HELP decriptare i dati rapiti da CTB-Loker

Pagina 2 di 3
prima
1 2 3 ultimo
Visualizzazione dei risultati da 11 a 20 su 26
  1. #11
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Proprio "riflettuto" ancora no ma ho avuto una sorta di intuizione relativa ai vantaggi che potrebbe offrire in generale il COW, mentre ragionavo sugli effetti del TRIM: In effetti qui siano proprio nel caso opposto e, anche in assenza di snapshot, dovrebbe essere drammaticamente più semplice recuperare le versioni non criptate dei files usando la tecnica che hai suggerito. Bisogna poi verificarne l'applicabilità al caso reale (quindi con compressione e/o deduplica attiva) ma sicuramente offre degli spunti di riflessione.
    Anche la possibilità di effettuare degli snapshot periodici (ed inviarli magari ad un dispositivo remoto per la replica) sicuramente può essere una manna, in situazioni del genere.

    Più che altro, stavo pensando ai rischi connessi alla pratica (molto diffusa nelle PMI) di utilizzare per i backup dischi esterni USB/SATA direttamente collegati al dispositivo di storage primario. In un caso del genere, insieme ai dati si perde anche il supporto di backup, quindi predisporne una rotazione e scollegare fisicamente il dispositivo al termine diventa sempre più indispensabile.

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  2. #12
    kibibyte L'avatar di ciccoman
    Registrato
    Oct 2014
    Età
    42
    Messaggi
    306

    Predefinito HELP decriptare i dati rapiti da CTB-Loker

    Salve ragazzi, mi iscrivo alla discussione per rimanere aggiornato sulla situazione.

    Lavoro in un'azienda di servizi informatici e ho avuto a che fare diverse volte con questo tipo di problematica... Purtroppo a oggi la soluzione più economica, in quei casi fine non è attivo un sistema di backup, risulta quella di pagare il riscatto... Non lo ho mai proposto ai nostri clienti e ho sempre sconsigliato di "finanziare i propri aguzzini" qualora mi fosse stato chiesto, ma in un paio di occasioni è stato inevitabile .

    Bisogna ammettere che questi criminali sono stati intelligenti anche nel dimensionare la richiesta... Costa meno pagare il riscatto che cercare vie alternative... anche perché questo diavolo di ransoware è in continuo mutamento e, anche se si dovesse trovare la cura, dopo poche settimane non sarebbe più efficace .

    Comunque vi faccio i complimenti per il lavoro che state svolgendo.

    Rimango in ascolto
    RI7 | AMD Ryzen 9 5900x | Asus B550-XE Strix | Corsair Vengeance RGB Pro 4x8GB 4000 CL19 | nVidia RTX 3080 Strix OC | Corsair Force MP600 Gen.4 1TB NVMe | Corsair H100i RGB Pro XT | Corsair RM1000i | Corsair 4000D Airflow | LG 32GK850G

  3. #13
    ●⁞◌ Ȏrȉzzȏntέ Ðέglȋ ȨvέntȊ ◌⁞●
    Registrato
    Aug 2008
    Località
    Palermo
    Messaggi
    2,952

    Predefinito

    Originariamente inviato da frakka
    [...]
    anche in assenza di snapshot, dovrebbe essere drammaticamente più semplice recuperare le versioni non criptate dei files usando la tecnica che hai suggerito. Bisogna poi verificarne l'applicabilità al caso reale (quindi con compressione e/o deduplica attiva) ma sicuramente offre degli spunti di riflessione.
    [...]
    esatto, oltre a pensarci noi speriamo che qualcun altro legga e possa prendere spunti per
    futuro


    Originariamente inviato da frakka
    [...]
    Anche la possibilità di effettuare degli snapshot periodici (ed inviarli magari ad un dispositivo remoto per la replica) sicuramente può essere una manna, in situazioni del genere.
    [...]
    si, anche perché in tutti i casi su cui mi sono imbattuto (stranamente) la problematica è
    rimasta relegata sui dispositivi di memorizzazione del singolo pc


    Originariamente inviato da frakka
    [...]
    Più che altro, stavo pensando ai rischi connessi alla pratica (molto diffusa nelle PMI) di utilizzare per i backup dischi esterni USB/SATA direttamente collegati al dispositivo di storage primario. In un caso del genere, insieme ai dati si perde anche il supporto di backup, quindi predisporne una rotazione e scollegare fisicamente il dispositivo al termine diventa sempre più indispensabile.
    si, lo storage usb viene purtroppo con ogni probabilità preso di mira dal ransomware


    Originariamente inviato da ciccoman
    Salve ragazzi, mi iscrivo alla discussione per rimanere aggiornato sulla situazione.

    Lavoro in un'azienda di servizi informatici e ho avuto a che fare diverse volte con questo tipo di problematica... Purtroppo a oggi la soluzione più economica, in quei casi fine non è attivo un sistema di backup, risulta quella di pagare il riscatto... Non lo ho mai proposto ai nostri clienti e ho sempre sconsigliato di "finanziare i propri aguzzini" qualora mi fosse stato chiesto, ma in un paio di occasioni è stato inevitabile .
    [...]
    si è innegabile come in alcuni casi valga la pena provare a spendere una cifra tutto sommato
    non troppo elevata.

    Il problema è che in alcuni casi si è verificato che dopo il riscatto non è stata fornita la
    chiave privata di decrittazione.

    Ritengo che non sia volontà premeditata dei criminali, ma più semplicemente una diretta
    conseguenza del fatto che gli ip dei server vengono spostati con massima frequenza (le
    famose 48/72 ore del riscatto) per evitare di dare lo spazio temporale necessario alla
    localizzazione da parte degli inquirenti.

    Quindi più tardi si arriva a pagare (nell'arco dei due/tre giorni di tempo) maggiormente si
    riducono le possibilità che si possa avere la chiave.


    Originariamente inviato da ciccoman
    [...]
    anche perché questo diavolo di ransoware è in continuo mutamento e, anche se si dovesse trovare la cura, dopo poche settimane non sarebbe più efficace .
    [...]
    non è detto in maniera categorica.

    Le chiavi private potrebbero anche derivare da un unico keyring e una volta avuto modo
    di accedere al sistema dei creatori, si potrebbe risalire ad un numero +o- ampio di chiavi
    singolarmente usate nel tempo. Tutto sta nel conoscere le modalità e le frequenze di
    aggiornamento dda parte dei creatori/utilizzatori del ransomware.

    E' un po quello che si è verificato nella fase 1.0 di Cryptolocker con l'intervento di aziende
    quali FireEye (USA) e FoxIt (Olanda) che una volta avuto modo di coadiuvare il lavoro degli
    inquirenti in America ed Europa e subentrare nei sistemi utilizzati, hanno pensato di poter
    dare aiuto a molti mettendo su in proprio e a titolo assolutamente gratuito, il servizio
    offerto dall'ormai famoso:

    https://www.decryptcryptolocker.com/



    Originariamente inviato da ciccoman
    [...]
    Comunque vi faccio i complimenti per il lavoro che state svolgendo.

    Rimango in ascolto
    grazie per l'apprezzamento

    Qui, l'unica cosa veramente a mancarci è un quantitativo adeguato di tempo libero a
    disposizione per poter fare ancora qualcosa in più.

    :-)

  4. #14
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Originariamente inviato da Totocellux
    Qui, l'unica cosa veramente a mancarci è un quantitativo adeguato di tempo libero a
    disposizione per poter fare ancora qualcosa in più.
    :-)

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  5. #15
    Scassatore L'avatar di j0h89
    Registrato
    Apr 2009
    Età
    34
    Messaggi
    3,443

    Predefinito

    Ciao ragazzi.
    Ci sono novità riguardanti un eventuale metodo di risoluzione?
    Il Computer di un amico, con Windows XP, è stato infettato, praticamente quasi completamente, nel giro di pochi giorni e non c'è copia di backup dei files.
    A tutti i file è stata aggiunta una estensione .micro; cancellandola, e quindi reimpostando l'estensione originale, i file vengono aperti dagli appositi programmi ma sono illeggibili.
    Dubito fortemente si tratti delle prime versioni, all'avvio si apre una finestra di comando con le istruzioni classiche (in inglese) più una decina di file di testo con le stesse scritte, tutti nominati "CryptoSystem", quindi al 99% è esente dal bug del "ripristino configurazioni di sistema", inoltre, da quanto indicato nel testo, la codifica utilizzata è RSA-4096 key (e non 2048 come alcune versioni).

    Leggendo in rete, sono giunto a conoscenza di metodi per "stoppare" la diffusione del virus (tipo bloccare Teslascrypt avviando il PC in modalità provvisoria) ma, per recuperare i file, è comunque necessaria una operazione preventiva, come un backup.
    Ho letto inoltre che, in alcuni casi, viene creata una copia dei file che può essere decriptata ma non mi sembra questo il caso dato che non vi è nessuna differenza nelle cartelle.
    Ho parlato con diversi "appassionati" delle forze dell'ordine, sia P. Postale che Finanza ma, almeno per ora, niente..

    Ho notato che decryptolocker non è più raggiungibile, hanno vinto i malintenzionati?

    Edit:
    A quanto pare, l'estensione .micro fa parte di TeslaCrypt (3.0), quindi roba davvero recente che proprio in questi giorni sta seminando il panico..
    Occhi aperti quindi
    Ultima modifica di j0h89 : 04-02-2016 a 16:31

  6. #16
    The Guilty L'avatar di virgolanera
    Registrato
    Mar 2010
    Località
    Latina
    Età
    50
    Messaggi
    7,739
    configurazione

    Predefinito

    Santo backup.

  7. #17
    Scassatore L'avatar di j0h89
    Registrato
    Apr 2009
    Età
    34
    Messaggi
    3,443

    Predefinito

    Mah guarda, sono dell'opinione che se si usa il computer come si deve il backup neanche serve.. purtroppo non tutti sanno usare il computer come noi.
    Proprio l'altro giorno ho ricevuto una mail sospetta con allegato in pdf (ragioniere.pdf) ma, ovviamente, non l'ho aperta...

  8. #18
    The Guilty L'avatar di virgolanera
    Registrato
    Mar 2010
    Località
    Latina
    Età
    50
    Messaggi
    7,739
    configurazione

    Predefinito

    Originariamente inviato da j0h89
    .. purtroppo non tutti sanno usare il computer come noi.
    Infatti mi riferivo a chi, per motivi di lavoro, è costretto ad usare un pc e sa a malapena come si accende. Il mio medico di famiglia, qualche settimana fa, sul pc del suo studio, si è beccato il virus e gli hanno chiesto 3.000€ per decriptarlo. Non so come sia andata a finire, ma se avesse avuto una copia di backup li avrebbe potuti mandare a quel paese ...

  9. #19
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Purtroppo è vero, in questi giorni c'è una "tempesta" di Cryptolocker in corso.
    Anche noi lavoriamo con moltissimi medici (evidentemente la categoria è parecchia gettonata, per questo tipo di problemi) e sta facendo un massacro in giro... Ma ripetere allo sfinimento di fare attenzione non serve, purtroppo la gente ci deve sbattere il naso (e possibilmente farsi anche molto male).

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  10. #20
    Daniele L'avatar di Trattore
    Registrato
    Jul 2011
    Località
    provincia Lecco
    Età
    48
    Messaggi
    9,782
    configurazione

    Predefinito

    Originariamente inviato da j0h89
    ...purtroppo non tutti sanno usare il computer come noi...
    Originariamente inviato da frakka
    ...purtroppo la gente ci deve sbattere il naso (e possibilmente farsi anche molto male).

    Non siate troppo severi
    Non per difendere chi si fa fregare, ma quando sul lavoro arrivano una valanga di email al giorno, soprattutto dall'estero, con i truffatori che se ne inventano di ogni tipo, chi smista la posta è di corsa, mentre parla al telefono e ha 2 colleghi che lo chiamano purtroppo prima o poi un errore può capitare
    Dove lavoro grossi danni non ne abbiamo ancora fatti fortunatamente, cerchiamo di essere cauti ma appunto ci vuole anche un po' di fortuna per scamparla



Pagina 2 di 3
prima
1 2 3 ultimo

Informazioni Thread

Users Browsing this Thread

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

Regole d'invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
nexthardware.com - © 2002-2022