www.MegaLab.it

[Spaccy]

si sono preoccupati di prevedere tutte le contromisure possibili. Se non sopraggiungono novità positive, sembrerebbe un malware devastante

eh già!

[crazy.cat]

Provate a spedire uno dei file criptati a drweb e vedere se vi danno una mano
http://www.MegaLab.it/8276/3/come-rimuo ... i-criptati

[bigparty]

Provate a spedire uno dei file criptati a drweb e vedere se vi danno una mano
http://www.MegaLab.it/8276/3/come-rimuo ... i-criptati

appena inviato file criptato, vi faccio sapere appena mi rispondono

[GERONIMO*]

provate a fare anche una scansione con kaspersky virus removal tool
http://www.MegaLab.it/7615/kaspersky-vi ... -antivirus

[gianpietro]

Ciao Spaccy.

Ai provato per caso i software di Ontrack EasyRecovery

Per maggiori informazioni e download vedi qui:

http://www.ontrackdatarecovery.it/recup ... yrecovery/

[smarties81]

Non vorrei infierire ma visto che il problema è grave non è pensabile di risolverlo dando consigli futili. Anche il tentativo del ripristino dati cancellati è macchinoso. Io l'ho provato senza ottenere alcun risultato (recuva, ontrack, get data back ....) i file sono irrecuperabili perché risovrascritti da quelli criptati. bisogna trovare una soluzione per il decriptaggio. Con il recovery non si risolve nulla. Scusate il nervoso ma è da 27 ore che non dormo per cercare di risolvere

[Sillablabla]

Anche nel mio ufficio è arrivato questo virus (ieri).

Ho pubblicato qualche domanda in proposito in "yahoo answer" in quanto sul web non ho trovato niente.

C'è un tizio o due poi che mi puzzano perché appena iscritti (solo per rispondere alla mia domanda, fino a stamani per il resto ZERO attività) e mi dicono o che c'è poco da fare o di provare con qualche programma di recupero dei files cancellati. Ovviamente tentare di recuperare i files così non è possibile..

Secondo me l'unica è trovare la chiave per accedere ai files.

Noi abbiamo dato l'aggeggio interessato ad uno che è riuscito a recuperare qualcosa ma non so niente di più. Ti faccio sapere appena è tutto risolto.

[LeoLeo]

Consolati noi abbiamo due server nella tua stessa situazione.
Entrambe le macchine hanno sistema operativo win server 2003 e presentavano all'avvio un Rogue Software ANTI -CHILD PORNO.
Rimosso il virus, abbiamo trovato la simpatica sorpresa dei file criptati.
In un caso con il tool di panda abbiamo ottenuto dei risultati, nell'altro siamo al tuo stesso punto.

http://www.pandasecurity.com/enterprise ... rd?id=1676

Confermo che il virus cancella i bkf dai dischi usb e il software di ripristino dati (get data back) non trova nulla.

[gianpietro]

Ciao smarties81

Proprio perche la cosa è seria, è meglio affidarsi a dei professionisti.

Ai valutato gli eventuali altri servizi di Kroll Ontrack.

Recupero dati criptati.

http://www.ontrackdatarecovery.it/recup ... -criptati/

[GERONIMO*]

Consolati noi abbiamo due server nella tua stessa situazione.
Entrambe le macchine hanno sistema operativo win server 2003 e presentavano all'avvio un Rogue Software ANTI -CHILD PORNO.
Rimosso il virus, abbiamo trovato la simpatica sorpresa dei file criptati.
In un caso con il tool di panda abbiamo ottenuto dei risultati, nell'altro siamo al tuo stesso punto.

http://www.pandasecurity.com/enterprise ... rd?id=1676

Confermo che il virus cancella i bkf dai dischi usb e il software di ripristino dati (get data back) non trova nulla.

appunto si dovrebbe rimuovere prima il rogue con kaspersky virus removal tool
e poi decriptare i file con il tool per decriptarli
http://support.kaspersky.com/downloads/ ... ryptor.exe
http://support.kaspersky.com/downloads/ ... ryptor.exe
http://support.kaspersky.com/downloads/ ... ryptor.exe

[smarties81]

Ciao Gianpietro, l'ontrack l'ho già provato. Non si risolve con dei software di recovery. bisogna trovare l'ingegno che fa tornare i file visibili anche perché la decompattazione la dovrebbe rifare nello stesso percorso dei file. Ho anche tutti i file di exchange e della posta outlook bloccati

[LeoLeo]

https://www.facebook.com/permalink.php? ... 9251120158

[Al3x]

...non è pensabile di risolverlo dando consigli futili...

Anche il tentativo del ripristino dati cancellati è macchinoso. Io l'ho provato senza ottenere alcun risultato (recuva, ontrack, get data back ....)

Scusate il nervoso ma è da 27 ore che non dormo per cercare di risolvere

il nervoso (legittimo) non ti esonera dal portare rispetto per chi cerca di dare una mano, a quanto pare tu stesso hai tentato di usare strumenti di recupero quindi e` una contraddizione in termini farne uso e poi criticare chi lo propone come soluzione.

Dovete mettervi in testa che i viruswriter sono coder con le p4lle che fumano come il vesuvio e tutti i nostri tentativi sono relativi finche qualcuno di veramente capace non riesce a comprendere il meccanismo di questi programmi malvoli e propone una soluzione.

Poi visto che diamo consigli poco efficaci, mi chiedo come un server possa beccarsi una roba cosi, ne ho dieci con applicativi di vario tipo e tutti in perfetta salute...

[hashcat]

Anche io ho il file SDELTEMP della dimensione di 65 GB ma non ho idea di come riaprirlo

Secondo quanto leggo, il file SDELTEMP è generato dallo strumento SDELETE per sovrascrivere il contenuto dei settori dello spazio libero del disco, dunque sarà impossibile tentare il recupero dei files (anche affidandosi a professionisti).
L'ideale sarebbe riuscire a mettere le mani sul campione che ha compromesso i server (se lo avete a disposizione, inviatemelo pure via MP).

[hashcat]

Ho trovato in rete alcune informazioni che suggeriscono la causa della compromissione dei server: attraverso attacchi di tipo brute-force i criminali sono riusciti ad ottenere l'accesso remoto ai server (attraverso il protocollo RDP).

Informazioni INTECO

Informazioni DR.WEB

La cosa migliore da fare è disattivare l'accesso al server via RDP, cambiare le password di sistema ed attendere che gli esperti di Dr.Web provvedano a fornire lo strumento per decifrare i file.

[bigparty]

mi ha risposto drweb:

We don't know how to get the password. Try to find files with string
italyhelp1@gmail.com inside. Do not delete any files!

[Giampy]

Sono rimasto impressionato da quanto è successo ad alcuni di voi.
A questo punto sorgono delle curiosità: come/quando è entrato questo virus? Questi virus colpiscono a casaccio o sono mirati? Chi ha subìto questo attacco fa parte di una azienda famosa, in vista? Chi ha subìto questo attacco quali sistemi di sicurezza (firewall, antivirus, antimalware) usa? Noi, utenti anonimi qualunque, corriamo rischi?

[hashcat]

Sono rimasto impressionato da quanto è successo ad alcuni di voi.
A questo punto sorgono delle curiosità: come/quando è entrato questo virus? Questi virus colpiscono a casaccio o sono mirati? Chi ha subìto questo attacco fa parte di una azienda famosa, in vista? Chi ha subìto questo attacco quali sistemi di sicurezza (firewall, antivirus, antimalware) usa? Noi, utenti anonimi qualunque, corriamo rischi?

Puoi trovare una buona parte delle risposte nel mio precedente messaggio.

[Al3x]

Noi, utenti anonimi qualunque, corriamo rischi?

se le supposizioni dei team di ricerca sono giuste, lo corrono coloro che hanno aperto la porta di RDP del proprio router per accedere al server da remoto. Una situazione accettabile per un utente casalingo ma assolutamente fuoriluogo per una server in produzione di una una azienda.

Le VPN sono la soluzione più accettabile per la gestione di una rete da remoto, aprire una porta che spara direttamente verso un servente di rete aziendale è una follia, specie se si usa la porta standard 3389.
A questo punto suppongo che il traffico mondiale su quella porta sia attulamente fuori scala faccio un giro per vedere se ci sono info in merito

[Al3x]

E' un poco presto per trarre conclusioni ma pare abbiano preparato l'attacco da tempo, il traffico in questi giorni sembra addirittura calato