Purtroppo nessuna novità e credo, purtroppo, non ce ne saranno in futuro.
Purtroppo nessuna novità e credo, purtroppo, non ce ne saranno in futuro.
Ciao, vorrei sapere dove hai trovato i voucher per il pagamento su UKashOriginariamente inviato da RdvRdv
Scusate non ho aperto un'altra discussione perchè HO RISOLTO!!!
La polizia postale non ha potuto fare nulla, così preso dallo sconforto ho mandato l'email all'infame del file txt che prontamente mi ha risposto ha voluto due file criptati per dimostrarmi che era capace di decriptare il contenuto, mi ha detto che mi avrebbe mandato il decriptatore se gli avessi pagato 100€ su ukash, avevo già dato per persi quei soldi ma la speranza di recuperare 10 anni di lavoro era troppa così ho rischiato, dopo 2h mi arriva il decrypter per email ed ora ho recuperato tutti i miei file!
Stento ancora a crederci ma ora posso dormire, solo che adesso ho installato un bel firewall perimetrale!
Grazie
Salve
ho beccato lo stesso virus.
Vedo che non ci sono aggiornamenti in merito.
Il virus è stato eliminato, i file non sono stati decriptati, ma ho risolto tramite il backup (un lungo procedimento di ricerca)
Non sapendo da dove sia arrivato la paura è che si ripresenti.
Nessuna news neppure su da che parte arrivi, tipo mail?
Salve, sono stato vittima dello stesso attacco, file criptati con estensione ultracode e un file di testo con su scritto
HOW DECRYPT YOUR FILE.
Leggendo il file ho capito che in pratica è stato un attacco mirato a dati con un cypher militare che utilizza l'argoritmo RSA.
Nel file in coda c'era un c'è la chiave pubblica.
Nello stesso file c'è l'indicazione di mandare un un file criptato per "dimostrarmi" e il file di testo con la chiave pubblica, cosi da dimostrarmi che aveva lui la chiave privata.
L'email è "ultracode@tormail.com"
Mando il file e il bastardo me lo decritta e mi chiede 200 € in uKESH,una sorta di moneta/coupon elettronico che è molto usato negli UK che non sono stato capace di reperire.
La conversazione è durata a lungo con suoi consigli su dove e come reperirli.
Ma stranamente ogni pagamento mi falliva.
Cmq parlando con l'azienda che mi cura il gestionale, sono riuscito a risalire ad una piccola casistica poichè sono stati attaccati anche altri 3 server.
-Server attaccati 2003/2008
-Porta aperta 3389/tcp che consente accesso tramite desktop remoto.
-Combinazione nome utente /password veramente debole.
Se avete avuto problemi simili fatemi sapere.
ciao,Originariamente inviato da @le85
Salve
ho beccato lo stesso virus.
Vedo che non ci sono aggiornamenti in merito.
Il virus è stato eliminato, i file non sono stati decriptati, ma ho risolto tramite il backup (un lungo procedimento di ricerca
Non sapendo da dove sia arrivato la paura è che si ripresenti.
Nessuna news neppure su da che parte arrivi, tipo mail?
le cause d'infezione sono molteplici
- exploit
- java script
- P2P
... e chi più ne ha, più ne metta...
Mi permetto di intervenire anche io in quanto anche un mio cliente a cui non seguo la parte sistemistica è stato attaccato.
Questo attacco di ultracode sta per adesso attaccando solo l'italia visto anche l'incremento del traffico sui canali interbusiness.
Questo specifico attacco sfrutta la nota falla di 2003 senza sp2 e patch di sicurezza. Infatti l'attacco è replic;bile senza troppe difficoltà.
Non è dovuto a p2p, JavaScript, mail in quanto il server infettato nel mio caso faceva girare solo un software di contabilità e non aveva nulla di ciò.
I file non sono criptati tutti con la stessa libreria quindi la possibilità di un recupero massivo tramite la scoperta di un bug all'interno della libreria usata è nulla.
Ho disassemblato il decriptatore e devo ammettere che questi signori sono stati geniali. Si attiva solo per un pc .
Non credo che in futuro usciranno delle soluzioni per la decodifica. Più che altro non bisogna esporre la 3389 a internet e applicare le patch di sicurezza. La patch che risolve questo problema è vecchia di qualche mese
Saibal vive!
Buongiorno a tutti,
ma dopo aver acquistato le carte prepagate dai dealer indicati dagli hacker di questo virus, che codice da 19 cifre gli avete inviato? i 16 numeri della carta + i 3 del codice di sicurezza sul retro?
Grazie per l'aiuto
E' questo il nocciolo della questione.Originariamente inviato da 31luglio
Ho disassemblato il decriptatore e devo ammettere che questi signori sono stati geniali. Si attiva solo per un pc .
Gli attacchi sono mirati, per avere maggiori possibilità sia che la vittima paghi, e che non ci siano possibilità di terzi di decriptare i file.
Questo è il motivo per cui le aziende antivirus non possono rilasciare soluzioni standard.
Salve,
oggi pomeriggio il server di un mio cliente è stato attaccato, nella versione che aggiunge .ULTRACODE ai file, tramite connessione rdp.
Poiché gli utenti del server si sono accorti dell'attacco mentre era in corso (alcuni file venivano rinominati in cartelle su cui stavano lavorando), sono riuscito ad intervenire e a bloccare l'eseguibile che stava girando (di cui, quindi, ho una copia). Inoltre, ho anche almeno un file pdf sia in versione criptata che in chiaro.
Ho provato con i tool di Kaspersky e DrWeb ma non sono riuscito a risolvere.
Qualcuno è interessato ad avere copia dell'eseguibile per capirne il funzionamento? Magari si riesce a trovare un modo per decrittare i file compromessi (circa 62000...)?!?
Grazie
Cortesemente puoi indicarmi l'indirizzo email da loro utilizzato. Anche io ho avuto l'attacco ed ho perso 17 anni di lavoro. Voglio provare a pagare perchè sono disperato e da quello che ho visto sulla rete chi ha pagato ha ricevuto il decryptor. L'indirizzo che mi hanno indicato "ultracode@****.com" sembra non essere più attivo. Grazie!
Originariamente inviata da fufu65
Ultima modifica di amvinfe; 18-10-2013 a 16:51
Permessi di invio
Rispondi quotando