Informazioni su cryptolocker in cerca di riscatto via e-mail a un determinato indirizzo e-mail

1

Un mio amico è stato recentemente attaccato da questo nuovo cryptolocker in un modo insolito. Anticipo la mia domanda: che tipo di cryptolocker è questo, che potrebbe essere il vettore di attacco e è una cura disponibile per recuperare i file? So, e ho spiegato alla festa, che il secondo è improbabile.

Il mio amico ha eseguito un server con Win10 Enterprise. Il giorno dopo l'ufficio chiuso il 13 agosto, il malware ha attaccato il sistema. Ha rinominato file di destinazione (ho visto PDF, XLSX per ora) in .exe s aggiungendo un'estensione lunga to get password email id [....] to [email protected] in cui un numero lungo si trova al posto del testo tra parentesi.

L'infezione si è estesa a MS OneDrive, dove tutti i file sono stati crittografati e i loro originali cancellati (speriamo semplicemente "trashed", quindi MS potrebbe avere un backup).

Il computer era non presidiato al momento dell'infezione. Al momento non ho un computer sterile e non oserò aprire i file exe su nessun'altra macchina fino a quando non ne avrò messo le mani su uno. È il modo migliore per infettare un'altra macchina.

Ho dei dubbi sul fatto che questo cryptolocker sia in grado di penetrare un server non presidiato (il desktop remoto è stato disabilitato, non ho alcun record sul fatto che sia firewallato correttamente, supponiamo di no) come ha fatto WannaCry. L'infezione non si è diffusa nei computer LAN con Windows 10 quando l'ufficio è stato riaperto e quei computer sono stati riaccesi.

Non ho ancora accesso ai dati crittografati. Ho appena ricevuto una telefonata e ho potuto vedere come erano i file OneDrive, senza aprirli.

La mia ricerca (collegamento a VirusTotal non disponibile qui al momento) ha rilevato che i file exe crittografati potrebbero essere semplici file SFX rar, a giudicare dal tipo di contenuto. Quindi almeno ci sono noti rarissimi password cracker, nonostante una forza bruta possa essere irreale.

Qualche informazione su questo strumento?

    
posta usr-local-ΕΨΗΕΛΩΝ 29.08.2017 - 10:25
fonte

1 risposta

2

My friend ran a server with Win10 Enterprise.

Questo è il primo errore.

Ad ogni modo, il ransomware potrebbe essere ACCDFISA v2.0 o una variante di esso, vedi

link

Con il ransomware, Bleepingcomputer ha molte informazioni, q.v .:

link

Di solito non è consigliabile riavviare il sistema operativo infetto, ma (a) eseguire un backup di tutti i file crittografati (e di altri) in una destinazione di backup separata, quindi (b) avviare un sistema Linux da USB o CD / DVD (Live System) quindi esplorare da lì. In effetti, puoi spesso fare (a) da (b).

Con (a) potresti essere in grado di recuperare i dati più tardi quando sono disponibili maggiori informazioni (e possibilmente uno strumento di recupero) a riguardo. Per (b) hai bisogno di conoscenze tecniche.

È più facile sostituire tutto il disco rigido infetto, quindi ripristinare i backup su di essi. Guarda il disco rigido infetto più tardi mentre il tuo server è già attivo. Chiudi tutte le porte dall'esterno che non sono necessarie (ad esempio, lascia solo TCP 80 e 443 aperti) utilizzando un firewall.

PS: il vettore di attacco potrebbe essere una porta RDP aperta, ciò è stato osservato in passato.

    
risposta data 29.08.2017 - 10:35
fonte

Leggi altre domande sui tag