| Bolle
| Inviato il: 11/02/2016 09:07:50
|
CITAZIONE (calcola, 11/02/2016 08:49:22 )
E se si abilita una password per l'apertura dei file doc, ... il virus li cripta ugualmente?
Certo, il file viene visto come un'insieme di dati da codificare...può essere immagine, testo, compresso o anche criptato...il bastardo cripta il file con la sua chiave generandone un'altro e cancellando l'originale.
In quest'ultima fase spero di trovare una crepa...non vi anticipo nulla!
Se non c'è...devo andare di codifica sperando di trovare nella testata la chiave o una codifica della chiave stessa...almeno io avrei fatto così l'algoritmo!
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | calcola
| Inviato il: 11/02/2016 11:45:43
|
CITAZIONE
e cancellando l'originale.
Non si può tentare di recuperarlo?
--------------- Impara l'arte e mettila da parte
14 pannelli da 100w, inverter kemapower 3kw, regolato...
| | | | Bolle
| Inviato il: 11/02/2016 12:30:31
|
CITAZIONE (calcola, 11/02/2016 11:45:43 )
Non si può tentare di recuperarlo?
Esattamente...se il virus infame non lo ha 'patchato' e se non è stato sovrascritto da qualche altro file dovrebbe essere recuperabile!
Qualcuno ha già provato? Io inizierò questo weekend a fare le prove e non solo questa!
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | qqcreafis
| Inviato il: 14/02/2016 20:17:59
|
comunque si tratta di addomesticare il virus
individuare il file eventualmente scompattarlo e guardarlo in faccia per bene
possibilmente con un disassembler
siamo certi che riceva una chiave ? non è che è inglobata e che riceva solo comandi ?
quando il computer è acceso deve essere sempre attivo deve aprire porte da cui attende comandi
è un gioco duro, da esperti sia in un senso che in un altro , sono in pochi quelli che gestisticono bene queste cose
ho un dubbio non è che agisce come il deep frize della Faraonics in pratica l'utente vede un disco criptato falso all'istante mentre per criptare giga e giga di file ce ne vuole (o cripta (distrugge) solo la fat??? e poi il comando la sostituisce con la copia?)
insomma secondo me agisce sulla FAT
Avevo trovato il modo di craccare il deep frize per W98, avevo scritto un articolo ma non l'ho mai pubblicato, a memoria.... funziona come i virus i più dannati, ha almeno due punti di avvio e l'uno ricrea l'altro
Il primo è nell MBR se si cancellano i file del programma il file nell MBR ricrea e/o fa ripartire i file del programma se si "spiana" l'MBR i file in avvio automatico (penso dal registro) ricreano l'MBR
Per uscire dal circolo vizioso bisogna agire su più fronti ma non ricordo bene sono passati molti anni
eeeccco chi è stato
Modificato da qqcreafis - 14/02/2016, 21:12:50
--------------- ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...
| | | | BellaEli
| Inviato il: 15/02/2016 01:46:53
|
Potrebbe anche essere tutta una messa in scena però considera che ho provato a caricare un file criptato sul portale web, da loro creato, a cui ci si accede con user e password da loro assegnatati, nell'apposita sezione: "Decripta 1 file", il sito mi ha fatto scaricare il file decriptato che con un controllo bit a bit con lo stesso file contenuto in un backup è risultato identico. Forse utilizzano sempre la stessa chiave, o utilizzano un meccanismo più semplice che quello di scambio delle chiavi di crittografia, tuttavia appare davvero curioso che un sito web possa restituirmi un file decriptato correttamente senza una chiave di decriptazione corretta.
Tutto può essere, anche che la chiave sia lo userid e/o la password assegnatati, tuttavia, in sequestri giudiziari per situazioni simili, sono stati rinvenuti database contenenti migliaia di chiavi crittografiche utilizzate.
Se ricordo bene c'è una casa di un antivirus che ha rilasciato un tool che tenta una decodifica brute force basata su dizionario formato dalle chiavi sequestrate.
Staremo a vedere cosa combina Bolle...
Elix
--------------- C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!
| | | | calcola
| Inviato il: 15/02/2016 06:25:31
|
Uso linux da parecchi anni e fino ad ora mi sono scordato di virus ed antivirus.
--------------- Impara l'arte e mettila da parte
14 pannelli da 100w, inverter kemapower 3kw, regolato...
| | | | elgringo
| Inviato il: 15/02/2016 15:37:08
|
Qui al nord, su un giornale locale hanno pubblicato la notizia di una azienda colpita dal cryptoloker, si sono salvati in calcio d'angolo con riformattazione e ripristino dei backup, ma qualche file secondo loro è andato perso, poi nei due giorni successivi hanno pubblicato articoli con le precauzioni da prendere (come del resto scritto qui sul forum), inoltre ho letto che si ricevono mail che contestano il mancato pagamento di bollette, invitando ad aprire il famigerato allegato, quindi occhio.Secondo me bisognerebbe usare un pc salvato da una discarica (con linux che virtualizza windows) solo per aprire le mail ( ci fa da parafulmine) e trasferire i dati dopo averli valiati sul pc principale solo quando siamo sicuri, se capita un inghippo....si mette una chiavetta live di linux e 20 minuti si è ripristinato tutto.
Modificato da elgringo - 15/02/2016, 15:47:03
---------------
| | | | Roero
| Inviato il: 15/02/2016 21:12:38
|
Nel mio caso le mail dove c'è un allegato sospetto dovrei aprirle solo sul pc con Linux Mint, dovrei essere tranquillo, che mi dite?
--------------- Correttezza, lealtà e sempre a testa alta.
| | | | elgringo
| Inviato il: 15/02/2016 21:22:40
|
Sicuramente è una prima misura preventiva, poi se devi trasferire un allegato coi dati su un pc con Windows, devi usare una chiavetta che scansioni con un antivirus, è un pò una scocciatura, ma ci salva da parecchi guai.
---------------
| | | | tgsimo_a
| Inviato il: 15/02/2016 21:24:45
|
Provoco...
Ma quant'è cattivo sto virus??? Basta ricevere una mail con un "allegato" e si è spacciati???
Dai...?!?!?!?
Bisognerà come minimo lanciarlo, e magari dargli anche un bel SI???
Diversamente, dovremmo essere già "tutti" spacciati...
Ma di solito le risposte sono: ma no... non mi ha mai chiesto niente, e non ho mai fatto niente...
--------------- Signore dammi la pazienza... perché se mi dai la forza spacco tutto!!!
| | | | birgipi
| Inviato il: 15/02/2016 21:25:47
|
CITAZIONE (tgsimo_a, 15/02/2016 21:24:45 )
Provoco...
Ma quant'è cattivo sto virus??? Basta ricevere una mail con un "allegato" e si è spacciati???
Dai...?!?!?!?
Bisognerà come minimo lanciarlo, e magari dargli anche un bel SI???
Diversamente, dovremmo essere già "tutti" spacciati...
Ma di solito le risposte sono: ma no... non mi ha mai chiesto niente, e non ho mai fatto niente...
Quoto al 100%
---------------
| | | | Roero
| Inviato il: 15/02/2016 21:30:25
|
Secondo me basta aprire l'allegato.
--------------- Correttezza, lealtà e sempre a testa alta.
| | | | qqcreafis
| Inviato il: 16/02/2016 01:30:01
|
X elix ma è così veloce? un disco con 100GB di roba come fa a criptarlo in poco tempo?
--------------- ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...
| | | | BellaEli
| Inviato il: 16/02/2016 08:51:12
|
I ho notato che non cripta tutto, alcuni file li salta.
Ho notato che cripta file piccolini, non so se un caso ma tutta roba sotto 5-10 MB
Il fatto è che lui lavora in background, solo quando ha finito mostra la maschera di infezione avvenuta...
Considera che io ho analizzato il tutto sempre a infezione avvenuta, posso solo provare a ricostruire ciò che è successo...
Per l'email è come ha detto Roero: è sufficiente aprire l'allegato.
Elix
--------------- C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!
| | | | RAUNARDE
| Inviato il: 16/02/2016 09:12:49
|
ma tu calcola (non il nostro membro del forum :P) se sei un'azienda o uno studio di progettazione, cosa fai? fai lavorare tutti con live? salvataggi solo su chiavetta? e se hai dei CAD o altro da salvare ti affidi ad una chiavetta od altro senza avere back-up e se devi condividere questi documenti/file?...mah non mi sembra molto saggia come pratica oltre che lenta e si sa che oramai bisogna correre sempre per tutto.
Ad esempio nella mia società siamo in 40000 persone cosa fai? tutti con il live??? con i datacenter che ci troviamo e applicativi creati appositamente per ogni reparto, con dati sensibili di milioni di clienti conservati su chiavetta?
Le nostre policy prevedono che nessun backup possa essere fatto su dispositivi rimovibili, in quanto potresti trafugare e rivendere dati sensibili o anche inavvertitamente perdere il dispositivo rendendo pubblici milioni di dati sensibili.
Su un pc personale a casa propria si può anche fare, ma anche lì dipende che ci devi fare, se lo usi per lavoro e ti devi connettere via vpn ad altre reti dove devi essere certificato in determinati modi come fai???
Modificato da RAUNARDE - 16/02/2016, 09:19:00
---------------
| |
| | |
|
Versione Completa!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|