Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
  Condividi: Facebook Twitter
ransomware
#1
Photo 
salve a tutti

l'altro giorno giravo per un sito, che viene considerato piu che affidabile 
e per curiosità scarico un programma
nello specifico questo qui

Rimosso link

poiche ho preso l'anno scorso un ransomware che ha fatto un disastro, 
adesso prima di scaricare software, faccio tutti i controlli.

quindi con la massima prudenza
ho fatto prima un esame del sito con 
https://www.scamadviser.com/it

Ed e' risultato un sito al 100% affidabile

poi scarico il software, e lo faccio controllare online prima di scaricarlo
con 
https://www.virustotal.com/gui/home/upload
per maggiore sicurezza anche con
https://metadefender.opswat.com/#!/
https://virusscan.jotti.org/

il file in oggetto risulta perfettamente pulito.

Pertanto vado avanti senza timore
quindi estraggo il file usando la password 1234 (come da istruzioni)
e lo clikko

Ebbene non avrei dovuto farlo
il computer impazzisce
vedo aprire 6-7 connessioni di cui una Russia, altre in America, in Giappone (ho un software portabile per monitorare le connessioni chiamato windows firewall notifier)

Cerco di spegnere il processo, 
appena lo spengo se ne riaccendono altri
ho quindi capito di aver preso un altro ransomware
ed ho spento subito il PC per evitare che venissero criptati piu file.
In realtà non ho nemmeno la certezza che sia un ransomware, ma lo ho dedotto per le 6-7 connessioni che il virus  ha aperto per produrre le chiavi di decriptazione online.

Adesso ho spento il pc e ne utilizzo un altro vecchio che avevo, che pero non ha risorse per farci nulla.

C'e qualcuno che riesce a capire esattamente il nome di questo virus, 
usando magari un sistema linux 
con una virtuabox 
in cui viene virtualizzato windows e successivamente avviato il virus (scaricabile da sito in oggetto)
(penso si potrebbe anche con win in tutta sicurezza se viene isolato il sistema e scollegate tutte le pen drive di modo che il virus rimanga confinato nella macchina virtuale )


In realtà so gia che devo riformattare, pero vorrei vedere se riesco a decriptare i file con un giusto decriptatore per quel tipo di virus, o se riesco a recuperare le copie Shadow 
o i file originali prima della criptazione, usando test disk.
Non dovrebbero esserne stati criptati tanti, perché ho tolto l'alimentazione al pc dopo circa 1 minuto, ma non ho idea di quanti file al secondo riesce a criptare.

Per gli inesperti che leggono il forum, sappiate che un problema del genere puo capitare a chiunque. Mi e' capitato per la seconda volta, nonostante le precauzioni.
Quando capita e' un vero disastro.
Pertanto guardare negli occhi questi virus, con un sistema windows virtuale, risulta molto utile
perché si e' preparati e si possono adottare le soluzioni migliori alla evenienza.
Cita messaggio
#2
Ho rimosso il link,  non postare per cortesia link che possono creare danni agli altri utenti. 

Se hai l'abitudine di frequentare siti che possono contenere malware e consigliato usare sempre una VB o la Sandbox del tuo Antivirus  in mosso da eseguire il programma in ambiente sicuro. 

Comunque anche staccare la rete aiuta mentre equo il programma.
I am a patient boy
I wait, I wait, I wait, I wait
My time's like water down a drain....

Comprendi?
Cita messaggio
#3
(20/07/2022, 14:17)francesco crash Ha scritto: l'altro giorno giravo per un sito, che viene considerato piu che affidabile

E chi lo dice. Avendo avuto modo di leggere il link prima che giustamente rage75 lo eliminasse, posso dire che è un sito molto dubbio che distribuisce versioni modificate di software commerciale e che non è riconducibile a nessuno. Se per te questo è "più che affidabile" allora hai un problemino non da poco.

Sono ormai lustri che si spiega che i programmi si scaricano SOLO dai siti ufficiali o al massimo da quei tre o quattro siti di download affidabili che ancora esistono.

Più in generale NON riportare sul forum link pericolosi.


(20/07/2022, 14:17)francesco crash Ha scritto: il file in oggetto risulta perfettamente pulito.
...
quindi estraggo il file usando la password 1234 (come da istruzioni)

Ti sei risposto da solo. Puoi controllare quel file anche con centomila antivirus, essendo protetto (=crittografato) da password la scansione non può rilevare nulla al suo interno. Anche questa è roba vecchia, lo si dice da anni

(20/07/2022, 14:17)francesco crash Ha scritto: Pertanto guardare negli occhi questi virus, con un sistema windows virtuale, risulta molto utile
perché si e' preparati e si possono adottare le soluzioni migliori alla evenienza.
Assolutamente NO. Statene alla larga e non sentitevi sicuri perché operate in una macchina virtuale. Molti di questi virus riconoscono quando sono in esecuzione su una VM e si adeguano al contesto. Possono sembrare innocui e poi invece infettarvi quando si installano sulla macchina reale. E possono anche sfruttare falle delle VM per attaccare il sistema Host.
Bene per male è carità, male per bene è crudeltà
Cita messaggio
#4
Se vuoi operare su vm devi assolutamente scollegare la connessione internet lo si può fare attraverso le configurazioni, oppure tagliando la testa al toro scolleghi fisicamente il pc. Ma non ne vedo il perchè a meno che come gli youtubers che dimostrano la pericolosità di certi comportamenti si avvalgono di macchine virtuali scollegate da internet (ma ieri ho visto una bad USB che operava nello stesso modo del tuo thread facendo credere al pc che la USB era in realtà una usb- tastiera e non una unità di massa).
Onestamente ti consiglierei di passare a Linux, non perchè più sicuro ma perchè il 99% dei virus sono essenzialmente degli .exe eseguibili solo su windows
Cita messaggio
#5
(20/07/2022, 17:02)rage75 Ha scritto: Ho rimosso il link,  non postare per cortesia link che possono creare danni agli altri utenti. 

Se hai l'abitudine di frequentare siti che possono contenere malware e consigliato usare sempre una VB o la Sandbox del tuo Antivirus  in mosso da eseguire il programma in ambiente sicuro. 

Comunque anche staccare la rete aiuta mente equo il programma.
comunque ho specificato chiaramente che era un virus, 
visitare la pagina non produce nessun effetto.
Finché non viene scaricato il programma, estratto (inserendo la pass) e poi  avviato, non sussiste il problema.

Non ho capito cosa intendi dire nell'ultima frase.

dove hai scritto:
"Comunque anche staccare la rete aiuta mente equo il programma."
Cita messaggio
#6
(20/07/2022, 17:13)Blackstar Ha scritto:
(20/07/2022, 14:17)francesco crash Ha scritto: l'altro giorno giravo per un sito, che viene considerato piu che affidabile

E chi lo dice. Avendo avuto modo di leggere il link prima che giustamente rage75 lo eliminasse, posso dire che è un sito molto dubbio che distribuisce versioni modificate di software commerciale e che non è riconducibile a nessuno. Se per te questo è "più che affidabile" allora hai un problemino non da poco.

Sono ormai lustri che si spiega che i programmi si scaricano SOLO dai siti ufficiali o al massimo da quei tre o quattro siti di download affidabili che ancora esistono.

Più in generale NON riportare sul forum link pericolosi.

scusate ma non ho ancora capito come si formattano correttamente le repliche, pertanto scrivo in blu

Non ho detto che io considero il sito affidabile (ci ho preso un ransomware), ma che viene considerato affidabile

Quel sito esiste da tanti anni ed e' anche ben indicizzato su google e riceve non so quante migliaia di visite al giorno. In passato lo ho incontrato di nuovo ed ho scaricato software e non ho avuto nessun problema.



Intendo dire, non stiamo parlando di un sito che offre i crack, o un sito di materiale pornografico, o un sito del dark web, ma di un sito come se ne possono trovare milioni di altri, assolutamente innocui.

Su scamadviser viene riportato:
"Pensiamo che l'fcportables.com sia legittimo e sicuro per i consumatori e gli viene dato il 100% di affidabilità."

stesso dicasi per
https://trusted.website/check-website-is...tables.com
https://www.freeonline.org/sitogratis/fcportables.html

Per queste ragioni ho detto che viene considerato affidabile.

Tuttavia tutto va relativizzato, perche altrimenti a questo punto non bisognerebbe piu usare internet, giacche i virus si possono prendere in tanti modi diversi e potenzialmente anche visitare un forum, potrebbe essere una causa di infezione.


(20/07/2022, 14:17)francesco crash Ha scritto: il file in oggetto risulta perfettamente pulito.
...
quindi estraggo il file usando la password 1234 (come da istruzioni)

Ti sei risposto da solo. Puoi controllare quel file anche con centomila antivirus, essendo protetto (=crittografato) da password la scansione non può rilevare nulla al suo interno. Anche questa è roba vecchia, lo si dice da anni

Purtroppo io questo non lo sapevo, ma adesso almeno ho imparato.

(20/07/2022, 14:17)francesco crash Ha scritto: Pertanto guardare negli occhi questi virus, con un sistema windows virtuale, risulta molto utile
perché si e' preparati e si possono adottare le soluzioni migliori alla evenienza.
Assolutamente NO. Statene alla larga e non sentitevi sicuri perché operate in una macchina virtuale. Molti di questi virus riconoscono quando sono in esecuzione su una VM e si adeguano al contesto. Possono sembrare innocui e poi invece infettarvi quando si installano sulla macchina reale. E possono anche sfruttare falle delle VM per attaccare il sistema Host.


Francamente non sapevo di virus che riconoscono una macchina virtuale, ma anche in questa ipotesi, un sistema linux che virtualizza windows, non subirebbe nessun danno .

Il senso del mio ragionamento e' che dall'altra parte si ha il vantaggio, che si puo osservare il comportamento del virus.
Si puo vedere cosa fa il virus, quali processi esegue, in quanto tempo cripta i dati, come si puo spegnere il processo nel modo piu rapido possibile, se ci sono decriptatori per quel tipo di virus. ecc, ecc ecc

Anche se riconosce la macchina virtuale, io so quando lancio il virus, pertanto posso monitorare e registrare tutti i processi che esegue.

Intendo dire 
i ramsoware, si prendono anche dalle mail, anche visitando un sito web, anche inserendo la chiavetta in altro computer, ecc.
Si e' esposti al pericolo, sempre.
Pertanto conoscerli a studiarli, con le opportune precauzioni, non puo che essere qualcosa di utile.
Cita messaggio
#7
(20/07/2022, 19:36)francesco crash Ha scritto:
(20/07/2022, 17:02)rage75 Ha scritto: Ho rimosso il link,  non postare per cortesia link che possono creare danni agli altri utenti. 

Se hai l'abitudine di frequentare siti che possono contenere malware e consigliato usare sempre una VB o la Sandbox del tuo Antivirus  in mosso da eseguire il programma in ambiente sicuro. 

Comunque anche staccare la rete aiuta mente equo il programma.
comunque ho specificato chiaramente che era un virus, 
visitare la pagina non produce nessun effetto.
Finché non viene scaricato il programma, estratto (inserendo la pass) e poi  avviato, non sussiste il problema.

Non ho capito cosa intendi dire nell'ultima frase.

dove hai scritto:
"Comunque anche staccare la rete aiuta mentre equo il programma."


Non si inseriscono link a download sospetti o a pagine che contengono download sospetti.

Nell'ultima frase ho sbagliato a digitare (il cell ogni tanto fa questi scherzi con la scrittura intuitiva) equo=esegui , intendevo che staccando la rete nessuno dei tuoi dati può essere comunicato all'esterno del Pc anche se il Virus è in azione. Poi che ti stia criptando i file è un altro discorso. .. meglio usare una Sandbox seria se hai dubbi.
I am a patient boy
I wait, I wait, I wait, I wait
My time's like water down a drain....

Comprendi?
Cita messaggio
#8
(20/07/2022, 17:53)adrianomorselli Ha scritto: Se vuoi operare su vm devi assolutamente scollegare la connessione internet  lo si può  fare attraverso le configurazioni, oppure tagliando la testa al toro scolleghi fisicamente il pc. Ma non ne vedo il perchè  a meno che come gli youtubers che dimostrano la pericolosità di certi comportamenti si avvalgono di macchine virtuali scollegate da internet (ma ieri ho visto una bad USB che operava nello stesso modo del tuo thread facendo credere al pc che la USB era in realtà una usb- tastiera e non una unità di massa).
Onestamente ti consiglierei di passare a Linux, non perchè più sicuro ma perchè il 99% dei virus sono essenzialmente degli .exe eseguibili solo su windows

Perfettamente d'accordo
infatti per questo motivo parlavo di virtualizzare windows su linux e staccare le chiavette.

Riguardo la sostituzione di linux con windows, per ragioni di lavoro sono costretto ad usare windows, nonostante i virus e le imprecazioni.

Il motivo del voler studiare il virus e' perche considero utile farlo.
Penso sia meglio conoscere il nemico, che invece cercare di stargli alla larga e non volerlo conoscere.

Anche perche questi attacchi come ho gia detto nell'altro post, arrivano in tanti modi diversi (mail, web, pendrive, ecc)
quindi si e' sempre esposti
e quando succede, e' un bel casino.
Quindi meglio essere piu preparati.
Cita messaggio
#9
Ok, allora VirtualBox ha una caratteristica veramente fantastica, quando installi un sistema ti crea un file .vdi, ad es windows.vdi.
Se fai una copia di questo file e il tuo Windows virtualizzato viene attaccato da un virus puoi cancellarlo e sostituirlo con la copia che hai fatto. Anche i documenti li puoi tenere sul tuo Linux al sicuro, con le extension pack puoi facilmente accedere dal Windows virtualizzato a Linux. Comunque ti consiglio di disabilitare la scheda ethernet sulle configurazioni della macchina virtuale se sei costretto o per tuo sfizio vuoi viaggiare su siti poco ortodossi
Cita messaggio
#10
(20/07/2022, 21:08)rage75 Ha scritto: Non si inseriscono link a download sospetti o a pagine che contengono download sospetti.

Nell'ultima frase ho sbagliato a digitare (il cell ogni tanto fa questi scherzi con la scrittura intuitiva) equo=esegui , intendevo che staccando la rete nessuno dei tuoi dati può essere comunicato all'esterno del Pc anche se il Virus è in azione. Poi che ti stia criptando i file è un altro discorso. .. meglio usare una Sandbox seria se hai dubbi.


scusate ma non sapevo di questa regola,
avevo supposto che fosse chiaro l'oggetto del topic.

comunque non postero piu un link di questo tipo

tuttavia come ripeto quel sito web viene considerato affidabile e sicuro
ed e' anche ben indicizzato su google
quindi qualche utente di questo forum puo arrivarci a quel sito, per altre vie

avevo pensato fosse meglio conoscere la sua vera natura, anzicche ignorarla
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)