Un mio amico è stato recentemente attaccato da questo nuovo cryptolocker in un modo insolito. Anticipo la mia domanda: che tipo di cryptolocker è questo, che potrebbe essere il vettore di attacco e è una cura disponibile per recuperare i file? So, e ho spiegato alla festa, che il secondo è improbabile.
Il mio amico ha eseguito un server con Win10 Enterprise. Il giorno dopo l'ufficio chiuso il 13 agosto, il malware ha attaccato il sistema. Ha rinominato file di destinazione (ho visto PDF, XLSX per ora) in .exe
s aggiungendo un'estensione lunga to get password email id [....] to [email protected]
in cui un numero lungo si trova al posto del testo tra parentesi.
L'infezione si è estesa a MS OneDrive, dove tutti i file sono stati crittografati e i loro originali cancellati (speriamo semplicemente "trashed", quindi MS potrebbe avere un backup).
Il computer era non presidiato al momento dell'infezione. Al momento non ho un computer sterile e non oserò aprire i file exe
su nessun'altra macchina fino a quando non ne avrò messo le mani su uno. È il modo migliore per infettare un'altra macchina.
Ho dei dubbi sul fatto che questo cryptolocker sia in grado di penetrare un server non presidiato (il desktop remoto è stato disabilitato, non ho alcun record sul fatto che sia firewallato correttamente, supponiamo di no) come ha fatto WannaCry. L'infezione non si è diffusa nei computer LAN con Windows 10 quando l'ufficio è stato riaperto e quei computer sono stati riaccesi.
Non ho ancora accesso ai dati crittografati. Ho appena ricevuto una telefonata e ho potuto vedere come erano i file OneDrive, senza aprirli.
La mia ricerca (collegamento a VirusTotal non disponibile qui al momento) ha rilevato che i file exe crittografati potrebbero essere semplici file SFX rar, a giudicare dal tipo di contenuto. Quindi almeno ci sono noti rarissimi password cracker, nonostante una forza bruta possa essere irreale.
Qualche informazione su questo strumento?