Discussione Malware Server Infettato da Ransomware , come fare?

Ordina per data Ordina commenti per reazioni
S

sandbox90

Utente Bronze
12 Gennaio 2017
15
4
2
32
Hanno infettato con un Ransomware, uno dei miei server da lavoro, non c'è messaggio di riscatto ma un indirizzo email, [email protected], mi ha chiesto 10.000 dollari per il riscatto, da quel server dipende il lavoro di molte persone, tanta gente può veramente finire per strada, e questa merd*, perchè di merd* trattasi, chiede un riscatto assurdo.. qualcuno di voi puoi aiutarmi?
 
sandbox90 ha detto:
Hanno infettato con un Ransomware, uno dei miei server da lavoro, non c'è messaggio di riscatto ma un indirizzo email, [email protected], mi ha chiesto 10.000 dollari per il riscatto, da quel server dipende il lavoro di molte persone, tanta gente può veramente finire per strada, e questa merd*, perchè di merd* trattasi, chiede un riscatto assurdo.. qualcuno di voi puoi aiutarmi?
Clicca per espandere...
Hai delle info sul ransomware usato? Quale estensione hanno i file criptati? Se sei fortunato potrebbe esserci qualche software per la decrittazione rilasciato da società di antivirus o forze di polizia ma prima devi sapere di che ransomware si tratta
 
Se è un server utilizzato per il lavoro dovresti essere in regola con il GDPR e avere un piano di Disaster & Recovery (Articolo 32 Pt. C).
Fai prima a ripristinare i dati dal backup....

Se invece sei fortunato ed è stato utilizzato un RansonWare già conosciuto puoi tentare di decriptare i file, come suggerito da @ElectricDreamer
 
DidyMond ha detto:
Se è un server utilizzato per il lavoro dovresti essere in regola con il GDPR e avere un piano di Disaster & Recovery (Articolo 32 Pt. C).
Fai prima a ripristinare i dati dal backup....

Se invece sei fortunato ed è stato utilizzato un RansonWare già conosciuto puoi tentare di decriptare i file, come suggerito da @ElectricDreamer
Clicca per espandere...
Volevano evitare di ripristinare il tutto, perchè ci vogliono almeno 3 giorni , ma purtroppo è la strada che stiamo seguendo, il Ransomware si chiama Medusa comunque ed è uno degli ultimi usciti, state attenti ai server windows 2012 r2, il nostro server nello specifico e anche il suo gemello che usiamo come server ombra, stanno nello stesso datacenter dello stesso provider, sono dietro firewall software , quello di windows , con esposte solo le porte 80 e 443, prime indicazioni dicono che sia stato un 0day di IIS, e la cosa sarebbe molto grave.. anche perchè ci hanno colpito i due server principali che non avevano manco un numero dell'ip in comune..
 
  • Mi piace
Reazioni: Helplease e DidyMond
Ultima modifica:
sandbox90 ha detto:
Volevano evitare di ripristinare il tutto, perchè ci vogliono almeno 3 giorni , ma purtroppo è la strada che stiamo seguendo, il Ransomware si chiama Medusa comunque ed è uno degli ultimi usciti, state attenti ai server windows 2012 r2, il nostro server nello specifico e anche il suo gemello che usiamo come server ombra, stanno nello stesso datacenter dello stesso provider, sono dietro firewall software , quello di windows , con esposte solo le porte 80 e 443, prime indicazioni dicono che sia stato un 0day di IIS, e la cosa sarebbe molto grave.. anche perchè ci hanno colpito i due server principali che non avevano manco un numero dell'ip in comune..
Clicca per espandere...
Sì purtroppo non sembra esserci ancora un decrypter, ma puoi tenere d'occhio questa pagina per eventuali aggiornamenti https://www.bleepingcomputer.com/forums/t/706555/medusalocker-support-help-topic-encrypted-how-to-recover-datahtml/. In aggiunta qui c'è una lista dei ransomware attualmente in circolazione e forse c'è qualche dettaglio in più su Medusa https://id-ransomware.blogspot.com/2016/07/ransomware-list.html (la pagina deve essere tradotta, è in russo)
Anche se probabilmente fai prima a ripristinare tutto, visto che a quanto pare "Quando si criptano i file, per criptare ogni file verrà utilizzata la crittografia AES, e poi la chiave AES verrà criptata con la chiave pubblica RSA-2048 inclusa nel file eseguibile Ransomware", quindi dati praticamente irrecuperabili.
Questa analisi invece ti sarà sicuramente utile per capire come siete stati infettati https://www.carbonblack.com/blog/tau-threat-analysis-medusa-locker-ransomware/
 
sandbox90 ha detto:
Volevano evitare di ripristinare il tutto, perchè ci vogliono almeno 3 giorni , ma purtroppo è la strada che stiamo seguendo, il Ransomware si chiama Medusa comunque ed è uno degli ultimi usciti, state attenti ai server windows 2012 r2, il nostro server nello specifico e anche il suo gemello che usiamo come server ombra, stanno nello stesso datacenter dello stesso provider, sono dietro firewall software , quello di windows , con esposte solo le porte 80 e 443, prime indicazioni dicono che sia stato un 0day di IIS, e la cosa sarebbe molto grave.. anche perchè ci hanno colpito i due server principali che non avevano manco un numero dell'ip in comune..
Clicca per espandere...

Grazie della segnalazione! Ne terrò conto per i nostri server aziendali!
 

DISCUSSIONI SIMILI

M
Discussione Articolo Attacco ransomware a Postel società controllata da Poste Italiane del 15 Agosto 2023
  • Chiuso
  • 11
  • 1K
11
1K
Sicurezza Informatica
MRPants
M
Discussione Articolo Lockbit attacca l'italia
  • Chiuso
  • 0
  • 364
0
364
Sicurezza Informatica
MRPants
N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 420
3
420
Sicurezza Informatica
Netcat
N
Discussione Belgio: mossa azzardata, o decisione geniale? Mia opinione: un 50/50, spieghiamo come
  • Chiuso
  • 4
  • 412
4
412
Sicurezza Informatica
Netcat
N
Discussione A Natale siamo tutti più buoni: un'ipocrita festa che offre più possibilità di lateral movement che di bontà
  • Chiuso
  • 2
  • 246
2
246
Sicurezza Informatica
Netcat
Top Bottom
Indietro