ransomware: 2500$ de platit

trecand peste de ce si cum si cine e de vina, daca datele sunt asa importante eu as cere o decriptare la un folder (cel mai important ) ca test - inainte de plata. Daca merge, asta e - platesti si speri. daca nu ..nu platesti  

ai idee ce ransomwere e ? la unuele mai puteai genera chei tu..

Firma la care am lucrat pana acum cativa ani a patit-o asa, nu mai lucram la ei dar am incercat sa-i ajut, fara succes. Am cautat pe net si am gasit un subiect pe bleepingcomputer, cei de acolo lucrau la asta. Pe scurt, istoricul.
Firma a fost beneficiara unui soft de calcul si facturare energie termica, iar cei care au instalat serverul au fost asa de tembeli incat au lasat RDP deschis direct la net, netrecut prin router, zero securitate, doar userul si parola de Windows. Sistemul de operare Windows Server 2012 Standard Edition.
Tipicul atacului, in week end, hackerii polonezi au intrat au luat CMD si au rulat un executabil. Acesta a generat un cod dupa un algoritm, cu care a criptat o parte din fisiere. A trecut la etapa a doua, cu o a doua criptare si apoi la a treia, generand fisiere criptate cu 3 coduri.
In cazul lor au cerut 4000 de Euro in bitcoin, iar conversatia s-a purtat pe mail, in termeni foarte civilizati. Pana la urma firma a acceptat si a platit.
Polonezii au trimis un executabil care a inceput decriptarea fisierelor. Decriptarea a reusit, totul a fost ok, si-au recuperat datele, iar dupa lectia aceasta au facut un VPN.

d'aia e bine sa trimiti proprii angajati in IT  din cand in cand la cursuri de securitate IT
ps. la noi daca instalezi windows-ul si mai si-l mai si activezi deja esti expert!

Edited by STARTREK1, 15 November 2018 - 09:32.

stlk, on 15 noiembrie 2018 - 02:18, said:

Nu stiu ce tip de ransomware este. Am vazut o singura data sistemul si am luat cateva fisiere si am initiat discutia cu rusnacii. Sistemul este scos din retea dar in principiu nu i s-a facut nimic. Ii voi face o imagine la disk si voi incerca sa aflu. Decamdata sunt focalizat pe plata. Stim ca exista posibilitatea ca dupa plata sa nu primim nimic, E un risc asumat.
Voi reveni cu amanunte cand se va intampla.


Un lucru este sigur. Daca au strans in portofelul ala $750k sunt profesionisti.

Edited by Bumble Bee, 15 November 2018 - 11:16.

De unde stii ca sunt rusi? Nu cred ca ai vb la telefon cu ei.
Pe langa criptare, ai primit si ceva fisiere cu indicatii de plata.
Care e data limita pt decriptare? (ce au zis-o ei).
Ca sigur, nu ai cum sa stii nika.
Au criptata absolut tot sau doar cateva fisiere?
Ce volum de date criptate?

Dupa ce faci plata de 2500, ce crezi? Cat vor mai cere pt faza 2? Apoi faza 3 etc?
Chiar platiti acei 2500 euro, fara sa clipiti? Fara nicio convingere ca se vor decripta. Cel mult cu speranta ca se vor decripta.
Pune datele la pierderi si o luati de la capat. Macar nu mai pierdeti inca 2500 euro.

Daca este acelasi tip de atac, ei fac un random scan pentru servere lasate pe net aiurea, apoi cauta user si parola de rdp cu brute force. Odata ce iau acces remote, instalarea ransomware-ului o fac manual, apoi acesta isi face treaba. Dureaza destul de mult pana se realizeaza criptarea fisierului, de aceea atacurile se petrec in week end.
A fost un topic dedicat pe bleepingcomputer, din pacate nu-l mai gasesc. Nimeni nu daduse un raspuns daca au rezolvat ca urmare a platii.
In cazul concret cunoscut de mine au platit si au primit executabilul de decriptare, insa asta nu e o regula...

spooky51, on 15 noiembrie 2018 - 11:40, said:

Asa cred ca s-a intamplat. Serverul avea deschis direct in internet RDP si criptarea s-a facut in weekend. Iar parola era din putine caractere...

dorin_2k, on 15 noiembrie 2018 - 11:35, said:

nu stii sigur ca sunt rusi.. acum, evident isi pot seta gmail in ruseste.. nu e mare lucru.

Cat despre plata am mai spus, nu sunt datele mele, sunt un executant. Au decis si si-au asumat si varianta ca nu vor primi nimic...

Bumble Bee, on 15 noiembrie 2018 - 12:00, said:

Gata, am gasit topicul, sper sa te poata ajuta !
Softpedia nu-mi da voie sa pun linkul, cauta pe bleepingcomputer dupa ACCDFISA v2.0 Ransomware Support Topic

Alte informatii si un tool aici

http://karwos.net/accdfisa20/

https://blog.emsisof...indows-servers/

spooky51, on 15 noiembrie 2018 - 12:09, said:

nu seamana cu ce am acolo. De fapt nu am gasit in tot internetul referinta la atacul cu care ne-am confruntat.

Esti constient ca sunt zeci de mii de variante de atacuri si cheia privata pe baza caruia s-a facut criptarea e la rusi (sau la prietenii lor - sa nu se supere dorin_2k)?

Voi cere decriptareaunui sample.

Dar va rog sa va puneti urmatoarea intrebare: cineva care a facut paroape 1 milion usd este un neprofesionit? Oare ailalti 700 care au platit, profesionisti sau ne, nu au cautat solutii salvatoare pe toate site-urile?

Edited by Bumble Bee, 15 November 2018 - 12:24.

Ala ce a facut 1 milion de USD e f tare.
Insa restul ce au platit sunt ....
Insa aia ce au platit, au primit ceva pt decriptare? Asta inca nu se stie.

In cazul vazut de mine a fost exact atac ACCDFISA v2.0, inclusiv cererea pe [email protected]. DIn cate am citit pe net atacul venea din Polonia.
Firma a solicitat decriptarea unui sample, a fost acceptat un fisier excel, dar de dimensiuni mici (ei sperau sa poata trimite ca sample fisierul cu contori si indecsi si sa reinstaleze aplicatia dupa asta fara sa mai plateasca). Fisierul sample a fost decriptat, nu cel care sperau ei.
Au hotarat plata, au stat cu morcovul vreo 24 de ore, au primit un executabil si instructiuni, au mai stat cu morcovul inca vreo 24 de ore pana s-au convins ca decriptorul a functionat si si-au recuperat datele.

dorin_2k, on 15 noiembrie 2018 - 12:29, said:

Eu cred ca primesc. Este un efort foarte mic pentru ei ca sa trimita tool-ul de decriptare o data ce il au. Daca cineva arunca cu atata banet si nu primeste nimic scrie in stanga si-n dreapta. Eu cred ca pentru ei, un "client" multumit este infinit mai folositor decat unul tepuit.

Repet. Eu personal nu sunt de acord cu plata.

spooky51, on 15 noiembrie 2018 - 12:45, said:

Am citit. Merci Aici e altceva. Raspund la orice ora in 2-3 minute maxim. E alta adresa de gmail. Alt splashscreen, alte instructiuni. sunt multi care se ocupa de asta, si fiecare dintre ei este eficace pentru ca conceptul este relativ simplu si criptografia cheie privata-cheie publica la indemana oricui si booletproof (daca nu ai un calculator cuantic sau resursele NSA)

Folosesc linux ca desktop si m-am hotarat sa fac pe desktop tranzactiile. Nu-s ok cu androidul.

Electrum pe linux pare o alegere buna sa strang in portofelul meu suma prin tranzactii multiple apoi sa trimit toata suma.

M-am jucat pe testnet ca sa inteleg cum functioneaza, sunt complet nou la toata tarasenia cu BTC.

uite aici un articol destul de comprehensiv. ai si ceva tools de indentificare tip ransomware plus diferite solutii. nota :  nu am testat de acolo toate linkurile/tool-urile - le folositi pe riscul vostru.

https://heimdalsecur...cryption-tools/

A ajuns unitatea la mine si pot spune mai multe despre infectie:

https://www.pcrisk.c...dobe-ransomware

vezi ca ai dharma decrypt in tools pe pagina data de mine..poate ai noroc si e o versiune la care se potriveste

No, pana la urma lurcurile s-au rezolvat... intr-un fel.

Dupa 2500$ usd platiti am primit un decriptor si doar una din cele aproape 30 de chei de decriptare. De fapt imediat dupla plata au mai cerut inca o plata de 1000$ (last one). Pana la urma am cerut sa ne decripteze un fisier - cel mai important. Cheia de decriptare a decriptat cam 5% din date.
Am analizat worm-ul infectand o masina virtuala si am monitorizat traficul. Ma asteptam sa comunice cu serverul lor dar.. minune. Apeleaza un provider care ofera servicii criptografice. digicert.com
Baietii sunt pro...
In final daca as fi platit fiecare etapa cred ca decriptarea intregului server ar fi costat $30.000.
Cheia de decriptare are 230 biti, banuiesc ca restul sunt optinuti prin hash asupra caii fisierului.

Desi cred ca nu ajuta pe nimeni pot pune la dispozitie worm-ul, unealta de decriptare, perechi de fisiere encriptate-decriptate.

Oare ar ajuta pe cei care lupta impotriva acestor genuri de atacuri?

trimite la bitdefender datele.