TurboLab.it

Inviato: **sab ott 05, 2019 6:20 am**

leofelix ha scritto: ↑ven ott 04, 2019 8:36 pm
prusno ha scritto: ↑ven ott 04, 2019 7:41 am Grazie tante, purtroppo bisogna attendere ed avere pazienza.
Speriamo che si risolva il prima possibile
Ma figurati, ho fatto davvero poco in realtà.
Piuttosto, il PC di tuo fratello, dopo la formattazione, ha subito ancora richieste di riscatto e l'antivirus che usa ha per caso segnalato qualcosa (sempre dopo la reinstallazione dell'OS)?

dopo che ho formattato nessuna richiesta, purtroppo rimangono questi 193 file pdf criptati.
li ho trasferiti su un pennino con la speranza che esca un tool per decriptarli, sperando di non aver sprecato ore di lavoro.

Inviato: **sab ott 05, 2019 7:02 am**

leofelix ha scritto: ↑ven ott 04, 2019 8:36 pm
prusno ha scritto: ↑ven ott 04, 2019 7:41 am Grazie tante, purtroppo bisogna attendere ed avere pazienza.
Speriamo che si risolva il prima possibile
Ma figurati, ho fatto davvero poco in realtà.
Piuttosto, il PC di tuo fratello, dopo la formattazione, ha subito ancora richieste di riscatto e l'antivirus che usa ha per caso segnalato qualcosa (sempre dopo la reinstallazione dell'OS)?

Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.

Inviato: **dom ott 06, 2019 2:52 am**

prusno ha scritto: ↑sab ott 05, 2019 7:02 am Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.

Bene, è già molto, grazie.
Dunque, nella pagina di bleepingcomputer che avevo postato qualcuno nel commenti (un italiano, a giudicare sia dal suo inglese sia dal nome dell'immagine che ha postato) ha detto di aver pagato la somma per il riscatto e di aver ottenuto il metodo per risolvere che avrebbe funzionato.
Ecco l'immagine che ha pubblicato:

andrebbe quindi copiato e incollato il seguente testo su powershell che sarebbe un comando da eseguire. Effettivamente quel ransomware sfrutta PowerShell

$rnd = [Reflection.Assembly]::LoadWithPartialName("System.Security");
Add-Type -Assembly System.Web;
$ek = '5Z}={N}4r:5k6Gs>nY3jEmYyv8JA5][wzYvoeHWpC#aaa[;A}t' ;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
${basekey}="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

function Decrypt-File($item, $Passphrase){
$salt="BXCODE hack your system";
$init="BXCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}

Write-host "Start Decrypt";
$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci ${disk}.root -Recurse -Include "*.FTCODE" | % {
try {
$file=[io.file]::Open($_, "Open", "ReadWrite");
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position="0";
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname = $_.name -replace ".FTCODE","";
rename-item -Path $_.FullName -NewName $newname -Force;
Write-host "$newname - ok!";
}
catch{}
}
}
Write-host "Done...... Thanks!";

Non garantisco nulla, però potresti provare.
Se decidi di usarlo non dimenticare di copiare prima i file PDF crittati in una cartella del PC di tuo fratello.
Il commento lo trovi sotto questo articolo
https://www.bleepingcomputer.com/news/s ... -campaign/
da parte dell'utente Hidemik.

In bocca al lupo

Inviato: **dom ott 06, 2019 11:48 am**

leofelix ha scritto: ↑dom ott 06, 2019 2:52 am
prusno ha scritto: ↑sab ott 05, 2019 7:02 am Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.
Bene, è già molto, grazie.
Dunque, nella pagina di bleepingcomputer che avevo postato qualcuno nel commenti (un italiano, a giudicare sia dal suo inglese sia dal nome dell'immagine che ha postato) ha detto di aver pagato la somma per il riscatto e di aver ottenuto il metodo per risolvere che avrebbe funzionato.
Ecco l'immagine che ha pubblicato:

andrebbe quindi copiato e incollato il seguente testo su powershell che sarebbe un comando da eseguire. Effettivamente quel ransomware sfrutta PowerShell

$rnd = [Reflection.Assembly]::LoadWithPartialName("System.Security");
Add-Type -Assembly System.Web;
$ek = '5Z}={N}4r:5k6Gs>nY3jEmYyv8JA5][wzYvoeHWpC#aaa[;A}t' ;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
${basekey}="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

function Decrypt-File($item, $Passphrase){
$salt="BXCODE hack your system";
$init="BXCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}

Write-host "Start Decrypt";
$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci ${disk}.root -Recurse -Include "*.FTCODE" | % {
try {
$file=[io.file]::Open($_, "Open", "ReadWrite");
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position="0";
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname = $_.name -replace ".FTCODE","";
rename-item -Path $_.FullName -NewName $newname -Force;
Write-host "$newname - ok!";
}
catch{}
}
}
Write-host "Done...... Thanks!";
Non garantisco nulla, però potresti provare.
Se decidi di usarlo non dimenticare di copiare prima i file PDF crittati in una cartella del PC di tuo fratello.
Il commento lo trovi sotto questo articolo
https://www.bleepingcomputer.com/news/s ... -campaign/
da parte dell'utente Hidemik.

In bocca al lupo

Buongiorno e buona domenica.
Inanzitutto ti ringrazio per la dritta, ho provato quekl sistema che purtroppo non funzina ( almeno nel mio caso).
Inserendo quel testo nella powershell, elimina solamente la dicitura .FTCODE, riportando il file in formato PDF , ma una volta che vado ad aprire il file questo risulta corrotto.
Servirebbe qualche prohramma che ripara il pdf.
cercando online ho trvato dei sii che vogliano 10€ a file :-((((( 193 file file x 10€ = 1.930€

Inviato: **dom ott 06, 2019 4:17 pm**

Buongiorno e buona domenica.
Inanzitutto ti ringrazio per la dritta, ho provato quekl sistema che purtroppo non funzina ( almeno nel mio caso).
Inserendo quel testo nella powershell, elimina solamente la dicitura .FTCODE, riportando il file in formato PDF , ma una volta che vado ad aprire il file questo risulta corrotto.
Servirebbe qualche prohramma che ripara il pdf.
cercando online ho trvato dei sii che vogliano 10€ a file :-((((( 193 file file x 10€ = 1.930€

Ciao,
Per carità, quei siti sono più ladri dell'autore del ransomware.
Probabilmente il comando powershell andava dato da sistema infetto.
Non escludo anche che il malware stesso li abbia corrotti, ma questo può accadere dopo un qualsiasi danno al sistema se certi file hanno subito modifiche, spostamenti etc recuperarli diventa una impresa.
Non ti resta che aspettare il tool sempre che anche quello non necessiti del sistema infetto.

Inviato: **mar ott 08, 2019 1:26 pm**

Infatti , bisogna solo attendere :-)

TurboLab.it

Ransomware e cryptolocker: quale protezione adottare?

Re: Ransomware e cryptolocker: quale protezione adottare?

Re: Ransomware e cryptolocker: quale protezione adottare?

Re: Ransomware e cryptolocker: quale protezione adottare?

Re: Ransomware e cryptolocker: quale protezione adottare?

Re: Ransomware e cryptolocker: quale protezione adottare?

Re: Ransomware e cryptolocker: quale protezione adottare?