Se sei già registrato           oppure    

Orario: 14/11/2019 13:05:17  

 

Energia Alternativa ed Energia Fai Da Te > Sistemi operativi, hardware e programmazione.

VISUALIZZA L'ALBUM

Pagine: (14)   1   2   3   [4]   5   6   7   8   9   10   11   12   13   14    (Ultimo Msg)


Virus Cryptolocker, Cos'è, cosa combina , come evitarlo e come risolvere ...
FinePagina

Biomass

Avatar
PetaWatt


Gruppo:AMMINISTRATORE
Messaggi:16384

Stato:



Inviato il: 16/02/2016 09:21:11

serve informazione.
Con l'informazione adeguata, un dipendente non aprirà mai allegati infetti.
(posta aziendale).

per la posta personale, vige sempre la stessa attenzione.

Io sono bombardato da spam, email di sconosciuti....e quelle passano direttamente in posta eliminata.

In azienda i filtri antispam aiutano tantissimo.
Ricevo solo un paio di notifiche di posta non filtrata.

se tutti facessero così, il virus non esisterebbe neppure.
Penso che il 99,9% dei virus sia generato da incuria dell'utente.

sveglia!!!



---------------
W il cippato fatto in casa. Economico come nessun'altro combustibile
Caldaia Tesi H2O Cs Thermos a cippatino, boiler 200L, 2,5m solare termico, cappotto perimetrale10cm in EPS, solaio coibentato e finestre PVC classa A.

 

Bolle

Avatar
GigaWatt


Gruppo:AMMINISTRATORE
Messaggi:5807

Stato:



Inviato il: 16/02/2016 09:22:47

Vi aggiorno sulla situazione. Ho avuto poco tempo questo weekend...tra inviti e impicci vari mi sono potuto dedicare poco ma iniziamo con i pochi punti fermi:
-Ho tentato di recuperare i file cancellati...non si riesce almeno con undelete 360...devo entrare nel merito ma se alloca lo spazio del disco , cripta (sicuramente altera l'originale inserendo una testata, se non è in testa sarà in coda...ma non penso la metta altrove) sul nuovo file e sovrascrive (cioè modifica byte a byte) il vecchio il file rende i file originali irrecuperabili!
-Il virus è bastardo, non cripta i file mp3, i file nascosti etc...e non si mette paura della grandezza del file.
-Allego due immagini molto piccole originali e criptate...con le istruzioni da eseguire (formato png) per pagare il riscatto e ricevere i file originali...i file che ho allegato sono 'puliti' compresi quelli criptati!

http://www.energialternativa.info/public/newforum/ForumEA/H/ContenutoZipFile.jpg


I file criptati hanno estensione .micro!
Rimane un problema serio, che è quello della velocità di cifratura...cmq il PC del mio parente ancora non si è reso conto che è sotto osservazione...ho salvato tutto...e quindi lo faremo lavorare in tranquillità cercando di capire chi fa cosa!

La cifratura di questi bastardi si è evoluta...sono passati da 2048 a 4096 bit...dovrebbe essere la RSA-4096 ransomware anche chiamata TeslaCrypt 3.0
E' iniziata la guerra!

PS:Ho postato tutti i dati evitate di entrare nel sito ...debbo fare ancora qualche lavoretto!

Scarica allegato

FileOriginaliECriptati.zip ( Numero download: 93 )



Modificato da Bolle - 16/02/2016, 10:26:27


---------------
Un risultato se non è ripetibile non esiste (by qqcreafis).

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3036

Stato:



Inviato il: 16/02/2016 10:33:01

Infatti il problema è proprio degli ambienti Business dove la necessità di condivisione delle informazioni, la velocità, la semplicità e la settorializzazione degli utenti che utilizzano il PC (ci sono utenti velocissimi a disegnare in 3D in Autocad ma che non sanno nemmeno cos'è Excel, ad esempio) è fortemente in contrasto con qualsiasi metodo di protezione proposto.
Per questo antivirus, backup e policy di sicurezza robuste restano ancora i metodi più utilizzati...

Tuttavia a livello personale è possibile testare altre strade...

Per Roero: nel momento in cui il tuo Mint ha accesso ai tuoi dati io non mi sentirei sicuro!
Voglio dire, il virus in questione è di fatto un programma che apre un file, ne cambia il contenuto e salva i cambiamenti.
Forse Linux non gli permette di auto-partire, di accedere a internet per lo scambio delle informazioni con i malfattori e forse nessuno pensa ad attaccare sistemi Linux ma... tutto può essere... quindi mai abbassare le difese e aprire gli allegati!

L'unico modo di testare un file in sicurezza è di utilizzare una distribuzione live del SO, con la macchina scollegata dalla rete o collegata solamente al router, senza alcuna possibilità di accesso a qualunque informazione, almeno in scrittura.

Dopo aver spento la macchina si può spegnere l'allarme giallo (per chi ha visto Star Treck sa di cosa parlo !).

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3036

Stato:



Inviato il: 16/02/2016 11:01:41

Dunque, vediamo di postare qualche informazione su un caso in cui mi sono imbattuto.

Il virus in questione si chiama Crypt0L0cker, utilizza una chiave RSA-2048 e parla perfettamente la nostra lingua ! Utilizza un'estensione .encrypted.

File originale (315 byte):
http://www.energialternativa.info/public/newforum/ForumEA/H/acadcd.mid

File criptato (856 byte):
http://www.energialternativa.info/public/newforum/ForumEA/H/acadcd.mid.encrypted

File originale (18 byte):
http://www.energialternativa.info/public/newforum/ForumEA/H/cpcdicm.d_

File criptato (559 byte):
http://www.energialternativa.info/public/newforum/ForumEA/H/cpcdicm.d_.encrypted

Sembra che ogni file sia ingrandito di 541 byte.

Ora passiamo al portale web, questi gli screenshot delle varie pagine:

http://www.energialternativa.info/public/newforum/ForumEA/H/Login.jpg


http://www.energialternativa.info/public/newforum/ForumEA/H/Pagina1.jpg


http://www.energialternativa.info/public/newforum/ForumEA/H/Pagina2.jpg


http://www.energialternativa.info/public/newforum/ForumEA/H/Pagina3.jpg


http://www.energialternativa.info/public/newforum/ForumEA/H/Pagina4.jpg




Questi i due file (.txt e .html) salvati in ogni cartella contenenti i file criptati. In effetti mi sono stati molto utili per capire dove si trovavano i file da recuperare dal backup...
P.S. ho sostituito UserName e Password con "x"
http://www.energialternativa.info/public/newforum/ForumEA/H/COME_RIPRISTINARE_I_FILE.txt
http://www.energialternativa.info/public/newforum/ForumEA/H/COME_RIPRISTINARE_I_FILE.html_

P.S. ho dovuto aggiungere l'underscore alla fine dell'estensione "html" altrimenti non potevo caricare il file

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

Bolle

Avatar
GigaWatt


Gruppo:AMMINISTRATORE
Messaggi:5807

Stato:



Inviato il: 16/02/2016 11:16:22

Hanno fatto veramente un bel lavoro ...bastardi!!!!



---------------
Un risultato se non è ripetibile non esiste (by qqcreafis).

 

qqcreafis

Avatar
GigaWatt


Gruppo:Utente
Messaggi:9154

Stato:



Inviato il: 16/02/2016 15:58:14


CITAZIONE

Il fatto è che lui lavora in background, solo quando ha finito mostra la maschera di infezione avvenuta...
Considera che io ho analizzato il tutto sempre a infezione avvenuta, posso solo provare a ricostruire ciò che è successo...




quindi.... uno non si accorge che ti sta criptando il disco


significa che fa delle copie criptate invisibili all'utente

e quando ha finito il lavoro sostituisce nella fat i collegamenti e quindi di colpo il disco appare criptato , quindi significa

1)c'è ancora tutto sul disco
2) se non c'è spazio disco si blocca e non finisce


ma la fat (o chi per lei) non ha delle copie?



Modificato da qqcreafis - 16/02/2016, 16:18:16


---------------
Al peggio non esiste limite

 

Biomass

Avatar
PetaWatt


Gruppo:AMMINISTRATORE
Messaggi:16384

Stato:



Inviato il: 16/02/2016 17:58:42

e secondo voi, dovrei aprire tutti gli allegati di Eli?....
è roba sicura?..



---------------
W il cippato fatto in casa. Economico come nessun'altro combustibile
Caldaia Tesi H2O Cs Thermos a cippatino, boiler 200L, 2,5m solare termico, cappotto perimetrale10cm in EPS, solaio coibentato e finestre PVC classa A.

 

calcola
GigaWatt


Gruppo:Utente
Messaggi:4345

Stato:



Inviato il: 16/02/2016 18:08:32

Avete provato testdisk e photorec? Nel ripristinare partizioni e file cancellati fanno miracoli.

Comunque il virus in questione non infetta i sistemi linux.



---------------
Impara l'arte e mettila da parte
14 pannelli da 100w, inverter kemapower 3kw, regolatore morningstar tristar ts60, banco batterie n.1 di 12 elementi 2v 480Ah C5 corazzate per trazione pesante, banco batterie n.2 di 400Ah in C5 formato da 24 elementi 2V 200Ah corazzate al gel per fotovoltaico in due serie da 12 elementi, centralina di gestione impianto autoprodotta.

 

NonSoloBolleDiAcqua

Avatar
PetaWatt


Gruppo:AMMINISTRATORE
Messaggi:13786

Stato:



Inviato il: 16/02/2016 19:04:42

X qq, no le cose vanno in altro modo...è vero che il virus lavora in background ma spariscono i file piano piano...ad un certo punto appare il messaggio.
Ad esempio al mio parente, il virus ancora non si è accorto che è sotto osservazione....
Funzica anche da partenza in modalità provvisoria...e forse ho trovato il nome del colpevole nei registri di sistema.
Allora se dovessi fare io questo cavolo di virus farei in questo modo:

1. Aprirei il file in modalità binaria lettura/scrittura....leggerei il file e lo sovrascriverei mettendo in memoria quello che mi serve. Metterei alcuni dati nella testata (o coda) e a quel punto rinominerei il file. Questo rende irrecuperabile il file originale!
2. La cosa che non mi quadra è la velocità di cifratura, io utilizzerei un algoritmo di SHA per il calcolo della chiave (unica per ogni file) a quel punto la chiave univoca per ogni file e serve per la cifratura...quindi anche se forniscono un id identificativo (account sul server)...questo sarebbe solo un pagliativo un identificativo per capire se paga etc...ma non serve ad una ceppa per la dodifica!
3. Fine del palo!


CITAZIONE

Avete provato testdisk e photorec? Nel ripristinare partizioni e file cancellati fanno miracoli.

Posso provare ...ma se fanno come ho scritto sopra...non c'è possibilità di recupero....bastadi!



Modificato da Bolle - 16/02/2016, 20:11:57


---------------
Chi sa raccontare bene le bugie ha la verità in pugno (by PinoTux).
Un risultato se non è ripetibile non esiste (by qqcreafis).

 

tgsimo_a

Avatar
GigaWatt


Gruppo:Utente
Messaggi:1508

Stato:



Inviato il: 16/02/2016 19:45:47

A parte il cash...
Chi si occupa seriamente e professionalmente di recupero dati, "ha" la soluzione???



---------------
Signore dammi la pazienza... perché se mi dai la forza spacco tutto!!!

 

Bolle

Avatar
GigaWatt


Gruppo:AMMINISTRATORE
Messaggi:5807

Stato:



Inviato il: 16/02/2016 20:07:36

CITAZIONE (tgsimo_a, 16/02/2016 19:45:47 ) Discussione.php?213452&4#MSG55

A parte il cash...
Chi si occupa seriamente e professionalmente di recupero dati, "ha" la soluzione???

No, no....stanno brancolando nel buio... con la cifratura a 4096 bit è praticamente impossibile trovare la soluzione. Se gli si sequesta il loro server a quel punto si ha la possbilità di capire che tipo di logica usino per la chiave...altrimenti ciao ciao!

Cmq io ho un'altra speranza...si chiama xor...quella la vedo fattibile a livello di tempo...almeno è la prima cosa che testerò...poi saranno dolori!



Modificato da Bolle - 16/02/2016, 20:10:42


---------------
Un risultato se non è ripetibile non esiste (by qqcreafis).

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3036

Stato:



Inviato il: 16/02/2016 21:38:11

CITAZIONE (NonSoloBolleDiAcqua, 16/02/2016 19:04:42 ) Discussione.php?213452&4#MSG54


1. Aprirei il file in modalità binaria lettura/scrittura....leggerei il file e lo sovrascriverei mettendo in memoria quello che mi serve. Metterei alcuni dati nella testata (o coda) e a quel punto rinominerei il file. Questo rende irrecuperabile il file originale!
2. La cosa che non mi quadra è la velocità di cifratura, io utilizzerei un algoritmo di SHA per il calcolo della chiave (unica per ogni file) a quel punto la chiave univoca per ogni file e serve per la cifratura...quindi anche se forniscono un id identificativo (account sul server)...questo sarebbe solo un pagliativo un identificativo per capire se paga etc...ma non serve ad una ceppa per la dodifica!

Perchè calcolare una chiave per ogni file ???

Io farei così:
Creo una chiave di cifratura a 1024, 2048, 4096, ect. bit, la invio al server remoto e, se l'invio è andato a buon fine, il server mi restituirà User e Password.
A quel punto annoto i 3 parametri (chiave, user e password) da qualche parte nel PC (registro, file, etc.) e inizio a cifrare, scrivendo l'elenco dei file cifrati in un qualche file o nel registro.
Tale operazione la farei con bassissima priorità, anche mettendoci giorni, per evitare sospetti da parte dell'utente.
A lavoro completo, apro l'elenco dei file criptati (criptati secondo il tuo metodo, ovvero sovrascrivendo i file originali) e velocemente rinomino tutti i file originali aggiungendo i 2 file Txt e Html.
A lavoro finito apro il messaggio di file criptati.


P.S. Secondo me la paglia è nella tua testa... e ti occorrerebbe un bel palliativo per nasconderla !!!

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

Bolle

Avatar
GigaWatt


Gruppo:AMMINISTRATORE
Messaggi:5807

Stato:



Inviato il: 16/02/2016 21:43:34

CITAZIONE (BellaEli, 16/02/2016 21:38:11 ) Discussione.php?213452&4#MSG57


Perchè calcolare una chiave per ogni file ???

Perchè è il file stesso la sua chiave di cifratura...non si deve passare nulla al server remoto...una volta che il virus entra in azione non ha bisogno di comunicare nulla nemmeno il codice dell'account...per quello il server lo crea in tempo reale e fa credere a tutti che possiede qualcosa....ed invece non ha nulla...ha solo l'algoritmo contrario!
Diabolico?



---------------
Un risultato se non è ripetibile non esiste (by qqcreafis).

 

Roero

Avatar
PetaWatt


Gruppo:MODERATORE
Messaggi:10293

Stato:



Inviato il: 16/02/2016 21:51:45

@ ei geniaccio, cavolo ma vai sempre a sbattere sulle stesse cose, prima o poi qualcuno si scoccia e ti mena.

In quanto al virus criptoecc. a me farebbe un baffo, ricarico da zero il sistema operativo cancellando tutto, le foto che ho su tutti i pc sono sistematicamente salvate su una chiavetta (H.D.) da un tera, che collego solo per copiare le foto.



---------------
Correttezza, lealtà e sempre a testa alta.

 

qqcreafis

Avatar
GigaWatt


Gruppo:Utente
Messaggi:9154

Stato:



Inviato il: 16/02/2016 23:42:10


CITAZIONE

La cosa che non mi quadra è la velocità di cifratura


anche a mè




non cifra un tubo sarebbe troppo difficile mantenere la contabilità delle chiavi

se si può rubare facendo poca fatica perchè sudare


comunque l'avvio è sicuramente nel MBR e nelle voci di avvio automatiche del registro

con regedit prova a vedere nelle voci di avvio più banali

HKCU/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN

DI QUESTO TIPO SONO RIPETUTE

poi ci sono i servizi guarda sia nel registro ma anche da windows se c'è qualcosa di strano



Immagine Allegata: deep.png
 
ForumEA/H/deep.png



---------------
Al peggio non esiste limite

 
 InizioPagina
 

Pagine: (14)   1   2   3   [4]   5   6   7   8   9   10   11   12   13   14    (Ultimo Msg)

Versione Mobile!

Home page       TOP100-SOLAR      Home page forum