Data Recovery Heroes.

Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.

Contatti preventivo immediato

Anti child Spam Porn Protection Process

numero verde recovery italianumero verde recovery italia
numero verde recovery italia numero verde recovery italia

Questo Documento è stato scritto dopo il disassemblamento del virus lsassw86s.exe.
Il virus è stato compilato con PureBasic ed è progettato per rendere una eventuale decompilazione assai ardua.
Il Virus non risulta essere dannoso se non installato come servizio sul computer infetto.
E' quindi possibile montare la partizione infetta su un diverso sistema senza rischi.



Struttura e funzionamento del Virus
Il virus posiziona i propri eseguibili di base nella directory c:windowssystem32

cfwin32.dll
Eseguibile in Dos di winrar
Durante l'esecuzione del virus verrà rinominato scvhost per confondersi all'interno dei processi
svchost.exe verrà chiamato via riga di comando con thread separati.

default2.sfx
Viene utilizzato da winrar come pattern per gli archivi sfx creati

scsvserv.exe
Azione sulle seguenti chiavi di registro

 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "CrashDumpEnabled" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl" /v "LogEvent" /t REG_DWORD /d 0 /f"
 "reg delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsWindows Error ReportingLocalDumps" /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableArchive" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DisableQueue" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "DontSendAdditionalData" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "ForceQueue" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindows Error Reporting" /v "LoggingDisabled" /t REG_DWORD /d 1 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "AllOrNone" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "DoReport" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ForceQueueMode" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeKernelFaults" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeMicrosoftApps" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "IncludeShutdownErrs" /t REG_DWORD /d 0 /f"
 "REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporting" /v "ShowUI" /t REG_DWORD /d 0 /f"
 "reg delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /va /f"
 "reg delete HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun /va /f"

Funzionamento lsassw86s.exe
Il virus core lsassw86s.exe funziona essenzialmente se il servizio scsvserv.exe è attivo.
Abbiamo realizzato una versione del virus completamente ristrutturata in modo da essere avviabile manualmente.

Le azioni del virus:
1) Verifica sul sistema della presenza del file stppthmainfv.dll
2) Per ogni step di funzionamento il virus crea dei files dissimulatori con chiavi statiche 3423434534512333466576743532423423545657567657465345345234234
3) Vengono eseguite le copie dell'eseguibile rar e sdelete
4) L'identificativo del virus è relativo ad informazioni sul serial number delle partizioni del sistema es (  funzione408c98.txt(!! to get password email id 2084785982 to italyhelp1@gmail.com !!).exe )
5) Viene creata una prima chiave casuale in un array di 144 caratteri in memoria.
6)  Viene creato un codice con questo metodo Key =  ThreadID XOR GetTicksCount()
7)  Vengono richieste 3 sleep call e moltiplicati i valori di GetTicksCount();
8)  Infine viene creata una stringa numerica con i valori accodando un prodotto tra i cast del MMÝ per HH%%mm%ss
9) Viene Chiamata una funzione ricorsiva a spostamento dinamico dell'array 144 che posiziona dinamicamente un cursore sull'array statico abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^
Recovery Italia Stabilisce Nuovi Standard nelle Perizie e Analisi Forensi su Smartphone
Recovery Italia Stabilisce Nuovi Standard nelle Perizie e Analisi Forensi su Smartphone

Recovery Italia, leader nel campo delle perizie e delle analisi forensi digitali, annuncia un avanzamento significativo nelle tecniche di investigazione forense su smartphone, riaffermando il suo ruolo di pioniere nella sicurezza e nell'innovazione tecnologica.

Come recuperare le chat whatsapp cancellate accidentalmente
Come recuperare le chat whatsapp cancellate accidentalmente

Che tu stia cercando di recuperare un messaggio cancellato accidentalmente o una conversazione intera che ti sei pentito di aver eliminato, non temere. Recuperare chat WhatsApp cancellate potrebbe sembrare un'impresa ardua o addirittura impossibile, ma la verità è che disponiamo di molteplici opzioni per farlo! In questo post ti guideremo passo dopo passo attraverso varie tecniche: dal semplice

Come recuperare le app perse da un telefono rotto
Come recuperare le app perse da un telefono rotto

È capitato a tutti noi. Quel momento di terrore quando il nostro fedele amico, il nostro smartphone, scivola dalle mani e va in frantumi sul pavimento duro. Scommetto che la tua prima preoccupazione non è nemmeno stata l'esterno del telefono, ma i dati preziosi che conteneva: foto irriproducibili, messaggi importanti... E soprattutto le tue app! Alcune delle quali potrebbero aver richiesto ore d

Come ripristinare file cancellati dal tuo Pc
Come ripristinare file cancellati dal tuo Pc

Ti è mai capitato di cancellare un file importante per errore e poi disperarti perché pensavi fosse andato perduto in modo irreversibile? Niente panico! Sei atterrato nel post giusto. In questa guida, ti mostreremo come recuperare quei preziosi documenti che avevi rimosso accidentalmente senza bisogno di essere un mago del computer o ricorrere a costosi servizi professionali.

RECUPERO DATI DA HARD DRIVE INTERNI
SERVIZI
HARD DRIVE

Qualsiasi hard disk, anche quello che sembra più affidabile e di qualità può tradirci improvvisamente. Recovery Italia è specializzata nel recupero dei dati da hard disk e memorie esterne con qualsiasi tipo di danneggiamento e perdita di dati, dalle formattazioni accidentali, ad eventi naturali o errori umani come le cadute a terra.

dettagli
RECUPERO DATI DA MEMORIE ESTERNE
SERVIZI
HARD DRIVE

Gli Hard Disk Esterni dominano il mercato dello storage consumer.Chiunque ha una memoria esterna dove salva Foto Video e Film. La portabilità dei drive esterni li espone a rischio di shock fisici e cadute a terra.

dettagli
RECUPERO DATI DA SISTEMI RAID
SERVIZI
RAID

Recovery Italia interviene su tutti i livelli o configurazioni di Raid, in qualsiasi caso di perdita dei dati, anche quando l'array presenti numerose unità degradate o in fault.I nostri ingegneri sono in grado di intervenire su qualsiasi tipo di assemblaggio RAID come RAID 0, RAID 1, RAID 3, RAID 5, RAID 6 oltre raid proprietari e configurazioni ibride.

dettagli
RECUPERO DATI DA SERVER E NAS
SERVIZI
NAS

Recovery Italia può recuperare dati da sistemi NAS (Netword Attached Storage) di qualsiasi produttore, e con qualsiasi tipo di danneggiamento. Il NAS è un sistema che può essere dotato di una o più unita disco, generalmente usato per la condivisione di documenti,file ed elementi multimediali tra diverse postazioni di lavoro collegate in rete.

dettagli
Recovery Italia®

Sedi Operative
Procedura recupero dati
Richiesta Pickup
Richiesta Assistenza
Listino Prezzi
Preventivo ON LINE
Contatto
Privacy Policy

Servizi & Data Recovery

Hard Disk Drive
Hard Disk USB
Pen Drive USB
Enterprise Servers
Sistemi RAID
NAS & DAS
Cellulari e Smartphone

Prodotti

Mobile Data Rescue
WhatsApp Data Recovery
iPhone Data Recovery
Challenger Rocket
Challenger PCI Board

Tecnologia

Tecnologia
Camera Bianca
ChallengerOS

Risorse

Blog Recovery Italia
Faq Recovery Italia
Training

Recovery Italia® GROUP

DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001

Sede di Roma Sud

Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A ANAGNINA
Sede di Roma Prati

Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A LEPANTO
Sede di Milano

Via Santa Maria Valle, 3
21220 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it

METRO M3 MISSORI
'