giovanni , se ti cripta i file lo vedi subito

cartelle con file musicali, immagini ,video , documenti word ,excell , pdf
vengono tutti alterati

poi questi virus sono molto scenici
ti piazzano i file con il riscatto in qualsiasi cartella , desktop compreso
(e poi li esegue)

molto difficile non accorgersi dell'infezione

se invece ti riferivi a qualcosa che rilevi l'alterazione dei file nel durante
bho...
io qualcosa di alternativo a quello che ha realizzato x_Master_x non l'ho trovato

Vedi non posso semplicemente dire "ecco qua il link, buona fortuna" non si scherza con queste cose e con i file degli utenti. Il post che hai messo era la mia prima idea, monitorare tutto ed ogni nuova estensione dare una scelta all'utente da prendere in pochi secondi. Pensavo bastasse così ma...poi sì è evoluto in un database di estensioni a cui una persona quotidianamente dovrebbe dedicarci del tempo per verificare la situazione mondiale ( visto che non esiste un sito che li raggruppi tutte, quello che vedi è frutto di una ricerca tra vari siti ) poi sono usciti dei ransomware che utilizzano estensioni conosciute come i ".com" che non vengono salvate nel registro perché già presenti = altro aggiornamento, poi i ransomware senza modifica dell'estensione che ti obbligano alla verifica dell'header = altro aggiornamento...
Insomma se domani mattina mi stanco di starci dietro ( oppure un ransomware a cui tecnicamente non posso fare fronte ) e voglio buttare il codice nel cestino chissene, ma se lo rilascio non posso permettermelo per rispetto nei confronti degli utilizzatori e sono più che sicuro di non poterlo aggiornare costantemente perché la mia presenza qui, negli anni, non è mai stata continua. Spero che con questo lungo post ti abbia chiarito il perché alla fine non abbia rilasciato e non rilascerò un eseguibile pubblico, ripeto mi dispiace per questo :)

P.S. Ci sono diversi post sull'evoluzione di "CryptoSaver" nel vecchio thread, se ti interessa leggili tutti cercando il mio nome utente in quella discussione.

non avevo pensato a questa evenienza :stordita:

effettivamente loro sarebbero sempre un passo avanti, poi sarebbe impossibile tener conto di tutte le possibili combinazioni/estensioni

che poi è la triste storia degli antivirus , sempre un passo indietro al virus :D

Ripeto, se hai i files in migliaia di cartelle (non in 'documenti') e non sul desktop non vedo nè file musicali, nè documenti di word, excel.. ecc

E perchè dovrei aspettare il momento in cui ha finito e mi appare la scenata? ;)

Per questo intendevo uno scanner in grado di verificare l'header dei files per vedere se sono criptati o normali.

Si è quel modello.. non conosco per nulla linux ragion per cui Vi chiedo aiuto..
Vi è qualche possibilità di recuperare file cancellati su quel tipo di dispositivo?
:confused: :confused: :confused:

"è questo?

https://www.qnap.com/i/it/product/mo...II=131&event=3

non vorrei dire una castronata (forse la dirò)

ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy?"

Nelle estensioni ci manca un *.locky, mio ultimo PC.

Per giunta ha cambiato il nome di tutti i files perciò non si sa cosa sono -> PC formattato brutalmente, per fortuna c'erano i backup :ciapet:

omihalcon veramente .locky c'è ma se leggi la premessa non ho intenzione di stare lì ad aggiornare quotidianamente, sarà una operazione una-tantum ogni x mesi per le varianti più famose-diffuse.

Giusto per chiarezza

http://www.hwupgrade.it/forum/showpo...postcount=1373

Chill-Out l'MBR é una cosa, l'MFT un'altra. Ripristinare l'MBR non modifica in alcun modo l'MFT perché l'MFT non si trova nell'MBR. La frase "se rispristini l'MBR ti giochi i dati" é valida solo se vuoi pagare il riscatto, cosa che nessuno dovrebbe fare, se lo ripristini non sei in grado appunto di inserire la chiave per decriptare la tabella. Ma vale per tutti i ransomware la frase "se rimuovi XYZ ti giochi i dati" nessuno escluso :D
Per il resto nessun dato viene effettivamente criptato, le possibilità di recupero dei file sono decisamente più alte rispetto ad un TeslaCrypt 3.0 per citarne uno. Di certo compromette l'operatività dell'OS in modo permanente a differenza degli altri e per questo non credo si diffonderà nel mondo consumer ma dipende dalla percentuale di persone "paganti" rispetto all'infezione stessa.

http://www.hwupgrade.it/forum/showpo...postcount=1372

Non è la soluzione se la frittata è fatta ma puoi sempre creare e tenere da parte dei file sfv con per un controllo crc dei file, eventuali modifiche salterebbero all'occhio lanciando il programma che confronta il file.
Ovviamente i file svf devi averli fatti per tempo e averne copia al sicuro e le cartelle/file abbastanza statiche, ovvero non con modifiche costanti ai file se no diventa uno strazio.
Io controllo ogni tanto le cartelle delle fotografie che tipicamente finito l'anno non subiscono più modifiche e quindi posso creare il file sfv.
Non so se esista un software che monitori i cambiamenti dei file, ma penso sarebbe abbastanza invadente dal punto di vista prestazionale.

Come all'altra discussione, mi iscrivo e seguo interessato. Complimenti per l'ottimo lavoro!

Grazie assassino di aragoste. Chill-Out non ho capito ora cosa dovrei fare, l'analisi grammaticale o quella logica del mio messaggio? :asd:

Vedo veramente difficile criptare un intero HDD, incluso l'OS, dall'OS stesso
Petya non cripta né i dati né l'OS ma solo e soltanto l'MFT, quest'ultimo dato non di poco conto non presente nell'articolo che citava solo l'infezione dell'MBR ed affermava giustamente che i dati non venissero criptati. Confermo quanto detto.

Classificabile come ransomware solo perché chiede un riscatto ma alla fine i dati sono sempre accessibili
Con l'informazione mancate dell'MFT e solo quella dell'MBR ora come ora sostituirei "accessibili" con "recuperabili"

Forse basta solo ripristinare l'MBR o un software che rimuove i bootkit, sono solo ipotesi.
"Forse...sono solo ipotesi" ed erano solo ipotesi, infondate, che si poggiavano sulle informazioni di una settimana fa. Il ripristino dell'MBR non permette l'accesso ai file perché viene criptata l'MFT, ripeto dato non presente alla stesura dell'articolo e mio post, fine.

gianluca.f,
Software che monitorano le directory ne esistono, non sono affatto invadenti dal punto di vista prestazionale ed io stesso ne ho fatto uno quindi so di che parlo. Un esempio di programma che puoi provare è FolderChangesView così te ne rendi conto.

lo proverò sicuramente! Grazie

Questo tipo d'attacco, invece, mi mette già più in allarme (e non è la prima volta che accade):



A prescindere infatti dall'aver attaccato OS X (pur in un breve lasso di tempo e quello che volete), la S O S T I T U Z I O N E di un installer con una copia appositamente manipolata mi trova infatti particolarmente impreparato (specie nel caso in cui lo stesso sito del produttore ometta di identificarli univocamente con elementi come SHA256,...).

Si presume infatti d'aver scaricato un qualcosa d'assolutamente legittimo (al quale -come tale- accorderei tranquillamente maggiori privilegi ove richiesti neutralizzando pertanto lo 'spirito' dell'UAC)...e invece si scopre d'aver innescato un disastro (posto che non abbia altri moduli di tipo proattivo su cui poter contare o strumenti passivi come Backup)...

Semplice semplice, subdolo subdolo...

questo vale però per tutti i virus, se tu ti fidi di un eseguibile perchè è l'installer di un programma e lo hai scaricato dal sito del produttore tu lo esegui

poi se chi ha messo la versione maligna sul sito del produttore riesce a modificare la pagina web che contiene l'hash a quel punto anche una verifica tra hash dell'eseguibile e hash riportato sul sito del produttore combacerebbe generando ulteriore fiducia

Phoenix2005 più che un esercizio di "stile" era più un modo per dimostrare quanto sia "semplice" contrastarli con pochi mezzi. Immagina quelli che hanno i produttori di antivirus che avrebbero potuto fermare la diffusione dei ransomware alla nascita. Invece sono sempre lì ancorati ancora alle definizioni e tecniche oramai obsolete..e i ransomware dilagano incontrastati

P.S. Non ho mai fatto caso quanto consumasse in memoria, te lo farò sapere ma credo pochi mega. Sulla "resa" mai controllato con un vero ransomware ma dai test effettuati li rilevava in pochi secondi. Per il resto concordiamo in pratica su tutto

EDIT:
VM con XP e 2GB di RAM dedicati

Non è una cosa facile, risparmiati sia l'una che l'altra!

Ma presente al sottoscritto

http://www.hwupgrade.it/forum/showpo...postcount=1373 :O

Petya decoder

https://hshrzd.wordpress.com/2016/03...a-key-decoder/

Leggere attentamente >>>

Disclaimer: This tool is an experiment in unlocking a particular kind of Ransomware, neither Malwarebytes or Hasherezade promise this tool will help in your particular case. This tool should not be considered an official solution to the Petya problem. Any files destroyed, further encrypted or otherwise tampered with against the desire of the user are not the responsibility of the developers. Please use at your own risk.

Aspetta ora che hai messo per la terza volta lo stesso identico messaggio, siamo vicini al record mondiale, forse ho capito l'antifona :D
Volevi dire che con la tua magica sfera di cristallo avevi intuito che Petya avrebbe avuto una falla nel codice, quindi sarebbe uscito un programma per decriptare l'MFT che nessuno allora sapeva che venisse criptata e che infine rimuovendo l'MBR non sarebbe stato più possibile inserire la chiave di decriptazione, infatti nel caso fosse stata ripristinata "ti saresti giocato i dati"! Ora tutto ha un senso :asd:

Scherzi a parte, nella guida in prima pagina alla sezione "Quali varianti è possibile decriptare?" ho messo già dalla prima stesura come prima alternativa preferibile, in caso la variante NON fosse stata sconfitta, una immagine del disco ransomware compreso.

Phoenix2005,
Nel mio precedente post trovi uno screenshot di quanto occupava "CryptoSaver" tanto per referenza