MegaLab.it

Inviato: **mar mar 26, 2013 8:11 pm**

salve a tutti, sono nuovo di questo forum
ho letto i vari post relativi a questo problema e analizzando i vari file ho scoperto
che i file criptati sono più grandi esattamente di 99kbite rispetto al file originale,
inoltre ho trovato che la differenza sta nel fatto che al file originale dopo essere stato criptato è stato aggiunto
all'inizio il contenuto questo file "default2.sfx" che è esattamento 99k

Inviato: **mar mar 26, 2013 9:03 pm**

Pas ha scritto:salve a tutti, sono nuovo di questo forum
ho letto i vari post relativi a questo problema e analizzando i vari file ho scoperto
che i file criptati sono più grandi esattamente di 99kbite rispetto al file originale,
inoltre ho trovato che la differenza sta nel fatto che al file originale dopo essere stato criptato è stato aggiunto
all'inizio il contenuto questo file "default2.sfx" che è esattamento 99k

Giusta osservazione, i file sono infatti cifrati utilizzando un archivio RAR autoestraente protetto con password.

Articolo Emsisoft (probabilmente la minaccia del topic è una variazione della variante 4 dell'articolo).

Inviato: **mar mar 26, 2013 11:25 pm**

quindi sono l'unico che, mettendo l'hdd su un supporto usb, ha i dati come prima?
io ho scansionato l'hdd con diversi tool, compreso Kaspersky, ma nessuno ha trovato alcun virus...

Inviato: **mer mar 27, 2013 7:03 am**

paoluccio ha scritto:ma nessuno ha trovato alcun virus...

che non abbiano trovato nulla è relativo, fra qualche giorno il risultato potrebbe cambiare. Bisogna dar tempo alle software house di lavorarci sopra.

A questo punto sarebbe interessante sapere quanti di coloro che hanno avuto il server sotto scacco avevano esposto all'esterno il servizio di terminal server o RDP

Inviato: **mer mar 27, 2013 8:33 am**

I miei erano esposti entrambi. No firewall o vpn solo password complesse

Inviato: **mer mar 27, 2013 8:56 am**

Buon giorno,
sono nuovo del forum. Anche i miei files sono statio infettati, non tutti , per esempio i dbf o xls ma non quelli di open office o altri file proprietari del mio gestionale. Era possible colelgarsi al mio server (windows 7) attraverso RDP. Volevo solo dirVi che avevo un disco esterno ma i file infettati sono "solo" quelli della root del disco e non quelli nelle cartelle. Scusate i termini non proprio tecnici.
Saluti e grazie peri Vs impegno e aiuto.

Inviato: **mer mar 27, 2013 9:33 am**

Ciao,
anch'io mi aggiungo a questa discussione...
Ieri un cliente ci ha portato un pc infetto, si pensava al virus della polizia, ma poi è saltato fuori altro...
HDD di backup ripuliti, sistema bloccato con la schermata d'avviso, impossibilità di accedere dal pc a qualsiasi cosa...
Per di più il pc ha un sistema raid1, quindi impossibilità di collegare il disco via usb per test...
Non essendo seguito da noi non so dirvi se aveva il servizio rdp aperto e su che porta... io per sicurezza i miei clienti che utilizzano tale servizio li ho disabilitati subito!

La mia domanda però è la seguente:
ho visionato il sito che Al3x ha postato per il traffico della porta 3389, e ho verificato quello delle porte da me usate per l'RDP, è praticamente è nullo.
Da capire se questo tipo di attacco al servizio RDP utilizza solo la porta standard o fa uno scan delle porte, perché se fosse la prima ipotesi sarebbe già una "manna dal cielo", avendo tutti i collegamenti RDP con porta dedicata e non standard.
Concordo anche con il fatto che una VPN sia sicuramente più sicura della sola apertura della porta RDP, ma in alcuni casi la VPN non può essere usata. Ho clienti che non viaggiano più con il portatile, ma con il solo collegamento RDP, perché spostandosi da cliente a cliente non usano mai lo stesso pc... (vabbè altri discorsi..)...

Ciao

Inviato: **mer mar 27, 2013 10:32 am**

ZioDJSub ha scritto:ma in alcuni casi la VPN non può essere usata. Ho clienti che non viaggiano più con il portatile, ma con il solo collegamento RDP, perché spostandosi da cliente a cliente non usano mai lo stesso pc... (vabbè altri discorsi..)...

Ciao

Ci sono soluzioni tipo Teamviewer nella versione portable che assolvono tranquillamente il compito grazie al fatto che consentono l'avvio da una pendrive.

Da capire se questo tipo di attacco al servizio RDP utilizza solo la porta standard o fa uno scan delle porte, perché se fosse la prima ipotesi sarebbe già una "manna dal cielo", avendo tutti i collegamenti RDP con porta dedicata e non standard.

per ciò che riguarda l'argomento, esiste il problema del banner che molti servizi restituiscono quando un tool di audit effettua una scansione, che si trovi su una porta standard o meno il server a volte "risponde" con una stringa che ne svela OS\funzione\versione. Sono informazioni preziose per chi deve effettuare un attacco [;)]

Un esempio

FTP - banner
220 Microsoft FTP Service

Se l'admin è accorto, adotta le precauzioni per mascherare queste informazioni, in caso contrario si è esposti nonostante l'uso di porte non standard

http://support.microsoft.com/?id=317741

Un estratto

Maschera le informazioni dell'intestazione Server

Per nascondere le informazioni dell'intestazione server, scaricare URLScan e quindi configurare il file URLScan. ini.

Nota: I passaggi in questo articolo mascherare solo le informazioni di intestazione del server. Questa procedura non impedisce agli utenti di deducing da altre informazioni restituite dalle pagine Web gestite da un server Web IIS.

Installazione di URLScan

URLScan, che è possibile installare con IIS Lockdown Tool, è un filtro ISAPI che consente all'amministratore del server Web con opzioni di configurazione aggiuntive per proteggere il server. Un'opzione configurabile è l'opzione RemoveServerHeader . Per impostazione predefinita, questa opzione è impostata su 0, o False.

Per scaricare l'utilità URLScan, visitare il seguente sito Web Microsoft:
Strumento di protezione URLScan

http://www.microsoft.com/downloads/deta ... laylang=en
Per impostazione predefinita, URLScan viene installato nella directory %SystemRoot%\System32\Inetsrv\UrlScan.

Per ulteriori informazioni su come installare e configurare URLScan, fare clic sul numero dell'articolo per visualizzare l'articolo della Microsoft Knowledge Base:
307608 INFO: Disponibilità dello strumento di protezione URLScan versione 2.5
Per scaricare lo strumento IIS Lockdown, visitare il seguente sito Web Microsoft:
IIS Lockdown Tool
http://www.microsoft.com/technet/securi ... ktool.mspx

Modificare il File URLScan. ini

Arrestare il servizio IISAdmin, che interromperà anche tutti i servizi che dipendono, ad esempio il servizio Pubblicazione sul World Wide Web.
In risorse del Computer, individuare la cartella di Urlscan. Per impostazione predefinita, si trova in % systemroot%\System32\Inetsrv\Urlscan.
Nel blocco note o un altro editor di testo, aprire il file URLScan. ini.
Individuare la seguente voce:

Codice: Seleziona tutto: RemoveServerHeader=0

Modificare questa voce come segue:

Codice: Seleziona tutto: RemoveServerHeader=1

Salvare il file.
Riavviare il servizio Pubblicazione sul Web e tutti gli altri servizi che sono stati interrotti quando è stato interrotto il servizio IISAdmin. Avvio di un servizio che viene eseguito il servizio IISAdmin e avviare il servizio IISAdmin.

Inviato: **mer mar 27, 2013 10:38 am**

io sono alla folle ricerca di soluzioni; chiedo a chiunque abbia notizie in merito a uscite di tool o ipotetiche risoluzioni di farsi vivo. grazie ancora

Inviato: **mer mar 27, 2013 11:11 am**

Io uso Windows XP Home SP.3 e non ho mai attivato la connessione ad un PC remoto. Però, frugando tra le varie finestre, in due punti avevo attivata la "Assistenza remota". L'ho disattivata.
Ho fatto bene a disattivarla oppure non cambia nulla in termini di sicurezza?

Inviato: **mer mar 27, 2013 3:33 pm**

Giampy ha scritto:Io uso Windows XP Home SP.3 e non ho mai attivato la connessione ad un PC remoto. Però, frugando tra le varie finestre, in due punti avevo attivata la "Assistenza remota". L'ho disattivata.
Ho fatto bene a disattivarla oppure non cambia nulla in termini di sicurezza?

Hai fatto bene.

[^]

Inviato: **mer mar 27, 2013 5:08 pm**

Salve a tutti,
Da lunedì sono in contatto con un tecnico di drweb e probabilmente abbiamo trovato il file eseguibile che contiene la password o l'algoritmo che hanno usato,
questa una delle ultime risposte di drweb:
"It seems you saved us and a lot of people in Italy! You just sent us a
trojan!!! Now we have a data to go further and it's your merit!
Could you tell me where did you find lsassw86s.exe? It's full path.

About getting the password... It'll take about 2 days to get the research
result from your file. Please, do not delete anything from the PC!"

Per cui aspettiamo pazientemente una soluzione...
Saluti a Tutti

Inviato: **mer mar 27, 2013 5:33 pm**

PeppeArancio ha scritto:Salve a tutti,
Da lunedì sono in contatto con un tecnico di drweb e probabilmente abbiamo trovato il file eseguibile che contiene la password o l'algoritmo che hanno usato,
questa una delle ultime risposte di drweb:
"It seems you saved us and a lot of people in Italy! You just sent us a
trojan!!! Now we have a data to go further and it's your merit!
Could you tell me where did you find lsassw86s.exe? It's full path.

About getting the password... It'll take about 2 days to get the research
result from your file. Please, do not delete anything from the PC!"

Per cui aspettiamo pazientemente una soluzione...
Saluti a Tutti

Grazie mille!!!! Attendiamo fiduciosi!!!!

Inviato: **mer mar 27, 2013 5:49 pm**

Ottimo, se i tipi di drweb scoprono come decriptare i file, dovete come minimo andare in pellegrinaggio presso la loro azienda [:)]

Inviato: **mer mar 27, 2013 6:30 pm**

Al3x ha scritto:se i tipi di drweb scoprono come decriptare i file, dovete come minimo andare in pellegrinaggio presso la loro azienda

Il viaggio promette bene: http://tinyurl.com/bm45d9n [sbav]

Inviato: **mer mar 27, 2013 9:52 pm**

Al3x ha scritto:se salvata altrove possiedi una copia di uno dei file criptati, dovrebbe essere possibile risalire alla password con un tool reperibile in rete.

Ho beccato anche io questo schifosissimo ransomware su uno dei miei server. [acc2]

Io ho la copia originale di uno dei files criptati (tra l'altro un piccolo file) ma non sono riuscito a trovare nessun tool che mi permetta di recuperare la password confrontando il file criptato e quello originale.
Al3x, sai darmi qualche indicazione più precisa?
Grazie mille

Inviato: **mer mar 27, 2013 10:32 pm**

Dimenticavo... ho provato te94decrypt.exe ma nessuno dei 302 files estratti è davvero uguale a quello originale.
E' uguale per la dimensione ma non per il contenuto.

Inviato: **mer mar 27, 2013 11:01 pm**

Lo stratagemma del tool che per la decodifica usa un file originale e la sua versione criptata, con questa bestiaccia per ora purtroppo non funziona

Inviato: **gio mar 28, 2013 10:25 am**

Scusate l'assenza ma ho provato a ricollegare tutte le vostre proposte e idee...una per una...ca**o santo non ho avuto speranza neanche per una. Assurdo!
xDDDD sorrido perché ho fatto parte di uno degli attacchi peggiori che abbia mai visto! M sopratutto ringrazio questo sito e forum perché almeno non mi sento solo e ho sempre una speranza con voi ^_^

Inviato: **gio mar 28, 2013 11:06 am**

Cerchiamo di fare una statistica!
Chi è stato colpito che tipo di azienda siete?!

Per quel che mi riguarda siamo un ente pubblico! Voi?!

MegaLab.it

Ransomware "Apocalittico" : Discussione generale

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: R: DISASTRO APOCALITTICO

Re: R: DISASTRO APOCALITTICO

Re: DISASTRO APOCALITTICO

Re: Ransomware "Apocalittico" : Discussione generale

Re: R: Ransomware

Re: Ransomware "Apocalittico" : Discussione generale

Re: Ransomware "Apocalittico" : Discussione generale