Visualizzazione dei risultati da 1 a 1 su 1
  1. #1

    Come Identificare un Ramsonware ?

    Questa mattina un mio pc è stato colpito da un ramsonware un po' particolare rispetto al solito.

    E' stato un lavoro sopraffino, credo che l'infezione sia arrivata attraverso l'accesso in rdp, si sono scaricati i seguenti tool (rilevati dal log di Security Essentials):

    2018-01-14T00:57:16.605Z DETECTION Ransom:MSIL/Paradiz.A!bit file:C:\Users\user\Downloads\csf\PortableApps\lpe\ DP_Main.exe
    2018-01-14T00:57:16.729Z DETECTION Trojan:Win32/Tiggre!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ lpe\CVEx64.exe
    2018-01-14T00:57:16.792Z DETECTION Trojan:Win32/Tiggre!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ lpe\CVEx86.exe
    2018-01-14T00:57:16.807Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimidrv.sys
    2018-01-14T00:57:17.026Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimikatz.exe
    2018-01-14T00:57:17.026Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimilib.dll
    2018-01-14T00:57:17.057Z DETECTION Trojan:Win32/Tiggre!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\Win32\mimilove.exe
    2018-01-14T00:57:17.073Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\x64\mimidrv.sys
    2018-01-14T00:57:17.182Z DETECTION HackTool:Win64/Mikatz!rfn file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\x64\mimikatz.exe
    2018-01-14T00:57:17.197Z DETECTION HackTool:Win64/Mikatz!dha file:C:\Users\user\Downloads\csf\PortableApps\lpe\ mimikatz\x64\mimilib.dll
    2018-01-14T00:57:17.338Z DETECTION Virus:Win32/Parite.C file:C:\Users\user\Downloads\csf\PortableApps\NTPa ssworder\NTPassworder.exe

    Quindi hanno creato un unico grande file zip (credo) cifrato e hanno cancellato i file originali.
    Per non farsi mancare nulla, si sono assicurati di impedire anche il recupero con i vari tool di file recovery.

    Infine, hanno lasciato il classico file di testo con un bel joker che ti prende pure per i fondelli chiedendo il riscatto sulla base dell'indirizzo ip (vedi allegato).

    Volevo tentare di capire che tipo di cifratura hanno utilizzato per tentare la decrittazione ma i vari servizi online di sicurezza prevedono l'upload di alcuni file criptati. Come faccio ad uploadare 700 MB !?!?!

    Avete qualche consiglio da darmi o sapete riconoscere il tipo di Ramsonware che mi sono beccato ?

    Grazie
    File allegati File allegati

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.