Keysteal

Keysteal9722

Guru e mentore Informatico

Estorsione da virus informatico....

Salve a tutti, voglio raccontarvi un'esperienza indiretta di estorsione informatica. Il cliente di un mio cliente di cui sono consulente s'é ritrovato una mattina una serie di files del suo server con estensione .SUPERCRYPT accompagnato da un testo che si chiamava: HOW TO DECRYPT FILES.txt e il testo (censurato da alcune parti) si descriveva così:

"If you are reading this file, then all your files have been LOCKED with the most strongest cipher. 

All your data - documents, photos, videos and backups - everything in encrypted. Just check it for yourself.

The only way to recover your files - contact us via supercrypt@XXXXXXX.com 

Only WE have program that can completely decrypt YOUR files.

Attach to E-MAIL:

1. Text file with your code ("HOW TO DECRYPT FILES.txt") 

2. One encrypted file (please dont send files bigger than 1 MB) 

We will check your code from text file and send to you OUR CONDITIONS and your decrypted file as proof that we actually HAVE decrypter.

Remember: 

1. The faster you'll CONTACT US - the faster you will RECOVER your FILES. 

2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FILES.txt" 

3. If you haven't received reply from us - try to contact us via public e-mail services such as Yahoo or so.

====================

XXXXXXX33D1BBA2D1A291FB499BB48B6E1F94ECE7CB4FDC8638D1B0D3686D4

5B49C79A6D093CD601B38DDDBFBAXXXXXXXXXXXXXXX2846E77B8F37EB3FD4

92C5DAD52BE2D989DD0XXXXXXXXXXX5D7F6F523FE31474185E2E07CA3AD

A0D732AXXXXXXXXXXXXX24D7DFCEA66493A559F7A1520D5E38292FADC3D5B07

1B424441544352434841452FB4B6CF990EFABBEC92E982ECDC3E023759330326

===================="

Il mio cliente mi chiama allarmato pensando che fosse causato da un aggiornamento di Windows,

ma leggendo quel testo e facendo una ricerca su internet, capisco che si tratta di un'azione di hacking

a scopo di estorsione. Su internet purtroppo non ci sono soluzioni a questo tipo di situazioni. Gli estorsori criptano files di una lista circa di 110 estensioni (quelli di office, tutti i  files di immagini, i pdf, etc.etc.) con una chiave univoca a 1024 bits. Il server non aveva installato un antivirus (non so dire perché) e i backup fatti con disco esterni sono stati anch'essi criptati (furbi). Purtroppo ho consigliato al mio cliente di pagare altrimenti l'azienda del suo cliente rimaneva ferma, e per 300 € spesi valevano le migliaia di euro di danni dell'azienda ferma. Per pagare i delinquenti informatici inviano una e-mail dove danno precise istruzioni di come fare:

o pagare con 3 "voucher" da 100 € o 6 "voucher" da 50 € utilizzando il servizio Ukash (non conoscevo questo sito), oppure pagando con Bitcoin (utilizzato da molti delinquenti nella "deep internet"). Abbiamo optato per ukash, che ho scoperto avere molti punti di vendita, specialmente nei supermercati. Abbiamo comunicato agli estorsori i 3 voucher (codici da 19 caratteri l'uno),e dopo qualche ora abbiamo ricevuto le istruzioni per decriptare i files (ci fanno scaricare un software appositamente compilato per funzionare con la nostra chiave di criptaggio). Facendo una scansione con Antimalware, ho scoperto che era funzionante un trojan (usato per accedere da remoto probabilmente del nome di TROJAN.DROPPER) utilizzando un eseguibile su System32 del nome di svrhst.exe (furbi). Ovviamente ho già provveduto a farlo rimuovere dopo che la "transazione" era conclusa e i files decriptati. Nella loro disonestà almeno sono stati onesti e ci hanno permesso di riavere i files integri. E' veramente inquietante quello che è successo, anche perché non ho idea di come abbiano potuto installare un malware, io penso sia stato causato da un utente che si connette da remoto tramite RDP. Purtroppo non gestisco io quel server, quindi non ho potuto indagare più di tanto. Spero che sia stato utile.

 07/10/2014 08:12:00
utente anonimo
Aggiungi il tuo commento
95 commenti
spotlessmind1975

spotlessmind197538285

Software Problem Solver / Libero Professionista

Non è una novità, purtroppo! 


Questo tipo di software si chiama ransomware, ed esiste dal 1989. Il primo esemplare fu il famoso (o meglio famigerato) floppy che doveva essere un approfondimento sull'AIDS e che, invece, bloccava il PC fino alla comunicazione del codice da parte dell'autore.


L'unica soluzione per mitigare il problema è disporre di un sistema di backup separato, tenuto in efficienza con verifiche periodiche del ripristino: il cliente del tuo cliente lo aveva? In caso contrario, è comunque soggetto a perdite economiche legate, ad esempio, alla rottura del computer.

 07/10/2014 08:23:47
Keysteal

Keysteal9722

Guru e mentore Informatico

spotlessmind1975, si l'ho scritto...aveva un disco esterno (che essendo sempre connesso al PC, hanno criptato anche quello!)...comunque nella "letteratura" so che esiste da diverso tempo, ma finché riguarda gli altri lo vedi come qualcosa di astratto, ma quando ti capita da vicino, ti senti un emerito stupido, anche se quel server non era "affar" mio. 
 07/10/2014 08:40:03
spotlessmind1975

spotlessmind197538285

Software Problem Solver / Libero Professionista

in risposta a ↑@Keysteal, scusa ma che sistema di backup "separato" è quello che è accessibile come un normale disco?
 07/10/2014 08:41:43
Keysteal

Keysteal9722

Guru e mentore Informatico

in risposta a ↑ spotlessmind1975, è quello che usa questa azienda. Comunque se si rompe un disco di un computer lo recupera da un disco collegato in USB. Gli avevo tempo addietro  già suggerito sistemi di backup cloud come quello di Acronis, ma per l'eccessivo costo probabilmente non è stato preso in considerazione.
 07/10/2014 08:49:20
spotlessmind1975

spotlessmind197538285

Software Problem Solver / Libero Professionista

in risposta a ↑

@Keysteal, scusa forse non mi sono spiegato bene. 


I sistemi di backup efficienti sono quelli che hanno una macchina dedicata in rete con uno o più dischi esterni collegati e accessibile solo attraverso il software di backup (oppure con un NAS con dischi esterni). Quando il disco si rompe, il ripristino impiega esattamente il tempo che impiega il tuo, ma ovviamente non è accessibile ai software ostili.


Comunque non capisco la remora a spendere su questi fronti: mi sembra che il costo di una rottura e dell'indisponibilità dei dati sia molto maggiore...

 07/10/2014 08:53:44
Keysteal

Keysteal9722

Guru e mentore Informatico

in risposta a ↑ spotlessmind1975, purtroppo tu puoi anche suggerire, ma alla fine è il cliente che decide se la spesa vale o no. Poi ti ripeto, non è un server che gestisco io direttamente, e neanche il mio cliente. Ma per evitare un fermo troppo eccessivo ho dovuto prendere quella decisione.
 07/10/2014 08:58:43
spotlessmind1975

spotlessmind197538285

Software Problem Solver / Libero Professionista

in risposta a ↑

@Keysteal, scusa ma in queste condizioni si tiene il danno.

Non capisco perché affannarsi tanto...

 07/10/2014 09:39:14

Un gruppo di ricercatori ha trovato le chiavi di decrittazione di cryptolocker, il virus in questione, ti rimando alla pagina di spiegazione di un amico (non so se vale per tutte le varianti del virus):

http://www.guidami.info/2014/08/cryptolocker-come-sbloccare-i-file-criptati-senza-pagare.html

 07/10/2014 08:52:00
Keysteal

Keysteal9722

Guru e mentore Informatico

rico68, ho già provato alcuni software prima di "cedere" al ricatto, ma invano. Avevo già uploadato proprio in quel sito uno dei file criptati, e non è stato riconosciuto come infetto da Cryptlocker. Penso sia una variante.
 07/10/2014 08:56:11

Il sistema di trojan che lavorano con Ukash ha colpito moltissime persone un paio di anni fa, con il nome CTFmon. Faceva comparire una schermata (fasulla) del ministero delle finanze o in alternativa della polizia postale  e bloccava il computer. 

Il trucco era riavviare in modalità provvisoria staccando il cavo di rete e facendo certe operazioni.

Ricordatevi sempre di avere almeno un profilo di riserva come amministratore nelle vostre macchine, siano computer di casa o server aziendale.

Secondo me non dovevate pagare, i files non erano realmente bloccati nè criptati.

Con un pc non infetto dovevate fare una ricerca mirata su internet, anche nel sito della polizia postale, il DROPPER quello che ha colpito voi é noto da almeno un anno e trovi la rimozione in svariati siti.


https://www.youtube.com/watch?v=J_7VHlrQmQc



Per l' ukash CTFmon la procedura era questa:


- riavviare il computer in modalità provvisoria  e andare in Start - tutti i programmi - esecuzione automatica.
- troverete un collegamento (spesso si chiama CTFmon, ma può avere altri nomi) che, se clickate col tasto destro e scegliete proprietà, contiene questa riga di comando:

%systemroot%\system32\rundll32.exe C:\Users\(vostro nome utente)\AppData\Local\Temp\install_0_msi.exe,FQ10    (il nome può essere diverso)

- Cancellate questo collegamento e svuotate il cestino.
- Poi dovete andare nella vostra cartella:
- C:\Users\(vostro nome utente)\AppData\Local\Temp\

- cancellare il file che veniva richiamato dal collegamento.

- Riavviate il pc e dovreste aver risolto.



 07/10/2014 08:58:57
Keysteal

Keysteal9722

Guru e mentore Informatico

ademontis, guarda che era un server 2003 non un windows desktop. E stai scrivendo a un "non sprovveduto". Ho perso mezza giornata ieri prima di decidere se pagare o no. E il tempo di fermo non poteva essere eccessivo. Ovvio che non bisogna cedere ai ricatti, ma quando un'azienda è ferma (anche per colpa loro sia chiaro) non puoi star troppo a perderci del tempo.
 07/10/2014 09:04:06
in risposta a ↑ Keysteal, cosa significa "era un server 2003 non un windows"? che sistema operativo aveva?
 07/10/2014 09:05:33
Keysteal

Keysteal9722

Guru e mentore Informatico

in risposta a ↑ ademontis, ho corretto subito dopo averlo pubblicato con "windows desktop"...forse non  lo avevi letto...
 07/10/2014 09:15:52
in risposta a ↑ Keysteal, non cambia niente se é windows server 2003 o windows xp, o windows 7 etc. Una volta che il trojan é entrato, il trattamento é lo stesso.
 07/10/2014 09:18:10
Keysteal

Keysteal9722

Guru e mentore Informatico

in risposta a ↑ ademontis, ti ringrazio..comunque da remoto (il server in questione si trova a 100km da dove abito) non potevo combinare molto, e avevo già fatto tutte le verifiche del caso.
 07/10/2014 09:31:34
fenix

fenix601

Studente

È una discussione interessante, penso che sarebbe stato impossibile decrittarlo senza il software con cui è stato creato, in quanto la chiave di decrittazione è sicuramente diversa per ogni tipo di malware di quel tipo.. Penso che l'unico modo sia pagare oppure organizzare un backup da tenere molto lontano dalla linea internet, per evitare di renderlo inutilizzabile.

 07/10/2014 09:02:43
Keysteal

Keysteal9722

Guru e mentore Informatico

fenix, questo è poco ma sicuro...quando la frittata è fatta ti senti "stupido" e inerme.
 07/10/2014 09:30:14
fenix

fenix601

Studente

in risposta a ↑

Keysteal, in ogni caso sono sicuro ci sia un modo, cioè ricavano la chiave partendo dal codice che viene fornito. Ma non credo sia semplice.

 07/10/2014 09:50:29
Questo utente si è disattivato

Decisamente interessante. Un buon antivirus dovrebbe monitorare l'attività di un eseguibile, rilevando le anomalie quali, ad esempio, l'invocazione della modalità TSR (basta monitorare l'interrupt relativo), se il programma si pone in autostart alla partenza di Windows, se ricerca o accede sistematicamente ai  files ad estensione PDF, DOC, se esegue delle modifiche di eseguibili o quant'altro.

Questo al di là del fatto che al momento della prima esecuzione l'eseguibile dovrebbe essere scansito e che Windows potrebbe aver segnalato l'assenza di certificazione chiedendo il consenso di mandarlo in esecuzione.  Non si tratta di onestà nella disonestà, se si limitassero a danneggiare il contenuto dell'HD nessuno più pagherebbe.

Purtroppo è una partita a scacchi, così come nel caso della protezione di programmi o del materiale audiovisivo. Mi chiedo però se l'azienda ha dei programmi antivirus e antimalware e soprattutto se li aggiorna ed esegue regolarmente la scansione. 

Il programma esegue una criptazione reversibile, quindi, come qualcuno ha osservato, è possibile elaborare un algoritmo che, ad esempio, elabori e applichi una sequenza di password fino a trovare quella corretta (force brute). 

Un azienda dovrebbe porre una grande attenzione alla protezione dei dati elaborati, sia eseguendone regolarmente delle copie che evitando le occasioni di attacco, prima fra tutte l'accesso a Internet.

TROJAN.DROPPER è un termine generico che indica una applicazione malware.

 07/10/2014 09:20:22
Keysteal

Keysteal9722

Guru e mentore Informatico

robertnash, ho specificato nel post che non aveva antivirus installati, anche perché non ho idea di come venga usato quel server, non lo gestisco io.
 07/10/2014 09:32:48
Questo utente si è disattivato
in risposta a ↑

Keysteal, 

non avevo letto, al giorno d'oggi non avere un antivirus installato sul computer significa aver rimosso quello incluso nel sistema operativo


 07/10/2014 09:44:42

QUAG SI IMPEGNA A PROTEGGERE LA TUA PRIVACY

Cookie

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Accettando questo banner, acconsenti all’uso dei cookie.
Vedi il documento in dettaglio »


La presente informativa descrive “che cosa sono i cookie” e quali sono i tipi di cookie utilizzati da Quag nel proprio sito Web.

Che cosa sono i cookie?

Un “cookie” è un file di testo che i siti Web inviano al computer o a un altro dispositivo connesso a Internet del visitatore, per identificare univocamente il browser del visitatore stesso o per salvare informazioni o impostazioni nel browser.

Quag utilizza i cookie nel proprio sito Web?

Quag utilizza i cookie per migliorare il proprio sito Web, per fornire servizi e funzionalità agli utenti, per proporre contenuti e pubblicità in linea con gli interessi del singolo utente. È possibile limitare o disattivare l’utilizzo dei cookie tramite il proprio browser Web, tuttavia, in questo caso, alcune funzionalità del nostro sito potrebbero diventare inaccessibili.

Quali sono tipi di cookie utilizzati da Quag?

Cookie essenziali
Questi cookie sono essenziali per consentire all’utente di navigare nel Sito e utilizzare tutte le sue funzionalità. Senza questi cookie, che sono assolutamente necessari, non saremmo in grado di fornire alcuni servizi o funzioni e la navigazione sul Sito non sarebbe agevole e facile come dovrebbe essere.

Cookie funzionali
Questi cookie consentono al sito Web di ricordare le scelte effettuate dall’utente al fine di ottimizzare le funzionalità. Ad esempio, i cookie funzionali consentono al sito Web di ricordare le impostazioni specifiche di un utente.

Cookie analitici
Questi cookie consentono di raccogliere dati sull’utilizzo del sito Web da parte dell’utente, compresi gli elementi su cui si fa clic durante la navigazione, al fine di migliorare le prestazioni e il design del sito stesso, ci aiutano inoltre a comprendere ogni difficoltà che l’utente può incontrare nell’utilizzo del Sito. I cookie in questione sono utilizzati esclusivamente per le finalità correlate alla gestione del nostro sito Web.

Cookie di profilazione
I cookie di profilazione vengono utilizzati per analizzare gli interessi e le abitudini di navigazione dei singoli utenti, per personalizzarne la navigazione, per proporre contenuti, anche pubblicitari, in linea con gli interessi dell’utente.

Cookie di terze parti
I cookie di terze parti possono essere sia tecnici che non tecnici, e vengono utilizzati per migliorare l’esperienza di utilizzo del sito da parte dell’utente, per proporre contenuti in linea con gli interessi dell’utente, per pubblicità di potenziale interesse per il singolo utente. I cookie possono essere erogati direttamente dal gestore del sito sul quale si sta navigando (cookie di prima parte) o, nel caso il sito si appoggi a servizi esterni per particolari funzioni, da terzi (cookie di terze parti).
Quag utilizza cookie sia tecnici che non tecnici, anche di terze parti, al fine di migliorare l’esperienza di utilizzo da parte dell’utente, ad esempio secondo il browser utilizzato, selezionando la tipologia dei contenuti visualizzati, proponendo pubblicità in linea con gli interessi per il singolo utente.
Se ti trovi sul sito Quag e visualizzi il banner informativo dell’esistenza dei cookie, accettandolo acconsenti all’utilizzo dei cookie descritti nella presente informativa e implementati nelle pagine del sito Quag.

Come si disattivano o si rimuovono i cookie?

E’ possibile disabilitare le funzioni dei cookie direttamente dal browser che si sta utilizzando, secondo le istruzioni fornite dai produttori.
La maggior parte dei browser permette di impostare regole per gestire i cookie e offre così agli utenti la possibilità di un controllo della privacy, negare la possibilità di ricezione dei cookie, modificare le scelte fatte. Di seguito sono riportate le indicazioni per la gestione dei cookie tramite le impostazioni dei principali browser, facendo ctrl+click sul nome del browser si verrà mandati alla pagina con le relative istruzioni:

Cookie di terze parti utilizzati da Quag
Durante la navigazione su Quag possono essere rilasciati cookie tecnici e non gestiti da terze parti, per finalità tecniche, statistica, per l’erogazione di pubblicità. Questi cookie sono gestiti esclusivamente da terze parti. Si riportano qui di seguito le terze parti coinvolte, i link ai loro siti e alle loro politiche di gestione dei cookie, con indicazione delle relative finalità.

Google Analytics - Cookie statistici
Cookies policy di Google

Google AdSense e DoubleClick (Google Inc.) - Cookie di profilazione
Cookies Policy in Advertising - OptOut

Newrelic e nr-data.net – cookie tecnici
Privacy Policy Newrelic

Facebook - Cookie di profilazione
Cookies Policy di Facebook

Twitter - Cookie di profilazione
Cookies Policy di Twitter

Linkedin - Cookie di profilazione
Cookies Policy di Linkedin

embed.ly - Cookie tecnici
Privacy Policy di Embed

Per ulteriori informazioni sulla pubblicità comportamentale e per sapere come attivare o disattivare singolarmente i cookie e avere indicazioni sui software di gestione dei cookie, è possibile fare riferimento a questo indirizzo:
http://www.youronlinechoices.com/it/

Per sapere come attivare o disattivare la profilazione pubblicitaria sulle applicazioni mobile è possibile fare riferimento a questo indirizzo:
http://www.aboutads.info/appchoices

Ulteriori informazioni sul trattamento dei dati personali degli utenti da parte di Quentral possono essere consultate nella Informativa Privacy.


Questo sito utilizza cookie di profilazione per inviarti pubblicità e servizi in linea con le tue preferenze.


Loader