Recupero dati Professionale da qualsiasi dispositivo.

INFO 800 178 951 PREVENTIVO

Anti child Spam Porn Protection Process

Questo Documento è stato scritto dopo il disassemblamento del virus lsassw86s.exe.
Il virus è stato compilato con PureBasic ed è progettato per rendere una eventuale decompilazione assai ardua.
Il Virus non risulta essere dannoso se non installato come servizio sul computer infetto.
E' quindi possibile montare la partizione infetta su un diverso sistema senza rischi.



Struttura e funzionamento del Virus
Il virus posiziona i propri eseguibili di base nella directory c:windowssystem32

cfwin32.dll
Eseguibile in Dos di winrar
Durante l'esecuzione del virus verrà rinominato scvhost per confondersi all'interno dei processi
svchost.exe verrà chiamato via riga di comando con thread separati.

default2.sfx
Viene utilizzato da winrar come pattern per gli archivi sfx creati

scsvserv.exe
Azione sulle seguenti chiavi di registro

 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "CrashDumpEnabled" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "LogEvent" /t REG_DWORD /d 0 /f"
 "reg delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsWindows Error ReportingLocalDumps" /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableArchive" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableQueue" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DontSendAdditionalData" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "ForceQueue" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "LoggingDisabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "AllOrNone" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "DoReport" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ForceQueueMode" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeKernelFaults" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeMicrosoftApps" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeShutdownErrs" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ShowUI" /t REG_DWORD /d 0 /f"
 "reg delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /va /f"
 "reg delete HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun /va /f"

 
Funzionamento lsassw86s.exe
Il virus core lsassw86s.exe funziona essenzialmente se il servizio scsvserv.exe è attivo.
Abbiamo realizzato una versione del virus completamente ristrutturata in modo da essere avviabile manualmente.

Le azioni del virus:
1) Verifica sul sistema della presenza del file stppthmainfv.dll
2) Per ogni step di funzionamento il virus crea dei files dissimulatori con chiavi statiche 3423434534512333466576743532423423545657567657465345345234234
3) Vengono eseguite le copie dell'eseguibile rar e sdelete
4) L'identificativo del virus è relativo ad informazioni sul serial number delle partizioni del sistema es (  funzione408c98.txt(!! to get password email id 2084785982 to italyhelp1@gmail.com !!).exe )
5) Viene creata una prima chiave casuale in un array di 144 caratteri in memoria.
6)  Viene creato un codice con questo metodo Key =  ThreadID XOR GetTicksCount()
7)  Vengono richieste 3 sleep call e moltiplicati i valori di GetTicksCount();
8)  Infine viene creata una stringa numerica con i valori accodando un prodotto tra i cast del MM%DD per HH%%mm%ss
9) Viene Chiamata una funzione ricorsiva a spostamento dinamico dell'array 144 che posiziona dinamicamente un cursore sull'array statico abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*&*()-+=
10) Viene creata una prima stringa intermedia di questo tipo : =B0H7F1mnQz@GfNiP7Hk2jWzFFb&O@+Z7Uj#T$aws)OMB
11) Viene chiamata advapi32 per generare un random di 16 bytes con CryptGenRandom(  )
12) L'array viene portato nella sua forma ASCII HEX e diventa un array di 32 caratteri.
13) Viene chiamata advapi32 per generare un random di 16 bytes con CryptGenRandom(  )
14 ) Viene Creata una password intermedia ed una definitiva di oltre 100 caratteri.
15) Viene eseguito un thread di scansione di file system per creare il database dei files da cifrare in rar sfx
16) Viene chiamato un double thread per eseguire la creazione dei files sfx
17) viene distrutta la password originale con sdelete
18) tutti i files originali vengono distrutti con sdelete
19) viene eseguito il reboot del server e distrutte tutte le password, svuotato lo swap di sistema (pagefile.sys)
20) il virus continua a essere attivo e cifra tutti i nuovi dati con una nuova password di 30 bytes.
 
Recovery Italia puo' aiutarvi ad eseguire una valutazione del problema. Per tutte le informazioni potete scrivere a virus@recoveryitalia.it
 

 

Prenota qui il ritiro del tuo dispositivo

Richiedi subito il ritiro del Tuo dispositivo con corriere DHL. Ti offriamo un servizio di diagnosi e preventivo gratuiti in 12 ore.
PRENOTA QUI

Diventa anche tu un esperto nel recupero dei dati.

Scarica ChallengerOS

ChallengerOS il sistema operativo specifico per il recupero dei dati

Prova la potenza di ChallengerOS e Rocket, il rivoluzionario sistema operativo per il recupero dei dati da hard disk e dispositivi di memoria danneggiati.
ChallengerOS puo' trasformare qualsiasi computer anche datato in una potente stazione di data recovery.
Informazioni su ChallengerOS