UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati

[Il cecchino Jackson]

E le cartelle nascoste il ransomware le trova ?

O se inventano davvero un ransomware come quello fake di tempo fa che ti lascia del tempo prima di decrypt ( già non è che criptano tutto in un secondo ) quindi un po' di tempo lo hai )


EDIT: mi sa che ho letto di ransomwares che criptano anche le unità non mappate, quindi forse trovano tutto
Si sicuramente lo ho letto

 

[Alvise C.]

Io è un po' che pensavo se fosse utile creare un thread in rilievo con le news circa la minacce del giorno : tipo appunto sarebbero raccolte news tipo quella di winrar, scoperte di nuove vulnerabilità , queste interessanti che ha postato @Alvise C. . Mi rendo conto che però magari diventa caotico se per esempio ( come quello su winrar ) arrivano a tanti a postare che hanno quel problema .


Comunque approfitto x chiedere un chiarimento proprio sul primo articolo di Alvise ( l'argomento lo avevo già letto da qualche parte e avevo provato a chiarirmi le idee cercando su google ma non in maniera definitiva ): cosa sarebbe sto Internet of things ? Tutti i dispositivi ( PC smartphone ecc) che sono in grado di collegarsi ad internet o una cerchia più ristretta di dispositivi con certe caretteristiche che ignoro? Grazie


Ah e come facciamo a scoprire se abbiamo sto mirai in qualche dispositivo ? Basta controllare i dns? Io ho quelli di Google

Iot o internet of things sono tutti quei dispositivi che hanno una connessione ad internet e NON sono un comune computer o smartphone:

ad esempio videocamere IP, abbigliamento con tracker incorporato, gli stessi fitness tracker con collegamento ad internet sono IoT, come anche le sveglie multimediali sempre con accesso internet e questo si può applicare a qualsiasi altro campo come la domotica, automazioni di vario tipo che richiedono connessioni ad internet.

Infatti l'ultimo grande attacco DDOS è stato eseguito tramite dispositivi IoT L'attacco di venerdì sera è stato attuato grazie a dispositivi IoT infettati

Mirai sfrutta le credenziali di default dei dispositivi, la cosa migliore sarebbe sostituire queste credenziali: ma non con tutti i dispositivi IoT è possibile farlo

 

[Il cecchino Jackson]

Allora sono a posto grazie !

 

[Il cecchino Jackson]

" tipically"
Evidenzia anche quello

 

[Il cecchino Jackson]

Guardate

Questa https://www.reverse.it/sample/acf19...21d433010be458f9e34ca375799?environmentId=100

È una analisi di un ransomware recente ( non fatta da me ovviamente .. Chi la ha fatta dice sia Cerber , ma poco importa chi sia ) .

 

[Il cecchino Jackson]

Comunque sarebbe bene anche mettere in prima pagina questo consiglio per recuperare i files non ancora criptati.

In caso di criptazione in corso staccare la corrente al PC .
Prendere una live di Linux ( quindi è bene già tenerla insieme ai farmaci di emergenza ).
Se il PC è impostato per il boot da usb, è possibile agire sullo stesso PC . Altrimenti ne serve un alto .
Bootare da live di Linux e trasferire i soli files cryptati e ancora salvi ( dando la precedenza a quelli salvi ) su un altro hd.

Fine del messaggio




Poi considerazioni personali da cose lette qua e là in rete . Ditemi cosa ne pensate .
Se c'è un solo disco ( con SO e dati .. E non si ha altro) forse l'unica è provare a bootare in safe mode ( il sw malevolo magari ha messo delle chiavi ".../Run" in avvio ).
Un po' più sicuro dovrebbe essere se il PC infetto ha un disco per l'so e uno per i dati. Si può inserire nel nuovo PC solo il disco coi dati.

 

[Il cecchino Jackson]

Comunque tornando al discorso dell'estensione , se non ci fosse quella , penso si inventerebbero qualche altra parte del file da attaccare.

Dovreste inventare un SO che muta ogni tot, in modo che il ransomware o (qualunque altro sw malevolo ) non abbia delle parti fisse dei files che può sempre trovare e a cui attaccarsi . Chissà che hw servirebbe .

Ho ben presente che la cosa da fare sono i backup , queste cose le dico più per curiosità . E poi i backup cominciano ad essere monotoni . Servono nuove idee, nuovi orizzonti . :asd:

 

[Il cecchino Jackson]

Tante news

Nuovi ransomware ( buona parte ancora in fase di sviluppo e forse non vedranno mai il completamento) : alcuni bloccano lo schermo ( ma attenzione , quelli che ho letto fino ad ora ,non criptano davvero i files !!!), uno vi fa compilare dei questionari mentre blocca lo schermo .
Di cuzimvirus ci sono anche le credenziali per sbloccare lo schermo

Poi nuovi Locky con estensione shit e thor




http://www.bleepingcomputer.com/new...re-october-28-2016-locky-angry-duck-and-more/





Se guardate l'analisi che ho messo qualche post sopra , c'è scritto pure " retrieve keyboard strokes "

 

[Il cecchino Jackson]

L'idea non e' male ma, come dici giustamente, potrebbe diventare caotico...
Pero' possiamo pensare ad una formula e qualcosa tiriamo fuori.

La cosa migliore sarebbe chiuderlo dopo ogni post , ma richiederebbe troppa assistenza da parte dei mods.

Beh dopo ogni notizia si potrebbe mettere un annuncio ben evidente : non commentare qui, per assistenza attinente apprire un altro thread

 

[Il cecchino Jackson]

https://support.kaspersky.com/viruses/disinfection/8005

Ho scoperto un tool di kasper per sbloccare lo schermo , ma è vecchio di un anno

 

[Il cecchino Jackson]

https://www.foolishit.com/cryptoprevent-malware-prevention/

Nuov versione di cryptprevent

 

[Red Alchemist]

L'altro giorno ho ricevuto una mail alquanto sospetta.

Premesso che ovviamente è una truffa, secondo voi dietro a quel file si nasconde un ransomware?
E nel caso dovesse essere un ransomware, se lo scarico rischio che si attivi automaticamente? (magari non è nemmeno un file zip)

 

[Il cecchino Jackson]

L'altro giorno ho ricevuto una mail alquanto sospetta.

Premesso che ovviamente è una truffa, secondo voi dietro a quel file si nasconde un ransomware?
E nel caso dovesse essere un ransomware, se lo scarico rischio che si attivi automaticamente? (magari non è nemmeno un file zip)

Verifica il mittente interamente ( rufus ha una mailing list? )

In genere va cliccato qualcosa dello zip mi pare . Ma non possiamo conoscere tutte le nuove minacce .

Ma io mai e poi mai scaricherei uno zip se non in ambiente virtuale !!! mio consiglio non scaricare!!!

 

[Il cecchino Jackson]

A me ha tutta l'aria di essere una truffa

 

[Red Alchemist]

A me ha tutta l'aria di essere una truffa

Sicuramente è una truffa dato che quell'account di posta non è legato ad alcuna attività di scuola o lavoro, però volevo capire che genere di truffa.
C'è modo di testarlo su VirusTotal senza doverlo prima scaricare sul computer?

Anzi no, trovato... proverò a scaricarlo su un vecchio notebook che mio fratello non utilizza più da una decina d'anni e che credo sia stato relegato in qualche angolo della casa a prendere polvere. :asd: