UFFICIALE Conoscere i Ransomware e tentare Il ripristino dei files criptati

[deadman]

Parlava in generale, grazie del tuo aiuto :ok:

Esattamente!

 

[revisor]

Salve, avevo postato il problema nella sezione sicurezza giorni due o tre giorni fa,ma a quanto pare per me non ci sono speranze, visto che sono stato colpito da ctb-locker....neanche ripristinando il sistema a qualche giorno prima....vero?

 

[st90]

Ho più domande , questi ransomware vengono veicolati principalmente tramite allegati emal da quello che ho capito giusto?
Vi è la possibilità nella semplice navigazione di contrarli?
Quali antivirus vi sembrano migliori nel riconoscimento di questi virus?
E nel caso arrivi un allegato sospetto , se non viene eseguito non succede nulla?
eventualmente l'account limitato lo fermerebbe?
Il nuovo bitdefender vanta una protezione dai ransomware ,ma si sa nulla sulla sua reale efficacia?
nel caso avessi attiva la crittografia il disco crittografato con bitlocker il virus riuscirebbe a fare danni ?
Ultima cosa,tutti consigliano di fare il backup , ma nel caso abbia contratto il virus senza saperlo e attacco il disco esterno verrebbe attaccato pure quello?



Scusate se vi faccio un sacco di domande ma sono diventato paranoico.

 

[BaldosArts]

Ho più domande , questi ransomware vengono veicolati principalmente tramite allegati emal da quello che ho capito giusto?
Vi è la possibilità nella semplice navigazione di contrarli?
Quali antivirus vi sembrano migliori nel riconoscimento di questi virus?
E nel caso arrivi un allegato sospetto , se non viene eseguito non succede nulla?
eventualmente l'account limitato lo fermerebbe?
Il nuovo bitdefender vanta una protezione dai ransomware ,ma si sa nulla sulla sua reale efficacia?
nel caso avessi attiva la crittografia il disco crittografato con bitlocker il virus riuscirebbe a fare danni ?
Ultima cosa,tutti consigliano di fare il backup , ma nel caso abbia contratto il virus senza saperlo e attacco il disco esterno verrebbe attaccato pure quello?

Scusate se vi faccio un sacco di domande ma sono diventato paranoico.

- principalmente via email, ma anche da siti non affidabili
- gli antivirus difficilmente li riconoscono
- se l'allegato non viene aperto ed eseguito , non succede niente
- l' account limitato aiuta perchè non permette certe esecuzioni o cmq chiede più conferme
- il disco crittografato non servirebbe a nulla secondo me
- se hai ancora attivo il virus nel pc, inserendo un disco esterno viene infettato e criptato anche quello

 

[st90]

- principalmente via email, ma anche da siti non affidabili
- gli antivirus difficilmente li riconoscono
- se l'allegato non viene aperto ed eseguito , non succede niente
- l' account limitato aiuta perchè non permette certe esecuzioni o cmq chiede più conferme
- il disco crittografato non servirebbe a nulla secondo me
- se hai ancora attivo il virus nel pc, inserendo un disco esterno viene infettato e criptato anche quello

Grazie per avermi risposto , è importante capire quali sono i metodi di diffusione di questo virus

 

[R3boot]

@tecnico24 mi è finalmente arrivata una mail con un bellissimo allegato : https://www.virustotal.com/it/file/...f58ce7a07a7f3b7438044b3f/analysis/1452167464/

Adesso si che mi diverto :rock:

notare eset sempre tra i primi

A chi interessa ho inviato il sample ai seguenti laboratori: Avira, Bitdefender, Emsisoft, Comodo, Kasperky, Symantec.
Cliccando sulla scritta leggi gli ultimi dell'analisi potete farvi un'idea di quali laboratori e con quale rapidità aggiungono una firma quando un utente invia una segnalazione su un file sospetto. ;)

 

[st90]

A chi interessa ho inviato il sample ai seguenti laboratori: Avira, Bitdefender, Emsisoft, Comodo, Kasperky, Symantec.
Cliccando sulla scritta leggi gli ultimi dell'analisi potete farvi un'idea di quali laboratori e con quale rapidità aggiungono una firma quando un utente invia una segnalazione su un file sospetto. ;)

a vedere virustotal sembra che i blasonati bitdefender e kaspersky non siano dei migliori, visto che lo segnano come pulito.....

 

[R3boot]

a vedere virustotal sembra che i blasonati bitdefender e kaspersky non siano dei migliori, visto che lo segnano come pulito.....

Si tratta sempre di un malware, anche se pericoloso, ma di un malware , quindi difficile fare dei paragoni se non si prende in considerazione una quantità considerevole di sample.
La cosa importante che a me rompipalle scatta subito all'occhio è la velocità con cui certi laboratori blasonati o meno rispondono emettendo una firma digitale difronte ad una segnalazione di una simile minaccia; che deve essere velocissima se no gli utenti meno smaliziati che ci incappano sono fottuti.
Tutti quei laboratori che ho menzionato l'hanno ricevuto perchè mi è arrivata la mail automatica di ricevuto, cosa abbiano/stiano facendo non lo so.
Avira ed Emsisoft , ho avuto modo diverse volte di constatarlo, sono velocissimi, eset pure, ma l'avevano già scoperto da soli, Comodo non è velocissimo ma ci arriva, gli atri staremo a vedere; tra un paio di giorni farò di nuovo l'analisi.
Alcuni laboratori non li ho presi in considerazione perchè non li conosco, mentre altri li conosco fin troppo bene e per questo non ho inviato il sample ( semplicemente perchè non analizzano una beata cippa :asd:)
Questo non significa però che per difendersi dai ransomware bisogna fare affidamento sull'antivirus più potente.........stiamo freschi.
Come detto sopra, oltre alle precauzioni già dette e stradette, servono dei software specifici in grado di contrastare le minacce 0-day in generale dei quali ho già accennato diverse volte vedi HIPS, sandbox, virtualizzatori ecc ecc.

 

[darkside473]

domanda da pirla, ma i file JS come si attivano?solo tramite Browser?in effetti Cryptoprevent li blocca...

 

[st90]

Si tratta sempre di un malware, anche se pericoloso, ma di un malware , quindi difficile fare dei paragoni se non si prende in considerazione una quantità considerevole di sample.
La cosa importante che a me rompipalle scatta subito all'occhio è la velocità con cui certi laboratori blasonati o meno rispondono emettendo una firma digitale difronte ad una segnalazione di una simile minaccia; che deve essere velocissima se no gli utenti meno smaliziati che ci incappano sono fottuti.
Tutti quei laboratori che ho menzionato l'hanno ricevuto perchè mi è arrivata la mail automatica di ricevuto, cosa abbiano/stiano facendo non lo so.
Avira ed Emsisoft , ho avuto modo diverse volte di constatarlo, sono velocissimi, eset pure, ma l'avevano già scoperto da soli, Comodo non è velocissimo ma ci arriva, gli atri staremo a vedere; tra un paio di giorni farò di nuovo l'analisi.
Alcuni laboratori non li ho presi in considerazione perchè non li conosco, mentre altri li conosco fin troppo bene e per questo non ho inviato il sample ( semplicemente perchè non analizzano una beata cippa :asd:)
Questo non significa però che per difendersi dai ransomware bisogna fare affidamento sull'antivirus più potente.........stiamo freschi.
Come detto sopra, oltre alle precauzioni già dette e stradette, servono dei software specifici in grado di contrastare le minacce 0-day in generale dei quali ho già accennato diverse volte vedi HIPS, sandbox, virtualizzatori ecc ecc.

Posso chiederti come hai fatto ad accorgerti che era un ransomware? che cosa ti ha insospettito?
E se non ti dispiace, quali sono i software 0-day e HIPS, sandbox, virtualizzatori che consigli?

Grazie

 

[BaldosArts]

io ho trovato questo... ma non ho ancora provato.
https://community.spiceworks.com/how_to/125475-teslacrypt-2-2-0-removal-and-decryption

E' da venerdì che faccio prove con questa guida, ed oggi finalmente sono riuscito a decriptare il mio primo file !!! (.vvv)

Note:
- al punto 10 , mettendo il mio numero decimale su factordb.com , è uscito il codice errore CF, quindi ho eseguito YAFU-x64 , poi lanciato il comando factor(QUI IL NUMERO DECIMALE). Ci ha voluto diverso tempo, perchè sono stato via almeno 2 ore, quindi non so quanto ci vuole in realtà.
- il punto 18 non si capisce bene: io ho messo sulla prima casella di testo il mio numero DECIMALE, poi clic su Factorize, poi sotto sull'altra casella di testo i numeri separati da spazio ottenuti dal punto 17 e clic su REPORT
- poi ho proseguito

 

[R3boot]

Posso chiederti come hai fatto ad accorgerti che era un ransomware? che cosa ti ha insospettito?
E se non ti dispiace, quali sono i software 0-day e HIPS, sandbox, virtualizzatori che consigli?

Grazie

1 perchè il contenuto della mail era alquanto ridicolo:

Gentile Cliente!
Abbiamo sostituito la vecchia fattura alla nuova.

Dettagli in allegato.
Cordiali saluti!

2 perchè l'indirizzo mail era altrettanto alquanto ridicolo
3 perchè per allegare una fattura non è necessario un archivio zip, basta un semplice pdf
4 perchè una volta insospettito ho risposto alla mittente in modo provocatorio : w la patata, mi daresti il tuo numero di telefono ? e dopo pochi minuto mi è arrivato un messaggio del tipo: impossibile recapitare il messaggio bla, bla, bla.....ecc tipico di chi invia mail contenenti ransomware , non è raggiungibile.
5 sprezzante del pericolo ho aperto l'archivio ( tanto ero sandboxato :asd: capirai che pericolo :lol: ) e sono fioccati pop-up a go-go-
6 ho fatto analizzare il contenuto del'archivio da alcuni servizi on-line che di solito utilizzo per avere in pochi minuti il responso se ti tratta o meno di malware tipo questo https://sandbox.deepviz.com/ oppure questo https://valkyrie.comodo.com/ e poi virustotal.

Più che software 0-day si parla di minacce 0-day, cioè quelle appena create e che non hanno ancora un giorno di vita e che difficilmente vengono intercettate dai classici AV basati esclusivamente su firme ed euristica, tali software devono essere veloci come fulmini per intercettare tali minacce ed emettere le relative firme, ma come hai potuto notare con le analisi di VT molti av hanno una lentezza pachidermica altri proprio non ci arrivano, quindi siamo fottuti.
Ecco perchè bisogna essere molto prudenti e sgamati ed usare eventualmente quei software che sono in grado di fermare le minacce 0-day perchè utilizzano tecniche di difesa diverse da quelle degli AV: HIPS ( spesso incorporati in firewall famosi ma anche in alcuni AV, ma per dire che sono veramente validi bisogna prendere in considerazione Comodo, Private firewall; altre volte sono software sviluppati separatamente Defensewall, Winpatrol) Sandboxie, virtualizzatori ( time freeze ) cerca con google che trovi tutte le info che vuoi se no devo scrivere fino a domani mattina.

 

[Blume.]

Ci sono possibili soluzioni per questo, credo di essermelo beccato da qualche settimana chrome non è più lo stesso.
C'è da dire che non ho nessun file presente sull'hard disk C che mi risulti criptato, nemmeno sugli atri, che per sicurezza ho scollato dalla scheda madre.

 

[Utente cancellato 302395]

Scusa pacoti, ma tutto questo ti è successo con OpenSUSE?

- - - Updated - - -

Mai provato.
L'unica prova che potresti fare è testarlo , magari scaricando il malware in questione e vedere se riesce a prevenirlo , ma dubito che tu voglia farlo a meno che hai tutti i dati salvati e un pc di test per smanettare.
Però se posso dire la mia , come vedi il primo topic , questi ransom sono in continua evoluzione e per il momento non hai una soluzione precisa.Inoltre agiscono su tutto il sistema e su chiavi di registro fondamentali , non so se quel tool di prevenzione riesce a fermare la crittografia dei file.

Ciao tecnico24 un account limitato potrebbe mitigare il problema o è inutile? Perchè a questo punto penso che l'unica soluzione ( a parte essere sgamati) sia la virtualizzazione.

 

[R3boot]

Scusa pacoti, ma tutto questo ti è successo con OpenSUSE?

- - - Updated - - -

Ma certo che no.......sul mio pc ci sono OSuse, Ubuntu e winsozz7.
Quando ho voglia di giocare con i virus e gli antivirus giro si winsozz e inizio a giocare .
Quando ho visto quella mail ero su Ubuntu, mi pare, nel capire cosa stava succedendo ho girato su w7 e ho iniziato a divertirmi. :party: