Molto interesante..Siete riusciti ad isolare il payload scaricato dal C & C?
Inviato da iPhone > Il giorno 29/gen/2015, alle ore 09:46, Marco Giuliani > <[email protected]> ha scritto: > > Ecco la lista dei file presi di mira dal CTB-Locker: > > wm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx > > Utilizza OpenSSL incluso staticamente nel sorgente del programma, quindi è > anche più difficile analizzarlo non utilizzando le classiche cryptoAPI di > Windows. > > È molto interessante la funzionalità freemium, che permette la decodifica di > 5 file crittografati gratuitamente. Stiamo indagando se in quel frangente ci > fosse modo di recuperare in locale la chiave privata. > > Il giorno 28 gennaio 2015 17:44, Antonio P. Tamborino > <[email protected]> ha scritto: >> Fatto da qualche mese sul dominio di un cliente, un po' rognoso nelle >> settimane immediatamente successive all'implementazione ma più che >> tollerabile. >> Sto valutando anche l'utilizzo di AppLocker ma c'è il problema delle >> versioni di Windows 7 supportate e se implementare la GPO anche a livello di >> singolo computer. >> >>> Piero Cavina <mailto:[email protected]> >>> January 28, 2015 4:10 PM >>> Curiosità: capisco che una realtà senza IT interna possa non >>> arrivarci, ma dove c'è un consulente, non potrebbe questi suggerire di >>> attivare la policy di restrizione software di Windows in modalità >>> "whitelist"? Ha bisogno di un po' di "tuning" ma dovrebbe risolvere il >>> problema di tutto il malware di questo tipo. >>> >>> Francesco Chiarabini <mailto:[email protected]> >>> January 28, 2015 12:57 PM >>> Volevo segnalare quello che mi è successo da due clienti che sono stati >>> infettati . >>> Il virus ha criptato i file sulle unità locali , ma non nelle condivisioni >>> samba con un server linux che avevano questi pc client; nonostante fossero >>> mappate come unità locali. Qualcuno sa dirmi perchè ? >>> Grazie. >>> >>> >>> >>> >>> >>> ________________________________________________________ >>> http://www.sikurezza.org - Italian Security Mailing List >>> >>> Alessio Cecchi <mailto:[email protected]> >>> January 28, 2015 11:18 AM >>> >>> >>> Buongiorno, >>> >>> da un riscontro sul parco utenti email che gestisco direi che molti ci >>> stanno credendo, ho notato infatti che diversi utenti, che hanno ricevuto >>> l'email con il file infetto, l'hanno inoltrata a loro colleghi (immagino >>> per chiedere spiegazioni se quell'ordine fosse vero o meno) ed è probabile >>> quindi che se la segretaria riceve quell'email dal suo capo apra quel file >>> infettandosi. >>> >>> Al momento ho impostato una semplice regola sugli MX per scartare le email >>> con un allegato .cab ma nella giornata di ieri diverse email sono già >>> finite nelle INBOX degli utenti. >>> ________________________________________________________ >>> http://www.sikurezza.org - Italian Security Mailing List >>> >>> Mirko Security <mailto:[email protected]> >>> January 27, 2015 4:20 PM >>> Salve a tutti, >>> >>> giusto per allertarvi che abbiamo visto passare delle mail, in italiano >>> corretto, che sono risultate varianti di questa nuova campagna di >>> CTB-Locker : >>> >>> http://www.bleepingcomputer.com/forums/t/563859/new-ctb-locker-campaign-underway-increased-ransom-timer-and-localization-changes/ >>> >>> >>> in allegato un esempio di mail : >>> >>> [image: Immagine in linea 1] >>> >>> il .cab allegato contiene un src che a sua volta dovrebbe ( non ho potuto >>> provarlo ) mostrare un rtf con l'ordine, mentre scarica il payload dal >>> server C&C >>> >>> >>> Cordiali saluti >>> Mirko >> >> -- >> [email protected] <mailto:[email protected]> >> mobile: 0039 380 5162 395 >> Skype: antonio.tamborino >> >> ________________________________________________________ >> http://www.sikurezza.org - Italian Security Mailing List > > > ============= > > Saferbytes s.r.l.s. > Via dei pioppi 2, 06083 Bastia Umbra (PG) > Italy > [email protected] > > > This email and any files transmitted with it are confidential and intended > solely for the use of the individual or entity to whom they are addressed. If > you have received this email in error please notify the system manager. This > message contains confidential information and is intended only for the > individual named. If you are not the named addressee you should not > disseminate, distribute or copy this e-mail. Please notify the sender > immediately by e-mail if you have received this e-mail by mistake and delete > this e-mail from your system. If you are not the intended recipient you are > notified that disclosing, copying, distributing or taking any action in > reliance on the contents of this information is strictly prohibited. > > Any views or opinions presented in this email are solely those of the author > and do not necessarily represent those of the company. Employees of > Saferbytes s.r.l.s. are expressly required not to make defamatory statements > and not to infringe or authorize any infringement of copyright or any other > legal right by email communications. Any such communication is contrary to > company policy and outside the scope of the employment of the individual > concerned. The company will not accept any liability in respect of such > communication, and the employee responsible will be personally liable for any > damages or other liability arising. >
