Sistemi operativi, hardware e programmazione.
Virus Cryptolocker ,Cos'è, cosa combina , come evitarlo e come risolvere ...

VISUALIZZA L'ALBUM

Pag: (14)  < ...  8   9   10   11   12   [13]   14    (Ultimo Msg)


FinePagina

Biomass

Avatar
PetaWatt


Utente
Msg:19097

Stato:



Inviato il: 17/06/2016 23:04:46

non mettete foto di bambini.

mettete foto di paesaggi o altro


ho spostato la foto, in modo da poter comunque lavorarci



Modificato da Biomass - 17/06/2016, 23:11:21


---------------
Instagram: real_biomass
Youtube: Biomass Cippomix
stufapellet.forumcommunity.net
<...

 

Roero

Avatar
PetaWatt


MODERATORE
Msg:10299

Stato:



Inviato il: 17/06/2016 23:21:19

@ Bio, se vuoi la posso sfocare la foto in questione.



---------------
Correttezza, lealtà e sempre a testa alta.




 

epry

Avatar
MegaWatt


Utente
Msg:512

Stato:



Inviato il: 11/07/2016 06:52:02

raga pure io ho beccato involontariamente il virus 1 mese fa.
scrivendo in rete il nome di quel virus che mi ha criptato tutto ho trovato solo 3 guide che dicevano la stessa cosa. come prima cosa si installava una versione di norton free se non erro dedicata a questi virus e si lanciava in modalità provvisoria.
fatto tutto il pc doveva essere riavviato per poi tentare il recupero dei file, il mio pc non se più riavviato andava in errore e non accendeva in nessuna modalità più.
l'hardisk non veniva riconosciuto più ne sotto mac e neanche con windows quando veniva collegato come periferica esterna. in poche parole mancava la partizione e doveva essere formattato.
questi virus vengono modificati ogni settimana perché al mio meccanico anche se tutti i file erano criptati sotto mac io riuscivo a leggere i pdf e a stamparli senza l'aiuto di nessuna applicazione aggiuntiva

 

Roero

Avatar
PetaWatt


MODERATORE
Msg:10299

Stato:



Inviato il: 11/07/2016 23:46:12

Mi spiace Epri che abbia beccato il criptolocker pure tu, alla fine se ho ben capito hai formattato tutto e rifatto l'installazione del sistema operativo da zero, miseria un lavoraccio, senza contare che magari avevi dei files che ti servivano.



---------------
Correttezza, lealtà e sempre a testa alta.




 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 27/07/2016 15:19:07

Ciao a tutti, vi espongo il mio caso.

Ho un HD di dati che è stato quasi totalmente criptato. Il ransomware probabilmente è entrato da una condivisione del disco (siamo una azienda), per cui sul PC non ha lasciato nessun messaggio (schermate, sfondi, ecc); inoltre non ha lasciato files html o txt con indicazioni sulla decriptazione; probabilmente il ransomware non ha terminato la criptazione per mancanza di spazio disponibile o perchè il PC in LAN su cui era attivo è stato smascherato o fermato.

Ho quindi il problema di individuare prima di tutto la variante del ransomware.

Il file codifica aggiungendo l'estensione .encrypted al nome, e i file risultanti sono 541 bytes più grandi dell'originale.
Vi giro un paio di files sia in versione criptata che in originale; ho messo tutti i 4 files in un unico zip qui:


http://www.energialternativa.info/public/newforum/ForumEA/M/files.zip


Ovviamente ne ho molti altri solo in versione criptata, purtroppo...
Per adesso, fatta la conta dei danni, salverò ovviamente tutti i criptati in attesa di una futura decodifica.

Intanto vi ringrazio in anticipo, se riuscite a darmi indicazione della variante sarebbe già un buon passo avanti...!
A chi invece riuscisse a trovare decodificatore o chiave regalerei anche un appartamento al centro...

Ciao, e ancora grazie...

C&A



Modificato da colpito_e_affondato - 27/07/2016, 15:35:45
 

eliafino

Avatar
GigaWatt


MODERATORE
Msg:1419

Stato:



Inviato il: 27/07/2016 18:12:19

C&A, domattina faccio delle prove



---------------
Impianto Fotovoltaico "eliafino" in Tempo Reale.
http://www.eliafino.it:3000/d/solare/impianto-...

 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 28/07/2016 08:36:41

@ eliafino: grazie da subito..!!!

Se ti fosse utile, nelle ultime ore ho osservato un po la struttura di alcuni file criptati.
Terminano con un pacchetto di 516 bytes fissi (una traccia della chiave?) + 4 bytes 00 02 00 00 + 5 bytes diversi per ciascun file (totale quindi 525 bytes).
Scorrendo il contenuto del file, ci sono diverse zone che NON sembrano criptate, cioè lunghe sequenze di FF oppure sequenze comunque molto ripetitive.
Utile? Speriamo....

Ciao, e grazie ancora...

C&A



Modificato da colpito_e_affondato - 28/07/2016, 08:47:47
 

eliafino

Avatar
GigaWatt


MODERATORE
Msg:1419

Stato:



Inviato il: 28/07/2016 09:46:35

Non riesci a risalire al pc dove è partita l'infezione? Lascia modifiche pesanti, tipo sfondo desktop modificato, parecchi file di istruzioni sparsi in giro...
Primo per evitare che possa riaccadere, secondo perché in quel pc ci potrebbero essere file utili alla decriptazione

Dr.Web ci riesce:
-TOP CODE-

-BOTTOM CODE-


Io ho provato ma nulla... comunque non pagherei...

P.s. Altro aggiornamento, sto provando un bruteforce per recuperare la chiave di decriptazione con questo software



Modificato da eliafino - 28/07/2016, 12:05:57


---------------
Impianto Fotovoltaico "eliafino" in Tempo Reale.
http://www.eliafino.it:3000/d/solare/impianto-...

 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 28/07/2016 11:16:58

No, purtroppo quando l'azienda è stata colpita l'helpdesk interno ha pulito i vari pc infetti con pesanti colpi d'ascia.
Io ero tranquillo al mare e quindi ho scoperto tutto solo al mio ritorno...
Conseguenza: dati criptati e non ho nemmeno traccia del tipo di variante.

Grazie ancora...

C&A



Modificato da colpito_e_affondato - 28/07/2016, 16:44:54
 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 29/07/2016 11:58:46

Aggiornamento sulla vicenda.

L'helpdesk della mia azienda ha suggerito di contattare una ditta che effettua il recupero dati, che ho scoperto essere poi la www.decryptolocker.it (riferimento un certo Alessandro Papini).
In sostanza questi agiscono tramite Dr.Web, girando a loro i files di esempio. Dr.Web prepara il tool di decriptazione e lo invia.
Prezzo identico a quello di Dr.Web diretto, cioè 127.5 euro + iva.
Per adesso ho inviato qualche file di esempio ed ovviamente mi hanno risposto che sono decriptabili.
Sembra che si sia deciso quindi di seguire questa strada.

Grazie a tutti intanto della attenzione e delle prove che gentilmente avete voluto fare dedicandomi del tempo.

Rimane il rammarico di non aver trovato neppure, in questo modo, quale era la variante...!

Grazie ancora a tutti,

C&A

 

eliafino

Avatar
GigaWatt


MODERATORE
Msg:1419

Stato:



Inviato il: 29/07/2016 12:12:36

Nulla, mi sfugge il metodo che questi di Dr.Web utilizzano per decriptare, a pagamento... russi tra l'altro...



---------------
Impianto Fotovoltaico "eliafino" in Tempo Reale.
http://www.eliafino.it:3000/d/solare/impianto-...

 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 29/07/2016 12:54:20

Si, sono d'accordo con te.
Tutto è possibile, magari lavorandoci molto hanno trovato la strada.
Ma in genere a non fidarsi non si sbaglia, per cui l'ipotesi che il cryptolocker lo facciano loro stessi è la più ragionevole.
Quindi di fatto in questo modo pagheremo il riscatto.

Nascono poi altre domande, soprattutto in caso (come questo) in cui sono state colpite aziende.
Una volta che il cryptolocker ha avuto accesso alla macchina, cosa altro ha fatto? Avrà lasciato backdoor?
Chi ha diffuso il virus, saputo che poi è stato pagato il riscatto, a breve tornerà sulle stesse macchine, magari sugli stessi IP?

Non parlo del caso di privati, è chiaro che un singolo individuo colpito, in genere, anche se ha pagato, raserà il PC e si organizzerà con un buon backup. Quindi difficilmente sarà riattaccabile.

Ma una azienda, per la quale chi ha fatto il criptolocker ha capito anche che è disposta a pagare, e magari ha centinaia di computer non tutti perfettamente backuppati?

Mah...
Comunque, speriamo che almeno si concluda, per me, salvando i dati.

Nel frattempo comunque ho avuto modo di dare una sbirciata al link di monitoraggio del tuo impianto, e ti faccio i complimenti: è davvero ben fatto sia il sistema che il monitoraggio. Molto molto interessante...

Ciao...

C&A

 

eliafino

Avatar
GigaWatt


MODERATORE
Msg:1419

Stato:



Inviato il: 29/07/2016 13:12:49

Da quello che ho potuto vedere, l'allegato infetto è un js, eseguito va a scaricare il programma che cripta e genera i file con la richiesta di riscatto...
Nessun upload di dati, nessuna connessione in uscita... Ma ci sono così tante varianti...

Se puoi, rendi noto che utility mettono a disposizione per decriptare...

Grazie per i complimenti, è molto home made, purtroppo ho poco tempo da dedicarci...

Ciao ciao



---------------
Impianto Fotovoltaico "eliafino" in Tempo Reale.
http://www.eliafino.it:3000/d/solare/impianto-...

 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 29/07/2016 13:39:57

E' nell'home made che si nasconde l'ingegno migliore.
Io faccio automazione per lavoro, in una branca un pò strana (piccolissimi numeri di sistemi di automazione "esotici"), quindi molto al limite con l'home made.
Per questo, quando vedo una millefori con sopra un pò di pcf8574 mi sento a casa...!

Ciao, e ancora grazie,

Valerio (C&A)

 

colpito_e_affon...
milliWatt


Utente
Msg:7

Stato:



Inviato il: 04/08/2016 15:02:01

Ciao Eliafino e ciao tutti.

Alla fine ho risolto tramite DrWeb (intermediato da società sw italiana, vedi sopra).
Ho linkato il tool che inviano (con un file password apposito per il mio caso), più un file di esempio criptato. Chi avesse la pazienza di disassemblare e capirne il funzionamento mentre decripta il file può farne buon uso...

http://www.energialternativa.info/public/newforum/ForumEA/M/Decrypter_DrWeb.zip

Ancora un saluto a tutti,

C&A

Scarica allegato

Decrypter_DrWeb.zip ( Numero download: 194 )

 
 InizioPagina
 

Pag: (14)  < ...  8   9   10   11   12   [13]   14    (Ultimo Msg)

Versione Completa!

Home page     TOP100-SOLAR    Home page forum