Username
Password

Virus e Antivirus

Il tuo computer è stato infettato da un Virus? chiedi aiuto qui
Friday, 4 October 2013, 14:51
ValeriOoz
 Passante
 
L'avatar di  ValeriOoz
 
 Messaggi: 9
Exclamation

Virus che cripta file, estensione .ultracode


Ciao ragazzi

premetto che ancora non sono andato in loco a verificare:

Come da oggetto, un cliente con windows server 2003 ,
si è trovato la maggior parte dei file criptati con estensione .ultracode

Leggendo in rete parecchie persone hanno pagato chi 100 chi 200 euro per farsi inviare dal cracker il relativo decrypter....
Sembra non esista soluzione!

A qualcuno è capitato?
    Rispondi Citando Rispondi
Friday, 4 October 2013, 15:41
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 58
 Messaggi: 27,901

no e si trovano anche pochi hit googlando.

Questo e' del' assistenza panda antivirus che alza le mani

http://soporte.pandasecurity.com/for...?t=1276&p=7034
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 4 October 2013, 18:13
ValeriOoz
 Passante
 
L'avatar di  ValeriOoz
 
 Messaggi: 9

Cavolo.. bel problema! Lunedì vedrò di provare con un recupero dati. . Vediamo cosa salta fuori
    Rispondi Citando Rispondi
Saturday, 5 October 2013, 10:36
JoeBar
 Ciarlatano forever and ever
 Militante
 
L'avatar di  JoeBar
 
 Messaggi: 3,740

Anche se ti faccio gli auguri credo non salterà fuori nulla, quel tipo di virus normalmente sul pc (o server) su cui ha agito non c'è nemmeno più, si autoelimina dopo avere crittografato i file e lasciato l'indicazione dove e a chi pagare il pizzo per avere la chiave di decrittazione.

L'unico modo per poter agire era quello di non spegnere il server e non farci più nessuna operazione appena si è presentato il "problema", problema daltronde ben visibile perchè qualche azione mentre passava il suo bel tempo a crittografare i file e cancellare gli originali era in bella vista, i file cancellati si recuperano sempre ma solo a patto che quello spazio risultante libero ma ancora occupato dai file cancellati non venga sovrascritto da nessuna altra operazione.

Come ha agito? Ah beh, antichi ricordi mi portano a rimembrare che RSA utilizza due chiavi di cifratura, una pubblica e una privata. Quella pubblica è usata per criptare i file ed è contenuta nel sorgente del virus; quella privata è invece usata per decrittare i file, e viene distribuita dopo aver pagato il creatore del virus.

Se uno avesse il virus per le mani potrebbe solo ricavare la chiave pubblica, per quella privata o conosci qualcuno dei creatori del virus (o del suo staff) che gira con un block notes con appunti sotto l'ascella o non se ne fa nulla.

A quel server avranno ben fatto i backup no? Se si il problema è aggirabile perdendo solo le ultime modifiche, se no ... goto "fate i backup ogni tanto".

Se un problema esiste è che o qualcuno ha abboccato all'amo di qualche mail o sito infimo con injection nascosta oppure quel server ha una password blanda e non si inchioda dopo 3 tentativi errati di password.

A meno che ........ corte o lunghe non importa, fai attenzione a non cancellare la 00, ti crei le gemelle e ti compili il turbocazzichetiammazzi (questa è una cazzata, l'ho messa li per ..... ma non farci caso)
__________________
A hero is not one who has never fallen, but one that,
when has fallen, has the courage to stand again.
[Jim Morrison]
    Rispondi Citando Rispondi
Saturday, 5 October 2013, 10:47
RomeoKnight
 Militante
 
L'avatar di  RomeoKnight
 
 Messaggi: 4,968

Prova con la password jack
    Rispondi Citando Rispondi
Tuesday, 8 October 2013, 02:52
SatRider
 Utente Appassionato
 
L'avatar di  SatRider
 
 Messaggi: 1,382

Non so se è lo stesso delinquente virus, comunque, forse che f-secure potrebbe essere in grado di recuperare i file:

Quote:
F-Secure Anti-Virus is able to detect and decrypt files encrypted by the Gpcode trojan. To find and decrypt such files, please scan ALL files on the hard disk.

Oltretutto parrebbe che l'encryption sia ben più semplice di quanto ipotizzato da JoeBar (hey, Joe, ma usare RSA x cryptare UN FILE? ...ma dai!! ), infatti, sempre secondo f-secure:

Quote:
The encryption algorithm is quite simple - the trojan uses ADD operation on the original file's data with a single byte encryption key. The original value of the encryption key is 58 (0x3a) and it is modified using 2 fixed byte values which are 37 (0x25) and 92 (0x5c) after encryption of each next byte of the original file's data.

Per verificare se effettivamente l'algoritmo è così semplice basterebbe controllare i primi 4 bytes di un file PDF criptato che, in chiaro, sono "%PDF" (e volendo anche qualche byte successivo è "abbastanza" costante...).

Poi, se hai la copia ESATTA in chiaro di un file che è stato cryptato...beh, con quello ci si potrebbe divertire!

Ci fai un favore? Ci posti qui i primi 4 byte di un paio di file cryptati che sei SICURO fossero PDF? Così almeno ci divertiamo un po'

Comunque, la pagina con tutte le info che ho trovato la trovi qui.

Tienici aggiornati

SatRider
    Rispondi Citando Rispondi
Tuesday, 8 October 2013, 11:29
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 58
 Messaggi: 27,901

Quote:
Originariamente inviato da SatRider
using 2 fixed byte values which are 37 (0x25) and 92 (0x5c)

ma pensa, io avrei usato 0x16 0x0B
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Tuesday, 8 October 2013, 20:48
ValeriOoz
 Passante
 
L'avatar di  ValeriOoz
 
 Messaggi: 9

Sono criptati a 1024 bit , nessuno ad oggi è riuscito a decriptare.. Tutti pagano i 100 euro e stop...

Nel mio caso il cliente, avendo solo due client , ha deciso di eliminare il server...
Problema risolto
    Rispondi Citando Rispondi
Tuesday, 8 October 2013, 21:53
SatRider
 Utente Appassionato
 
L'avatar di  SatRider
 
 Messaggi: 1,382

Quote:
Originariamente inviato da ValeriOoz
Sono criptati a 1024 bit , nessuno ad oggi è riuscito a decriptare.. Tutti pagano i 100 euro e stop...
Penso che ti sbagli di grosso, cosa ti fa pensare che siano criptati "a 1024 bit"? Perchè te l'ha detto/scritto il virus (il suo autore)? ...e ti fidi?

Da quello che ho letto in giro pare che MOLTI siano riusciti a recuperare/decryptare i file SENZA pagare riscatto.

Hai un file senza informazioni particolari/private, che so, un file di help, della documentazione pubblica, che puoi farmi avere su cui fare qualche prova?

Scommettiamo un caffè che lo decripto?

SatRider
    Rispondi Citando Rispondi
Commenti a questo messaggio
  Carson: Io punto su Sat
  Duilio: due!
  Neles: sacchi sul tavolo
Wednesday, 9 October 2013, 10:37
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 58
 Messaggi: 27,901

Io pongo le condizioni limite del brute
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Commenti a questo messaggio
  Neles: Sono d'accordo
Wednesday, 9 October 2013, 14:46
JoeBar
 Ciarlatano forever and ever
 Militante
 
L'avatar di  JoeBar
 
 Messaggi: 3,740

Quote:
Originariamente inviato da Duilio
Io pongo le condizioni limite del brute

Lassa perde, meglio non scommettere al buio, che se non è RSA potrebbe farcela, se è RSA e (vedi mai) conoscesse uno che tu ti presenti con 1kg di grissini rubatà, un salame al barolo e due bottiglie di 3 bottiglie di buon grignolino potrebbe spiegargli (fra una fetta di salame e un bicchiere di vino) su un block notes il crypt degli ottetti, infarinarlo meglio sul processo di crypting e alla fine far vedere con nonchalance che su una chiavetta usb ha la private key.

(cosa daltronde impossibile che possa succedere nella vita)
__________________
A hero is not one who has never fallen, but one that,
when has fallen, has the courage to stand again.
[Jim Morrison]
    Rispondi Citando Rispondi
Wednesday, 9 October 2013, 17:09
RomeoKnight
 Militante
 
L'avatar di  RomeoKnight
 
 Messaggi: 4,968

Qui ci sta scritto per filo e per segno come fare, però ERA indispensabile non spegnere/riavviare il server.
In realtà per criptare un file non servono tanti bit, serve solo un algoritmo univoco di pubblico dominio. Non serve neanche una chiave doppia o segreta, basta inserire il verme all'interno del criptato.
    Rispondi Citando Rispondi
Thursday, 10 October 2013, 13:53
ValeriOoz
 Passante
 
L'avatar di  ValeriOoz
 
 Messaggi: 9

Vedrò di salvarmi un file
    Rispondi Citando Rispondi
Monday, 21 October 2013, 20:02
Antonflo
 Passante
 
 Messaggi: 1

Potrei conoscere l'email che chi è stato infettato ha trovato nei vari file txt che lasciano sul pc?..
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
C0m4nch3, ggigi99, cladiv, Breakbll, indio, RomeoKnight, SanK, foul64, Duilio, Carson, JoeBar, palin, gattonero, Lutero, seepo, anita, BRAVO 2, SatRider, Foxes, ale82x, Neles, uniplus, Attilio, CORTOilMALTESE, davide72, Remo®, ValeriOoz, gillesvilleneuve, Antonflo
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Disattivato

Se hai problemi, contattaci


Visite Totali Posts: 99.603.102
Tutti gli Orari sono GMT +1. Attualmente sono le 03:42.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group