locked
Windows Server 2003 R2 con file dati criptati.ultracode RRS feed

  • Domanda

  • Ciao a tutti, 

    problema spinoso quanto rognoso a cui guardando in giro non ho soluzione, posto qui in cerca di lumi ed esperienza positiva:

    Ciente con 2003 R2 con password banali di connessioni RDP a cui hanno forato il server e criptato tutti i dati in file .ultracode compreso il backup su NAS e due pc della rete. Una volta entrati hanno fatto parecchio danno quindi. Avete avuto esperienza simile? sapete se esiste un modo per la decrittazione?

    Thx.

    A.

    • Tipo modificato Anca Popa giovedì 12 settembre 2013 14:38 discussione in corso
    • Tipo modificato Anca Popa lunedì 30 settembre 2013 11:42 thread risolto
    venerdì 6 settembre 2013 16:54
    Moderatore

Risposte

  • Ciao Alessandro, questa notte ho inviato una mail ad un collega (che ringrazio) e la sua risposta è stata, come puoi immaginare, in linea con le tue valutazioni.

    Ti giro integralmente la sua risposta e per quanto riguarda la discussione riportata nel seguente link puoi andare direttamente alla fine.

    "Si tratta di un baco che prende windows2003 con la 3389 aperta senza SP2, che è come dire "bucatemi fatemi quello che volete".
    L'algoritmo di cifratura è basato su RSA e non si riescono a decrittare i file, dal momento che il virus è diverso (chiave differente) per ogni PC o server. Servirebbe capire se c'è un qualche legame tra la chiave pubblica che vedi nel file di testo e la chiave privata che hanno loro...forse si può trovare. Nel thread c'è un link a Kaspersky con info a proposito di un virus simile.."

    http://forum.html.it/forum/showthread.php?s=4d030ec604b8416254c994035850900f&threadid=1538116&perpage=15&highlight=&pagenumber=1

    Fammi sapere se ci sono novità.

    Saluti
    Nino

    • Contrassegnato come risposta Anca Popa lunedì 30 settembre 2013 11:43
    sabato 7 settembre 2013 13:23
    Moderatore
  • aggiungo

    http://www.megalab.it/2930/stampa/

    quindi credo centri poco il fatto di bucare l'rdp o cose del genere, non mi pare un attacco "attivo" bensì il classico amo con esca buttato là in attesa che qualcuno abbocchi


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    lunedì 9 settembre 2013 07:54
    Moderatore
  • Allora, ho appurato quanto segue: 

    1) l'attacco avviene con un brute force attack su un utente terminal con password deboli, il db usa una serie di nomi italiani e stessa pwd: giovanni\giovanni giovanni\gio ecc se c'è un lockout dopo 3 pwd passa al nome successivo e li prova tutti

    2) il server è patchato quindi non c'entra niente l'sp2 o no e NON è un buco di protezione almeno nel caso sopra descritto.

    3) i file vengono criptati con una RSA ma nessun decrypter funziona, nemmeno quello di kaspersky. Si dipana via rete e cripta tutti files di share a cui ha accesso quindi anche i backup sui nas.

    Alcuni hanno pagato 200$ e si sono fatti sbloccare inviando una mail all'indirizzo presente nel "how to decrypt files ".txt che il cracker mette dappertutto. In questo caso la mail non esisteva più. Non ho trovato nessuno che è riuscito a decrittare i files in alcuna maniera. 

    Dulcis in fundo ti stoppano pure le shadow copies quindi resti a piedi totalmente.

    Nel mio caso ho risolto smontando un disco dal nas raid 1 con filesystem XFS e tramite recovery ho preso fuori 5 set di backup di cui coerenti e sono tornato al 4 Settembre. non male altrimenti era un bel bagno di sangue.

    quindi ATTENTI!!!

    A.

    • Contrassegnato come risposta Anca Popa lunedì 30 settembre 2013 11:43
    giovedì 12 settembre 2013 16:38
    Moderatore

Tutte le risposte

  • Ciao Alessandro, questa notte ho inviato una mail ad un collega (che ringrazio) e la sua risposta è stata, come puoi immaginare, in linea con le tue valutazioni.

    Ti giro integralmente la sua risposta e per quanto riguarda la discussione riportata nel seguente link puoi andare direttamente alla fine.

    "Si tratta di un baco che prende windows2003 con la 3389 aperta senza SP2, che è come dire "bucatemi fatemi quello che volete".
    L'algoritmo di cifratura è basato su RSA e non si riescono a decrittare i file, dal momento che il virus è diverso (chiave differente) per ogni PC o server. Servirebbe capire se c'è un qualche legame tra la chiave pubblica che vedi nel file di testo e la chiave privata che hanno loro...forse si può trovare. Nel thread c'è un link a Kaspersky con info a proposito di un virus simile.."

    http://forum.html.it/forum/showthread.php?s=4d030ec604b8416254c994035850900f&threadid=1538116&perpage=15&highlight=&pagenumber=1

    Fammi sapere se ci sono novità.

    Saluti
    Nino

    • Contrassegnato come risposta Anca Popa lunedì 30 settembre 2013 11:43
    sabato 7 settembre 2013 13:23
    Moderatore
  • aggiungo

    http://www.megalab.it/2930/stampa/

    quindi credo centri poco il fatto di bucare l'rdp o cose del genere, non mi pare un attacco "attivo" bensì il classico amo con esca buttato là in attesa che qualcuno abbocchi


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    lunedì 9 settembre 2013 07:54
    Moderatore
  • Stanotte hanno bucato un cliente ed aveva SP2

    lunedì 9 settembre 2013 08:40
  • l'attacco è attivo, te lo assicuro
    lunedì 9 settembre 2013 08:43
  • hai letto il link che ho postato ? il veicolo virale permette di introdurre il virus in qualsiasi modalità, attiva o passiva. il fatto che tu possa dire che è attivo è secondario rispetto al virus stesso, potrebbe anche trattarsi di una sql injection in una web app mal scritta invece di essere un baco dell'rdp.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 9 settembre 2013 08:47
    Moderatore
  • Confermo, c'entra niente sp2, anche quello del cliente era packato, e c'era solo la 3389 girata con blocco utente dopo 3 pwd errate, è un baco di rdp sicuro come l'oro.
    lunedì 9 settembre 2013 09:54
    Moderatore
  • Allora, ho appurato quanto segue: 

    1) l'attacco avviene con un brute force attack su un utente terminal con password deboli, il db usa una serie di nomi italiani e stessa pwd: giovanni\giovanni giovanni\gio ecc se c'è un lockout dopo 3 pwd passa al nome successivo e li prova tutti

    2) il server è patchato quindi non c'entra niente l'sp2 o no e NON è un buco di protezione almeno nel caso sopra descritto.

    3) i file vengono criptati con una RSA ma nessun decrypter funziona, nemmeno quello di kaspersky. Si dipana via rete e cripta tutti files di share a cui ha accesso quindi anche i backup sui nas.

    Alcuni hanno pagato 200$ e si sono fatti sbloccare inviando una mail all'indirizzo presente nel "how to decrypt files ".txt che il cracker mette dappertutto. In questo caso la mail non esisteva più. Non ho trovato nessuno che è riuscito a decrittare i files in alcuna maniera. 

    Dulcis in fundo ti stoppano pure le shadow copies quindi resti a piedi totalmente.

    Nel mio caso ho risolto smontando un disco dal nas raid 1 con filesystem XFS e tramite recovery ho preso fuori 5 set di backup di cui coerenti e sono tornato al 4 Settembre. non male altrimenti era un bel bagno di sangue.

    quindi ATTENTI!!!

    A.

    • Contrassegnato come risposta Anca Popa lunedì 30 settembre 2013 11:43
    giovedì 12 settembre 2013 16:38
    Moderatore
  • Buongiorno, abbiamo anche noi lo stesso problema.

    su un server 2003 tutti i file sono stati rinominati in ultracode sapete se è possibile riuscire a rimediare il problema?

    Altro grave inconveniente è che anche la copia di backup è andata stava effettuando la copia e adesso si ritrova con tutti i files rinominati.

    sabato 28 settembre 2013 15:21
  • prova a dare un'occhiata al link che ho postato e vedi se ti aiuta a risparmiare i soldi del riscatto.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 29 settembre 2013 07:30
    Moderatore
  • Ad non esistono modi senza la chiave rsa corretta. I link che vengono proposti non funzionano quasi mai in quanto cambia l'algoritmo continuamente. Non ho ancora trovato nessuno che sia riuscito effettivamente a sbloccarli e spesso (come è successo anche al mio cliente) la mail da contattare per il riscatto è fasulla o si disattiva. Morale: te la devi mettere via e pagare lo scotto della perdita dati e se non hai un backup di rete che si logga con credenziali diverse hai pure quello criptato e allora...tanti saluti.

    CHIUDETE I TERMINAL SERVER ESTERNI SUI 2003 o mettete password coplesse e blocco a 3 tentativi.

    ciao.

    Alessandro

    domenica 29 settembre 2013 09:12
    Moderatore
  • Ad non esistono modi senza la chiave rsa corretta. I link che vengono proposti non funzionano quasi mai in quanto cambia l'algoritmo continuamente. 

    capisco il tuo ragionamento ma non lo condivido del tutto: perso per perso fare un tentativo non nuoce, se la fortuna gli sorride si toglie un gran problema. poi nulla da dire sul modo di proteggersi.

    buona domenica.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 29 settembre 2013 10:16
    Moderatore
  • Edo, dico che non esistono perchè le ho provate tutte, decrypter, kaspersky decrypter, generatori di chiavi e relativi reverse enrcription. Abbiamo perso una settimana in 4 perchè non volevamo prenderla persa. Condordo sul fatto che uno ci deve provare, ma se ce la fa è il primo che sento. Mi sono letto pure i post in cirillico tradotti, non ho trovato nessuno che tranne che pagando ha sbloccato un server criptato. E non è sempre possibile pagare e si chiama comunque RICATTO. Ho perfino contattato esperti di criptatura dati tramite un amico che insegna Ingengeria Informatica a Stanford, da tutti ho avuto la stessa risposta: la chiave a 256-512 bit non la decripti a meno che tu non sia l'NSA. È solo per evitare al prossimo di perdere giornate e giornate su una cosa impossibile. Se poi domani escono reali soluzioni messe in atto da qualcuno allora sono il primo a postarle, ma fino ad allora è tempo perso. Buona domenica anche a te. Ale
    domenica 29 settembre 2013 14:00
    Moderatore
  • Anche io ho provato tutto il possibile ma inutilmente. Mi ha portato via 17 anni di lavoro. Volevo solo conoscere gli indirizzi email che ha indicato nei vostri files txt in quanto quello che ha lasciato a me "ultracode@x88mail.com" sembra non funzionare più. In rete si travano informazioni di gente che ha pagato ed ha ricevuto il decryptor. 
    venerdì 18 ottobre 2013 06:36
  • salve a tutti, mi aggiungo alla lista degli attacati win server 2003 :-(

    avevo un disco di backup esterno che nel momento dell'attacco era connesso... tutto perso...!

    ho tentato un primo recupero con photorec (ricavato da una miniguida su internet), il tool recupera poca parte dei files criptati ed in maniera disordinata!

    Temo che il metodo di pagamento ukash sia farlocco e non esiste...

    i tipi mi hanno mandato tre links dove acquistare ma non mi fa eseguire la transazione.

    Mi aggiungo alla lista dell'aiuto!

    Grazie Giuseppe!

    venerdì 18 ottobre 2013 18:38
  • Ragazzi, ne ho sbloccato uno la settimana scorsa tramite ukash. NON È UNA BUFALA, Ho dovuto comprarli in Slovenia perchè in Italia sono pressochè introvabili. La mail x88mail.com funziona, solamente che gmail e le altre mail di domini acquistati hanno blocchi verso quegli indirizzi. Mi è venuto il dubbio ed ho creato una mail farlocca di libero.it e spedito, l'hacker ha risposto, vuole 200€ in ukash vaucher, comprati, (impazzito per trovare un sito affidabile per averli) dati i codici ed in 2 ore ha mandato il decrypter. In altro modo non c'è verso, la criptatura è una RSA 1024 bit. Impossibile decriptare, fare a meno di provare con ammenicoli vari perchè seccate solo i files. Lanciato il decrypter su server ha funzionato anche sui client. Se volete salvarvi usate dei Nas con credenziali diverse sulle cartelle di backup e non lasciate sulle public. Spero di essere stato d'aiuto.
    venerdì 18 ottobre 2013 19:56
    Moderatore
  • ciao potresti portarmi a conoscenza del sito sloveno ? grazie
    lunedì 21 ottobre 2013 05:03
  • se un moderatore mi da l'ok lo metto a disposizione di tutti. Siccome è una cosa particolare in questo caso vorrei sapere se si puó fare. Anche perchè pubblicandolo qui a livello nazionale il negozio si vedrebbe arrivare richieste da tutta l'Italia. quindi magari prima vorrei chiedere a lui se posso farlo.
    lunedì 21 ottobre 2013 05:37
    Moderatore
  • Ciao, non è possibile postare link a siti esterni palesemente fraudolenti. Puoi metterti in contatto con altri utenti al di fuori del forum per avere tutte le indicazioni che vuoi, ad esempio lasciando visibile una tua casella mail per un paio di ore in maniera che "qualcuno" possa inviarti qualche informazione.

    Saluti
    Nino

      


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 21 ottobre 2013 05:57
    Moderatore
  • No no, spetta, non è un sito fraudolento attenzione è un rivenditore normalissimo che ha un ecommerce e nel suo carnet di vendita ha anche gli Ukash. Tra l'altro mi diceva proprio prima che sta collaborando con la Polizia Postale Slovena perchè anche loro ci sono sotto.

    lunedì 21 ottobre 2013 08:13
    Moderatore
  • Grazie del chiarimento, ma forse è meglio gestire la cosa in privato...


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 21 ottobre 2013 08:18
    Moderatore
  • nessun problema, nel mio profilo c'è il mio sito, penso che i colleghi siano in grado di arrivare anche alla mia mail :-)

    Buon lavoro.

    Ale.

    lunedì 21 ottobre 2013 08:27
    Moderatore
  • Aggiornamento: ho comprato due voucher in un'agenzia stamane, ho mandato i due pin ai malfattori, mi hanno risposto dopo 2 ore con il link dove scaricare il decryptor. Il decryptor viene scaricato in un file zip protetto da password (che ti scrivono loro nella mail) ed è un tool con due tasti, il primo fa la ricerca automatica dei file criptati riportandoli alla normalità, il secondo permette di scegliere all'utente il percorso specifico per un file da decriptare, ho lanciato il tool da più di un'ora che ha processato 53420 files ed ancora è a lavoro.

    Vi aggiorno

    Saluti

    lunedì 21 ottobre 2013 11:38
  • salve,

    un saluto a tutti.

    qualcuno ha qualche file decripter da postare in maniera da provare?

    ne sono stato vittima anche io

    lunedì 21 ottobre 2013 16:06
  • Aggiornamento: tutto sistsmato dopo aver versato due voucher ukas € 100,00 cad. il decrypter ha fatto il suo lavoro.

    Migrazione in hosting + backup settimanale su disco esterno.Saluti

    lunedì 21 ottobre 2013 16:49
  • Ragazzi i decrypter sono univoci e le chiavi rsa uguale, incrociano l'id del disco fisso per criptare, altrimenti sarebbero degli hacker della domenica!
    lunedì 21 ottobre 2013 17:05
    Moderatore
  • salve ,

    potrei sapere a quale indirizzo ha inviato la richiesta per il riscatto?

    martedì 22 ottobre 2013 09:48
  • Contenuto rimosso
    martedì 22 ottobre 2013 14:35