HELP decriptare i dati rapiti da CTB-Loker

[frakka]

In giro c'erano due tipologie principali di queste infezioni (al di là dei nomi utilizzati che possono variare in diverse sfumature): I veri crypto virus ed i fake che, sfruttando la fama dei primi, si facevano pagare i riscatti senza aver fatto assolutamente nulla sul pc dell'utente se non qualche scenetta appariscente.

Se la tua infezione è del secondo tipo, prova semplicemente ad aprire i files presunti criptati e vedi se invece sono normalmente funzionanti.

Se invece ti sei preso una infezione del primo tipo, purtroppo non c'è modo di decriptare i files se non pagando il riscatto richiesto. La tecnologia utilizzata per cifrare i file è una delle più forti attualmente disponibili sul mercato quindi non è probabile riuscire a fare un decrypt a meno che non abbiano davvero lasciato la chiave privata da qualche parte sul tuo pc.
Tempo fà Totocellux ha postato un link ad un sito che permetteva di tentare un decrypt per un utente che ha avuto un problema simile ma temo che non abbia dato esito positivo perchè non c'è più stato riscontro in merito.

[technicianhighweb]

In giro c'erano due tipologie principali di queste infezioni (al di là dei nomi utilizzati che possono variare in diverse sfumature): I veri crypto virus ed i fake che, sfruttando la fama dei primi, si facevano pagare i riscatti senza aver fatto assolutamente nulla sul pc dell'utente se non qualche scenetta appariscente.

Se la tua infezione è del secondo tipo, prova semplicemente ad aprire i files presunti criptati e vedi se invece sono normalmente funzionanti.

Se invece ti sei preso una infezione del primo tipo, purtroppo non c'è modo di decriptare i files se non pagando il riscatto richiesto. La tecnologia utilizzata per cifrare i file è una delle più forti attualmente disponibili sul mercato quindi non è probabile riuscire a fare un decrypt a meno che non abbiano davvero lasciato la chiave privata da qualche parte sul tuo pc.
Tempo fà Totocellux ha postato un link ad un sito che permetteva di tentare un decrypt per un utente che ha avuto un problema simile ma temo che non abbia dato esito positivo perchè non c'è più stato riscontro in merito.

come riconosco e dove posso cercare il file contenente la chiave ?

[technicianhighweb]

dove posso trovare le eventuali copie Shadow ?

[frakka]

Le copie shadow le raggiungi cliccando sul file con il tasto destro -> Proprietà e cercando nella label "Versioni precedenti" ma non credo funzioni... A tutti gli effetti, l'archivio cifrato è un nuovo file, quella originale è stato cancellato. Non credo sia possibile utilizzare la copia shadow per tentare di recuperarlo. Forse usando una utility per il recupero di files cancellati ma non ci spererei...

Vedi se qui c'è qualcosa che ti può essere d'aiuto:
Digital Forensics Today Blog: Examining Volume Shadow Copies ? The Easy Way!
A simple way to access Shadow Copies in Vista - Antimail - Site Home - MSDN Blogs


L'eventuale chiave privata dovrebbe essere contenuta in un normale file di testo che non significa necessariamente ".txt": Il file potrebbe avere qualunque estensione (o anche non averla) ed essere comunque apribile con notepad.

[frakka]

Il post che hai citato prima, che parla della chiave lasciata sul pc, trova riscontro anche qui:

How to remove CryptoDefense virus and restore your files

C'è il link ad una utility che potrebbe decrittare i files se rientri nel caso fortunato di esserti preso una vecchia versione del virus, nelle ultime il bug è stato fixato.
Altrimenti dicono di provare a ripristinare il sistema ad un precedente punto di ripristino ma mi sembra una cavolata... Non mi risulta che i recovery point salvino anche i dati utente.

[Totocellux]

stiamo provando un nuovo e diverso approccio alla soluzione di questo problema.

Appurato che:

1) forzare il recupero della chiave è con ogni probabilità un compito estremamente
proibitivo

2) confidando che il ransomware crei ex-novo i file con un'estensione random
(univoca per ogni pc colpito) sui quali memorizzare il contenuto crittato, provvedendo
subito dopo semplicemente a cancellare (velocemente) gli originali

abbiamo provato a stoppare ogni attività sul sistema infetto, avviando un programma
di recupero file/partizioni alla ricerca dei nostri files originali credendoli solo, presumibilmente,
cancellati.

A questo particolare scopo abbiamo utilizzato, come facciamo di norma, il software GetDataBack.

Su alcune macchine abbiamo avuto riscontri parzialmente positivi (una buona percentuale di
documenti recuperati), ma tutto potrebbe dipendere dall'evoluzione del ceppo del ransomware
utilizzato: purtroppo ne esistono di diversi tipi e non tutti attivano le medesime funzionalità.

Pertanto bisogna solo investire un po di tempo provando con questa tecnica.

Soprattutto, ad ogni buon conto, consiglio di copiare prima possibile i file crittati su un supporto
di memorizzazione esterno. Questo accorgimento potrebbe rivelarsi utile al momento, un domani,
si possa riuscire in qualche modo a recuperare la chiave privata per poterli nuovamente decrittare.

[Filippo Ciringione]

stiamo provando un nuovo e diverso approccio alla soluzione di questo problema.

Appurato che:

1) forzare il recupero della chiave è con ogni probabilità un compito estremamente
proibitivo

2) confidando che il ransomware crei ex-novo i file con un'estensione random
(univoca per ogni pc colpito) sui quali memorizzare il contenuto crittato, provvedendo
subito dopo semplicemente a cancellare (velocemente) gli originali

abbiamo provato a stoppare ogni attività sul sistema infetto, avviando un programma
di recupero file/partizioni alla ricerca dei nostri files originali credendoli solo, presumibilmente,
cancellati.

A questo particolare scopo abbiamo utilizzato, come facciamo di norma, il software GetDataBack.

Su alcune macchine abbiamo avuto riscontri parzialmente positivi (una buona percentuale di
documenti recuperati), ma tutto potrebbe dipendere dall'evoluzione del ceppo del ransomware
utilizzato: purtroppo ne esistono di diversi tipi e non tutti attivano le medesime funzionalità.

Pertanto bisogna solo investire un po di tempo provando con questa tecnica.

Soprattutto, ad ogni buon conto, consiglio di copiare prima possibile i file crittati su un supporto
di memorizzazione esterno. Questo accorgimento potrebbe rivelarsi utile al momento, un domani,
si possa riuscire in qualche modo a recuperare la chiave privata per poterli nuovamente decrittare.

Ho tentato la scorsa settimana con un disco infetto, utilizzando EnCase, ma con esito negativo. Forse la versione che ha attaccato il disco esaminato non creava files temporanei durante il processo di criptazione dei files.

[frakka]

E' una possibilità... E come diceva Totocellux, i ceppi sono i più svariati.
Non conosco nei dettagli come opera questo ransomware e per creare un file cifrato ci sono diverse possibilità con diversi effetti sul filesystem (ad esempio creare un archivio criptato contenente un documento ed eliminare l'originale oppure rinominare il file "in place" e sovrascriverlo con il suo contenuto criptato) quindi non è detto che la strada seguita in un caso, sia valida anche per altri.

Ci sono poi una serie di complicazioni o agevolazioni ulteriori, dipendenti dalla natura del supporto... Una SSD con il trim attivo, ad esempio, potrebbe fare il gioco del ransomware, svuotando le celle di memoria anche se il virus non si era preoccupato di farlo.

[Totocellux]

Ho tentato la scorsa settimana con un disco infetto, utilizzando EnCase, ma con esito negativo. Forse la versione che ha attaccato il disco esaminato non creava files temporanei durante il processo di criptazione dei files.

benvenuto Fili :-)

si, come da notizia ricevuta, il kit di partenza del ransomware (che può essere acquistato ad
una cifra equivalente ~3000$ sulla rete parallela), plausibilmente non prevede una strategia
estremamente sofisticata, come invece quello più avanzato in mano alle vere menti creatrici.
Bisognerebbe poter stabilire con quale livello del malware si ha a che fare.

Alla fin fine, su una macchina con dati rilevanti/sensibili e priva di backup, l'unica alternativa
percorribile rimane portare subito a termine una raw copy del disco e lavorarci su con
maggiore tranquillità.



@frakka

non so se ci hai già riflettuto su, ma non ritieni che in casi come questo ZFS potrebbe in qualche
modo tornare utile con gli strumenti messi a disposizione dalla sua natura così sofisticata?