Cronaca di un attacco di ransomware: pomeriggio 1

3 marzo 2017, pomeriggio



[ZEUS News - www.zeusnews.it - 19-05-2017]

ransomware3

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Cronaca di un attacco di ransomware: in chat con i criminali

Primo giorno di paralisi dell'azienda. Giovanni, il sistemista, si è procurato un po' di bitcoin e inizia a negoziare con i criminali. A loro risulta che i computer infettati siano cinque, ciascuno con una chiave separata, ma Giovanni ha poco meno di 2 bitcoin e quindi i criminali sono disposti a dargli solo due chiavi di decrittazione. Si offrono di fare uno sconto: se l'azienda paga 4 bitcoin, daranno tutte le chiavi e anche l'immunità da futuri attacchi. Il sistemista comincia a pagare per due chiavi. Invia i bitcoin e aspetta, sperando che arrivino le chiavi.

Passano vari minuti di angoscia senza risposta. E se i criminali si tengono i soldi senza fornire le chiavi? Sarebbe un danno aggiuntivo a un'azienda che sta già perdendo soldi perché è ferma, oltre a essere una beffa amara. Ma alla fine arriva, sempre via chat, un link a una pagina di Pastebin.com che contiene le chiavi per decrittare.

Giovanni prova le chiavi su un file: funzionano. Il file viene decrittato e recuperato.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (2997 voti)
Leggi i commenti (12)

Sembra che tutto si sia risolto, ma dopo quattro ore di decrittazione Giovanni deve ricontattare (sempre in chat) i criminali: alcuni file non sono recuperabili. I criminali spiegano il motivo: sono stati cifrati più volte perché erano accessibili tramite più di una condivisione di rete. I file in questione sono dati vitali, per cui l'azienda deve pagare ancora. Giovanni tenta una trattativa sul prezzo (gli asterischi indicano dei dati che ho omesso per riservatezza):

@Support: Hello, This means that the file has been encrypted several times. To decrypt the file completely, you need to decrypt it with each IDs.
@Support: Starting at the end
@Support: First 289*******, then 337*******, 326*******, 208*******
@User: but we have the decrypt only for 208******* and 105********
@Support: If you pay for all IDs, therefore, this is not a problem. I wrote you the decoding order. Eventually the file will be fully decrypted.
@Support: Yes. What keys you indicated, such and received. Pay for the rest and you will be able to decrypt the files in reverse order.
@User: for 289*******, 337*******, 326******* need I to pay 2 BTC or there is a little discount?
@User: 2 BTC or a little bit discount?
@Support: To decrypt current the file with the ID 337********, you need to decrypt first with the ID 289*******, etc
@User: I understand....
@User: I just want to know the final price
@Support: I'm ready to make a discount. Total for 3 servers(289*******, 337*******, 326*******): 1.85 BTC
@User: OK, thanks! but will be Tomorrow, is 11:18 pm here now

La giornata del sistemista termina poi oltre mezzanotte, risolvendo insieme ai criminali alcuni problemi tecnici nel funzionamento della decrittazione, ma restano ancora molti dati indispensabili che non sono stati decrittati. Addirittura i criminali si offrono di risolvere il problema proponendo di mandare a loro i file problematici:

@Support: Send me encrypted files. Upload to ge.tt, sendspace.com or mega.nz
[...]
@Support: I passed your problemed file to our programmer. Wait for the result
@User: OK Thanks

Ti invitiamo a leggere la pagina successiva di questo articolo:
Cronaca di un attacco di ransomware: giorno 2

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
.

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 12)


{Dario}
ci sono società come 2open che permettono di recuperare file criptati da ramsmware per molto meno e senza pagare questi criminali!
9-5-2017 16:08

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Un sito Internet richiede che la password sia pi¨ complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (1905 voti)
Giugno 2017
Microsoft: ''Sì, disabilitiamo gli antivirus. Per il bene degli utenti''
Banda larga, scontro assurdo fra Tim e Governo
Il caso del sindacalista che criticava gli stipendi d'oro
Italia, via libera al trojan di Stato
Difendersi dalle app-truffa presenti nell'App Store di Apple
Roaming dati nell'UE ''gratuito'' da ieri: occhio alle sorprese
Firefox 54, più sicuro con la sandbox e più leggero
Il link che infetta il Pc senza nemmeno dover cliccare
Ecco come vengono sfruttati in concreto i dati delle nostre navigazioni
Windows 10, un assaggio del Fall Creators Update
Dai gattini bonsai alla disinformazione pianificata
Ex pornostar chiama in causa i pirati
Qualche chicca nascosta di Google
Antivirus e installazioni
Il forno a microonde per videogiocare
Tutti gli Arretrati


web metrics