giovedì 18 dicembre 2014

Come Decifrare i File Sequestrati da Cryptolocker

Negli ultimi anni si è affiancato, alle classiche forme di malware, una nuova tipologia di minaccia informatica, il cosiddetto ransomware.

 Per ransomware si intende un ricatto elettronico, operato da un programma che cifra tutti i dati sensibili presenti sull’hard disk del computer infettato rendendoli illeggibili. Soltando pagando il riscatto, l’utente sarà in grado di accedere di nuovo ai propri file.
Preciso che i file non vengono cancellati o “trasferiti” altrove, semplicemente vengono cifrati con una chiave che solo gli autori dell’attacco conoscono.

Uno dei ransomware più diffusii è Cryptolocker, il cui comportamento è esattamente quello descritto sopra. Secondo Symantec, il 3% degli utenti colpiti da Cryptolocker ha pagato il riscatto, ma secondo alcuni utenti, anche dopo aver pagato, i criminali non hanno fornito la chiave per poter decifrare i file “sequestrati”.

Per venire incontro agli utenti colpiti da questo malware, FireEye e Fox-it, due prestigiose aziende che si occupano di sicurezza informatica, hanno realizzato un servizio gratuito per il recupero dei file cifrati da Cryptolocker, ovvero Decryptolocker.

Il funzionamento è abbastanza semplice: bisogna effettuare l’upload di un file cifrato da Cryptolocker sul sito https://www.decryptcryptolocker.com/ e inserire un indirizzo email.

Successivamente, all’indirizzo email fornito verrà inviata una master-key da utilizzare con un recovery program per decifrare i file “sequestrati”. Naturalmente ogni master-key è diversa da sistema a sistema.

Una nota sul sito Decryptolocker consiglia di non uploadare file cifrati che contengano informazioni sensibili.

Arrivederci al prossimo articolo
Michele Balzano





martedì 9 dicembre 2014

mail (elenco pop3 e smtp dei maggiori fornitori di servizio)


Un elenco che sicuramente fara' comodi a tutti. ;-) specialmente in questo periodo natalizio...non elemosinate i ringraziamenti :-€ :-€ 

Di seguito un ricco elenco pop3 e smtp - i parametri di configurazione di pop3 e smtp dei maggiori fornitori di servizio.

Come è giusto che sia facciamo anche un pò di chiarezza per i meno esperti.


POP e SMTP sono i protocolli che ti consentono di scaricare i messaggi dai server di posta al tuo computer, permettendoti di accedere alla posta con programmi come Microsoft Outlook o Thunderbird, anche quando non sei connesso a Internet. 

FornitoreDomainPOP3SMTP
Tiscali.it@tiscali.itpop.tiscali.itsmtp.tiscali.it
Msn Hotmail@hotmail.compop3.email.homail.msn.comsea1fd.sea1.hotmail.msn.com
Tin.it@tin.itpop.tin.it - box.tin.it - box2.tin.itsmtp.tin.it - mail.tin.it
Alice ClubNet@aliceposta.itbox.clubnet.tin.itmail.clubnet.tin.it
Virgilio.it@virgilio.itout.virgilio.it - smtp.virgilio.itin.virgilio.it - popmail.virgilio.it
Alice Adsl@alice.itin.aliceposta.itout.aliceposta.it
Telecom@aliceposta.itout.aliceposta.itin.aliceposta.it
Yahoo.it@yahoo.itpop.mail.yahoo.itsmtp.mail.yahoo.it
Yahoo.com@yahoo.compop.mail.yahoo.comsmtp.mail.yahoo.com
Supereva.it@supereva.itmail.supereva.itmail.supereva.it
Libero.it@libero.itpopmail.libero.itmail.libero.it
Inwind.it@inwind.itpopmail.inwind.itmail.inwind.it
Iol@iol.itpopmail.iol.itmail.iol.it
Blu@blu.itpopmail.blu.itmail.blu.it
Poste.it@poste.itrelay.poste.itrelay.poste.it
Jumpy.it@jumpy.itpop.jumpy.itmail.jumpy.it
Interfree.it@interfree.itmail.interfree.itmail.interfree.it
Fastweb.it@fastwebnet.itpop.fastwebnet.itsmtp.fastwebnet.it
Ciao Web@ciaoweb.itciaopop3.ciaoweb.it - pop3.ciaoweb.netciaosmtp.ciaoweb.it - smtp.ciaoweb.net - mail.ciaoweb.net
Infinito.it@infinito.itpop3.infinito.itsmtp.infinito.it
Kataweb.it@kataweb.itpop.katamail.com - mail.katamail.comsmtp.katamail.com
World On Line.it@worldonline.itpop.worldonline.itsmtp.worldonline.it
Excite@excite.itpop.tiscali.itsmtp.tiscali.it
Quipo.it@quipo.itmail.quipo.itsmtp.quipo.it
Lycos@lycos.itpop.lycos.it - pop3.lycos.itsmtp.lycos.it
Galactica.it@galactica.itmail.galactica.itmail.galactica.it
Interfree.it@interfree.itmail.interfree.itmail.interfree.it
Elitel@elitel.bizpop.elitel.itsmtp.elitel.it
Aruba.it@aruba.itpop3.aruba.itsmtp.aruba.it
Rimini.com@rimini.commail.rimini.itsmtp.rimini.com
E mail.it@email.itpopmail.email.itsmtp.email.it
Caltanet.it@caltanet.itmbox.caltanet.itrelay.caltanet.it
Protocol.it@protocol.itmail.protocol.itsmtp.protocol.it

Buon  Natale 
Michele Balzano

domenica 7 dicembre 2014

Eliminare il virus Informatico EBOLA (DARK COMET RAT)


Come difendersi da DARK COMET RAT  e come individuarlo ad infezione avvenuta? Il problema di DC è che se il modulo server è fatto bene, una volta installatosi, sfugge alla maggior parte degli antivirus. Qualche controllo però si può fare una volta scaricato l’allegato, che solitamente è un PDF. In sostanza DarkComet, come altri malware, utilizza la tecnica denominata Right-to-Left-Override (RLO) al fine di cercare di mascherare il vero file type del PDF trojanizzato. Tale tecnica consiste nell’aggiungere un particolare carattere Unicode (U+202e) al nome file. Dopo tale carattere, il testo successivo apparirà in ordine inverso (da destra verso sinistra): ad esempio se il carattere speciale viene piazzato davanti alla lettera “f” di fdp.scr” il nome file risultante sarà “rcs.pdf”.

Questo meccanismo risulta efficace però solo da Windows 7 in poi, mentre Windows XP non interpreta la tecnica RLO, per cui il file sotto XP appare nella sua vera natura. In ogni caso, su qualsiasi versione di Windows sono comunque visibili le descrizioni del tipo file (le c.d. “Windows tiles”), che mostrano la vera natura del file, in questo caso screen saver (SCR) e quindi eseguibile.

Un altro controllo possibile è quello di verificare le porte TCP aperte. Il comando da dare al prompt dei comandi di Windows è il seguente:

netstat -nao
Poichè DC apre un socket sulla porta TCP 778, nei risultati del netstat troveremo qualcosa del tipo:

TCP 192.168.1.3:1058 x.y.z.12:778 SYN_SENT 1688
Un ultimo controllo è sui processi ma, come si diceva prima, bisogna che chi ha generato il server non abbia impostato l’opzione per nascondere il relativo processo dal task manager. In ogni caso, la caratteristica è un processo del tipo “svchost” con la “H” maiuscola invece della minuscola, quindi: svcHost.

In ogni caso, se il vostro pc si comporta stranamente (non riuscite ad aprire il task manager, rallenta, non riuscite a far partire il firewall, etc.), effettuate una scansione con DarkComet RAT Remover della PhrozenSoft, scaricabile qui

Arrivederci al prossimo articolo

Michele Balzano

sabato 6 dicembre 2014

Il virus informatico EBOLA fà più paura del virus biologico.




Il titolo è sicuramente discutibile ma non vorrei essere frainteso.

Certamente un virus fisico come l'EBOLA che colpisce e uccide gli esseri umani fa più paura di un virus informatico che "uccide" i computer. Ma guardiamo la cosa da un altro punto di vista e vedrete che il titolo dell'articolo non è poi cosi discutibile. 

Focalizziamoci su tutto quello che facciamo nel quotidiano e pensiamo ad un certo punto ai danni che potrebbe produrre una pandemia informatica. Quali ad esempio renderci IMPOSSIBILE :

  • effettuare pagamenti, prelivi bancomat e utilizzo home banking.
  • comunicare con social network.
  • accedere all'informazione.
  • reperire beni alimentari.
  • accedere a medicinali e cure mediche
  • proteggere la nostra privacy.

Questo elenco vi posso assicurare che è uno scenario che può generare più morti e disordini di un virus biologico.

Ad ogni modo veniamo al sodo:

alcuni “hackers” che hanno letteralmente usato il nome e l’allarme Ebola per organizzare truffe online. Usando e abusando del nome dell’OMS (Organizzazione Mondiale della Sanità) i pirati informatici hanno messo in atto una vergognosa opera di inganno in molti Paesi del mondo.

Aprendo uno di questi files si scarica nel computer un software dannoso, chiamato 
DARK COMET RAT che si insinua nei sistemi e da lì controlla telecamere e microfoni, oltre ai dati inseriti nella macchina dalla persona.

Gli hackers sanno benissimo quali onde cavalcare per mettere in atto le loro truffe, basta “nascondersi” dietro la notizia del momento, quella che tutti cliccano per motivi di ansia o di spettacolarità: fu così per tanti video sullo tsunami giapponese, oggi è invece l’allarme Ebola a tenerci sulle spine e a farci cliccare su ogni notizia con questo titolo. 

Ma cosa raccontano le email esca degli hacker? Per esempio, le ultime novità sul contagio di Ebola, o inviti a conferenze specifiche sul tema inviate a scienziati e medici, o lavori come ricercatori su Ebola per l’OMS con la promessa di un pagamento allettante… L’ultimo in ordine di tempo: una donna ricca della Liberia vi scrive dicendo di essere affetta da Ebola e di essere in punto di morte. 
Vuol donare quindi un milione e mezzo di dollari al vostro conto purchè voi possiate poi darlo in beneficenza per conto suo. Ovviamente non esiste nessun milione di dollari, nessuna signora e nessuna beneficenza… solo un virus (informatico) pronto a divorarvi il PC....

qui la guida per rimuovere DARK COMET RAT

Arrivederci al prossimo articolo

Michele Balzano

Post più popolari