Questa mattina un mio pc è stato colpito da un ramsonware un po' particolare rispetto al solito.
E' stato un lavoro sopraffino, credo che l'infezione sia arrivata attraverso l'accesso in rdp, si sono scaricati i seguenti tool (rilevati dal log di Security Essentials):
2018-01-14T00:57:16.605Z DETECTION Ransom:MSIL/Paradiz.A!bit file:C:\Users\user\Downloads\csf\PortableApps\lpe\ DP_Main.exe
2018-01-14T00:57:16.729Z DETECTION Trojan:Win32/Tiggre!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ lpe\CVEx64.exe
2018-01-14T00:57:16.792Z DETECTION Trojan:Win32/Tiggre!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ lpe\CVEx86.exe
2018-01-14T00:57:16.807Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimidrv.sys
2018-01-14T00:57:17.026Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimikatz.exe
2018-01-14T00:57:17.026Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimilib.dll
2018-01-14T00:57:17.057Z DETECTION Trojan:Win32/Tiggre!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimilove.exe
2018-01-14T00:57:17.073Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\x64\mimidrv.sys
2018-01-14T00:57:17.182Z DETECTION HackTool:Win64/Mikatz!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\x64\mimikatz.exe
2018-01-14T00:57:17.197Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\x64\mimilib.dll
2018-01-14T00:57:17.338Z DETECTION Virus:Win32/Parite.C file:C:\Users\user\Downloads\csf\PortableApps\NTPa ssworder\NTPassworder.exe
Quindi hanno creato un unico grande file zip (credo) cifrato e hanno cancellato i file originali.
Per non farsi mancare nulla, si sono assicurati di impedire anche il recupero con i vari tool di file recovery.
Infine, hanno lasciato il classico file di testo con un bel joker che ti prende pure per i fondelli chiedendo il riscatto sulla base dell'indirizzo ip (vedi allegato).
Volevo tentare di capire che tipo di cifratura hanno utilizzato per tentare la decrittazione ma i vari servizi online di sicurezza prevedono l'upload di alcuni file criptati. Come faccio ad uploadare 700 MB !?!?!
Avete qualche consiglio da darmi o sapete riconoscere il tipo di Ramsonware che mi sono beccato ?
Grazie