Anti child Spam Porn Protection Process

Il virus è stato compilato con PureBasic ed è progettato per rendere una eventuale decompilazione assai ardua. Il Virus non risulta essere dannoso se non installato come servizio sul computer infetto. Scopri come siamo intervenuti per la decodifica ed il recupero dei dati.

Preventivo ON LINE

Questo Documento è stato scritto dopo il disassemblamento del virus lsassw86s.exe.
Il virus è stato compilato con PureBasic ed è progettato per rendere una eventuale decompilazione assai ardua.
Il Virus non risulta essere dannoso se non installato come servizio sul computer infetto.
E' quindi possibile montare la partizione infetta su un diverso sistema senza rischi.



Struttura e funzionamento del Virus
Il virus posiziona i propri eseguibili di base nella directory c:windowssystem32

cfwin32.dll
Eseguibile in Dos di winrar
Durante l'esecuzione del virus verrà rinominato scvhost per confondersi all'interno dei processi
svchost.exe verrà chiamato via riga di comando con thread separati.

default2.sfx
Viene utilizzato da winrar come pattern per gli archivi sfx creati

scsvserv.exe
Azione sulle seguenti chiavi di registro

 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "CrashDumpEnabled" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "LogEvent" /t REG_DWORD /d 0 /f"
 "reg delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsWindows Error ReportingLocalDumps" /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableArchive" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableQueue" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DontSendAdditionalData" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "ForceQueue" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "LoggingDisabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "AllOrNone" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "DoReport" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ForceQueueMode" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeKernelFaults" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeMicrosoftApps" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeShutdownErrs" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ShowUI" /t REG_DWORD /d 0 /f"
 "reg delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /va /f"
 "reg delete HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun /va /f"

 
Funzionamento lsassw86s.exe
Il virus core lsassw86s.exe funziona essenzialmente se il servizio scsvserv.exe è attivo.
Abbiamo realizzato una versione del virus completamente ristrutturata in modo da essere avviabile manualmente.

Le azioni del virus:
1) Verifica sul sistema della presenza del file stppthmainfv.dll
2) Per ogni step di funzionamento il virus crea dei files dissimulatori con chiavi statiche 3423434534512333466576743532423423545657567657465345345234234
3) Vengono eseguite le copie dell'eseguibile rar e sdelete
4) L'identificativo del virus è relativo ad informazioni sul serial number delle partizioni del sistema es (  funzione408c98.txt(!! to get password email id 2084785982 to italyhelp1@gmail.com !!).exe )
5) Viene creata una prima chiave casuale in un array di 144 caratteri in memoria.
6)  Viene creato un codice con questo metodo Key =  ThreadID XOR GetTicksCount()
7)  Vengono richieste 3 sleep call e moltiplicati i valori di GetTicksCount();
8)  Infine viene creata una stringa numerica con i valori accodando un prodotto tra i cast del MM%DD per HH%%mm%ss
9) Viene Chiamata una funzione ricorsiva a spostamento dinamico dell'array 144 che posiziona dinamicamente un cursore sull'array statico abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*&*()-+=
10) Viene creata una prima stringa intermedia di questo tipo : =B0H7F1mnQz@GfNiP7Hk2jWzFFb&O@+Z7Uj#T$aws)OMB
11) Viene chiamata advapi32 per generare un random di 16 bytes con CryptGenRandom(  )
12) L'array viene portato nella sua forma ASCII HEX e diventa un array di 32 caratteri.
13) Viene chiamata advapi32 per generare un random di 16 bytes con CryptGenRandom(  )
14 ) Viene Creata una password intermedia ed una definitiva di oltre 100 caratteri.
15) Viene eseguito un thread di scansione di file system per creare il database dei files da cifrare in rar sfx
16) Viene chiamato un double thread per eseguire la creazione dei files sfx
17) viene distrutta la password originale con sdelete
18) tutti i files originali vengono distrutti con sdelete
19) viene eseguito il reboot del server e distrutte tutte le password, svuotato lo swap di sistema (pagefile.sys)
20) il virus continua a essere attivo e cifra tutti i nuovi dati con una nuova password di 30 bytes.
 
Recovery Italia puo' aiutarvi ad eseguire una valutazione del problema. Per tutte le informazioni potete scrivere a virus@recoveryitalia.it
 

 

Recovery Italia, Contatti e sedi Operative

Recovery Italia garantisce una copertura logistica e commerciale su tutto il territorio italiano con i propri centri di roma,milano e torino oltre il servizio di copertura territoriale totale, supportato dal pick-up gratuito con corriere espresso DHL.

CONTATTI

Recovery Italia Virtual Tour

I centri di recupero dati, non sono tutti uguali. Dietro un sito web ben fatto non sempre ci sono aziende qualificate e che ti garantiscono risultati, qualità e sicurezza. Recovery Italia ha realizzato per voi il primo tour virtuale di un centro di data recovery in italia.

VIRTUAL TOUR

Procedura per il recupero dei dati

Scopri come funziona il recupero dati in Recovery Italia,come verranno gestite le tue informazioni personali, come verrá trattato il tuo dispositivo, dall’accettazione in laboratorio alla consegna dei file recuperati.

PROCEDURA

Richiedi una presa ed una diagnosi gratuita

Per poter valutare con precisione il livello di solvibilitá del tuo caso, è necessaria una accurata diagnosi di laboratorio con apparecchiature professionali.Recovery Italia ti offre un servizio di diagnosi e valutazione gratuita oltre un comodo servizio di presa con corriere espresso DHL.

PICKUP

Richiedi assistenza Tecnica

Hai un caso da sottoporci ? Richiedi assistenza tecnica direttamente al nostro staff tecnico. I nostri operatori sono preparati per consigliarti su come affrontare qualsiasi caso di perdita di dati.

ASSISTENZA

Preventivo ON LINE

Nessuno sembra riuscire ad esprimere un preventivo preciso o a fornirti una indicazione chiara dei costi ? Recovery Italia è la prima azienda italiana a fornirti un preventivo chiaro, semplice,definitivo e immediato.

PREVENTIVO

Recupero delle foto da un Samsung Galaxy s2 rigenerato dal produttore

Il caso di un Samsung Galaxy s2 da cui occorre recuperare le foto, da cui sono stati estratti dati non riconosciuti dal cliente, riferiti evidentemente ad una precedente "vita" del dispositivo che era stato ripristinato e rigenerato.
Continua a leggere