Ransomware e cryptolocker: quale protezione adottare?

[prusno]

Grazie tante, purtroppo bisogna attendere ed avere pazienza.
Speriamo che si risolva il prima possibile

Ma figurati, ho fatto davvero poco in realtà.
Piuttosto, il PC di tuo fratello, dopo la formattazione, ha subito ancora richieste di riscatto e l'antivirus che usa ha per caso segnalato qualcosa (sempre dopo la reinstallazione dell'OS)?

dopo che ho formattato nessuna richiesta, purtroppo rimangono questi 193 file pdf criptati.
li ho trasferiti su un pennino con la speranza che esca un tool per decriptarli, sperando di non aver sprecato ore di lavoro.

[prusno]

Grazie tante, purtroppo bisogna attendere ed avere pazienza.
Speriamo che si risolva il prima possibile

Ma figurati, ho fatto davvero poco in realtà.
Piuttosto, il PC di tuo fratello, dopo la formattazione, ha subito ancora richieste di riscatto e l'antivirus che usa ha per caso segnalato qualcosa (sempre dopo la reinstallazione dell'OS)?

Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.

[leofelix]

Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.

Bene, è già molto, grazie.
Dunque, nella pagina di bleepingcomputer che avevo postato qualcuno nel commenti (un italiano, a giudicare sia dal suo inglese sia dal nome dell'immagine che ha postato) ha detto di aver pagato la somma per il riscatto e di aver ottenuto il metodo per risolvere che avrebbe funzionato.
Ecco l'immagine che ha pubblicato:


andrebbe quindi copiato e incollato il seguente testo su powershell che sarebbe un comando da eseguire. Effettivamente quel ransomware sfrutta PowerShell

$rnd = [Reflection.Assembly]::LoadWithPartialName("System.Security");
Add-Type -Assembly System.Web;
$ek = '5Z}={N}4r:5k6Gs>nY3jEmYyv8JA5][wzYvoeHWpC#aaa[;A}t' ;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
${basekey}="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

function Decrypt-File($item, $Passphrase){
$salt="BXCODE hack your system";
$init="BXCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}

Write-host "Start Decrypt";
$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci ${disk}.root -Recurse -Include "*.FTCODE" | % {
try {
$file=[io.file]::Open($_, "Open", "ReadWrite");
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position="0";
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname = $_.name -replace ".FTCODE","";
rename-item -Path $_.FullName -NewName $newname -Force;
Write-host "$newname - ok!";
}
catch{}
}
}
Write-host "Done...... Thanks!";

Non garantisco nulla, però potresti provare.
Se decidi di usarlo non dimenticare di copiare prima i file PDF crittati in una cartella del PC di tuo fratello.
Il commento lo trovi sotto questo articolo
https://www.bleepingcomputer.com/news/s ... -campaign/
da parte dell'utente Hidemik.

In bocca al lupo

[prusno]

Dopo la formattazione nessun messaggio di riscatto, comunque mi sono salvato i 193 file pdf criptati con la speranza che esca un tool per poterli recuperare.

Bene, è già molto, grazie.
Dunque, nella pagina di bleepingcomputer che avevo postato qualcuno nel commenti (un italiano, a giudicare sia dal suo inglese sia dal nome dell'immagine che ha postato) ha detto di aver pagato la somma per il riscatto e di aver ottenuto il metodo per risolvere che avrebbe funzionato.
Ecco l'immagine che ha pubblicato:


andrebbe quindi copiato e incollato il seguente testo su powershell che sarebbe un comando da eseguire. Effettivamente quel ransomware sfrutta PowerShell

$rnd = [Reflection.Assembly]::LoadWithPartialName("System.Security");
Add-Type -Assembly System.Web;
$ek = '5Z}={N}4r:5k6Gs>nY3jEmYyv8JA5][wzYvoeHWpC#aaa[;A}t' ;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
${basekey}="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

function Decrypt-File($item, $Passphrase){
$salt="BXCODE hack your system";
$init="BXCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}

Write-host "Start Decrypt";
$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci ${disk}.root -Recurse -Include "*.FTCODE" | % {
try {
$file=[io.file]::Open($_, "Open", "ReadWrite");
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position="0";
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname = $_.name -replace ".FTCODE","";
rename-item -Path $_.FullName -NewName $newname -Force;
Write-host "$newname - ok!";
}
catch{}
}
}
Write-host "Done...... Thanks!";

Non garantisco nulla, però potresti provare.
Se decidi di usarlo non dimenticare di copiare prima i file PDF crittati in una cartella del PC di tuo fratello.
Il commento lo trovi sotto questo articolo
https://www.bleepingcomputer.com/news/s ... -campaign/
da parte dell'utente Hidemik.

In bocca al lupo

Buongiorno e buona domenica.
Inanzitutto ti ringrazio per la dritta, ho provato quekl sistema che purtroppo non funzina ( almeno nel mio caso).
Inserendo quel testo nella powershell, elimina solamente la dicitura .FTCODE, riportando il file in formato PDF , ma una volta che vado ad aprire il file questo risulta corrotto.
Servirebbe qualche prohramma che ripara il pdf.
cercando online ho trvato dei sii che vogliano 10€ a file :-((((( 193 file file x 10€ = 1.930€

[leofelix]

Buongiorno e buona domenica.
Inanzitutto ti ringrazio per la dritta, ho provato quekl sistema che purtroppo non funzina ( almeno nel mio caso).
Inserendo quel testo nella powershell, elimina solamente la dicitura .FTCODE, riportando il file in formato PDF , ma una volta che vado ad aprire il file questo risulta corrotto.
Servirebbe qualche prohramma che ripara il pdf.
cercando online ho trvato dei sii che vogliano 10€ a file :-((((( 193 file file x 10€ = 1.930€

Ciao,
Per carità, quei siti sono più ladri dell'autore del ransomware.
Probabilmente il comando powershell andava dato da sistema infetto.
Non escludo anche che il malware stesso li abbia corrotti, ma questo può accadere dopo un qualsiasi danno al sistema se certi file hanno subito modifiche, spostamenti etc recuperarli diventa una impresa.
Non ti resta che aspettare il tool sempre che anche quello non necessiti del sistema infetto.

[prusno]

Infatti , bisogna solo attendere :-)