Data Recovery Heroes.

Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.

Contatti preventivo immediato

Anti child Spam Porn Protection Process

Hai bisogno di aiuto ?

Recovery Italia offre diagnosi e preventivo gratuito entro 12 ore dalla accettazione in laboratorio.
Contatta il nostro call canter o inviaci una richiesta di assistenza a info@recoveryitalia.it. I nostri esperti sono a tua completa disposizione per una consulenza gratuita.

numero verde recovery italianumero verde recovery italia
numero verde recovery italia numero verde recovery italia

Questo Documento è stato scritto dopo il disassemblamento del virus lsassw86s.exe.
Il virus è stato compilato con PureBasic ed è progettato per rendere una eventuale decompilazione assai ardua.
Il Virus non risulta essere dannoso se non installato come servizio sul computer infetto.
E' quindi possibile montare la partizione infetta su un diverso sistema senza rischi.



Struttura e funzionamento del Virus
Il virus posiziona i propri eseguibili di base nella directory c:windowssystem32

cfwin32.dll
Eseguibile in Dos di winrar
Durante l'esecuzione del virus verrà rinominato scvhost per confondersi all'interno dei processi
svchost.exe verrà chiamato via riga di comando con thread separati.

default2.sfx
Viene utilizzato da winrar come pattern per gli archivi sfx creati

scsvserv.exe
Azione sulle seguenti chiavi di registro

 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "CrashDumpEnabled" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "LogEvent" /t REG_DWORD /d 0 /f"
 "reg delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsWindows Error ReportingLocalDumps" /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableArchive" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableQueue" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DontSendAdditionalData" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "ForceQueue" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "LoggingDisabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "AllOrNone" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "DoReport" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ForceQueueMode" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeKernelFaults" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeMicrosoftApps" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeShutdownErrs" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ShowUI" /t REG_DWORD /d 0 /f"
 "reg delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /va /f"
 "reg delete HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun /va /f"

Funzionamento lsassw86s.exe
Il virus core lsassw86s.exe funziona essenzialmente se il servizio scsvserv.exe è attivo.
Abbiamo realizzato una versione del virus completamente ristrutturata in modo da essere avviabile manualmente.

Le azioni del virus:
1) Verifica sul sistema della presenza del file stppthmainfv.dll
2) Per ogni step di funzionamento il virus crea dei files dissimulatori con chiavi statiche 3423434534512333466576743532423423545657567657465345345234234
3) Vengono eseguite le copie dell'eseguibile rar e sdelete
4) L'identificativo del virus è relativo ad informazioni sul serial number delle partizioni del sistema es (  funzione408c98.txt(!! to get password email id 2084785982 to italyhelp1@gmail.com !!).exe )
5) Viene creata una prima chiave casuale in un array di 144 caratteri in memoria.
6)  Viene creato un codice con questo metodo Key =  ThreadID XOR GetTicksCount()
7)  Vengono richieste 3 sleep call e moltiplicati i valori di GetTicksCount();
8)  Infine viene creata una stringa numerica con i valori accodando un prodotto tra i cast del MMÝ per HH%%mm%ss
9) Viene Chiamata una funzione ricorsiva a spostamento dinamico dell'array 144 che posiziona dinamicamente un cursore sull'array statico abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^
Come recuperare i file Excel in seguito ad attacco ransomware lockbit
Come recuperare i file Excel in seguito ad attacco ransomware lockbit

in questo articolo analizziamo gli effetti di un attacco ransomware lockbit su fogli excel e procediamo alla riparazione manuale dei fogli di lavoro ancora integri

Come trovare un centro di recupero dati affidabile a Milano
Come trovare un centro di recupero dati affidabile a Milano

Se hai mai perso dati preziosi dal tuo dispositivo elettronico, sai quanto possa essere angosciante. Le fotografie, i documenti di lavoro o i ricordi spesso risiedono sui nostri hard disk come beni immateriali ma estremamente preziosi. Pertanto, quando si verificano problemi tecnici o danneggiamenti imprevisti, il panico può prendere rapidamente il sopravvento. Ma non temere! Esistono esperti di

Pc non riconosce l'hard disk esterno: come accedere e salvare i dati
Pc non riconosce l'hard disk esterno: come accedere e salvare i dati

L'hard disk esterno è uno strumento prezioso per chiunque: un deposito pieno di documenti, foto, video e ricordi che non vorreste mai perdere. Ma cosa succede se un giorno il vostro fidato PC smette improvvisamente di riconoscere l'hard disk esterno? "Ho perso tutto? Sono definitivamente danneggiati i miei dati?" La risposta è no! Anche se può sembrare una situazione disperata, esistono diversi

Come recuperare passo-passo i tuoi dati da un NAS rotto
Come recuperare passo-passo i tuoi dati da un NAS rotto

Capita a tutti di trovarsi in situazioni svantaggiose, ma quando si tratta dei tuoi preziosi dati conservati su un NAS rotto, può sembrare la fine del mondo. Ma non preoccuparti! Siamo qui per aiutarti a superare questo ostacolo apparentemente insormontabile. Il nostro post odierno è una guida passo-passo che ti fornirà strumenti essenziali e consigli pratici su come recuperare i tuoi dati da u

RECUPERO DATI DA HARD DRIVE INTERNI
SERVIZI
HARD DRIVE

Qualsiasi hard disk, anche quello che sembra più affidabile e di qualità può tradirci improvvisamente. Recovery Italia è specializzata nel recupero dei dati da hard disk e memorie esterne con qualsiasi tipo di danneggiamento e perdita di dati, dalle formattazioni accidentali, ad eventi naturali o errori umani come le cadute a terra.

dettagli
RECUPERO DATI DA MEMORIE ESTERNE
SERVIZI
HARD DRIVE

Gli Hard Disk Esterni dominano il mercato dello storage consumer.Chiunque ha una memoria esterna dove salva Foto Video e Film. La portabilità dei drive esterni li espone a rischio di shock fisici e cadute a terra.

dettagli
RECUPERO DATI DA SISTEMI RAID
SERVIZI
RAID

Recovery Italia interviene su tutti i livelli o configurazioni di Raid, in qualsiasi caso di perdita dei dati, anche quando l'array presenti numerose unità degradate o in fault.I nostri ingegneri sono in grado di intervenire su qualsiasi tipo di assemblaggio RAID come RAID 0, RAID 1, RAID 3, RAID 5, RAID 6 oltre raid proprietari e configurazioni ibride.

dettagli
RECUPERO DATI DA SERVER E NAS
SERVIZI
NAS

Recovery Italia può recuperare dati da sistemi NAS (Netword Attached Storage) di qualsiasi produttore, e con qualsiasi tipo di danneggiamento. Il NAS è un sistema che può essere dotato di una o più unita disco, generalmente usato per la condivisione di documenti,file ed elementi multimediali tra diverse postazioni di lavoro collegate in rete.

dettagli
Recovery Italia®

Sedi Operative
Procedura recupero dati
Richiesta Pickup
Richiesta Assistenza
Listino Prezzi
Preventivo ON LINE
Contatto
Privacy Policy

Servizi & Data Recovery

Hard Disk Drive
Hard Disk USB
Pen Drive USB
Enterprise Servers
Sistemi RAID
NAS & DAS
Cellulari e Smartphone

Prodotti

Mobile Data Rescue
WhatsApp Data Recovery
iPhone Data Recovery
Challenger Rocket
Challenger PCI Board

Tecnologia

Tecnologia
Camera Bianca
ChallengerOS

Risorse

Blog Recovery Italia
Faq Recovery Italia
Training

Recovery Italia® GROUP

DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001

Sede di Roma Sud

Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A ANAGNINA
Sede di Roma Prati

Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A LEPANTO
Sede di Milano

Via Santa Maria Valle, 3
21220 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it

METRO M3 MISSORI