Ciao volevo chiedervi se conoscete questo virus.. io ne sono stato vittima di questo virus e in un altro pc che ho con windows 8 mi ha bloccato 3 dei miei hard disk.. esiste un modo per poter togliere il crypt a tutti gli hard disk coinvolti? Il virus sono riuscito a toglierlo ma ha già preso i 3 hard disk. cosa si può fare?
- Autore discussione hacksoldier98
- Data d'inizio
- Stato
non è così semplice...dipende se quel antivirus ha la chiave universale per decryptare i file .cerb
no niente beckup quello che ho e' tutto dentro a quei hard disk... provato con tanti av ma non trova niente.. e no sono file che non vorrei perdere non dico che sono importantissimi dove devo andare a spendere migliaia di euro per poter riavere i file puliti solo che rompe un po
si beh il sistema operativo e' stato formattato quello si ma gli hard disk sono bloccati ancora.. cosa che infatti ho fatto anche bene (cosi almeno altri mi dicono) perche quel virus si aggiorna anche da solo e sono arrivati anche al cerb3.. altri infatti mi dicevano di non farlo..
Prova, solo questo ti e rimasto da fare,
Vedi qui https://www.bugsfighter.com/it/remove-cerber-ransomware-and-decrypt-cerber-files/
Vedi qui https://www.bugsfighter.com/it/remove-cerber-ransomware-and-decrypt-cerber-files/
Я
Яǝʌǝɹsǝ
la vedo dura, tenendo conto che la maggior parte usano AES128. hai due possibilità. la prima è di pagare per la chiave. la seconda.. dipende da te. sarebbe da analizzare l'applicazione stessa(il payload in questo caso), fare un reverse engineering per riuscire un hijack ai nodi di comunicazione usati per la verifica del pagamento, cosi "forse" ci riesci a ingannare la destinazione a pensare che è stato versato l'importo. questo se sei fortunato, se il programatore del ransomware non ha implementato che la chiave viene tenuta su un server centralizzato
Ultima modifica:
Le chiavi a partire dalle prime versioni del virus sono tutte presenti in dei server.Prova con le shadow copy dei file,sempre che non siano state rimosse.Comunque è praticamente impossibile prendersi virus al giorno d'oggi,in primis perchè creare dei virus FUD è quasi impossibile,secondo,i ransomware vengono inseriti dentro fittizi file .doc o .pdf,spammati via e-mail.la vedo dura, tenendo conto che la maggior parte usano AES128. hai due possibilità. la prima è di pagare per la chiave. la seconda.. dipende da te. sarebbe da analizzare l'applicazione stessa(il payload in questo caso), fare un reverse engineering per riuscire un hijack ai nodi di comunicazione usati per la verifica del pagamento, cosi "forse" ci riesci a ingannare la destinazione a pensare che è stato versato l'importo. questo se sei fortunato, se il programatore del ransomware non ha implementato che la chiave viene tenuta su un server centralizzato
Se qualcuno è interessato a far girare il virus su una VM,gli giro l'email
Я
Яǝʌǝɹsǝ
appunto hanno cambiato tecnica. adesso usano proprio l'AV per installare ransomware. dai un'occhiata qui
https://github.com/Cybellum/DoubleAgent#installation)
e qui per il POC
Stavo leggendo un vecchio post datsto 2014,alcune varianti non utilizzano nemmeno internet,la private key è nel database dell'cracker mentre la public key nel pc vittima,quindi gg easy
Я
Яǝʌǝɹsǝ
Il fatto strano è che nemmeno l'admin del pc può modificare o stoppare i processi dell'antivirus.Nell'articolo parlano di una vulnerabilità all'interno del processo di windows chiamato "Microsoft Application Verifier"
Link all'articolo https://cybellum.com/doubleagent-taking-full-control-antivirus/
Penso che aspettero qualche mese prima di scaricare roba da torrent,o mi creo una VM e a quel punto gg.Però tra Mr.Robot e virus
Link all'articolo https://cybellum.com/doubleagent-taking-full-control-antivirus/
Penso che aspettero qualche mese prima di scaricare roba da torrent,o mi creo una VM e a quel punto gg.Però tra Mr.Robot e virus
Я
Яǝʌǝɹsǝ
si beh stavo scaricando programmi fino a che non mi sono trovato questo virus e mi ha bloccato gli hard disk.
cose che dovrei trovare facile?avrà pure nickname di soldato 'acker e sarà pure saggio(!?!) ma ci credo poco che la trova easy
Quoto e la parte del provare a prendere la chiave la vedo dura dato che chi vende questi malware cerca di non farsi fare reverse engeeniring proprio per evitare di farsi beccare e soprattutto tutta quella roba passa sotto tor e il server dove è situato il db è un onionla vedo dura, tenendo conto che la maggior parte usano AES128. hai due possibilità. la prima è di pagare per la chiave. la seconda.. dipende da te. sarebbe da analizzare l'applicazione stessa(il payload in questo caso), fare un reverse engineering per riuscire un hijack ai nodi di comunicazione usati per la verifica del pagamento, cosi "forse" ci riesci a ingannare la destinazione a pensare che è stato versato l'importo. questo se sei fortunato, se il programatore del ransomware non ha implementato che la chiave viene tenuta su un server centralizzato
Quindi l'unica è pagare ma lo sconsiglio...
Inviato dal mio HS-L691 utilizzando Tapatalk
Ti rispondo in totale sincerità perché in questi casi è ciò che realmente serve. I file allo stato attuale non sono decriptabili, o meglio non esiste nessun tool gratuito in grado di decriptarli. Ti dico questo con sicurezza perché mi occupo di sicurezza informatica e sono nel campo dei ransomware da più di due anni. L'unica soluzione che venne trovata per combattere il cerber era la
seguente : https://www.cerberdecrypt.com/ questo sito era in grado di consegnare la chiave per decriptare i file nel giro di qualche minuto, peccato che nel giro di 48 ore dal suo rilascio ha smesso di funzionare. I creatori del ransomware in meno di 48 ore sono stati in grado di fare un upgrade e di rendere vano il lavoro dei ricercatori durato svariati mesi. Si stima che solo il Cerber ha incassato più di 10 milioni di dollari da fine 2015 a fine del 2016.
L'unica soluzione che realmente esiste è rivolgersi a una società che si occupa di recupero files, ce ne sono alcune in Italia, ma da quello che sò, solamente una riesce a recuperare file dalle varianti di cerber (li conosco perché ci ho indirizzato più di un mio cliente).
Finisco dandoti forse la peggiore notizia, primo non provare a pagare il riscatto che varia da 5 a 10 BTC poiché a molte persone il cerber (come il dharma) non consegna la chiave di decriptazione. La seconda brutta notizia è che devi realizzare quale sia il valore economico che hanno i tuoi file, e se vale la pena sborsare tutti quei soldi per recuperare i tuoi dati perché sicuramente il prezzo per il ripristino di tutti i tuoi file varierà dai 2000 agli 8/9000 euro (nel caso la key non sia la stessa per tutti e 3 gli hard disk, ti costerebbe ancora di più).
Non voglio fare pubblicità quindi se ti interessa sapere a chi rivolgerti scrivimi in privato.
seguente : https://www.cerberdecrypt.com/ questo sito era in grado di consegnare la chiave per decriptare i file nel giro di qualche minuto, peccato che nel giro di 48 ore dal suo rilascio ha smesso di funzionare. I creatori del ransomware in meno di 48 ore sono stati in grado di fare un upgrade e di rendere vano il lavoro dei ricercatori durato svariati mesi. Si stima che solo il Cerber ha incassato più di 10 milioni di dollari da fine 2015 a fine del 2016.
L'unica soluzione che realmente esiste è rivolgersi a una società che si occupa di recupero files, ce ne sono alcune in Italia, ma da quello che sò, solamente una riesce a recuperare file dalle varianti di cerber (li conosco perché ci ho indirizzato più di un mio cliente).
Finisco dandoti forse la peggiore notizia, primo non provare a pagare il riscatto che varia da 5 a 10 BTC poiché a molte persone il cerber (come il dharma) non consegna la chiave di decriptazione. La seconda brutta notizia è che devi realizzare quale sia il valore economico che hanno i tuoi file, e se vale la pena sborsare tutti quei soldi per recuperare i tuoi dati perché sicuramente il prezzo per il ripristino di tutti i tuoi file varierà dai 2000 agli 8/9000 euro (nel caso la key non sia la stessa per tutti e 3 gli hard disk, ti costerebbe ancora di più).
Non voglio fare pubblicità quindi se ti interessa sapere a chi rivolgerti scrivimi in privato.
Non pagare assolutamente per la chiave.... si sa che il 99% delle volte questi ransomware sono finalizzati a scammare le persone, che, prese dal panico, vogliono far di tutto per riprendere i loro dati.... puoi provare con il ransomware decryptor di kaspersky lab (e non sono nemmeno sicuro che decrypti Cerber) ma ci sono molte variabili: innanzitutto c'è da vedere che versione è il Cerber che ti sei beccato e se è un cerber particolare customizzato dal malintenzionato stesso il che porterebbe, nel caso in cui effettuassi il decrypting con un qualsiasi tool, a una corruzione del file e alla conseguente perdita completa del file stesso. Ergo o ti rivolgi ad una community di dercyptors come ha detto l'utente sopra oppure come ha detto Bob in precedenza effettui un reverse engineering del virus stesso e tenti di trovare la sua chiave (anche se in cerber solitamente la chiave è serverside) o qualche exploit nella comunicazione client-server della key oppure tenti di exploitare il meccanismo di crypting fatto sta che l'intero fattore reverse engineering è solo per esperti. Allego qui sotto il link della vera soluzione a tutto: la prevenzione cioè CryptoPrevent un antiransomware molto avanzato che blocca immediatamente l'esecuzione e il crypting di un eventuale ransomware https://www.foolishit.com/cryptoprevent-malware-prevention/ (cryptoprevent) oppure hitman pro alert https://www.hitmanpro.com/en-us/alert.aspx
Я
Яǝʌǝɹsǝ
Я
Яǝʌǝɹsǝ
non male come idea.. mandi te stesso il RW e chiedi tipo 500$ per la chiave. dall'altra parte apri un sito che decrypta i files, e chiedi 100$ per farlo. comunque sia, ci guadagni uguale
- Stato