|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
14-07-2014, 09.52.24 | #91 | |||
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Le interfacce Multiview ovviamente esistono per praticamente qualsiasi sistema operativo per PC, a meno che tu non intenda qualcosa di particolare. Ma non mi pare questo il caso. Quota:
Più che altro evita di mostrare i nomi di file che potrebbero essere opere protette da copyright, va contro il regolamento del forum dare supporto ad attività che coinvolgono qualcosa di potenzialmente non legale. Ti consiglio di editare il post di prima. E soprattutto evita di darli alla polizia postale! Quota:
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
|||
14-07-2014, 10.41.06 | #92 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Presentare denuncia alla Polizia Postale non ti è utile per il recupero dei files: Non se ne occupano loro; A loro è sicuramente utile l'url dal quale hai scaricato l'.scr.
Da li non chiuderanno l'accesso al sito (salvo ulteriori indagini), ma sarà un punto di partenza per identificare da dove è stato effettuato l'upload (magari dietro a Tor, ma è questione di tempo) e procedere a ritroso. Poichè il dolo è molto grave, infatti ti hanno modificato i files rendendoli inutilizzabili e recuperabili solo dietro pagamento in denaro, questo è un motivo sufficiente a procedere, anzi è un motivo molto più valido di quello che li spinge a rendere inaccessibile un sito di filesharing o uno .torrent, dove gli amminstratori chiedono il versamento di un obolo per la fruizione dei contenuti. Tornando al discorso del recupero files, la mente malata del soggetto, ha rinominato il file aggiungendo .enc.rtf al nome, mantenendo l'estensione originaria: Questo perchè in fase di recupero, è necessario conoscere l'header del file al quale fa riferimento la struttura del file stesso, sulla quale è basato il player per la riproduzione. Con ogni probabilità, la chiave di recupero è il contenuto .rtf aggiunto all'inizio, ma recuperare l'algoritmo di cifratura utilizzato per poi procedere al reversing è una procedura molto laboriosa e necessita di professionalità che va oltre l'utenza di questo sito. I files che hai rinominato flv, si sentono perchè probabilmente l'header modificato non ha intaccato la struttura del file dove risiedono le informazioni dello stream audio, mentre per il video le hai "perse" con la cifratura. Il file rinominato .rtf sarà letto da Word, o Wordpad, o OpenOffice o LibreOffice, o qualunque altro lettore rtf. Il contenuto del file oltre le istruzioni rtf non sarà visualizzato perchè non coerente con il formato.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
14-07-2014, 12.00.25 | #93 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Adesso ho notato che il malware ha criptato anche tutti i file con estensione .png - .rar - .mdb - .mpeg - .mpg - .wmv
Ho controllato i tantissimi file di Windows XP e non sono stati criptati nessuno, evidentemente chi ha progettato il malware ha deciso di risparmiare tutti i file di Microsoft perchè in caso contrario il computer si sarebbe spento e non più riavviato, quindi nessuno avrebbe più potuto leggere la pagina in 3 lingue e cadere nella trappola di pagare. Questo era logico, ma ora ne ho avuto la conferma. Il sistema operativo è rimasto esattamente come era, anzi con le varie pulizie è stato ripulito da eventuali virus che ZoneAlarm non era riuscito a riconoscere. |
14-07-2014, 12.51.00 | #94 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Il fatto è che l'infezione ha avuto successo sotto Windows perchè progettato per quel S.O.: Da notare che tu, pur con antimalware attivo, hai consentito al malware di:
1 - essere eseguito 2 - essere autoavviante 3 - essere aggressivo oltremisura su un numero elevato di files, considerando la tua testardaggine di continuare ad usare il S.O., sapendo che c'era qualcosa che non andava. Rendere inutilizzabili i files indipendentemente dalla loro estensione non è legato al S.O. in uso, così come la decrittazione, mentre consentire di continuare l'azione fraudolenta si, anche dopo lo spegnimento e successivo boot. L'autore del malware doveva necessariamente essere certo che tu eseguissi almeno la prima parte del malware (quella della crittazione del tutto lecita dal punto di vista del S.O.) e poi agire per consentire che il malware continuasse anche dopo lo spegnimento ed il successivo avvio (cio che l'AV ti aveva segnalato e che tu hai omesso per nervosismo o perchè non sei stato avveduto). Nascondere il malware dietro l'estensione .scr ha sicuramente fatto leva sulla curiosità del malcapitato e sulla tipologia dei siti da egli visionati. Cio che non abbiamo trattato è se il nome utente possedeva privilegi di amministratore o meno, perchè il livello di intrusività è strettamente legato a questo parametro, oltre alle funzionalità in uso dai sistemi di prevenzione in esecuzione sul bersaglio.: Ormai la frittata era stata fatta e l'uovo risulta strapazzato oltre le aspettative dell'utente che, guardacaso, continua il thread con ulteriori dettagli che nemmeno lui conosceva fino a poco tempo fa. Ancora lacunoso è se i files possono essere recuperati o meno, ed in che modo...Identificare prima e poi disassemblare il malware rende sicuramente note le modalità d'agire, ma è certo che ci voglia tempo ed il risultato di recupero non è sicuro, perchè dipende dalla reversibilità dell algoritmo di cifratura utilizzato, sempre che sia così. Considerata la professionalità necessaria per il reversing, è giustificato il fatto che tale operazione non sia a titolo gratuito, bensì oneroso, per coloro che eseguono tale attività lavorativa (vedasi Kaspersky, esempio citato) finalizzato al recupero di cio che è stato compromesso senza esserne l'artefice.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
14-07-2014, 16.45.55 | #95 | |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Il nome utente possiede i privilegi di unico amministratore, perchè ho sempre tenuto disattivato l'Account Guest, ma ora sono andato a vedere ed ho notato che era stato aggiunto un altro Account che fino ad un mese fa non c'era, di nome UpdatusUser anch'esso Amministratore del computer ed addirittura protetto da password, che potrebbe essere stato aggiunto dal malware ma non ne sono certo poichè potrebbe essere stato qualcuno dei nuovi programmi che ho installato di recente; in ogni caso adesso l'ho eliminato, ma è strano che quando ho spento il pc ieri non mi abbia chiesto la password, anzi per fortuna! Piuttosto c'è ancora un problema che c'era già da alcuni mesi e non sono riuscito a risolvere: ci sono tanti file che sono semplici foto o video, che se cerco di aprirli appare una finestra intitolata APRI FILE - Avviso di protezione, e ci sono due opzioni: APRI oppure ANNULLA. Se in tale file apro le proprietà c'è l'opzione ANNULLA BLOCCO, e quindi se la clicco il file si apre e rimane memorizzata tale operazione. Ho tentato di capire come evitare di dover aprire ogni file e annullare il blocco ma non ho trovato il modo. Lo conoscete? |
|
14-07-2014, 17.16.22 | #96 |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Facendo una ricerca su internet ho risolto il problema che ho citato, ho trovato un utente che ha consigliato di scaricare ed aprire questo file di registro, che ho messo nella cartella principale WINDOWS, e ora l'ho zippato per caricarlo.
Problema risolto. Se qualcuno ha lo stesso problema. |
14-07-2014, 17.19.00 | #97 | |||
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Anche se il sistema non si fosse riavviato sarebbe stato facile farlo ripartire, i dati che invece sono stati contagiati saranno molto difficili da recuperare (anche se i servizi di Kaskpersky e DrWeb danno qualche speranza in questo senso). Francamente, con questa frase, mi rendo conto che di quanto scritto in queste sette pagine e dei consigli dati hai capito ben poco. Quota:
La verità è che con grande probabilità il tuo sistema ha subito dei danni, molti dei quali al momento non evidenti, ed è tutt'altro che in buona salute. Non escluderei neppure la presenza di qualche infezione che non è stata individuata dai software che hai usato (una volta che il sistema è infattato ed ha permessi di admin può fare di tutto, anche a livelli molto profondi). Se il PC viene usato per cose delicate (compresi acquisti online e home banking), solo per questo sospetto io formatterei, ripulirei e farei una nuova installazione. E magari, quando rinstalli, ci metti qualcosa di più moderno di XP che sfrutti bene la tua macchina. Questo ovviamente è un comportamento a rischio, ma del resto con XP è normale, dato che non gestisce adeguatamente l'elevazione dei privilegi. Quota:
L'operazione non è molto differente da quella che ha causato l'infezione di questo computer, ossia il non dare retta ad un avviso di protezione che ti dice che c'è qualcosa che non va. Talvolta una firma non valida può non essere un problema, ma eliminare completamente l'avviso può essere un ulteriore rischio di sicurezza (magari non in questo caso, ma per il futuro).
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
|||
14-07-2014, 17.45.17 | #98 | ||
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
quando ho trovato questo forum ed ho pubblicato il mio problema, che avevo già pubblicato in un altro forum senza ricevere alcuna risposta, era già passato un giorno e mezzo dall'ingresso del malware, quindi se ora qualcuno continuasse ancora a dire che avrei fatto bene a spegnere il pc, significa che non ha capito niente di informatica, oppure è di coccio. Quota:
Prima di allora tutti i file che contenevano il messaggio di annullare il blocco si aprivano normalmente, e non era mai successo niente per il semplice motivo che sono per la maggior parte foto, purtroppo adesso quelle JPG sono criptate, ma una semplice foto non mi risulta possa contenere un virus. Grazie comunque per il tentativo di aiutarmi ed i consigli dati in buona fede. |
||
14-07-2014, 18.17.13 | #99 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Una semplice foto può contenere codice malevolo che può indurre il codec ad eseguire codice arbitrario, il quale, in base ai privilegi in uso dall'utente loggato può eseguire operazioni che di norma appartengono all'utente amministratore che non dovrebbe mai essere l'utente in uso abituale; Non si tratta di virus, quanto di uno dei metodi d'infezione soggetto al rilascio di patches che intervengono sul codec.
Poichè le immagini fanno parte del contenuto di pagine web e spesso abbelliscono gli applicativi, è chiaro che la possibilità di essere infettati visitandole non è una casistica da non prendere in considerazione. Tu hai utilizzato tools di rimozione che, non essendo specificatamente predisposti per il malware che ti ha infettato, hanno operato in modo generico su un ampio ventaglio di casistiche nelle quali è rientrato anche il tuo, agendo in modo pesante sulle voci di registro e rendendo il PC necessariamente riconfigurabile sotto il profilo della fruibilità ed in parte della sicurezza. E' per tale motivo che ottieni un comportamento anomalo del tipo "prima non mi dava problemi ed adesso si". Inoltre, è lecito chiederti se hai operato le varie patches messe a disposizione da Microsoft nel corso del tempo, oppure non hai mai agito in tal senso, perchè puoi anche essere un attento conoscitore delle varie tecniche d'infezione e lavorare sotto admin, ma la prima cosa che non devi evitare di fare è aggiornare il tuo S.O. con le ultime patches rilasciate e tenerti informato. Diversamente, non è una questione essere di coccio o meno, bensì non fornire consigli che alla fine si rivelano essere errati/superficiali
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
14-07-2014, 18.27.51 | #100 | |
Junior Member
Registrato: 11-07-2014
Messaggi: 65
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
|
|
14-07-2014, 18.34.13 | #101 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Giusto, ho riletto.
Ad ogni modo, non penso che il motivo dell'infezione sia aver terminato l'assistenza e non credo abbia a che fare con le immagini nello specifico, quanto sull'utilizzo sotto admin. Passare ad un S.O più evoluto, comunque, non è un consiglio da scartare, soprattutto perchè l'esperienza passata insegna anche a chi lo realizza ed alcune funzionalità spesso abusate da alcune tipologie di malware possono essere limitate nell'utilizzo perchè implementate nell'hw e fruibili di default da parte del S.O.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
14-07-2014, 18.35.01 | #102 | ||
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Ciò nonostante il consiglio datoti continua a rimanere il migliore (anche ad un giorno e mezzo di distanza), così come rimane un ottimo consiglio quello di rinstallare da zero il sistema e magari di utilizzarne uno più moderno (sia per motivi di sicurezza che per sfruttare meglio la tua macchina). Spero che ora questo sia definitivamente chiaro, perchè altrimenti comincerei davvero a pensare che il mio interlocutore sia "di coccio"... Ciò che vorrei fosse chiaro è che quel file .reg non è una soluzione ma un workaround. Per capire la differenza, ti faccio un esempio banale. Immagina di avere un vicino chiassoso che la notte non ti fa dormire. La soluzione del problema sarebbe andare dal vicino e convincerlo a non fare più chiasso durante le tue ore di riposo. Il workaround sarebbe invece comprare dei tappi per lo orecchie così da non sentire il rumore. Il problema è che con i tappi nelle orecchie rischi di non sentire la sveglia la mattina, o il telefono che squilla, o l'allarme antibomba In questo caso stai applicando un workaround. Ma facendolo, non verrai avvisato anche nei casi in cui sapere che il certificato ha problemi potrebbe essere utile. Quota:
XP è un sistema di un'era geologica fa, in termini informatici.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
||
14-07-2014, 19.01.16 | #103 | ||
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
Quota:
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k Ultima modifica di AMIGA : 14-07-2014 alle ore 19.12.57 |
||
14-07-2014, 19.15.38 | #104 | |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Stai scherzando vero?
Mi spieghi cosa ha di speciale un programma che funziona sia come lettore RTF che come editor ascii? Ti ripeto, se tu utilizzi un programma che serve per leggere i file RTF, questo leggerà solo la prima parte del file, che è appunto un contenuto RTF, ignorando il resto. Se usi un programma differente, come il notepad di windows tanto per dirne uno, allora sarai in grado di vedere anche il resto del contenuto del file (ma il testo RTF ti appare con tutti i tag relativi alla formattazione). Che poi questi siano due programmi differenti o uno che integri entrambe le funzionalità non cambia nulla. Quota:
Mi spieghi cosa abbia a che fare il multiwindow con la gestione dei tipi di dato? E per quale oscuro motivo solo i sistemi Amiga possono farlo e gli altri sistemi no? Dammi una breve definizione di MultiWindow e DataType, così forse cominciamo a capirci, altrimenti sembrano cose dette a caso.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
|
14-07-2014, 19.24.42 | #105 | |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: File criptati e modificati nell'estensione finale con .enc.rtf
Quota:
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
avrei bisogno di aiuto.....grazie | delfinaxx | Sicurezza&Privacy | 2 | 27-06-2013 15.02.21 |
[9x - 3.11] INSTALLARE WINDOWS 3.1 A FIANCO DI WINDOWS 98 | booty island | Windows 9x/Me/NT4/2000 | 1 | 27-11-2012 00.08.51 |
Imaging e Win Xp | Cico2000 | Windows 7/Vista/XP/ 2003 | 6 | 15-04-2005 19.01.01 |
Windows file protection:guida | Deuced | Windows 9x/Me/NT4/2000 | 7 | 16-03-2004 08.25.28 |