Virus: !0XXX_DECRYPTION_README.TXT (come risolvere?)

[Filoteo]

Si può fare ad esempio con Metasploit Framework ma basta anche meno.
Per farsi un'idea è sufficiente andare su un qualsiasi motore di ricerca e digitare "browser password extraction"

Un po' vaga come risposta, ma immagino tu ti riferisca a un software malevolo in esecuzione sul PC. In tal caso non vedo perché un password manager dedicato possa fare la differenza.

1) esiste un software per sistemi operativi linux che scannerizzi e neutralizzi eventuali virus, maleware, ransomeware, ecc?
2) mi son letto il testo del link che ha postato @thece https://www.nakivo.com/blog/what-is-0xx ... -recovery/ e mi chiedo se quello che è descritto come "lavoro", che questo virus può fare, riguardi Windows o anche i sistemi unix/linux. La creazione di backdoors è possibile su Ubuntu? C'è un modo per saperlo se è stato fatto sul mio sistema?

ClamAV, ma gli antivirus in generale non sono l'approccio corretto per raggiungere un buon livello di sicurezza, in quanto dipendono da una lista di malware noti che ovviamente non può comprenderli tutti. Purtroppo sulle distribuzioni Linux di default non hai un sistema di sandbox efficace su programmi arbitrari, quindi qualsiasi software o codice che esegui sul tuo PC può accedere a tutti i dati a cui l'utente ha accesso, vedi l'overview qui https://www.privacyguides.org/os/linux-overview/ per maggiori dettagli.

La tua cartella potrebbe essere stata infettata se esposta su internet, oppure in rete locale se un altro PC infetto ha avuto accesso a quella cartella. E' anche possibile sia stata infettata dal tuo PC, ma non vedo perché il malware si sarebbe dovuto limitare a una singola cartella.

[thece]

[OT]

In tal caso non vedo perché un password manager dedicato possa fare la differenza.

Le credenziali memorizzate nel profilo del browser di un utente X non sono cifrate oppure sono cifrate con una password/chiave che è memorizzata nel profilo dell'utente X stesso.

La (master) password utilizzata per cifrare le password in un password manager (in teoria) non è memorizzata da nessuna parte. Quindi, a meno di falle nell'algoritmo di cifratura, anche avendo a disposizione il database delle password senza (master) password non si ottiene nulla.
Poi se l'utente è così stupido da scrivere la (master) password in chiaro su un file memorizzato sul filesystem oppure una (master) password debole questo è un altro discorso ...

Poichè un'immagine vale più di 1000 parole ... lo screenshot in allegato si riferisce a credenziali (di esempio) memorizzate sul mio profilo di Firefox. L'applicazione che ho usato per "estrarre" le credenziali è Nirsoft WebBrowserPassView

[/OT]

[Filoteo]

Se il computer non è stato violato, che le password siano in un database criptato o salvate sul desktop nel file passwords.txt non fa differenza, nessuno ha accesso.

Se il computer è stato violato, puoi ottenere le password leggendole dal profilo del browser*, iniettando una libreria nel password manager, chiedendo la master password all'utente, leggendo la password tramite keylogging, modificando il file .desktop del password manager, inserendo alias malevolo per "$nomepasswordmanager" nel file .bashrc o .bash_profile, e chi ne ha più ne metta. E anche se il database delle password fosse del tutto inaccessibile puoi copiare i cookies di sessione dal profilo del browser e ottenere un livello di accesso equivalente alle password.

La cifratura è utile in caso di furto del terminale e quando il sistema operativo ha una buona architettura che isola e limita le risorse a cui programmi hanno accesso, ma come da mio penultimo commento (e fonte), su Linux un malware può facilmente ottenere accesso a qualsiasi risorsa a cui l'utente ha accesso, per cui la cifratura come protezione dal malware locale è sostanzialmente un https://en.wikipedia.org/wiki/Security_theater

*Chromium cripta le password con una chiave di cifratura e salva quest'ultima nel portachiavi di sistema, a sua volta criptato con la password di login dell'utente.

[mikirimiki]

Si può fare ad esempio con Metasploit Framework ma basta anche meno.
Per farsi un'idea è sufficiente andare su un qualsiasi motore di ricerca e digitare "browser password extraction"

Un po' vaga come risposta, ma immagino tu ti riferisca a un software malevolo in esecuzione sul PC. In tal caso non vedo perché un password manager dedicato possa fare la differenza.

1) esiste un software per sistemi operativi linux che scannerizzi e neutralizzi eventuali virus, maleware, ransomeware, ecc?
2) mi son letto il testo del link che ha postato @thece https://www.nakivo.com/blog/what-is-0xx ... -recovery/ e mi chiedo se quello che è descritto come "lavoro", che questo virus può fare, riguardi Windows o anche i sistemi unix/linux. La creazione di backdoors è possibile su Ubuntu? C'è un modo per saperlo se è stato fatto sul mio sistema?

ClamAV, ma gli antivirus in generale non sono l'approccio corretto per raggiungere un buon livello di sicurezza, in quanto dipendono da una lista di malware noti che ovviamente non può comprenderli tutti. Purtroppo sulle distribuzioni Linux di default non hai un sistema di sandbox efficace su programmi arbitrari, quindi qualsiasi software o codice che esegui sul tuo PC può accedere a tutti i dati a cui l'utente ha accesso, vedi l'overview qui https://www.privacyguides.org/os/linux-overview/ per maggiori dettagli.

La tua cartella potrebbe essere stata infettata se esposta su internet, oppure in rete locale se un altro PC infetto ha avuto accesso a quella cartella. E' anche possibile sia stata infettata dal tuo PC, ma non vedo perché il malware si sarebbe dovuto limitare a una singola cartella.

Ti ringrazio di cuore del supporto che mi hai dato finora.
Figurati, nessuna offesa. Purtroppo hai ragione, io non ho le comptenze adatte. Sono un semplice utilizzatore di ubuntu.


Reinstallerò il sistema. Però prima farò un back up di tutti i file.
Ti chiedo un'ultima cosa:
Se nelle cartelle e file, il ransomware è ancora presente, potrebbe ancora lavorare sul nuovo sistema (ovviamente cambierò la password di accesso)?

Secondo te come dovrei procedere?

[mikirimiki]

Si può fare ad esempio con Metasploit Framework ma basta anche meno.
Per farsi un'idea è sufficiente andare su un qualsiasi motore di ricerca e digitare "browser password extraction"

Un po' vaga come risposta, ma immagino tu ti riferisca a un software malevolo in esecuzione sul PC. In tal caso non vedo perché un password manager dedicato possa fare la differenza.

1) esiste un software per sistemi operativi linux che scannerizzi e neutralizzi eventuali virus, maleware, ransomeware, ecc?
2) mi son letto il testo del link che ha postato @thece https://www.nakivo.com/blog/what-is-0xx ... -recovery/ e mi chiedo se quello che è descritto come "lavoro", che questo virus può fare, riguardi Windows o anche i sistemi unix/linux. La creazione di backdoors è possibile su Ubuntu? C'è un modo per saperlo se è stato fatto sul mio sistema?

ClamAV, ma gli antivirus in generale non sono l'approccio corretto per raggiungere un buon livello di sicurezza, in quanto dipendono da una lista di malware noti che ovviamente non può comprenderli tutti. Purtroppo sulle distribuzioni Linux di default non hai un sistema di sandbox efficace su programmi arbitrari, quindi qualsiasi software o codice che esegui sul tuo PC può accedere a tutti i dati a cui l'utente ha accesso, vedi l'overview qui https://www.privacyguides.org/os/linux-overview/ per maggiori dettagli.

La tua cartella potrebbe essere stata infettata se esposta su internet, oppure in rete locale se un altro PC infetto ha avuto accesso a quella cartella. E' anche possibile sia stata infettata dal tuo PC, ma non vedo perché il malware si sarebbe dovuto limitare a una singola cartella.

Ti ringrazio di cuore del supporto che mi hai dato finora.
Figurati, nessuna offesa. Purtroppo hai ragione, io non ho le comptenze adatte. Sono un semplice utilizzatore di ubuntu.


Reinstallerò il sistema. Però prima farò un back up di tutti i file.
Ti chiedo un'ultima cosa:
Se nelle cartelle e file, il ransomware è ancora presente, potrebbe ancora lavorare sul nuovo sistema (ovviamente cambierò la password di accesso)?

Secondo te come dovrei procedere?

[thece]

Se nelle cartelle e file, il ransomware è ancora presente, potrebbe ancora lavorare sul nuovo sistema?

Ci sono delle remote possibilità procedendo con un backup/ripristino "ignorante, indiscriminato e sfortunato" tipo tutta la directory /home/username in blocco
Limitati ad un backup mirato dei documenti e dei file di configurazione, solo quelli necessari e che hai modificato.

Il ransomware è un eseguibile e come tale, per procedere, deve essere messo in esecuzione da qualcuno (1) o da qualcosa (2). A sistema pulito, (1) sei tu, (2) qualsiasi meccanismo di autostart

[mikirimiki]

Se nelle cartelle e file, il ransomware è ancora presente, potrebbe ancora lavorare sul nuovo sistema?

Ci sono delle remote possibilità procedendo con un backup/ripristino "ignorante, indiscriminato e sfortunato" tipo tutta la directory /home/username in blocco
Limitati ad un backup mirato dei documenti e dei file di configurazione, solo quelli necessari e che hai modificato

grazie

[MOTW87]

Buongiorno a tutti,
avendo avuto alcune cartelle condivise, presenti sul mio NAS, che sono state criptate con questo malware, ci sono alcune precisazioni che potrebbero essere utili.
Il malware NON viene eseguito localmente, ma da remoto.
L'attaccante scandaglia la rete alla ricerca di condivisioni SMB attive (e spesso mal configurate) e, tramite exploit, accede a dette cartelle, procedendo poi a criptare il contenuto.
Banalmente, nemmeno cambiare la porta di condivisione funziona come tutela per questi casi.

L'unico modo esistente per evitare di essere soggetti a questi attacchi è NON mettere la condivisione in DMZ, e, se possibile, disabilitare anche eventuali condivisioni con l'esterno.

(Avevo abilitato la condivisione tramite SMB da remoto, perché ero lontano da casa e mi servivano alcuni file presenti sul NAS. La condivisione è stata attiva per poco più di 48 ore, giusto il tempo necessario per rendermi conto che non avevo bisogno di altri file a distanza ed è stata poi chiusa. Tanto è bastato perché criptassero i file nelle sole cartelle condivise. Ho ricostruito tutto questo tramite controllo dei log e vari thread su un forum specificato in ransomware.)

Allo stato attuale, non esiste un decrypter in grado di ripristinare i file, visto che si tratta di un programma eseguito in remoto e non in locale, quindi non è stato ancora possibile fare retroingegneria del codice.

[frapox]

Buongiorno a tutti,
avendo avuto alcune cartelle condivise, presenti sul mio NAS, che sono state criptate con questo malware, ci sono alcune precisazioni che potrebbero essere utili.
Il malware NON viene eseguito localmente, ma da remoto.
L'attaccante scandaglia la rete alla ricerca di condivisioni SMB attive (e spesso mal configurate) e, tramite exploit, accede a dette cartelle, procedendo poi a criptare il contenuto.
Banalmente, nemmeno cambiare la porta di condivisione funziona come tutela per questi casi.

L'unico modo esistente per evitare di essere soggetti a questi attacchi è NON mettere la condivisione in DMZ, e, se possibile, disabilitare anche eventuali condivisioni con l'esterno.

(Avevo abilitato la condivisione tramite SMB da remoto, perché ero lontano da casa e mi servivano alcuni file presenti sul NAS. La condivisione è stata attiva per poco più di 48 ore, giusto il tempo necessario per rendermi conto che non avevo bisogno di altri file a distanza ed è stata poi chiusa. Tanto è bastato perché criptassero i file nelle sole cartelle condivise. Ho ricostruito tutto questo tramite controllo dei log e vari thread su un forum specificato in ransomware.)

Allo stato attuale, non esiste un decrypter in grado di ripristinare i file, visto che si tratta di un programma eseguito in remoto e non in locale, quindi non è stato ancora possibile fare retroingegneria del codice.

Infatti l'errore madornale da non ripetere è stato quello di aprire SMB su Internet. Così l'attaccante ha avuto proprio gioco facile nel mettere i tuoi file sotto scacco.

Il problema non è SMB in sé ma ill fatto che con ogni probabilità avessi configurato il NAS in malo modo, e/o che il NAS eseguisse una versione vecchia e non patchata e quindi l'attaccante abbia sfruttato una vulnerabilità nota per effettuare l'attacco.

Due o tre consigli quindi per non ripetere l'errore o per altri che volessero evitarlo:
- non aprire/girare mai porte verso internet di servizi che non si siano configurati a dovere, soprattutto di filesharing (SMB). Come minimo un controllo d'accesso tramite utente/password. Che può non bastare, quindi..

- aggiornare sempre l'OS del dispositivo all'ultima versione disponibile. È noto (evidentemente non a tutti) che i NAS tipo Qnap e Synology vengono presi di mira proprio con questo tipo di attacchi ransomware (ce ne sono milioni in giro per il mondo, molti non patchati) e quindi vanno aggiornati costantemente.

- Se necessitate di accesso ai file della LAN, utilizzate una VPN (openVPN, wireguard) configurata a modo.

[mikirimiki]

grazie delle informazioni.
Secondo te l'attacco rimane circoscritto alla cartella condivisa in rete?

Buongiorno a tutti,
avendo avuto alcune cartelle condivise, presenti sul mio NAS, che sono state criptate con questo malware, ci sono alcune precisazioni che potrebbero essere utili.
Il malware NON viene eseguito localmente, ma da remoto.
L'attaccante scandaglia la rete alla ricerca di condivisioni SMB attive (e spesso mal configurate) e, tramite exploit, accede a dette cartelle, procedendo poi a criptare il contenuto.
Banalmente, nemmeno cambiare la porta di condivisione funziona come tutela per questi casi.

L'unico modo esistente per evitare di essere soggetti a questi attacchi è NON mettere la condivisione in DMZ, e, se possibile, disabilitare anche eventuali condivisioni con l'esterno.

(Avevo abilitato la condivisione tramite SMB da remoto, perché ero lontano da casa e mi servivano alcuni file presenti sul NAS. La condivisione è stata attiva per poco più di 48 ore, giusto il tempo necessario per rendermi conto che non avevo bisogno di altri file a distanza ed è stata poi chiusa. Tanto è bastato perché criptassero i file nelle sole cartelle condivise. Ho ricostruito tutto questo tramite controllo dei log e vari thread su un forum specificato in ransomware.)

Allo stato attuale, non esiste un decrypter in grado di ripristinare i file, visto che si tratta di un programma eseguito in remoto e non in locale, quindi non è stato ancora possibile fare retroingegneria del codice.

Infatti l'errore madornale da non ripetere è stato quello di aprire SMB su Internet. Così l'attaccante ha avuto proprio gioco facile nel mettere i tuoi file sotto scacco.

Il problema non è SMB in sé ma ill fatto che con ogni probabilità avessi configurato il NAS in malo modo, e/o che il NAS eseguisse una versione vecchia e non patchata e quindi l'attaccante abbia sfruttato una vulnerabilità nota per effettuare l'attacco.

Due o tre consigli quindi per non ripetere l'errore o per altri che volessero evitarlo:
- non aprire/girare mai porte verso internet di servizi che non si siano configurati a dovere, soprattutto di filesharing (SMB). Come minimo un controllo d'accesso tramite utente/password. Che può non bastare, quindi..

- aggiornare sempre l'OS del dispositivo all'ultima versione disponibile. È noto (evidentemente non a tutti) che i NAS tipo Qnap e Synology vengono presi di mira proprio con questo tipo di attacchi ransomware (ce ne sono milioni in giro per il mondo, molti non patchati) e quindi vanno aggiornati costantemente.

- Se necessitate di accesso ai file della LAN, utilizzate una VPN (openVPN, wireguard) configurata a modo.

[frapox]

grazie delle informazioni.
Secondo te l'attacco rimane circoscritto alla cartella condivisa in rete?

Eh questo non lo so, se è un ransomware eseguito da remoto su una tua cartella condivisa esposta su Internet, è possibile che l'evento rimanga isolato ma non lo do per certo. Io comunque, oltre alle 3 cose che ti ho scritto prima, farei una scansione antivirus approfondita di tutto il tuo storage per vedere che non ci siano rimasti dei pezzi di malware in locale. E sopratutto farei anche un reset del dispositivo, non sia mai che il ransomware si sia copiato nel filesystem del NAS. È una precauzione che può sembrare esagerata ma quando si subisce un attacco la regola di solito è: formattare e reinstallare.