Ransomware e cryptolocker: quale protezione adottare?

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum

Ransomware e cryptolocker: quale migliore soluzione (possibilmente) residente e gratuita?

Acronis Ransomware Protection
0
Nessun voto
AppCheck
1
33%
CryptoPrevent
0
Nessun voto
CyberSight RansomStopper
0
Nessun voto
GridinSoft Anti-Ransomware
0
Nessun voto
Kaspersky Anti-Ransomware Tool for Business
0
Nessun voto
SBGuard Anti-Ransomware
0
Nessun voto
Altro (da specificare eventualmente nei commenti)
2
67%
Nessuna protezione specifica (soltanto antivirus e/o firewall)
0
Nessun voto
 
Voti totali: 3

Avatar utente
prusno
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: gio ott 03, 2019 7:18 am

Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da prusno »

leofelix ha scritto: ven ott 04, 2019 8:36 pm
prusno ha scritto: ven ott 04, 2019 7:41 am Grazie tante, purtroppo bisogna attendere ed avere pazienza.
Speriamo che si risolva il prima possibile
Ma figurati, ho fatto davvero poco in realtà.
Piuttosto, il PC di tuo fratello, dopo la formattazione, ha subito ancora richieste di riscatto e l'antivirus che usa ha per caso segnalato qualcosa (sempre dopo la reinstallazione dell'OS)?
dopo che ho formattato nessuna richiesta, purtroppo rimangono questi 193 file pdf criptati.
li ho trasferiti su un pennino con la speranza che esca un tool per decriptarli, sperando di non aver sprecato ore di lavoro.
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da System » sab ott 05, 2019 6:20 am


Avatar utente
prusno
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: gio ott 03, 2019 7:18 am

Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da prusno »

leofelix ha scritto: ven ott 04, 2019 8:36 pm
prusno ha scritto: ven ott 04, 2019 7:41 am Grazie tante, purtroppo bisogna attendere ed avere pazienza.
Speriamo che si risolva il prima possibile
Ma figurati, ho fatto davvero poco in realtà.
Piuttosto, il PC di tuo fratello, dopo la formattazione, ha subito ancora richieste di riscatto e l'antivirus che usa ha per caso segnalato qualcosa (sempre dopo la reinstallazione dell'OS)?
Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da leofelix »

prusno ha scritto: sab ott 05, 2019 7:02 am Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.
Bene, è già molto, grazie.
Dunque, nella pagina di bleepingcomputer che avevo postato qualcuno nel commenti (un italiano, a giudicare sia dal suo inglese sia dal nome dell'immagine che ha postato) ha detto di aver pagato la somma per il riscatto e di aver ottenuto il metodo per risolvere che avrebbe funzionato.
Ecco l'immagine che ha pubblicato:
Immagine

andrebbe quindi copiato e incollato il seguente testo su powershell che sarebbe un comando da eseguire. Effettivamente quel ransomware sfrutta PowerShell
$rnd = [Reflection.Assembly]::LoadWithPartialName("System.Security");
Add-Type -Assembly System.Web;
$ek = '5Z}={N}4r:5k6Gs>nY3jEmYyv8JA5][wzYvoeHWpC#aaa[;A}t' ;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
${basekey}="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

function Decrypt-File($item, $Passphrase){
$salt="BXCODE hack your system";
$init="BXCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}

Write-host "Start Decrypt";
$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci ${disk}.root -Recurse -Include "*.FTCODE" | % {
try {
$file=[io.file]::Open($_, "Open", "ReadWrite");
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position="0";
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname = $_.name -replace ".FTCODE","";
rename-item -Path $_.FullName -NewName $newname -Force;
Write-host "$newname - ok!";
}
catch{}
}
}
Write-host "Done...... Thanks!";
Non garantisco nulla, però potresti provare.
Se decidi di usarlo non dimenticare di copiare prima i file PDF crittati in una cartella del PC di tuo fratello.
Il commento lo trovi sotto questo articolo
https://www.bleepingcomputer.com/news/s ... -campaign/
da parte dell'utente Hidemik.

In bocca al lupo
Avanti è la vita
Avatar utente
prusno
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: gio ott 03, 2019 7:18 am

Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da prusno »

leofelix ha scritto: dom ott 06, 2019 2:52 am
prusno ha scritto: sab ott 05, 2019 7:02 am Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.
Bene, è già molto, grazie.
Dunque, nella pagina di bleepingcomputer che avevo postato qualcuno nel commenti (un italiano, a giudicare sia dal suo inglese sia dal nome dell'immagine che ha postato) ha detto di aver pagato la somma per il riscatto e di aver ottenuto il metodo per risolvere che avrebbe funzionato.
Ecco l'immagine che ha pubblicato:
Immagine

andrebbe quindi copiato e incollato il seguente testo su powershell che sarebbe un comando da eseguire. Effettivamente quel ransomware sfrutta PowerShell
$rnd = [Reflection.Assembly]::LoadWithPartialName("System.Security");
Add-Type -Assembly System.Web;
$ek = '5Z}={N}4r:5k6Gs>nY3jEmYyv8JA5][wzYvoeHWpC#aaa[;A}t' ;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
${basekey}="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

function Decrypt-File($item, $Passphrase){
$salt="BXCODE hack your system";
$init="BXCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}

Write-host "Start Decrypt";
$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci ${disk}.root -Recurse -Include "*.FTCODE" | % {
try {
$file=[io.file]::Open($_, "Open", "ReadWrite");
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position="0";
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname = $_.name -replace ".FTCODE","";
rename-item -Path $_.FullName -NewName $newname -Force;
Write-host "$newname - ok!";
}
catch{}
}
}
Write-host "Done...... Thanks!";
Non garantisco nulla, però potresti provare.
Se decidi di usarlo non dimenticare di copiare prima i file PDF crittati in una cartella del PC di tuo fratello.
Il commento lo trovi sotto questo articolo
https://www.bleepingcomputer.com/news/s ... -campaign/
da parte dell'utente Hidemik.

In bocca al lupo
Buongiorno e buona domenica.
Inanzitutto ti ringrazio per la dritta, ho provato quekl sistema che purtroppo non funzina ( almeno nel mio caso).
Inserendo quel testo nella powershell, elimina solamente la dicitura .FTCODE, riportando il file in formato PDF , ma una volta che vado ad aprire il file questo risulta corrotto.
Servirebbe qualche prohramma che ripara il pdf.
cercando online ho trvato dei sii che vogliano 10€ a file :-((((( 193 file file x 10€ = 1.930€
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da leofelix »

Buongiorno e buona domenica.
Inanzitutto ti ringrazio per la dritta, ho provato quekl sistema che purtroppo non funzina ( almeno nel mio caso).
Inserendo quel testo nella powershell, elimina solamente la dicitura .FTCODE, riportando il file in formato PDF , ma una volta che vado ad aprire il file questo risulta corrotto.
Servirebbe qualche prohramma che ripara il pdf.
cercando online ho trvato dei sii che vogliano 10€ a file :-((((( 193 file file x 10€ = 1.930€
Ciao,
Per carità, quei siti sono più ladri dell'autore del ransomware.
Probabilmente il comando powershell andava dato da sistema infetto.
Non escludo anche che il malware stesso li abbia corrotti, ma questo può accadere dopo un qualsiasi danno al sistema se certi file hanno subito modifiche, spostamenti etc recuperarli diventa una impresa.
Non ti resta che aspettare il tool sempre che anche quello non necessiti del sistema infetto.
Avanti è la vita
Avatar utente
prusno
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 8
Iscritto il: gio ott 03, 2019 7:18 am

Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da prusno »

Infatti , bisogna solo attendere :-)
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Ransomware e cryptolocker: quale protezione adottare?

Messaggio da System » mar ott 08, 2019 1:26 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio