giovedì 18 dicembre 2014

Come Decifrare i File Sequestrati da Cryptolocker

Negli ultimi anni si è affiancato, alle classiche forme di malware, una nuova tipologia di minaccia informatica, il cosiddetto ransomware.

 Per ransomware si intende un ricatto elettronico, operato da un programma che cifra tutti i dati sensibili presenti sull’hard disk del computer infettato rendendoli illeggibili. Soltando pagando il riscatto, l’utente sarà in grado di accedere di nuovo ai propri file.
Preciso che i file non vengono cancellati o “trasferiti” altrove, semplicemente vengono cifrati con una chiave che solo gli autori dell’attacco conoscono.

Uno dei ransomware più diffusii è Cryptolocker, il cui comportamento è esattamente quello descritto sopra. Secondo Symantec, il 3% degli utenti colpiti da Cryptolocker ha pagato il riscatto, ma secondo alcuni utenti, anche dopo aver pagato, i criminali non hanno fornito la chiave per poter decifrare i file “sequestrati”.

Per venire incontro agli utenti colpiti da questo malware, FireEye e Fox-it, due prestigiose aziende che si occupano di sicurezza informatica, hanno realizzato un servizio gratuito per il recupero dei file cifrati da Cryptolocker, ovvero Decryptolocker.

Il funzionamento è abbastanza semplice: bisogna effettuare l’upload di un file cifrato da Cryptolocker sul sito https://www.decryptcryptolocker.com/ e inserire un indirizzo email.

Successivamente, all’indirizzo email fornito verrà inviata una master-key da utilizzare con un recovery program per decifrare i file “sequestrati”. Naturalmente ogni master-key è diversa da sistema a sistema.

Una nota sul sito Decryptolocker consiglia di non uploadare file cifrati che contengano informazioni sensibili.

Arrivederci al prossimo articolo
Michele Balzano





martedì 9 dicembre 2014

mail (elenco pop3 e smtp dei maggiori fornitori di servizio)


Un elenco che sicuramente fara' comodi a tutti. ;-) specialmente in questo periodo natalizio...non elemosinate i ringraziamenti :-€ :-€ 

Di seguito un ricco elenco pop3 e smtp - i parametri di configurazione di pop3 e smtp dei maggiori fornitori di servizio.

Come è giusto che sia facciamo anche un pò di chiarezza per i meno esperti.


POP e SMTP sono i protocolli che ti consentono di scaricare i messaggi dai server di posta al tuo computer, permettendoti di accedere alla posta con programmi come Microsoft Outlook o Thunderbird, anche quando non sei connesso a Internet. 

FornitoreDomainPOP3SMTP
Tiscali.it@tiscali.itpop.tiscali.itsmtp.tiscali.it
Msn Hotmail@hotmail.compop3.email.homail.msn.comsea1fd.sea1.hotmail.msn.com
Tin.it@tin.itpop.tin.it - box.tin.it - box2.tin.itsmtp.tin.it - mail.tin.it
Alice ClubNet@aliceposta.itbox.clubnet.tin.itmail.clubnet.tin.it
Virgilio.it@virgilio.itout.virgilio.it - smtp.virgilio.itin.virgilio.it - popmail.virgilio.it
Alice Adsl@alice.itin.aliceposta.itout.aliceposta.it
Telecom@aliceposta.itout.aliceposta.itin.aliceposta.it
Yahoo.it@yahoo.itpop.mail.yahoo.itsmtp.mail.yahoo.it
Yahoo.com@yahoo.compop.mail.yahoo.comsmtp.mail.yahoo.com
Supereva.it@supereva.itmail.supereva.itmail.supereva.it
Libero.it@libero.itpopmail.libero.itmail.libero.it
Inwind.it@inwind.itpopmail.inwind.itmail.inwind.it
Iol@iol.itpopmail.iol.itmail.iol.it
Blu@blu.itpopmail.blu.itmail.blu.it
Poste.it@poste.itrelay.poste.itrelay.poste.it
Jumpy.it@jumpy.itpop.jumpy.itmail.jumpy.it
Interfree.it@interfree.itmail.interfree.itmail.interfree.it
Fastweb.it@fastwebnet.itpop.fastwebnet.itsmtp.fastwebnet.it
Ciao Web@ciaoweb.itciaopop3.ciaoweb.it - pop3.ciaoweb.netciaosmtp.ciaoweb.it - smtp.ciaoweb.net - mail.ciaoweb.net
Infinito.it@infinito.itpop3.infinito.itsmtp.infinito.it
Kataweb.it@kataweb.itpop.katamail.com - mail.katamail.comsmtp.katamail.com
World On Line.it@worldonline.itpop.worldonline.itsmtp.worldonline.it
Excite@excite.itpop.tiscali.itsmtp.tiscali.it
Quipo.it@quipo.itmail.quipo.itsmtp.quipo.it
Lycos@lycos.itpop.lycos.it - pop3.lycos.itsmtp.lycos.it
Galactica.it@galactica.itmail.galactica.itmail.galactica.it
Interfree.it@interfree.itmail.interfree.itmail.interfree.it
Elitel@elitel.bizpop.elitel.itsmtp.elitel.it
Aruba.it@aruba.itpop3.aruba.itsmtp.aruba.it
Rimini.com@rimini.commail.rimini.itsmtp.rimini.com
E mail.it@email.itpopmail.email.itsmtp.email.it
Caltanet.it@caltanet.itmbox.caltanet.itrelay.caltanet.it
Protocol.it@protocol.itmail.protocol.itsmtp.protocol.it

Buon  Natale 
Michele Balzano

domenica 7 dicembre 2014

Eliminare il virus Informatico EBOLA (DARK COMET RAT)


Come difendersi da DARK COMET RAT  e come individuarlo ad infezione avvenuta? Il problema di DC è che se il modulo server è fatto bene, una volta installatosi, sfugge alla maggior parte degli antivirus. Qualche controllo però si può fare una volta scaricato l’allegato, che solitamente è un PDF. In sostanza DarkComet, come altri malware, utilizza la tecnica denominata Right-to-Left-Override (RLO) al fine di cercare di mascherare il vero file type del PDF trojanizzato. Tale tecnica consiste nell’aggiungere un particolare carattere Unicode (U+202e) al nome file. Dopo tale carattere, il testo successivo apparirà in ordine inverso (da destra verso sinistra): ad esempio se il carattere speciale viene piazzato davanti alla lettera “f” di fdp.scr” il nome file risultante sarà “rcs.pdf”.

Questo meccanismo risulta efficace però solo da Windows 7 in poi, mentre Windows XP non interpreta la tecnica RLO, per cui il file sotto XP appare nella sua vera natura. In ogni caso, su qualsiasi versione di Windows sono comunque visibili le descrizioni del tipo file (le c.d. “Windows tiles”), che mostrano la vera natura del file, in questo caso screen saver (SCR) e quindi eseguibile.

Un altro controllo possibile è quello di verificare le porte TCP aperte. Il comando da dare al prompt dei comandi di Windows è il seguente:

netstat -nao
Poichè DC apre un socket sulla porta TCP 778, nei risultati del netstat troveremo qualcosa del tipo:

TCP 192.168.1.3:1058 x.y.z.12:778 SYN_SENT 1688
Un ultimo controllo è sui processi ma, come si diceva prima, bisogna che chi ha generato il server non abbia impostato l’opzione per nascondere il relativo processo dal task manager. In ogni caso, la caratteristica è un processo del tipo “svchost” con la “H” maiuscola invece della minuscola, quindi: svcHost.

In ogni caso, se il vostro pc si comporta stranamente (non riuscite ad aprire il task manager, rallenta, non riuscite a far partire il firewall, etc.), effettuate una scansione con DarkComet RAT Remover della PhrozenSoft, scaricabile qui

Arrivederci al prossimo articolo

Michele Balzano
Related Posts Plugin for WordPress, Blogger...

Post più popolari