MegaLab.it

Semi-OT.
Esaminando le mie porte con CurrPorts ho scoperto 6 attività con questo "Remote Host name":
ec2-184-72-242-188.compute-1.amazonaws.com
Il loro stato è "Time Wait" che secondo l'autore di CurrPorts indica comunque una porta chiusa.

Che vuol dire tutto ciò? Che Amazon (con cui mai ho avuto contatti) vorrebbe entrarmi dentro?

L'unico consiglio che mi sento di dare è quello di provare a chiedere aiuto su kminfo (forse il thread giusto potrebbe essere http://www.kernelmode.info/forum/viewto ... t=Accdfisa).

Molti degli utenti iscritti sono semplicemente "avanti".


In bocca al lupo

A quanto pare c'è una luce in fondo al tunnel:


Prima procedura
http://www.bleepingcomputer.com/virus-r ... on-program

Seconda procedura
http://www.bleepingcomputer.com/forums/ ... try3001838

Attendo qualcuno che li provi e ci informi se funzionano o meno.

La cosa importante è aver l'HD intatto come subito dopo l'infezione.
Chi ha provato a ripulirlo dal virus, difficilmente decripterà i file con queste procedure.

Con la versione 2.0 nessuna delle due soluzioni sembra funzionare.

ripeto:

sul forum di cui ho fornito l'indirizzo ci sono utenti "geniali" e con i canali "giusti".

Se qualcuno di voi conosce l'inglese, iscrivetevi e chiedete aiuto.

Certo, è necessario disporre quantomeno di qualche traccia da potergli fornire tipo gli MD5 dei file infetti, ecc...

In bocca al lupo 2..

EDIT:
gli MD5 non certamente di *tutti* i file alterati (criptati) bensi' quello che si avvicina di più al payload del malware di modo che possano capire (e rintracciare) "di cosa si tratta"...

poppipoppi20 ha scritto:A quanto pare c'è una luce in fondo al tunnel:


Prima procedura
http://www.bleepingcomputer.com/virus-r ... on-program

Seconda procedura
http://www.bleepingcomputer.com/forums/ ... try3001838

Attendo qualcuno che li provi e ci informi se funzionano o meno.

La cosa importante è aver l'HD intatto come subito dopo l'infezione.
Chi ha provato a ripulirlo dal virus, difficilmente decripterà i file con queste procedure.

Ho provato la seconda procedura, ma in poche parole bisogna inviare i file a quelli di DrWeb, l'ho fatto e mi hanno risposto, come ad altri,di digitare questi comanadi:
dir C:\/s/a>"%userprofile%\dirc.log"
explorer.exe /select,"%userprofile%\dirc.log"

Mi chiedo, è possibile farlo dall'esterno? Collegando l'hard disk infetto come esterno?

Cavaliere Nero ha scritto:Mi chiedo, è possibile farlo dall'esterno? Collegando l'hard disk infetto come esterno?

Si, basta digitare il comando che segue (da prompt dei comandi eseguito con privilegi d'amministratore):

Codice: Seleziona tutto

DIR [Lettera_Del_Disco]:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

Al posto di [Lettera_Del_Disco] è necessario sostituire la lettera assegnata al disco rimovibile (da Windows).
Il risultato finale dovrebbe essere qualcosa del genere (lettera variando):

Codice: Seleziona tutto

DIR F:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

nV 25 ha scritto:ripeto:

sul forum di cui ho fornito l'indirizzo ci sono utenti "geniali" e con i canali "giusti".

Se qualcuno di voi conosce l'inglese, iscrivetevi e chiedete aiuto.

Certo, è necessario disporre quantomeno di qualche traccia da potergli fornire tipo gli MD5 dei file infetti, ecc...

In bocca al lupo 2..

A meno che i criminali non abbiano commesso qualche grave svista, dalle analisi di questa minaccia che si trovano in rete, il recupero della password sembrerebbe pressoché impossibile. I file sono infatti cifrati con due password: la prima rappresentata da una stringa pseudo-randomica (di 50 caratteri), inizialmente memorizzata in un file sul computer che i criminali hanno ottenuto via RDP ed in seguito eliminato con cancellazione sicura.
La seconda è tuttavia facilmente ricavabile, calcolata con un algoritmo basandosi sull'ID del disco da cui è stato avviato il computer.

Avevo già segnalato l'articolo che riporta queste informazioni QUI e QUI.

hashcat ha scritto:

Cavaliere Nero ha scritto:Mi chiedo, è possibile farlo dall'esterno? Collegando l'hard disk infetto come esterno?

Si, basta digitare il comando che segue (da prompt dei comandi eseguito con privilegi d'amministratore):

Codice: Seleziona tutto

DIR [Lettera_Del_Disco]:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

Al posto di [Lettera_Del_Disco] è necessario sostituire la lettera assegnata al disco rimovibile (da Windows).
Il risultato finale dovrebbe essere qualcosa del genere (lettera variando):

Codice: Seleziona tutto

DIR F:\ /S /A > "%UserProfile%\Desktop\dirc.log" && explorer /select,"%UserProfile%\Desktop\dirc.log" && notepad "%UserProfile%\Desktop\dirc.log"

Ma %UserProfile% deve essere sostituito con il nome dell'utente?

Cavaliere Nero ha scritto:Ma %UserProfile% deve essere sostituito con il nome dell'utente?

No, la variabile %UserProfile% è già il nome dell'utente.

No, é una variabile d'ambiente, a quel valore Windows sostituisce (trasparentemente) il percorso alla cartella "home" dell'utente.

EDIT: Mi ha preceduto crazy.cat.

Ma non credo la variabile si possa usare con Hard Disk esterni, come fa a sapere il nome dell'utente? Mi prende il nome dell'utente che sto usando in Windows a quanto ho capito.

Il comando effettua questa procedura:

1°:

Codice: Seleziona tutto

DIR [Lettera_Del_Disco]:\ /S /A > "%UserProfile%\Desktop\dirc.log"

Elenca il contenuto del disco esterno e salva il report sul Desktop dell'utente corrente (colui che ha impartito il comando).

Fatto! Grazie mille!!!!
Mi hanno detto anche di fare una copia di C:\Programdata, ma dovrei mandargliela? Non l'ho capita questa cosa...

Si, copia la cartella e comprimila in un archivio zip (o rar) ed inviagliela via e-mail (come allegato).

Continuo la spiegazione del comando:

2°:

Codice: Seleziona tutto

&& explorer /select,"%UserProfile%\Desktop\dirc.log"

Dopo aver portato a termine il comando indicato nella porzione 1°, viene aperta la cartella (Desktop dell'utente) selezionando il file di report generato.

3°:

Codice: Seleziona tutto

&& notepad "%UserProfile%\Desktop\dirc.log"

Questo é un mio "tocco personale": il file di report generato viene aperto con il Blocco Note (per metterlo in evidenza all'utente).

Infatti mi aspettavo ci fosse anche un "2°" leggendo "1° nell'altro post"
Grazie per le delucidazioni

Buon giorno,
forse è un "programma" già obsoleto, ma qualcuno ha dato un'occhiata a questo? http://support.kaspersky.com/8005?el=88446
Grazie e perdonate l'eventuale...mia ingenuità.
Saluti

C'è scritto che non effettua alcuna operazione sui file infetti dal ransomware, al massimo puoi eliminare il virus e credo prevenire un altra intrusione.

Mi hanno risposto quelli di Dr.Web, anche a me la solita risposta: "Unfortunately, we don't see any way to get the password. It was in txt-file and criminals got it via RDP, then it was securely deleted. If we found a solution, we'll write you.
Now you should save your server RDP-access logs, ask your provider for RDP-access logs and report to the Police".

Visto che a me non appariva il messaggio di blocco all'avvio del server speravo che qualcosa fosse andato storto al momento dell'attacco e fosse rimasta la password