novità, non appena riemerge qualcosa aggiorno e avviso anche qui!

Ciao a tutti,

drweb mi ha riscritto chiedendomi di eseguire un comando e girargli il log:

"Run these commands
dir C:\/s/a>"%userprofile%\dirc.log"
explorer.exe /select,"%userprofile%\dirc.log"

and send me dirc.log in archive. Do not delete any files!"

Ho fatto eseguire la procedura e ho girato il file a drweb ma la risposta che mi è tornata è la seguente:

"Unfortunately, we don't see any way to get the password. It was in txt-file and
criminals got it via RDP, then it was securely deleted. If we found a solution,
we'll write you.
Now you should save your server RDP-access logs, ask your provider for
RDP-access logs and report to the Police."

Anche io ho avuto lo stesso identico scambio di email.
Immagino che il senso di tutto ciò fosse soltanto verificare se da qualche parte nel disco C: fosse rimasto il file txt con la password.

Buon giorno,
ho proceduto alla formattazione del disco c infetto (ho effettuato copia dei dati nella speranza di una soluzione). Ho installato KASPERSKY , e KASPERSKY mi dà i seguenti problemi: FIREWALL DISABILITATO, CONTROLLO INTRUSIONI DISABILITATO, CONTROLLO APPLICAZIONI DISABILITATO. La licenza che ho installato è già installata su altri pc senza alcun problema.
Controllando in un forum KASPERSKY un moderatore . rispondendo ad un precedente post, diceva che il pc era infetto.
E' possibile che il virus sia latente dopo una formattazione?
Saluti

link al forum http://forum.pctrio.com/sicurezza-pc/42 ... zione.html

Perdonami Snampei , ma cosa posso fare per eliminare questo virus latente? Grazie

Da come descritto sembra un problema separato, consiglio di aprire un topic a parte

Tra i due problemi, il recupero dei dati è la cosa più importante .... ovviamente meglio prevenire.

stelanob ha scritto:Buon giorno,
ho proceduto alla formattazione del disco c infetto (ho effettuato copia dei dati nella speranza di una soluzione). Ho installato KASPERSKY , e KASPERSKY mi dà i seguenti problemi: FIREWALL DISABILITATO, CONTROLLO INTRUSIONI DISABILITATO, CONTROLLO APPLICAZIONI DISABILITATO. La licenza che ho installato è già installata su altri pc senza alcun problema.
Controllando in un forum KASPERSKY un moderatore . rispondendo ad un precedente post, diceva che il pc era infetto.
E' possibile che il virus sia latente dopo una formattazione?
Saluti

link al forum http://forum.pctrio.com/sicurezza-pc/42 ... zione.html

Formattazione a basso livello e poi reinstalli

nessuna novità?

Archangel256 ha scritto:come si fa a vedere se un pc ha la porta RDP aperta e se è vulnerabile a questo tipo di attacco?

Questo dovrebbe andare bene: http://www.nirsoft.net/utils/cports.html