La lista dei siti da cui scarica il payload: evalero.com/img/cario.tar.gz springtree.cba.pl/modules/cario.tar.gz mmadolec.ipower.com/me/cario.tar.gz collection-opus.fr/_gfx/cario.tar.gz compassfx.com/OLD/cario.tar.gz masterbranditalia.com/downloader/cario.tar.gz
se vi serve eventualmente per filtri IDS/IPS o per analisi post-mortem Il giorno 29 gennaio 2015 10:38, Marco Giuliani < [email protected]> ha scritto: > Sì, scaricato e decodificato, utilizza una semplice decodifica XOR > > Il giorno 29 gennaio 2015 10:24, Lorenzo Vogelsang < > [email protected]> ha scritto: > > Molto interesante..Siete riusciti ad isolare il payload scaricato dal C & >> C? >> >> Inviato da iPhone >> >> Il giorno 29/gen/2015, alle ore 09:46, Marco Giuliani < >> [email protected]> ha scritto: >> >> Ecco la lista dei file presi di mira dal CTB-Locker: >> >> >> wm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx >> >> Utilizza OpenSSL incluso staticamente nel sorgente del programma, quindi >> è anche più difficile analizzarlo non utilizzando le classiche cryptoAPI di >> Windows. >> >> È molto interessante la funzionalità freemium, che permette la decodifica >> di 5 file crittografati gratuitamente. Stiamo indagando se in quel >> frangente ci fosse modo di recuperare in locale la chiave privata. >> >> Il giorno 28 gennaio 2015 17:44, Antonio P. Tamborino < >> [email protected]> ha scritto: >> >>> Fatto da qualche mese sul dominio di un cliente, un po' rognoso nelle >>> settimane immediatamente successive all'implementazione ma più che >>> tollerabile. >>> Sto valutando anche l'utilizzo di AppLocker ma c'è il problema delle >>> versioni di Windows 7 supportate e se implementare la GPO anche a livello >>> di singolo computer. >>> >>> Piero Cavina <mailto:[email protected]> >>>> January 28, 2015 4:10 PM >>>> Curiosità: capisco che una realtà senza IT interna possa non >>>> arrivarci, ma dove c'è un consulente, non potrebbe questi suggerire di >>>> attivare la policy di restrizione software di Windows in modalità >>>> "whitelist"? Ha bisogno di un po' di "tuning" ma dovrebbe risolvere il >>>> problema di tutto il malware di questo tipo. >>>> >>>> Francesco Chiarabini <mailto:[email protected]> >>>> January 28, 2015 12:57 PM >>>> Volevo segnalare quello che mi è successo da due clienti che sono stati >>>> infettati . >>>> Il virus ha criptato i file sulle unità locali , ma non nelle >>>> condivisioni samba con un server linux che avevano questi pc client; >>>> nonostante fossero mappate come unità locali. Qualcuno sa dirmi perchè ? >>>> Grazie. >>>> >>>> >>>> >>>> >>>> >>>> ________________________________________________________ >>>> http://www.sikurezza.org - Italian Security Mailing List >>>> >>>> Alessio Cecchi <mailto:[email protected]> >>>> January 28, 2015 11:18 AM >>>> >>>> >>>> Buongiorno, >>>> >>>> da un riscontro sul parco utenti email che gestisco direi che molti ci >>>> stanno credendo, ho notato infatti che diversi utenti, che hanno ricevuto >>>> l'email con il file infetto, l'hanno inoltrata a loro colleghi (immagino >>>> per chiedere spiegazioni se quell'ordine fosse vero o meno) ed è probabile >>>> quindi che se la segretaria riceve quell'email dal suo capo apra quel file >>>> infettandosi. >>>> >>>> Al momento ho impostato una semplice regola sugli MX per scartare le >>>> email con un allegato .cab ma nella giornata di ieri diverse email sono già >>>> finite nelle INBOX degli utenti. >>>> ________________________________________________________ >>>> http://www.sikurezza.org - Italian Security Mailing List >>>> >>>> Mirko Security <mailto:[email protected]> >>>> January 27, 2015 4:20 PM >>>> Salve a tutti, >>>> >>>> giusto per allertarvi che abbiamo visto passare delle mail, in italiano >>>> corretto, che sono risultate varianti di questa nuova campagna di >>>> CTB-Locker : >>>> >>>> http://www.bleepingcomputer.com/forums/t/563859/new-ctb- >>>> locker-campaign-underway-increased-ransom-timer-and- >>>> localization-changes/ >>>> >>>> >>>> in allegato un esempio di mail : >>>> >>>> [image: Immagine in linea 1] >>>> >>>> il .cab allegato contiene un src che a sua volta dovrebbe ( non ho >>>> potuto >>>> provarlo ) mostrare un rtf con l'ordine, mentre scarica il payload dal >>>> server C&C >>>> >>>> >>>> Cordiali saluti >>>> Mirko >>>> >>>> >>> -- >>> [email protected] <mailto:antoniopeter. >>> [email protected]> >>> mobile: 0039 380 5162 395 >>> Skype: antonio.tamborino >>> >>> ________________________________________________________ >>> http://www.sikurezza.org - Italian Security Mailing List >>> >>> >> >> ============= >> >> Saferbytes s.r.l.s. >> Via dei pioppi 2, 06083 Bastia Umbra (PG) >> Italy >> [email protected] >> >> >> This email and any files transmitted with it are confidential and >> intended solely for the use of the individual or entity to whom they are >> addressed. If you have received this email in error please notify the >> system manager. This message contains confidential information and is >> intended only for the individual named. If you are not the named addressee >> you should not disseminate, distribute or copy this e-mail. Please notify >> the sender immediately by e-mail if you have received this e-mail by >> mistake and delete this e-mail from your system. If you are not the >> intended recipient you are notified that disclosing, copying, distributing >> or taking any action in reliance on the contents of this information is >> strictly prohibited. >> >> Any views or opinions presented in this email are solely those of the >> author and do not necessarily represent those of the company. Employees of >> Saferbytes s.r.l.s. are expressly required not to make defamatory >> statements and not to infringe or authorize any infringement of copyright >> or any other legal right by email communications. Any such communication is >> contrary to company policy and outside the scope of the employment of the >> individual concerned. The company will not accept any liability in respect >> of such communication, and the employee responsible will be personally >> liable for any damages or other liability arising. >> >> > -- ============= Saferbytes s.r.l.s. Via dei pioppi 2, 06083 Bastia Umbra (PG) Italy [email protected] This email and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error please notify the system manager. This message contains confidential information and is intended only for the individual named. If you are not the named addressee you should not disseminate, distribute or copy this e-mail. Please notify the sender immediately by e-mail if you have received this e-mail by mistake and delete this e-mail from your system. If you are not the intended recipient you are notified that disclosing, copying, distributing or taking any action in reliance on the contents of this information is strictly prohibited. Any views or opinions presented in this email are solely those of the author and do not necessarily represent those of the company. Employees of Saferbytes s.r.l.s. are expressly required not to make defamatory statements and not to infringe or authorize any infringement of copyright or any other legal right by email communications. Any such communication is contrary to company policy and outside the scope of the employment of the individual concerned. The company will not accept any liability in respect of such communication, and the employee responsible will be personally liable for any damages or other liability arising.
