[Sicurezza] Minaccia CryptoWall 2.0

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

[Sicurezza] Minaccia CryptoWall 2.0

Messaggio da Al3x »

Denifito come CryptoWall 2.0, sembrerebbe una sorta di evoluzione della specie che mima il comportamento del più famoso CryptoLocker. In azienda abbiamo avuto purtroppo una macchina colpita che, prima che venisse individuata e bloccata, nel giro di 10 min ha codificato il contenuto di alcune share di rete. Il danno è stato relativo poiché grazie ai backup e alle copie shadow (una utilissima feature del vituperato ripristino configurazione) abbiamo avuto un livello di danni prossimo allo zero (solo la postazione da reinstallare).

Nel nostro caso è giunto come link da cui scaricare l'allegato infetto che ha purtroppo passato la difesa perimetrale poiché l'antivirus (come moltissimi altri altrettanto noti) in quel momento non riconosceva ancora la minaccia.
Una volta infettata la macchina, il malware (non un virus poiché sembra non replicarsi) codifica, con chiave RSA a 2048, tutto ciò che gli capita a tiro cancellando gli originali. Come conseguenza dell'attacco, all'interno di ogni cartella presa di mira, oltre ai file con estensione ecrypted (per esempio testo.doc diventa testo.doc.encrypted) viene creato il file DECRYPT_INSTRUCTIONS.html con le istruzioni per pagare il riscatto.
Aggiungo che il team che ha studiato il file lo classifica come appartenente alla tipologia di CryptoLocker anche se la mia personalissima valutazione (da profano) mi porta a credere che si tratti della variante del CryptoWall di cui si parla su Register.

Per i più curiosi, metto di seguito il codice html del file

Codice: Seleziona tutto

<html>
<head>
	<meta http-equiv="content-type" content="text/html; charset=utf-8"/>
	<title>IMPORTANTE</title>
	<style type="text/css">
* {
	margin: 0;
	padding: 0;
}
body {
	font-size: 10pt;
	font-family:Trebuchet MS;
	width: 100%;
	background-image: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAQAAAAECAIAAAAmkwkpAAAAI0lEQVQImT3GoQEAMAzDMK84/19qnrEI6bVVAeC2JLeptwEfx3UO4c8MKp0AAAAASUVORK5CYII=);
}

a{
	color:#0097F2;
}

.wrapper {
	width: 1024px;
	margin: 0 auto;
}

/* Header
-----------------------------------------------------------------------------*/
.header {

}

.top  {
	width:826px;
	margin:65px auto 15px auto;
	font-family:Trebuchet MS;
	text-align:center;
	font-size:22pt;
	font-weight:bold;
	color:#000000;
}

/* Middle
-----------------------------------------------------------------------------*/
.content {
	width:800px;
	margin:auto;
	padding:15px;
	border:10px solid #ffffff;
	background:#f3f3f3;
}

.desc {
	width:750px;
	height:116px;
	margin:25px auto 25px auto;
	border:1px solid #f9c011;
	-webkit-border-radius: 5pt;
	-moz-border-radius: 5pt;
	border-radius: 5pt;
	background-color:#ffffff;
	background-image: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAACkAAAAnCAYAAACSamGGAAAACXBIWXMAAA7DAAAOwwHHb6hkAAABNmlDQ1BQaG90b3Nob3AgSUNDIHByb2ZpbGUAAHjarY6xSsNQFEDPi6LiUCsEcXB4kygotupgxqQtRRCs1SHJ1qShSmkSXl7VfoSjWwcXd7/AyVFwUPwC/0Bx6uAQIYODCJ7p3MPlcsGo2HWnYZRhEGvVbjrS9Xw5+8QMUwDQCbPUbrUOAOIkjvjB5ysC4HnTrjsN/sZ8mCoNTIDtbpSFICpA/0KnGsQYMIN+qkHcAaY6addAPAClXu4vQCnI/Q0oKdfzQXwAZs/1fDDmADPIfQUwdXSpAWpJOlJnvVMtq5ZlSbubBJE8HmU6GmRyPw4TlSaqo6MukP8HwGK+2G46cq1qWXvr/DOu58vc3o8QgFh6LFpBOFTn3yqMnd/n4sZ4GQ5vYXpStN0ruNmAheuirVahvAX34y/Axk/96FpPYgAAACBjSFJNAAB6JQAAgIMAAPn/AACA6AAAUggAARVYAAA6lwAAF2/XWh+QAAAJUklEQVR42qyYW4ydVRXHf2vv73bOmTOXzq0dptOWSzXcJAKGS8HS6cXaUrAFoRQJIBiVSIAYMWp40AcTffIFH9TEBzGoD6A23iK3RLxEEMSCBKjYlku5dabTuZzvsvfy4Tszc2Za6Ezrl6zk7Hzr7O+//+u/1t57SfadZZzwI8AUyBqNJqvRjdmb6Q2Nqcbotx5Iv394ksee3JP7195xnOxjsHDCJkCMnRwNv21GDt/fmRwZHuhOt399l3lAYIfz/F+ewPfFJ06kh8Yyu92YQ7dWSWINe9HiiAwtG+3/yqfNd594Tl4FnjpZkPYbty2BiizeqoKGtuKnJr4ZJ/IRW18JyQCIQfJx+rvTziIP2h991u0GTirmgV5cOTEWI8j2+63mFT8cJt1odQWEdcQYfDaKZYobh3XTzx4Prnp2b/7zk9NkqizWJFX8mK3LyNSuKLQ1aiuQZCkSdkLcC3EvWlQZHHRdt262NwVWuk4OZCAs2iKDO5wNm3cbm8KOPqgOQdQJQQWJ2pGkBx90ghquu1zXXrA6vPKkwi3/XHwK+tB2eElvqcQkUhuCuBuCBPU52BiJuiDuxo8fou+Uidqu9cH1z+41v29k/q0TAslruujiqHF6kVky8Ymg3oePezG2UtYjLafE1kqQU29j8gluWKvrHnzUbn7yef/jE0uc4alF4FN8w3Tke+SOaqARyVIkbGvS62iiBBshYR2Ju3DjoyxZOhlfd0VwzdMvuz80Mv/G4jUZeRZuCpG72MqRLUGyBI26QAJUC1RzhALwZZEPKkjchYbtkMKN69h05gq79sTC/cuFlzD1VLJV4V31qjcalTrEO0RTiEMQRZxAA1QCCNuQuB03MUpXXyO4aUOwc8+rxaNZoQcXx+RozoLscI6v6NpAD28ylQ4I20AMSAGh4z8vHWT3r19gz3Ovo0ZBBEyCRB1oWEdzZdcGNqwetJctPrv/fGhhLILNvtD11boVfNAOJsKoQ2rKE0/s5fNfe5wX947Su6TC9+67mJ3bV0EhaFCDqI6bPExPXxrfviW6+a773WOq+u6CU+Hd++oLo7zw28I1+lCl3m6Il0PSi03a0KTC1bc+yq/+eGDG9+wzOnlm91YCMlzjMNo4iE6+geUQI6NhesmXip0vvVY8tGAmx86vHp9FRaqmcU89SY1iEDIoxsDlMH6EbKoxj3WFbKpMNEBsCEGEawR09xXxZzeHN937g+IRYGxBBNlJx/EsmHJXtoWNCwSP+hSfv4c23sQf+S8i+zj9lLnJt6zHEkTjkI2DT0uxGAs2gNyxc5jhU3rsRQtPHG2Wt/cx9WKSKL0zCbKaU4f6CTQ/hM/fwk2+Ce4Apw1MEgZSsiYw1JuD349rHESLEbyfKtm1lsILgwN5/fYt0c1AsjCQx3Mwfke1ml2oVpqoM9AU/CTeT4KfoH9JSqUZWmvg7FUp5K/jG6+j+duQj4BOoXg8gohn5zDrB3vtJScNUlWCOM5vDqO8HdHSW5q5Ls3fHpb1QrXJibVw6kAB+STejaH5IdSNom4CNAeUwsHKFUXPZ9ZHu4DwpEAao9dWK+kaYxVFZoEZQaU0vLC831BrHkutwGA/4BXFoxQlOM2AAgS8hyh0ct162dTdbi88YZCqUkmSbGcU5+0zly6ZBtcc2/L7Q8tgaU+pyfYaDPQK6mbvQSpa/mc6Aqbc6lefli+7YV14/XHJ+gAtbqtU0nUmUFTMXHBNE4GigLAOqwZKkKtXCL09ULjy/YxEBNQ22Reh8FCpOrNjnXyys2bPWzRIVanHSb4rTvKaV4OaueBazVEehAf6SlCnDwlBIjiVo/2ZPdEpghZw4Tl+5baLw+0tHscHqSpY69dWqul6sdNhanoaUCNzrflucKkQBTDUP8vefN/pUE+/zwuh2uHs1Wtlc3vVrl54nYSOKM5vi5O84jFzmChDNY8dU94FzzkD4giGBloWNc93Buj0WEFzz8aL9JyPnxtsWxCTqmCMvzSpppvFNjG3JMxsAjEn08mFVYNCT5fwoVUW7wS1TdHOC/e0JqcXmKdQ63HhjnVmay0xpx4XpAgdUVx8MakUoddZUHpMPTaBG2hksKxX+M39AR89C7Ji9n/HYr91Po9A5rj6ci45/4xgw/FBGr20Wks3i9GZtzMfYT7AWXbiGPYdhFcOKC8fgDA62n9O8jA7rxjIUuhYWgTXrrNXJ6EZPBrk7KoqUZzfHVVyM8Ni66wtutQWRirt8Nwr8Kk7HVvvKNj4uYInnlKSGjNJd0xGW+b3KmjuuXa9XLF6uVnz/kyKrqu2ZetnWDxGmOezKgLUhIcfUZ7fW16ND76j3P+gIonM1kmOwWjL/CKQNZT+5UV8/XB4rRXpOVZ22zjO742SHPVy7HN5q0lpvrl3n7YCwmDW+9wPl8XQtybJTPGQo/uHUpY+zQp2bZTh5X3mgjkNq7t3VEF0S0fn1JeD0JU1Z+aO0rJXGwvGzFpzFxIHZ6yEagUqCVy13nL3LYZABO9nMBzV1mxdv5S3ZXwBS/pJ9h8IGn99oXgcyABk3097+uIk+8WS7onL/cyebEACMCGYAIIIlRAxdnbl4lHJ8S6nEueYqGB8vKCtCq5QGlNahlvLFmFZFFvGKPjpwGh5IFEhjpV/v5i8u+aOxraRcf8XgMBaf2utLf0YokCI2BgN2srLva1DUEdsFUxcApZpkTmUBugkmZ/AunHa6kfIsinyPEVsDupAFZ3HnkrJ3PRRTxFELEYCisxx5mrfs/2y6Jof/bbxNJDJyO7qvmqtMaQ2QII2JO5G4n4Ie5GgA7E1sEnZ6xPTkgkKFCVQN4nXI6g7jPoR1I2gbgz8OOoy8B7xOk/WzbErBWBMAlTBO6LgCH/7h9m38Z50+9iUfzYIo6Lb2FLkYi1iQkQEIUN1DFwD1Jbhl5aNV1raveIwIqjEqK+XUsCj5IgWaFmyS1B+ni6n9wwjCKY8vRfKeWf5wTXnhBt/9/d0XzA2Vnm4zWXbwjatiEuF7JBQjJehbSaImCY4aVbfOaVkOnY0Ebiyu+YbiHPgBbyZZW7mjDC3UeZdAUyAei2c6DP/sgde2J/u90osr/yks/bD3enl7XVZ21Y17UasiBHBGIyUVcpYEREpGZa5+SnIbNEuBYZ6xTmnRebIXa46DfADOg9SflIKp+6Nd/S9h/+UP/nqm8XzCof+NwAYBT9voHCGOAAAAABJRU5ErkJggg==");
	background-position: left 15px top 15px;
	background-repeat: no-repeat;
}

.desc p{
	padding-left:70px;
	padding-right:15px;
	padding-top:15px;
}

h2 {
	font-weight:normal;
	font-size:20px;
	padding-top:5px;
	margin-bottom:10px;
}

.aq {
	margin-top:1px;
	background:#ffffff;
	padding:15px;
}

.aq a{
	font-size:13pt;
	color:#0097F2;
	text-decoration:none;
}

#toggleText {
	padding:15px;
	background:#f3f3f3;
}

#toggleText1 {
	padding:15px;
	background:#f3f3f3;
}

#toggleText2 {
	padding:15px;
	background:#f3f3f3;
}

#toggleText3 {
	padding:15px;
	background:#f3f3f3;
}

.butvw {
	margin:14px auto 0px auto;
	width:281px;
	height:63px;
	background-image: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAARkAAAA/CAYAAADUkryIAAAACXBIWXMAAA7DAAAOwwHHb6hkAAAKT2lDQ1BQaG90b3Nob3AgSUNDIHByb2ZpbGUAAHjanVNnVFPpFj333vRCS4iAlEtvUhUIIFJCi4AUkSYqIQkQSoghodkVUcERRUUEG8igiAOOjoCMFVEsDIoK2AfkIaKOg6OIisr74Xuja9a89+bN/rXXPues852zzwfACAyWSDNRNYAMqUIeEeCDx8TG4eQuQIEKJHAAEAizZCFz/SMBAPh+PDwrIsAHvgABeNMLCADATZvAMByH/w/qQplcAYCEAcB0kThLCIAUAEB6jkKmAEBGAYCdmCZTAKAEAGDLY2LjAFAtAGAnf+bTAICd+Jl7AQBblCEVAaCRACATZYhEAGg7AKzPVopFAFgwABRmS8Q5ANgtADBJV2ZIALC3AMDOEAuyAAgMADBRiIUpAAR7AGDIIyN4AISZABRG8lc88SuuEOcqAAB4mbI8uSQ5RYFbCC1xB1dXLh4ozkkXKxQ2YQJhmkAuwnmZGTKBNA/g88wAAKCRFRHgg/P9eM4Ors7ONo62Dl8t6r8G/yJiYuP+5c+rcEAAAOF0ftH+LC+zGoA7BoBt/qIl7gRoXgugdfeLZrIPQLUAoOnaV/Nw+H48PEWhkLnZ2eXk5NhKxEJbYcpXff5nwl/AV/1s+X48/Pf14L7iJIEyXYFHBPjgwsz0TKUcz5IJhGLc5o9H/LcL//wd0yLESWK5WCoU41EScY5EmozzMqUiiUKSKcUl0v9k4t8s+wM+3zUAsGo+AXuRLahdYwP2SycQWHTA4vcAAPK7b8HUKAgDgGiD4c93/+8//UegJQCAZkmScQAAXkQkLlTKsz/HCAAARKCBKrBBG/TBGCzABhzBBdzBC/xgNoRCJMTCQhBCCmSAHHJgKayCQiiGzbAdKmAv1EAdNMBRaIaTcA4uwlW4Dj1wD/phCJ7BKLyBCQRByAgTYSHaiAFiilgjjggXmYX4IcFIBBKLJCDJiBRRIkuRNUgxUopUIFVIHfI9cgI5h1xGupE7yAAygvyGvEcxlIGyUT3UDLVDuag3GoRGogvQZHQxmo8WoJvQcrQaPYw2oefQq2gP2o8+Q8cwwOgYBzPEbDAuxsNCsTgsCZNjy7EirAyrxhqwVqwDu4n1Y8+xdwQSgUXACTYEd0IgYR5BSFhMWE7YSKggHCQ0EdoJNwkDhFHCJyKTqEu0JroR+cQYYjIxh1hILCPWEo8TLxB7iEPENyQSiUMyJ7mQAkmxpFTSEtJG0m5SI+ksqZs0SBojk8naZGuyBzmULCAryIXkneTD5DPkG+Qh8lsKnWJAcaT4U+IoUspqShnlEOU05QZlmDJBVaOaUt2ooVQRNY9aQq2htlKvUYeoEzR1mjnNgxZJS6WtopXTGmgXaPdpr+h0uhHdlR5Ol9BX0svpR+iX6AP0dwwNhhWDx4hnKBmbGAcYZxl3GK+YTKYZ04sZx1QwNzHrmOeZD5lvVVgqtip8FZHKCpVKlSaVGyovVKmqpqreqgtV81XLVI+pXlN9rkZVM1PjqQnUlqtVqp1Q61MbU2epO6iHqmeob1Q/pH5Z/YkGWcNMw09DpFGgsV/jvMYgC2MZs3gsIWsNq4Z1gTXEJrHN2Xx2KruY/R27iz2qqaE5QzNKM1ezUvOUZj8H45hx+Jx0TgnnKKeX836K3hTvKeIpG6Y0TLkxZVxrqpaXllirSKtRq0frvTau7aedpr1Fu1n7gQ5Bx0onXCdHZ4/OBZ3nU9lT3acKpxZNPTr1ri6qa6UbobtEd79up+6Ynr5egJ5Mb6feeb3n+hx9L/1U/W36p/VHDFgGswwkBtsMzhg8xTVxbzwdL8fb8VFDXcNAQ6VhlWGX4YSRudE8o9VGjUYPjGnGXOMk423GbcajJgYmISZLTepN7ppSTbmmKaY7TDtMx83MzaLN1pk1mz0x1zLnm+eb15vft2BaeFostqi2uGVJsuRaplnutrxuhVo5WaVYVVpds0atna0l1rutu6cRp7lOk06rntZnw7Dxtsm2qbcZsOXYBtuutm22fWFnYhdnt8Wuw+6TvZN9un2N/T0HDYfZDqsdWh1+c7RyFDpWOt6azpzuP33F9JbpL2dYzxDP2DPjthPLKcRpnVOb00dnF2e5c4PziIuJS4LLLpc+Lpsbxt3IveRKdPVxXeF60vWdm7Obwu2o26/uNu5p7ofcn8w0nymeWTNz0MPIQ+BR5dE/C5+VMGvfrH5PQ0+BZ7XnIy9jL5FXrdewt6V3qvdh7xc+9j5yn+M+4zw33jLeWV/MN8C3yLfLT8Nvnl+F30N/I/9k/3r/0QCngCUBZwOJgUGBWwL7+Hp8Ib+OPzrbZfay2e1BjKC5QRVBj4KtguXBrSFoyOyQrSH355jOkc5pDoVQfujW0Adh5mGLw34MJ4WHhVeGP45wiFga0TGXNXfR3ENz30T6RJZE3ptnMU85ry1KNSo+qi5qPNo3ujS6P8YuZlnM1VidWElsSxw5LiquNm5svt/87fOH4p3iC+N7F5gvyF1weaHOwvSFpxapLhIsOpZATIhOOJTwQRAqqBaMJfITdyWOCnnCHcJnIi/RNtGI2ENcKh5O8kgqTXqS7JG8NXkkxTOlLOW5hCepkLxMDUzdmzqeFpp2IG0yPTq9MYOSkZBxQqohTZO2Z+pn5mZ2y6xlhbL+xW6Lty8elQfJa7OQrAVZLQq2QqboVFoo1yoHsmdlV2a/zYnKOZarnivN7cyzytuQN5zvn//tEsIS4ZK2pYZLVy0dWOa9rGo5sjxxedsK4xUFK4ZWBqw8uIq2Km3VT6vtV5eufr0mek1rgV7ByoLBtQFr6wtVCuWFfevc1+1dT1gvWd+1YfqGnRs+FYmKrhTbF5cVf9go3HjlG4dvyr+Z3JS0qavEuWTPZtJm6ebeLZ5bDpaql+aXDm4N2dq0Dd9WtO319kXbL5fNKNu7g7ZDuaO/PLi8ZafJzs07P1SkVPRU+lQ27tLdtWHX+G7R7ht7vPY07NXbW7z3/T7JvttVAVVN1WbVZftJ+7P3P66Jqun4lvttXa1ObXHtxwPSA/0HIw6217nU1R3SPVRSj9Yr60cOxx++/p3vdy0NNg1VjZzG4iNwRHnk6fcJ3/ceDTradox7rOEH0x92HWcdL2pCmvKaRptTmvtbYlu6T8w+0dbq3nr8R9sfD5w0PFl5SvNUyWna6YLTk2fyz4ydlZ19fi753GDborZ752PO32oPb++6EHTh0kX/i+c7vDvOXPK4dPKy2+UTV7hXmq86X23qdOo8/pPTT8e7nLuarrlca7nuer21e2b36RueN87d9L158Rb/1tWeOT3dvfN6b/fF9/XfFt1+cif9zsu72Xcn7q28T7xf9EDtQdlD3YfVP1v+3Njv3H9qwHeg89HcR/cGhYPP/pH1jw9DBY+Zj8uGDYbrnjg+OTniP3L96fynQ89kzyaeF/6i/suuFxYvfvjV69fO0ZjRoZfyl5O/bXyl/erA6xmv28bCxh6+yXgzMV70VvvtwXfcdx3vo98PT+R8IH8o/2j5sfVT0Kf7kxmTk/8EA5jz/GMzLdsAAAAgY0hSTQAAeiUAAICDAAD5/wAAgOkAAHUwAADqYAAAOpgAABdvkl/FRgAAAZ9JREFUeNrs3DFqFHEYxuHfuFOqC7aeQRBEKyEWXmHPYGorxZQBrVKpOYHeIqJgm8oTWAi2K1ZCMjaW2yg7wV2e5whv8fJ+f5gZOv3RHwfV0+pedTuAv/etOq9OpsMbn6qGTtdVz6qX8gG26Pl0ePPV0Nv1QXVWLWQCbNFF9Wis6VjBADNYVMdj03RHFsBM7o41LeUAzGQ5NkkBmM+YlgFmLZlJyQCWDGDJACgZwLkE7NmSuZQC4FwClAzAhpLxJgNYMsAOl4yHX8CSAZQMwKaSybkEWDKAkgHYWDLOJcCSASwZAEsGuPKS8e0S4FwCnEsAlgxgyQCWDIAlA1gygCUDoGSA/7lk/LQKsGSAHS4ZSwawZAAlA+BcAiwZYK9KZvDTKsC5BDiXAJQMcPUl400GsGSAHS4ZD7+AJQPsbMl4kwEsGcCSAbBkACUD7JVr1VoMwEx+jk3Tl+qhLIAZnI81HVVn1UIewBZdVEeL4cHqa/WreiwTYIteXL5evV8M91dVn6uP1a1qWV2XD/APvlcfqieXb1bvqn4DAAD//wMAj8aHxZ0jsK8AAAAASUVORK5CYII=);
	background-repeat: no-repeat;
	text-align:center;
	padding-top:18px;
}

.butvw a{
	font-size:20px;
	color:#ffffff;
	text-decoration:none;
	
}

.bottom-links {
	font-size:14pt;
	width:600px;
	margin: 10px auto 25px auto;
}

.bltext {
	text-align:center;
	padding-bottom:10pt;
}

.bottom-links p{
	padding-bottom:0px;
}

.bottom-links  a{
	font-size: 10pt;
	padding-top:0px;
	text-align:center;
}

.utb {
	font-size: 14px;
}
	</style>
</head>
<script type="text/javascript">
function toggle() {
var ele = document.getElementById("toggleText");
var text = document.getElementById("displayText");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Cosa &#232; successo ai miei file?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Cosa &#232; successo ai miei file?";
}
}
function toggle1() {
var ele = document.getElementById("toggleText1");
var text = document.getElementById("displayText1");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Come posso ottenere i miei file avanti?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Come posso ottenere i miei file avanti?";
}
}
function toggle2() {
var ele = document.getElementById("toggleText2");
var text = document.getElementById("displayText2");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Che cosa devo fare dopo?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Che cosa devo fare dopo?";
}
}
function toggle3() {
var ele = document.getElementById("toggleText3");
var text = document.getElementById("displayText3");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Non riesco ad accedere al tuo sito web, cosa devo fare?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Non riesco ad accedere al tuo sito web, cosa devo fare?";
}
}

window.onload = function(){
	toggle();
	toggle1();
	toggle2();
	toggle3();
}

</script>
<body>

<div class="wrapper">
	<div class="header">
		<div class="top"><p style="color:#ff0000;">ATTENZIONE</p>Abbiamo criptato i file con virus CryptoLocker</div>
			<div class="desc">
			<p>
			I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati cifrati con il virus CryptoLocker. L'unico modo per ottenere il vostro file avanti &#232; quella di acquistare il nostro software di decodifica. In caso contrario, i file verranno persi.
			<br><br>
			<strong>Attenzione:</strong> Rimozione di CryptoLocker non ripristinare l'accesso ai file crittografati.
			</p>
			</div>
	</div><!-- .header-->
	
	<div class="footer">
		<div align="center">
		<div style="width:360px;padding:10px;background:#CBE7F9;-moz-border-radius:4px;-webkit-border-radius:4px;border-radius:4px;border:1px solid #000099;">
			<p style="font-size:20px;text-align:center;">
				<a style="color:#000099;" href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">Clicca qui per acquistare software di decodifica</a>
			</p>
		</div>
		</div>
		<div class="bottom-links">
			<p class="bltext">Il nostro sito web dovrebbe essere accessibile da uno di questi link:<br>
			<a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr</a><br>

		</p>
	</div><!-- .footer -->

	<div class="content">
		<h2 class="faq">Domande frequenti</h2> 
		<div class="aq">
<a href="javascript:toggle();" id="displayText">[-] Cosa &#232; successo ai miei file?</a><br>Capire il problema<br></div>
<div id="toggleText" style="display: block;">I vostri file importanti: foto, video, documenti, ecc sono stati cifrati con la nostra virus CryptoLocker. Questo virus utilizza molto forte algoritmo di crittografia - RSA-2048. Rottura di algoritmo di crittografia RSA-2048 &#232; impossibile senza un software speciale decrittazione.</div>

		<div class="aq">
<a href="javascript:toggle1();" id="displayText1">[-] Come posso ottenere i miei file avanti?</a><br>L'unico modo per ripristinare i file<br></div>
<div id="toggleText1" style="display: block;">I file sono ora inutilizzabili e illeggibile, &#232; possibile verificare che cercando di aprirli. L'unico modo per ottenere il vostro file indietro, ripristinarli a una condizione normale, &#232; quello di utilizzare il nostro software speciale decrittazione. È possibile acquistare questo software di decodifica sul <a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">nostro sito</a>.</div>

		<div class="aq">
<a href="javascript:toggle2();" id="displayText2">[-] Che cosa devo fare dopo?</a><br>Acquistare software di decodifica<br></div>
<div id="toggleText2" style="display: block;">Si consiglia di <a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">visitare il nostro sito</a> e <a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">acquistare software di decodifica</a> per il tuo PC. Ogni software di decodifica contiene la chiave di decrittazione che &#232; unico per una PC e in grado di ripristinare i file solo su quel determinato computer, inclusi i file sui dischi di rete.</div>

		<div class="aq">
<a href="javascript:toggle3();" id="displayText3">[-]  Non riesco ad accedere al tuo sito web, cosa devo fare?</a><br>Accesso specchi sito web utilizzando<br></div>
<div id="toggleText3" style="display: block;">Il nostro sito web dovrebbe essere accessibile da uno di questi link:<br>
<a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr</a><br>

<a href="http://3v6e2oe5y5ruimpe.onion/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.onion/buy.php?boe0sr</a> (Utilizzando il browser TOR)<br>
<br>
Se per qualsiasi motivo questi indirizzi non sono disponibili, si prega di seguire le istruzioni o <a href="http://www.deepdotweb.com/how-to-access-onion-sites/" target="_blank">leggere il manuale</a><br><br>

1. Scaricare e installare TOR browser: <a href="http://www.torproject.org/projects/torbrowser.html.en" target="_blank">http://www.torproject.org/projects/torbrowser.html.en</a><br>
2. Al termine dell'installazione, eseguire il browser e attendere l'inizializzazione.<br>
3. Digitare nella barra degli indirizzi: http://3v6e2oe5y5ruimpe.onion/buy.php?boe0sr<br>
4. L'accesso al nostro sito.<br>
<br>
<strong>Inoltre potete contattarci via e-mail:</strong> <a href="mailto:decrypthelp@mail15.com">decrypthelp@mail15.com</a>
</div>
</div>


	</div><!-- .content-->

</div><!-- .wrapper -->

</body>
</html>
Aggiungo anche l'hash del suddetto file html creato con un calcolatore online, potrebbe essere utile.
Results
Original text (binary only)
Original bytes 3c68746d6c3e0d0a3c686561643e0d0a093c6d657461206874... (length=17574)
Adler32: 548a7e57
CRC32: f4ad015b
Haval: 4ff59dd1f723ddbb0e675932c3621765
MD2: a0b4db78b3d5252c4ea7e423b8e28136
MD4: e4034eaec85bfbce7ae5138e231d98f4
MD5: 7a06601d6bb699061d17974f9f2a32fb
RipeMD128: 4dcaa0529b0a715a6bdd5465bf043a19
RipeMD160: f9d58b2e2f6d76d620b193387de090554baa1c43
SHA-1: ec8b513a07c976550c4d15b1e51a9d94c8e8bfdc
SHA-256: c6625f4acbdd4ba0eb3fe7fb3be72d32ded5e9efad92c8faf1f59cb447bb7fdb
SHA-384: c97620f2cddb4d34e49a37b07e83bebce8c8ab62e67acd4814c84bc7adabd41ba07dcfc7eea8b775d990ae12a70377c1
SHA-512: 237b50cb10702d99e5c0677d41d449bc8b334e3a604aab8b87af85e5d820b70d66169539c930d61423f4646be96d454cdaacc3eb154087f08aaff4f55e02924e
Tiger: d227c58d2c5afaa057b6f6f5ee755d4ae6118a828a9fb99e
Whirlpool: 3c7555671fbdcf0edb95b45a4b5c7b240e21cbfa60debce0f6027b6079492820e59797873641d0560058bc1b49e85ff894eeec09de6d71bd642f076150a20e45
Per fortuna sembra autodistruggersi dopo aver eseguito il payload e di lui non rimane più traccia. Da li la difficoltà di reperire un campione utile ad aggiornare le firme virali.

Su register un articolo sulla minaccia
http://www.theregister.co.uk/2014/10/23 ... _outbreak/
I :amore Sasha

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da System » ven ott 24, 2014 12:27 pm


Avatar utente
speedyant
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 595
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da speedyant »

Quindi era una mail? Ad aprile mi era capitato un caso simile, con cryptolocker, parato anche in quel caso con backup.
A "memoria", sai se abbia "attaccato" anche percorsi del tipo \\nomeserver\risorsacondivisa, oltre ad eventuali "mappature" di unità?

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: R: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da Al3x »

Non nel mio caso, ha invaso solo l' unità mappata nel profilo di quell'utente. Ho il sospetto che quel malware sia ridotto all'osso e privo di capacità di scansione sofisticate. Ho più la sensazione che sia progettato per sfruttare le risorse già disponibili come dischi locali e unità di rete.
Considerando la vastità della rete in cui sono, se avesse avuto la capacità di rilevare e connettersi a percorsi UNC, non si sarebbe limitato al solo disco del fileserver.
I :amore Sasha

Avatar utente
speedyant
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 595
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da speedyant »

La cosa "positiva" di questi ramsonware è che puoi testare le politiche di disaster recovery...

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: R: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da Al3x »

Si, in effetti sono fiero di come le politiche di utilizzo delle risorse e della loro salvaguardia abbia funzionato senza sbavature.
Il fatto che sia entrato è per metà un incidente e per la restante parte dovuto a piccole lacune della difesa perimetrale.
D'altra parte la blindatura totale di una rete non è praticabile pena pesanti disagi nelle attività lavorative.
Diciamo che preferisco un pelo di sicurezza in meno ma bilanciato da metodiche rigorose di salvaguardia dei dati che non il contrario.
I :amore Sasha

magopenguin
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 690
Iscritto il: dom ott 27, 2013 2:57 pm

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da magopenguin »

Al3x ha scritto:

Aggiungo anche l'hash del suddetto file html creato con un calcolatore online, potrebbe essere utile.
Results
Original text (binary only)
Original bytes 3c68746d6c3e0d0a3c686561643e0d0a093c6d657461206874... (length=17574)
Adler32: 548a7e57
CRC32: f4ad015b
Haval: 4ff59dd1f723ddbb0e675932c3621765
MD2: a0b4db78b3d5252c4ea7e423b8e28136
MD4: e4034eaec85bfbce7ae5138e231d98f4
MD5: 7a06601d6bb699061d17974f9f2a32fb
RipeMD128: 4dcaa0529b0a715a6bdd5465bf043a19
RipeMD160: f9d58b2e2f6d76d620b193387de090554baa1c43
SHA-1: ec8b513a07c976550c4d15b1e51a9d94c8e8bfdc
SHA-256: c6625f4acbdd4ba0eb3fe7fb3be72d32ded5e9efad92c8faf1f59cb447bb7fdb
SHA-384: c97620f2cddb4d34e49a37b07e83bebce8c8ab62e67acd4814c84bc7adabd41ba07dcfc7eea8b775d990ae12a70377c1
SHA-512: 237b50cb10702d99e5c0677d41d449bc8b334e3a604aab8b87af85e5d820b70d66169539c930d61423f4646be96d454cdaacc3eb154087f08aaff4f55e02924e
Tiger: d227c58d2c5afaa057b6f6f5ee755d4ae6118a828a9fb99e
Whirlpool: 3c7555671fbdcf0edb95b45a4b5c7b240e21cbfa60debce0f6027b6079492820e59797873641d0560058bc1b49e85ff894eeec09de6d71bd642f076150a20e45
Al3x ciao.

Mi spieghi com'è che l'hash cambia (forse usando programmi diversi,par la verifica dello stesso :?: ) .

Cioè io credevo che l'hash di un file è univoco,al di la del programma con il quale lo si ricava.

magopenguin
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 690
Iscritto il: dom ott 27, 2013 2:57 pm

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da magopenguin »

:s

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: R: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da Al3x »

Perché sono ottenuti con algoritmi differenti.

http://goo.gl/r7TM6d
I :amore Sasha

magopenguin
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 690
Iscritto il: dom ott 27, 2013 2:57 pm

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da magopenguin »

Ah beh :->

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da Al3x »

Oggi é sabato :mrgreen:
I :amore Sasha

[Claudio]

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da [Claudio] »

Non riguarda espressamente CritpoWall ..... comunque siamo in tema ransomware: decryptcryptolocker.

Una volta ottenuta la masterkey e il link per il download del tool sarà possibile decifrare, un file alla volta, tutti i file in una cartella o tutti i file su disco.

Il tool richiede l’uso del prompt dei comandi di Windows; il recupero dei file non è garantito al 100%, in quanto il database CryptoLocker potrebbe non contenere la chiave cercata oppure perché i file sono stati criptati con una versione più recente del malware.

Altro, QUI.

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da hashcat »

@Al3x

Secondo quanto pubblicato su bleepingcomputer, le ultime versioni del malware cercano^ di rimuovere anche le copie di shadow:
Newer variants of CryptoWall will attempt to delete all shadow copies when you first start any executable on your computer after becoming infected. Thankfully, the infection is not always able to remove the shadow copies, so you should continue to try restoring your files using this method.
^Talvolta l'operazione sembra fallire
“The quieter you become, the more you can hear”

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da Al3x »

hashcat ha scritto:@Al3x
Secondo quanto pubblicato su bleepingcomputer, le ultime versioni del malware cercano^ di rimuovere anche le copie di shadow:
Avevo letto la pagina di bleepingcomputer sulla analisi del CryptoWall, quella è una pratica piuttosto comune ai ransomware, una prevedibile contromisura a tutte le attività che potrebbero far recuperare i dati della vittima. Nel mio caso i dati erano in una condivisione su un servente di rete nella quale gli utenti NON hanno accesso Completo ma solo fino a Modifica (permessi NTFS in ambiente di dominio), motivo per cui il malware non ha potuto fare nulla ai danni delle copie shadow. Oltretutto sono attive le quote disco per cui un possibile malware che possa prevedere il saturamento di una risorsa condivisa con dati casuali, farebbe danni limitati ai 200MB assegnati ad ogni utente.
Finché il comportamento sarà quella di rinominare i file modificandone l'estensione, qualsiasi pratica di backup potrà agevolmente rimediare ai danni subiti. Nel caso invece cambiassero rotta lasciando inalterati i nomi e le estensioni, un eventuale backup incrementale sostituirebbe le copie lecite e sarebbero guai.
I :amore Sasha

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: [Sicurezza] Minaccia CryptoWall 2.0

Messaggio da System » mer ott 29, 2014 7:18 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio