Discussione Malware Test WannaCry VBox

Ordina per data Ordina commenti per reazioni
B

BillyBoy_K

Utente Bronze
21 Luglio 2018
14
4
5
24
Ho provato recentemente in uno dei miei test ad infettare windows 7 64 bit su vbox con il classico wannacry, per provare poi a risistemare tutto senza perdere nulla, avevo già trovato un tool interessante chiamato wanawiki e qualche decrypter come questi https://noransom.kaspersky.com/it/ scoprendo poi dopo che non ce n'è uno per wannacry. Risultato wanakiwi non ha funzionato assolutamente non me lo faceva proprio avviare dal prompt ora non ricordo di preciso cosa dicesse l'errore, quindi mi son trovato a dover pulire tutto manualmente dal task manager interrompendo tutti i processi e disattivando il reboot automatico, rimanendo però con i file criptati che poi ho eliminato.
Dopo mi è venuto in mente di avere un programmino della stessa casa di ccleaner chiamato recuva per provare a recuperarli, ne ha ritrovati salvabili solo la metà e comunque sia dai nomi non sapevo quali fossero i sani e quali quelli del ransomware, risultato...ha vinto lui, in una situazione reale sarei rimansto con il pc sano ma svuotato.

Qualcuno ha già provato o conosce qualche soluzione?
 
Ci sono diverse versioni di WannaCry in giro quindi forse sei stato così sfortunato da lanciarne una non supportata? Comunque io ho lavorato in un centro di assistenza per qualche periodo e il mio capo mi disse di usare questo in caso qualcuno venisse da noi con un ransomware:

https://success.trendmicro.com/solu...ing-the-trend-micro-ransomware-file-decryptor

Però non ebbi la possibilità di testarlo quindi non posso confermarti nulla, anche se WC è presente sulla lista dei ransomware supportati.
 
ci sono versioni che mimano il cript ma in realtà creano solo copie dei file con estensione criptata cancellando tutto...
PS.
attento che alcuni virus sanno uscire e/o riconoscere gli ambienti virtualizzati e si comportano di conseguenza
 
Baud ha detto:
Ci sono diverse versioni di WannaCry in giro quindi forse sei stato così sfortunato da lanciarne una non supportata? Comunque io ho lavorato in un centro di assistenza per qualche periodo e il mio capo mi disse di usare questo in caso qualcuno venisse da noi con un ransomware:

https://success.trendmicro.com/solu...ing-the-trend-micro-ransomware-file-decryptor

Però non ebbi la possibilità di testarlo quindi non posso confermarti nulla, anche se WC è presente sulla lista dei ransomware supportati.
Clicca per espandere...
Interessante, potrei riprovare e vedere se funziona, grazie! Per la versione purtroppo non ti so dire, era quello presente in una bellissima raccolta di malware caricata su github chiamata TheZoo masters, forse la conoscete, c'era anche un versione nominata WannaCry Plus, che penso sia la 2.0...
Messaggio unito automaticamente:

FALSE ha detto:
ci sono versioni che mimano il cript ma in realtà creano solo copie dei file con estensione criptata cancellando tutto...
PS.
attento che alcuni virus sanno uscire e/o riconoscere gli ambienti virtualizzati e si comportano di conseguenza
Clicca per espandere...
Da quello che ho capito il malware non cripta proprio il file originale ma ne fa una copia, magari è fatto a posta proprio per cancellarti tutto e fregarti a prescindere...
Cavolo per il discorso della propagazione fuori dalla vbox sapevo fosse possibile in caso ci fossero cartelle condivise ma se mi dici che può succedere anche senza rimango un po' spiazzato...starò all'occhio.
 
BillyBoy_K ha detto:
Interessante, potrei riprovare e vedere se funziona, grazie! Per la versione purtroppo non ti so dire, era quello presente in una bellissima raccolta di malware caricata su github chiamata TheZoo masters, forse la conoscete, c'era anche un versione nominata WannaCry Plus, che penso sia la 2.0...
Messaggio unito automaticamente:


Da quello che ho capito il malware non cripta proprio il file originale ma ne fa una copia, magari è fatto a posta proprio per cancellarti tutto e fregarti a prescindere...
Cavolo per il discorso della propagazione fuori dalla vbox sapevo fosse possibile in caso ci fossero cartelle condivise ma se mi dici che può succedere anche senza rimango un po' spiazzato...starò all'occhio.
Clicca per espandere...
https://en.m.wikipedia.org/wiki/Virtual_machine_escape
 
  • Mi piace
Reazioni: BillyBoy_K
Il fatto che i file sono stati crittografati o alterati indica comunque che il virus non ha fatto quel tipo di controllo, perchè lo scopo di riconoscere una macchina virtuale è non destare sospetti in caso il virus venga sottoposto ad un'analisi dinamica, quindi se la VM viene riconosciuta il virus non esegue nessuna azione malevola, cosa che invece qui è successa.
 
  • Mi piace
Reazioni: BillyBoy_K e FALSE
Baud ha detto:
Il fatto che i file sono stati crittografati o alterati indica comunque che il virus non ha fatto quel tipo di controllo, perchè lo scopo di riconoscere una macchina virtuale è non destare sospetti in caso il virus venga sottoposto ad un'analisi dinamica, quindi se la VM viene riconosciuta il virus non esegue nessuna azione malevola, cosa che invece qui è successa.
Clicca per espandere...
potrebbe anche decidere di non contattare il server per le chiavi, comunque il senso si è capito xD
 
  • Mi piace
Reazioni: Baud
O ancora più interessante potrebbe comportarsi in una maniera completamente diversa per cercare di depistare o rallentare l'analisi, i malware sono programmi affascinanti.
 
  • Mi piace
Reazioni: 0xbro

DISCUSSIONI SIMILI

M
Discussione Articolo Attacco ransomware a NorthWave noto marchio di abbigliamento sportivo made in italy
  • Chiuso
  • 5
  • 454
5
454
Sicurezza Informatica
--- Ra ---
Domanda Auron SMS e server SMS basati su protocolli internet
  • 0
  • 493
0
493
Smartphone e Tablet
☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
D
Discussione Giochi in uscita su console e PC Gennaio 2024
  • 7
  • 704
7
704
Videogiochi
joeyruben
Top Bottom
Indietro