| Biomass
| Inviato il: 16/02/2016 09:21:11
|
serve informazione.
Con l'informazione adeguata, un dipendente non aprirà mai allegati infetti.
(posta aziendale).
per la posta personale, vige sempre la stessa attenzione.
Io sono bombardato da spam, email di sconosciuti....e quelle passano direttamente in posta eliminata.
In azienda i filtri antispam aiutano tantissimo.
Ricevo solo un paio di notifiche di posta non filtrata.
se tutti facessero così, il virus non esisterebbe neppure.
Penso che il 99,9% dei virus sia generato da incuria dell'utente.
sveglia!!!
--------------- Instagram: real_biomass Youtube: Biomass Cippomix stufapellet.forumcommunity.net W il cippatino
| | | | Bolle
| Inviato il: 16/02/2016 09:22:47
|
Vi aggiorno sulla situazione. Ho avuto poco tempo questo weekend...tra inviti e impicci vari mi sono potuto dedicare poco ma iniziamo con i pochi punti fermi:
-Ho tentato di recuperare i file cancellati...non si riesce almeno con undelete 360...devo entrare nel merito ma se alloca lo spazio del disco , cripta (sicuramente altera l'originale inserendo una testata, se non è in testa sarà in coda...ma non penso la metta altrove) sul nuovo file e sovrascrive (cioè modifica byte a byte) il vecchio il file rende i file originali irrecuperabili!
-Il virus è bastardo, non cripta i file mp3, i file nascosti etc...e non si mette paura della grandezza del file.
-Allego due immagini molto piccole originali e criptate...con le istruzioni da eseguire (formato png) per pagare il riscatto e ricevere i file originali...i file che ho allegato sono 'puliti' compresi quelli criptati!
I file criptati hanno estensione .micro!
Rimane un problema serio, che è quello della velocità di cifratura...cmq il PC del mio parente ancora non si è reso conto che è sotto osservazione...ho salvato tutto...e quindi lo faremo lavorare in tranquillità cercando di capire chi fa cosa!
La cifratura di questi bastardi si è evoluta...sono passati da 2048 a 4096 bit...dovrebbe essere la RSA-4096 ransomware anche chiamata TeslaCrypt 3.0
E' iniziata la guerra!
PS:Ho postato tutti i dati evitate di entrare nel sito ...debbo fare ancora qualche lavoretto!
Modificato da Bolle - 16/02/2016, 10:26:27
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | BellaEli
| Inviato il: 16/02/2016 10:33:01
|
Infatti il problema è proprio degli ambienti Business dove la necessità di condivisione delle informazioni, la velocità, la semplicità e la settorializzazione degli utenti che utilizzano il PC (ci sono utenti velocissimi a disegnare in 3D in Autocad ma che non sanno nemmeno cos'è Excel, ad esempio) è fortemente in contrasto con qualsiasi metodo di protezione proposto.
Per questo antivirus, backup e policy di sicurezza robuste restano ancora i metodi più utilizzati...
Tuttavia a livello personale è possibile testare altre strade...
Per Roero: nel momento in cui il tuo Mint ha accesso ai tuoi dati io non mi sentirei sicuro!
Voglio dire, il virus in questione è di fatto un programma che apre un file, ne cambia il contenuto e salva i cambiamenti.
Forse Linux non gli permette di auto-partire, di accedere a internet per lo scambio delle informazioni con i malfattori e forse nessuno pensa ad attaccare sistemi Linux ma... tutto può essere... quindi mai abbassare le difese e aprire gli allegati!
L'unico modo di testare un file in sicurezza è di utilizzare una distribuzione live del SO, con la macchina scollegata dalla rete o collegata solamente al router, senza alcuna possibilità di accesso a qualunque informazione, almeno in scrittura.
Dopo aver spento la macchina si può spegnere l'allarme giallo (per chi ha visto Star Treck sa di cosa parlo !).
Elix
--------------- C'è un limite al fai da te ??? Si, ma lo stabiliamo noi !!!
| | | | | | | Bolle
| Inviato il: 16/02/2016 11:16:22
|
Hanno fatto veramente un bel lavoro ...bastardi!!!!
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | qqcreafis
| Inviato il: 16/02/2016 15:58:14
|
CITAZIONE
Il fatto è che lui lavora in background, solo quando ha finito mostra la maschera di infezione avvenuta...
Considera che io ho analizzato il tutto sempre a infezione avvenuta, posso solo provare a ricostruire ciò che è successo...
quindi.... uno non si accorge che ti sta criptando il disco
significa che fa delle copie criptate invisibili all'utente
e quando ha finito il lavoro sostituisce nella fat i collegamenti e quindi di colpo il disco appare criptato , quindi significa
1)c'è ancora tutto sul disco
2) se non c'è spazio disco si blocca e non finisce
ma la fat (o chi per lei) non ha delle copie?
Modificato da qqcreafis - 16/02/2016, 16:18:16
--------------- ODE AD UNO STUDENTE MERITEVOLE (Sermone) Allora Xyz è stato bravo! noi dobbiamo riconoscere che è stato molto bravo, bisogna dirlo ! In un mondo dove tutto SEMBRA uguale a tutto. In un mondo dove chi abbruttisce la dignità dell’intelligenza umana si arroga meriti. In un mondo in cui si dice che i giovani non hanno speranza perché “tanto non troveranno lavoro” perché tanto non “non avranno la pensione”. Xyz è stato bravo! ha capito tutto, ha fatto un compito perfetto. Xyz ci da una SPERANZA. Xyz non ha seguito le falsità che ci circondano. Xyz si è impegnato ed è riuscito nel suo intento.
| | | | Biomass
| Inviato il: 16/02/2016 17:58:42
|
e secondo voi, dovrei aprire tutti gli allegati di Eli?....
è roba sicura?..
--------------- Instagram: real_biomass Youtube: Biomass Cippomix stufapellet.forumcommunity.net W il cippatino
| | | | calcola
| Inviato il: 16/02/2016 18:08:32
|
Avete provato testdisk e photorec? Nel ripristinare partizioni e file cancellati fanno miracoli.
Comunque il virus in questione non infetta i sistemi linux.
--------------- Impara l'arte e mettila da parte 14 pannelli da 100w, inverter kemapower 3kw, regolatore morningstar tristar ts60, banco batterie n.1 di 12 elementi 2v 480Ah C5 corazzate per trazione pesante, banco batterie n.2 di 400Ah in C5 formato da 24 elementi 2V 200Ah corazzate al gel per fotovoltaico in due serie da 12 elementi, centralina di gestione impianto autoprodotta.
| | | | NonSoloBolleDiAcqua
| Inviato il: 16/02/2016 19:04:42
|
X qq, no le cose vanno in altro modo...è vero che il virus lavora in background ma spariscono i file piano piano...ad un certo punto appare il messaggio.
Ad esempio al mio parente, il virus ancora non si è accorto che è sotto osservazione....
Funzica anche da partenza in modalità provvisoria...e forse ho trovato il nome del colpevole nei registri di sistema.
Allora se dovessi fare io questo cavolo di virus farei in questo modo:
1. Aprirei il file in modalità binaria lettura/scrittura....leggerei il file e lo sovrascriverei mettendo in memoria quello che mi serve. Metterei alcuni dati nella testata (o coda) e a quel punto rinominerei il file. Questo rende irrecuperabile il file originale!
2. La cosa che non mi quadra è la velocità di cifratura, io utilizzerei un algoritmo di SHA per il calcolo della chiave (unica per ogni file) a quel punto la chiave univoca per ogni file e serve per la cifratura...quindi anche se forniscono un id identificativo (account sul server)...questo sarebbe solo un pagliativo un identificativo per capire se paga etc...ma non serve ad una ceppa per la dodifica!
3. Fine del palo!
CITAZIONE
Avete provato testdisk e photorec? Nel ripristinare partizioni e file cancellati fanno miracoli.
Posso provare ...ma se fanno come ho scritto sopra...non c'è possibilità di recupero....bastadi!
Modificato da Bolle - 16/02/2016, 20:11:57
--------------- Chi sa raccontare bene le bugie ha la verità in pugno (by PinoTux). Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | tgsimo_a
| Inviato il: 16/02/2016 19:45:47
|
A parte il cash...
Chi si occupa seriamente e professionalmente di recupero dati, "ha" la soluzione???
--------------- Signore dammi la pazienza... perché se mi dai la forza spacco tutto!!!
| | | | Bolle
| Inviato il: 16/02/2016 20:07:36
|
CITAZIONE (tgsimo_a, 16/02/2016 19:45:47 )
A parte il cash...
Chi si occupa seriamente e professionalmente di recupero dati, "ha" la soluzione???
No, no....stanno brancolando nel buio... con la cifratura a 4096 bit è praticamente impossibile trovare la soluzione. Se gli si sequesta il loro server a quel punto si ha la possbilità di capire che tipo di logica usino per la chiave...altrimenti ciao ciao!
Cmq io ho un'altra speranza...si chiama xor...quella la vedo fattibile a livello di tempo...almeno è la prima cosa che testerò...poi saranno dolori!
Modificato da Bolle - 16/02/2016, 20:10:42
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | BellaEli
| Inviato il: 16/02/2016 21:38:11
|
CITAZIONE (NonSoloBolleDiAcqua, 16/02/2016 19:04:42 )
1. Aprirei il file in modalità binaria lettura/scrittura....leggerei il file e lo sovrascriverei mettendo in memoria quello che mi serve. Metterei alcuni dati nella testata (o coda) e a quel punto rinominerei il file. Questo rende irrecuperabile il file originale!
2. La cosa che non mi quadra è la velocità di cifratura, io utilizzerei un algoritmo di SHA per il calcolo della chiave (unica per ogni file) a quel punto la chiave univoca per ogni file e serve per la cifratura...quindi anche se forniscono un id identificativo (account sul server)...questo sarebbe solo un pagliativo un identificativo per capire se paga etc...ma non serve ad una ceppa per la dodifica!
Perchè calcolare una chiave per ogni file ???
Io farei così:
Creo una chiave di cifratura a 1024, 2048, 4096, ect. bit, la invio al server remoto e, se l'invio è andato a buon fine, il server mi restituirà User e Password.
A quel punto annoto i 3 parametri (chiave, user e password) da qualche parte nel PC (registro, file, etc.) e inizio a cifrare, scrivendo l'elenco dei file cifrati in un qualche file o nel registro.
Tale operazione la farei con bassissima priorità, anche mettendoci giorni, per evitare sospetti da parte dell'utente.
A lavoro completo, apro l'elenco dei file criptati (criptati secondo il tuo metodo, ovvero sovrascrivendo i file originali) e velocemente rinomino tutti i file originali aggiungendo i 2 file Txt e Html.
A lavoro finito apro il messaggio di file criptati.
P.S. Secondo me la paglia è nella tua testa... e ti occorrerebbe un bel palliativo per nasconderla !!!
Elix
--------------- C'è un limite al fai da te ??? Si, ma lo stabiliamo noi !!!
| | | | Bolle
| Inviato il: 16/02/2016 21:43:34
|
CITAZIONE (BellaEli, 16/02/2016 21:38:11 )
Perchè calcolare una chiave per ogni file ???
Perchè è il file stesso la sua chiave di cifratura...non si deve passare nulla al server remoto...una volta che il virus entra in azione non ha bisogno di comunicare nulla nemmeno il codice dell'account...per quello il server lo crea in tempo reale e fa credere a tutti che possiede qualcosa....ed invece non ha nulla...ha solo l'algoritmo contrario!
Diabolico?
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | Roero
| Inviato il: 16/02/2016 21:51:45
|
@ ei geniaccio, cavolo ma vai sempre a sbattere sulle stesse cose, prima o poi qualcuno si scoccia e ti mena.
In quanto al virus criptoecc. a me farebbe un baffo, ricarico da zero il sistema operativo cancellando tutto, le foto che ho su tutti i pc sono sistematicamente salvate su una chiavetta (H.D.) da un tera, che collego solo per copiare le foto.
--------------- Correttezza, lealtà e sempre a testa alta.
| | | | qqcreafis
| Inviato il: 16/02/2016 23:42:10
|
CITAZIONE
La cosa che non mi quadra è la velocità di cifratura
anche a mè
non cifra un tubo sarebbe troppo difficile mantenere la contabilità delle chiavi
se si può rubare facendo poca fatica perchè sudare
comunque l'avvio è sicuramente nel MBR e nelle voci di avvio automatiche del registro
con regedit prova a vedere nelle voci di avvio più banali
HKCU/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN
DI QUESTO TIPO SONO RIPETUTE
poi ci sono i servizi guarda sia nel registro ma anche da windows se c'è qualcosa di strano
Immagine Allegata: deep.png
--------------- ODE AD UNO STUDENTE MERITEVOLE (Sermone) Allora Xyz è stato bravo! noi dobbiamo riconoscere che è stato molto bravo, bisogna dirlo ! In un mondo dove tutto SEMBRA uguale a tutto. In un mondo dove chi abbruttisce la dignità dell’intelligenza umana si arroga meriti. In un mondo in cui si dice che i giovani non hanno speranza perché “tanto non troveranno lavoro” perché tanto non “non avranno la pensione”. Xyz è stato bravo! ha capito tutto, ha fatto un compito perfetto. Xyz ci da una SPERANZA. Xyz non ha seguito le falsità che ci circondano. Xyz si è impegnato ed è riuscito nel suo intento.
| |
| | |
|
Versione Mobile!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|