Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Ransomware "Apocalittico" : Discussione generale

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Re: DISASTRO APOCALITTICO

Messaggioda Pas » mar mar 26, 2013 8:11 pm

salve a tutti, sono nuovo di questo forum
ho letto i vari post relativi a questo problema e analizzando i vari file ho scoperto
che i file criptati sono più grandi esattamente di 99kbite rispetto al file originale,
inoltre ho trovato che la differenza sta nel fatto che al file originale dopo essere stato criptato è stato aggiunto
all'inizio il contenuto questo file "default2.sfx" che è esattamento 99k
Avatar utente
Pas
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mar mar 26, 2013 7:27 pm

Re: DISASTRO APOCALITTICO

Messaggioda hashcat » mar mar 26, 2013 9:03 pm

Pas ha scritto:salve a tutti, sono nuovo di questo forum
ho letto i vari post relativi a questo problema e analizzando i vari file ho scoperto
che i file criptati sono più grandi esattamente di 99kbite rispetto al file originale,
inoltre ho trovato che la differenza sta nel fatto che al file originale dopo essere stato criptato è stato aggiunto
all'inizio il contenuto questo file "default2.sfx" che è esattamento 99k

Giusta osservazione, i file sono infatti cifrati utilizzando un archivio RAR autoestraente protetto con password.

Articolo Emsisoft (probabilmente la minaccia del topic è una variazione della variante 4 dell'articolo).
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: DISASTRO APOCALITTICO

Messaggioda paoluccio » mar mar 26, 2013 11:25 pm

quindi sono l'unico che, mettendo l'hdd su un supporto usb, ha i dati come prima?
io ho scansionato l'hdd con diversi tool, compreso Kaspersky, ma nessuno ha trovato alcun virus...
Avatar utente
paoluccio
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: lun mar 25, 2013 6:40 pm


Re: DISASTRO APOCALITTICO

Messaggioda Al3x » mer mar 27, 2013 7:03 am

paoluccio ha scritto:ma nessuno ha trovato alcun virus...

che non abbiano trovato nulla è relativo, fra qualche giorno il risultato potrebbe cambiare. Bisogna dar tempo alle software house di lavorarci sopra.

A questo punto sarebbe interessante sapere quanti di coloro che hanno avuto il server sotto scacco avevano esposto all'esterno il servizio di terminal server o RDP
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: DISASTRO APOCALITTICO

Messaggioda LeoLeo » mer mar 27, 2013 8:33 am

I miei erano esposti entrambi. No firewall o vpn solo password complesse
Avatar utente
LeoLeo
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar mar 26, 2013 3:15 pm

Re: DISASTRO APOCALITTICO

Messaggioda stelanob » mer mar 27, 2013 8:56 am

Buon giorno,
sono nuovo del forum. Anche i miei files sono statio infettati, non tutti , per esempio i dbf o xls ma non quelli di open office o altri file proprietari del mio gestionale. Era possible colelgarsi al mio server (windows 7) attraverso RDP. Volevo solo dirVi che avevo un disco esterno ma i file infettati sono "solo" quelli della root del disco e non quelli nelle cartelle. Scusate i termini non proprio tecnici.
Saluti e grazie peri Vs impegno e aiuto.
Avatar utente
stelanob
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 27, 2013 8:49 am

Re: DISASTRO APOCALITTICO

Messaggioda ZioDJSub » mer mar 27, 2013 9:33 am

Ciao,
anch'io mi aggiungo a questa discussione...
Ieri un cliente ci ha portato un pc infetto, si pensava al virus della polizia, ma poi è saltato fuori altro...
HDD di backup ripuliti, sistema bloccato con la schermata d'avviso, impossibilità di accedere dal pc a qualsiasi cosa...
Per di più il pc ha un sistema raid1, quindi impossibilità di collegare il disco via usb per test...
Non essendo seguito da noi non so dirvi se aveva il servizio rdp aperto e su che porta... io per sicurezza i miei clienti che utilizzano tale servizio li ho disabilitati subito!

La mia domanda però è la seguente:
ho visionato il sito che Al3x ha postato per il traffico della porta 3389, e ho verificato quello delle porte da me usate per l'RDP, è praticamente è nullo.
Da capire se questo tipo di attacco al servizio RDP utilizza solo la porta standard o fa uno scan delle porte, perché se fosse la prima ipotesi sarebbe già una "manna dal cielo", avendo tutti i collegamenti RDP con porta dedicata e non standard.
Concordo anche con il fatto che una VPN sia sicuramente più sicura della sola apertura della porta RDP, ma in alcuni casi la VPN non può essere usata. Ho clienti che non viaggiano più con il portatile, ma con il solo collegamento RDP, perché spostandosi da cliente a cliente non usano mai lo stesso pc... (vabbè altri discorsi..)...

Ciao
Avatar utente
ZioDJSub
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: mer mar 27, 2013 9:19 am

Re: DISASTRO APOCALITTICO

Messaggioda Al3x » mer mar 27, 2013 10:32 am

ZioDJSub ha scritto:ma in alcuni casi la VPN non può essere usata. Ho clienti che non viaggiano più con il portatile, ma con il solo collegamento RDP, perché spostandosi da cliente a cliente non usano mai lo stesso pc... (vabbè altri discorsi..)...

Ciao

Ci sono soluzioni tipo Teamviewer nella versione portable che assolvono tranquillamente il compito grazie al fatto che consentono l'avvio da una pendrive.

Da capire se questo tipo di attacco al servizio RDP utilizza solo la porta standard o fa uno scan delle porte, perché se fosse la prima ipotesi sarebbe già una "manna dal cielo", avendo tutti i collegamenti RDP con porta dedicata e non standard.

per ciò che riguarda l'argomento, esiste il problema del banner che molti servizi restituiscono quando un tool di audit effettua una scansione, che si trovi su una porta standard o meno il server a volte "risponde" con una stringa che ne svela OS\funzione\versione. Sono informazioni preziose per chi deve effettuare un attacco [;)]

Un esempio
FTP - banner
220 Microsoft FTP Service


Se l'admin è accorto, adotta le precauzioni per mascherare queste informazioni, in caso contrario si è esposti nonostante l'uso di porte non standard

http://support.microsoft.com/?id=317741

Un estratto

Maschera le informazioni dell'intestazione Server

Per nascondere le informazioni dell'intestazione server, scaricare URLScan e quindi configurare il file URLScan. ini.

Nota: I passaggi in questo articolo mascherare solo le informazioni di intestazione del server. Questa procedura non impedisce agli utenti di deducing da altre informazioni restituite dalle pagine Web gestite da un server Web IIS.

Installazione di URLScan

URLScan, che è possibile installare con IIS Lockdown Tool, è un filtro ISAPI che consente all'amministratore del server Web con opzioni di configurazione aggiuntive per proteggere il server. Un'opzione configurabile è l'opzione RemoveServerHeader . Per impostazione predefinita, questa opzione è impostata su 0, o False.

Per scaricare l'utilità URLScan, visitare il seguente sito Web Microsoft:
Strumento di protezione URLScan

http://www.microsoft.com/downloads/deta ... laylang=en
Per impostazione predefinita, URLScan viene installato nella directory %SystemRoot%\System32\Inetsrv\UrlScan.

Per ulteriori informazioni su come installare e configurare URLScan, fare clic sul numero dell'articolo per visualizzare l'articolo della Microsoft Knowledge Base:
307608 INFO: Disponibilità dello strumento di protezione URLScan versione 2.5
Per scaricare lo strumento IIS Lockdown, visitare il seguente sito Web Microsoft:
IIS Lockdown Tool
http://www.microsoft.com/technet/securi ... ktool.mspx

Modificare il File URLScan. ini

Arrestare il servizio IISAdmin, che interromperà anche tutti i servizi che dipendono, ad esempio il servizio Pubblicazione sul World Wide Web.
In risorse del Computer, individuare la cartella di Urlscan. Per impostazione predefinita, si trova in % systemroot%\System32\Inetsrv\Urlscan.
Nel blocco note o un altro editor di testo, aprire il file URLScan. ini.
Individuare la seguente voce:

Codice: Seleziona tutto
RemoveServerHeader=0



Modificare questa voce come segue:

Codice: Seleziona tutto
RemoveServerHeader=1



Salvare il file.
Riavviare il servizio Pubblicazione sul Web e tutti gli altri servizi che sono stati interrotti quando è stato interrotto il servizio IISAdmin. Avvio di un servizio che viene eseguito il servizio IISAdmin e avviare il servizio IISAdmin.
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: DISASTRO APOCALITTICO

Messaggioda smarties81 » mer mar 27, 2013 10:38 am

io sono alla folle ricerca di soluzioni; chiedo a chiunque abbia notizie in merito a uscite di tool o ipotetiche risoluzioni di farsi vivo. grazie ancora
Avatar utente
smarties81
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: mar mar 26, 2013 10:41 am

Re: DISASTRO APOCALITTICO

Messaggioda Giampy » mer mar 27, 2013 11:11 am

Io uso Windows XP Home SP.3 e non ho mai attivato la connessione ad un PC remoto. Però, frugando tra le varie finestre, in due punti avevo attivata la "Assistenza remota". L'ho disattivata.
Ho fatto bene a disattivarla oppure non cambia nulla in termini di sicurezza?
Avatar utente
Giampy
Senior Member
Senior Member
 
Messaggi: 211
Iscritto il: mer ago 01, 2012 9:24 pm

Re: DISASTRO APOCALITTICO

Messaggioda hashcat » mer mar 27, 2013 3:33 pm

Giampy ha scritto:Io uso Windows XP Home SP.3 e non ho mai attivato la connessione ad un PC remoto. Però, frugando tra le varie finestre, in due punti avevo attivata la "Assistenza remota". L'ho disattivata.
Ho fatto bene a disattivarla oppure non cambia nulla in termini di sicurezza?

Hai fatto bene.

[^]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: DISASTRO APOCALITTICO

Messaggioda PeppeArancio » mer mar 27, 2013 5:08 pm

Salve a tutti,
Da lunedì sono in contatto con un tecnico di drweb e probabilmente abbiamo trovato il file eseguibile che contiene la password o l'algoritmo che hanno usato,
questa una delle ultime risposte di drweb:
"It seems you saved us and a lot of people in Italy! You just sent us a
trojan!!! Now we have a data to go further and it's your merit!
Could you tell me where did you find lsassw86s.exe? It's full path.

About getting the password... It'll take about 2 days to get the research
result from your file. Please, do not delete anything from the PC!"

Per cui aspettiamo pazientemente una soluzione...
Saluti a Tutti
Avatar utente
PeppeArancio
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mer mar 27, 2013 5:01 pm

Re: DISASTRO APOCALITTICO

Messaggioda bigparty » mer mar 27, 2013 5:33 pm

PeppeArancio ha scritto:Salve a tutti,
Da lunedì sono in contatto con un tecnico di drweb e probabilmente abbiamo trovato il file eseguibile che contiene la password o l'algoritmo che hanno usato,
questa una delle ultime risposte di drweb:
"It seems you saved us and a lot of people in Italy! You just sent us a
trojan!!! Now we have a data to go further and it's your merit!
Could you tell me where did you find lsassw86s.exe? It's full path.

About getting the password... It'll take about 2 days to get the research
result from your file. Please, do not delete anything from the PC!"

Per cui aspettiamo pazientemente una soluzione...
Saluti a Tutti


Grazie mille!!!! Attendiamo fiduciosi!!!!
Avatar utente
bigparty
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: lun mar 25, 2013 5:07 pm

Re: R: DISASTRO APOCALITTICO

Messaggioda Al3x » mer mar 27, 2013 5:49 pm

Ottimo, se i tipi di drweb scoprono come decriptare i file, dovete come minimo andare in pellegrinaggio presso la loro azienda [:)]
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: R: DISASTRO APOCALITTICO

Messaggioda Giampy » mer mar 27, 2013 6:30 pm

[ot]

Al3x ha scritto:se i tipi di drweb scoprono come decriptare i file, dovete come minimo andare in pellegrinaggio presso la loro azienda

Il viaggio promette bene: http://tinyurl.com/bm45d9n [sbav] [cuore]
Avatar utente
Giampy
Senior Member
Senior Member
 
Messaggi: 211
Iscritto il: mer ago 01, 2012 9:24 pm

Re: DISASTRO APOCALITTICO

Messaggioda clkurtz » mer mar 27, 2013 9:52 pm

Al3x ha scritto:se salvata altrove possiedi una copia di uno dei file criptati, dovrebbe essere possibile risalire alla password con un tool reperibile in rete.


Ho beccato anche io questo schifosissimo ransomware su uno dei miei server. [acc2]
Io ho la copia originale di uno dei files criptati (tra l'altro un piccolo file) ma non sono riuscito a trovare nessun tool che mi permetta di recuperare la password confrontando il file criptato e quello originale.
Al3x, sai darmi qualche indicazione più precisa?
Grazie mille
Avatar utente
clkurtz
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer mar 27, 2013 9:46 pm

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda clkurtz » mer mar 27, 2013 10:32 pm

Dimenticavo... ho provato te94decrypt.exe ma nessuno dei 302 files estratti è davvero uguale a quello originale.
E' uguale per la dimensione ma non per il contenuto.
Avatar utente
clkurtz
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer mar 27, 2013 9:46 pm

Re: R: Ransomware

Messaggioda Al3x » mer mar 27, 2013 11:01 pm

Lo stratagemma del tool che per la decodifica usa un file originale e la sua versione criptata, con questa bestiaccia per ora purtroppo non funziona
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Spaccy » gio mar 28, 2013 10:25 am

Scusate l'assenza ma ho provato a ricollegare tutte le vostre proposte e idee...una per una...ca**o santo non ho avuto speranza neanche per una. Assurdo!
xDDDD sorrido perché ho fatto parte di uno degli attacchi peggiori che abbia mai visto! M sopratutto ringrazio questo sito e forum perché almeno non mi sento solo e ho sempre una speranza con voi ^_^
Avatar utente
Spaccy
Aficionado
Aficionado
 
Messaggi: 121
Iscritto il: ven feb 01, 2008 5:15 pm
Località: Roma

Re: Ransomware "Apocalittico" : Discussione generale

Messaggioda Spaccy » gio mar 28, 2013 11:06 am

Cerchiamo di fare una statistica!
Chi è stato colpito che tipo di azienda siete?!

Per quel che mi riguarda siamo un ente pubblico! Voi?!
Avatar utente
Spaccy
Aficionado
Aficionado
 
Messaggi: 121
Iscritto il: ven feb 01, 2008 5:15 pm
Località: Roma

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising