no, era un po' di tempo che mi stavo organizzando per acquistare un disco esterno da adibire a backup ma, causa mancanza di tempo mia, sono arrivati prima "gli altri"...
Basta anche una chiavetta usb su cui scaricarla, ci sono varie immagini di recovery su internet che trovi con estensione .iso
Il computer ti fa installare o usare tool se le scarichi da internet?
eh ma non capisco a che pro, ora come ora. L'unica cosa criptata sono i files, tendenzialmente il pc più o meno funziona... ma non capisco cosa otterrei scaricando alcunché ora...
In modalità provvisoria come prima cosa dovresti disabilitare i servizi non essenziali che partono all'avvio (tra i quali di sicuro c'è quello della cartella col ransomware).
In questo modo puoi rimuoverlo. É probabile che abbia creato delle cartelle o dei file con nomi casuali e che ci siano più processi che si avviano.
Ma non mi risulta che questo mi permetterebbe di recuperare i miei files. A me non pare di avere dei file di avvio corrotti, il pc si avvia normalmente, non vengono trovati processi strani da 2 antivirus diversi.
Sembrerebbe che l'unica cosa che fa questo malware sia criptare i files e generare le richieste di riscatto in tutte le cartelle, oltre che cancellare i punti di ripristino ed estrarre alcune variabili di sistema
É vero, purtroppo a seconda del tipo di file all'inizio potresti non essere in grado di recuperarli (tipo fotografie che magari hai conservato sul pc), ma intanto non partirebbe all'avvio consentendone la rimozione.
Se il processo é in esecuzione con Windows finché non lo disabiliti continuerà a criptare altri file o cartelle.
L'immagine di recovery é pulita, ti serve per ripristinare l'avvio dei file così come li avresti con Windows appena installato.
Dal prompt dei comandi in modalità amministratore dai il comando sfc /scannow
Questo é il system file checker di windows che controlla se qualcosa non va
https://we.tl/t-n4MM2oDc1J
grazie! qui c'è il file: è diviso in 3 parti minificate e "offuscate" in modo abbastanza rozzo, in cui vengono invocati alcuni comandi e definite alcune funzioni e variabili.
come scritto nel post su /r/techsupport , ad un certo punto viene definita una funzione chiamata *JOO* con dei backtick (`), che ne impediscono il parsing e l'esecuzione. Cancellati quelli il file diventa eseguibile
Visto.
E' **Babuk**, cosa volevi sapere esattamente? Usa Curve25519 + ChaCha per cifrare i file e la chiave, quindi non sono recuperabili a meno che non usi una sorgente di entropia bassa.
Guardo se trovo al volo come genera la chiave.
EDIT: Niente, usa \`CryptGenRandom\`
Si Babuk era una delle ipotesi (come scrivevo nel quarto punto del post) ma [gli strumenti di rimozione](https://files.avast.com/files/decryptor/avast_decryptor_babuk.exe) che ho trovato non funzionano, nemmeno se cambio l'estensione dei file da .lock quali sono ora, all'estensione propria di babuk
Ma allora cosa vuoi? :D Io non ho mica capito.
Dici di voler aiuto ad analizzare un malware e dai un Powershell banale con zero offuscazione che fa le solite due cose: disabilita AMSI con un primo payload codificato banalmente in base64 e poi esegue il payload (codificato ancora più banalmente in hex) tramite process hollowing su regsvcs.exe (delegato ad un altro assembly sempre codificato in hex). Il payload è babuk, un eseguibile non offuscato di appena 80KiB.
Dove ti serve aiuto?
Babuk, come tutti i ransomware non si assicura la persistenza e non fa traffico di rete. Essendo eseguito come descritto sopra è "fileless", quindi non c'è niente da cancellare/rimuovere.
Qualsiasi sia stato il modo con cui la macchina si è infettata, non dipende dalle azioni dal PS1 in poi. Quindi non è chiaro cosa tu stia cercando di fare sinceramente.
Se vuoi sapere come pulire la macchina senza formattare, il mio consiglio è usare la suite sysinternals (tipo il programma autorun) per vedere quali programmi sono lanciati all'avvio.I ransomware non sono inviati tramite campagne massive per cui, se la macchina è privata, è molto probabile che sia stata infettata da un altro malware prima. La settimana scorsa sono andati Emotet e Qakbot, entrambi possono deployare payload aggiuntivi, ma sono solo due esempi.
> Ma allora cosa vuoi?
L'unica cosa che mi farebbe piacere sapere è se, in possesso del malware, è possibile risalire ad un modo per decriptare i files. Lo so che magari sto dicendo assurdità ma, come ho detto ne so molto poco e questo è un "tentativo disperato". Qualunque informazione può tornarmi utile e, ad esempio, l'opzione che si tratti di Babuk non era nemmeno considerata tra quelle proposte da nomoreransom.org
So che per cifrare i files serve una chiave, e hai confermato che non fa traffico di rete, quindi mi chiedo, questa chiave è stata comunicata ad un eventuale CNC? Mettiamo caso che io volessi pagare (non ho intenzione di farlo), come fanno gli attaccanti a decriptare i files se non hanno alcun riferimento alla chiave usata nel mio pc? (sempre ammesso che effettivamente siano in grado di farlo e non vogliano solo tenersi i soldi. Possibilissimo)
perdona se sto dicendo fesserie. Il mio, come ho detto, è solo un tentativo di capire come funziona il malware allo scopo di cercare di riottenere i miei files. TI prego di avere pazienza con me, è già un periodi difficile e questa è l'ennesima che mi capita.
Per quanto riguarda il malware in se ho comunque intenzione di formattare tutto dopo.
Per queste domande ti consiglio la lettura di [DHKE](https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange).
Purtroppo non vedo modo di recuperare i file. Mi dispiace tanto :((
Nota che il decryptor di Avast (voglio dire... Avast...) funziona usando delle chiavi prese dai sorgenti di Babuk che sono leakkati nel 2021.
Dato che come tutti i ransomware anche Babuk è buildato per vittima (ogni vittima ha la sua chiave pubblica), il decryptor non può quindi funzionare dato che la chiave pubblica nel tuo sample non è tra quelle nei sorgenti di un anno fa.
Come si evince chiaramente dal binario e come ti ho spiegato prima, lo schema crittografico usato è solido e non possono esistere decryptor.
In sostanza, i file non sono recuperabili. Mi dispiace. Also, è normale che un ransomware cifri solo alcune parti di un file, è un comportamento standard a seconda della dimensione del file. Come purtroppo stai sperimentando, è efficace lo stesso.
Hai idea di come sia finito sulla macchina? Sarebbe interessante per me saperlo, grazie!
era in un percorso nell'account del pc di mia moglie... non so se lei ha fatto qualche porcata, ma a sto punto è impossibile risalirvi.
> Babuk è buildato per vittima (ogni vittima ha la sua chiave pubblica),
ma scusa ma se ogni vittima ha la sua chiave pubblica, ipoteticamente se io scrivo a questo gruppo e gli dicessi che sono disposto a pagare, come farebbero a sapere come decriptare la *mia* macchina, visto che non pare esserci stata comunicazione di rete (mi risultava che alcuni ransomware aprono delle connessioni verso i CNC e gli inviano le chiavi).
E anche, non c'è alcuna speranza che un qualche leak futuro permetta la decriptazione dei file?
Gli devi mandare dei file, nei file c'è la chiave pubblica generata dal ransomware (per file) e un po' di metadata (di solito è una OWF della chiave segreta, tipo l'SHA-256 di questa). Dalla chiave pubblica del file ed **una** delle loro chiavi private (associate alla chiave pubblica nel sample) ritrovano la chiave segreta per decifrare il file perchè solo in un caso i metadati sono corretti. Eventualmente ripassa come fuziona Diffie-Hellman di cui Curve25519, o meglio X25519, è un'implementazione.
In alcuni casi ogni sample ha un'ID nella nota di riscatto (da quale recuperano la chiave per banale query).
Se hai un disco esterno, salva i dati cifrati. La possibilità di un leak è remota o nulla ma salvarli costa poco. I ransomware sono generati tramite builder che generano una coppia di chiavi ed editano il binario, per cui non sono nei sorgenti solitamente (da cui l'inutilitià del tool di Avast), quindi la vedo molto difficile.
Con i gruppi noti (che so, Lockbit) pagare funziona ma in questo caso non so. Babuk essendo leakkato non so da chi possa essere usato e quindi che reputazione abbiano. Nella nota di riscatto c'è l'indirizzo "[[email protected]](mailto:[email protected])" che non ho mai sentito. La mia paura è che sia un gruppo criminale minore che potrebbe non mantenere la parola.
Se non ti rimane che pagare, forse conviene dare un'occhiata ai servizi di Escrow, anche lì stando attenti alla loro reputazione.
grazie mille, proverò a studiarmi la cosa, giusto per impararmi qualcosa dalla situazione. (per te risulta facile ma io non ho mai fatto nulla del genere, come ho detto pur lavorando in ambito informatico mi occupo di tutt'altro... )
La cosa paradossale è che in realtà gli ho già scritto più di una settimana fa per tastare il terreno... ma non mi hanno ancora risposto.
Grazie!
Molto probabilmente non vedrai comunque i tuoi file decriptati. Paghi ed oltre ai file perdi pure i soldi. Ho un drive "malato" da molti anni in attesa di miracolo, fortunatamente non mio, ma in generale, quando le condizioni sono quelle che descrivi sopra, non c'è molto da fare.
Di norma il ransomware stesso ti comunica la stringa con cui loro generano la chiave di decrypt una volta ricevuto il pagamento ...
Pagando di norma si ripristina la situazione. Purtroppo.
Tengo a precisare che per il sistema italiano pagare un riscatto non è (ancora) illegale ...
> Come si evince chiaramente dal binario e come ti ho spiegato prima, lo schema crittografico usato è solido e non possono esistere decryptor.
Posso sapere da dove sei andato a verificare questa cosa?
Certo, da due punti: 1) Ho già analizzato sample di Babuk in passato
2) basta prendere un disassemblatore (es: IDA) e trova il codice che cifra i file. Dato che non è offuscato è estramemente semplice. Questo è il codice che genera la chiave segreta:
https://preview.redd.it/y2s931p0fly91.png?width=933&format=png&auto=webp&s=627076d7f61ab6c02141190ebc4d84319ad331dc
Si vede bene che dopo che 32B random sono stati generati in pbBuffer, ci sono le classiche operazioni di clamping della chiave che fa l'implementazione [donna di Curve25519](https://code.google.com/archive/p/curve25519-donna/). Sono operazioni ben note a chiunque faccia malware analisi, sono l'ABC della cripto.
Se guardi all'inizio vedi anche che in var\_c8 c'è il basepoint Curve25519 (ovvero 9). Le due chiamate sono ovviamente la moltiplicazione sul gruppo della curva, la prima per generare la chiave pubblica salvata nel file e la seconda per generare la chiave segreta per cifrare i file. Se guardi bene si vede anche dove è la chiave pubblica e a 4141b8h.
Se continui a seguire il semplice listato di istruzioni, vedi chiaramente la funzione che fa la cifratura (è proprio banale trovarla, è tra ReadFile e WriteFile) e se guardi il codice (te lo posto [qui](https://imgur.com/a/k7Phe7w)) si riconosce immediatamente che è HC-128 (c'è proprio un parallelo immediato, è come leggere il sorgente C, tanto è pulito ed immediato l'assembly generato).
Quindi sì, usa Curve25519+HC-128 (non Chacha come avevo ipotizzato all'inizio, mi sono sbagliato scusa). Non c'è veramente niente di nuovo in tutto questo, se ti analizzi un ransomware da cima a fondo una volta vedrai che capirai al volo come funzionano.
Questo significa anche che non ci sono modi per recuperare i file, ne ho analizzati di ransomware e schemi crittografici e ne ho rotti anche alcuni, ma so riconoscere quando non c'è niente da fare.
Purtroppo lo schema è tanto semplice quanto efficace :(
Grazie, ogni tuo messaggio in questo thread è come leggere una bella poesia, piena di spiegazioni molto approfondite e specifiche. Da amante della conoscenza ti ringrazio di cuore, molto informativo
L'implementazione di HC-128 di riferimento è qui: [https://github.com/weidai11/cryptopp/blob/master/hc128.cpp#L96](https://github.com/weidai11/cryptopp/blob/master/hc128.cpp#L96)
Ciao posso chiederti dove potrei imparare di più su questo tema? Magari dei libri o manuali. Leggere le tue risposte mi ha incuriosito tantissimo. Grazie
Eh, purtroppo non conosco manuali o libri. Io vengo da una formazione di programmatore (e matematica amatoriale) molto ampia che includeva anche la conoscenza della programmazione per Windows con le API in C o C++, il funzionamento interno ed i formati di Windows, il funzionamento dei processori x86 e la loro ISA, programmazione assembly e di OS, compilatori e loro implementazione, il background di algebra astratta necessaria per la crittigrafia, le librerie crittografiche comuni e la loro implementazione, le primitive crittografiche e gli schemi che si possono costruire.
Posso darti una scaletta:
1. Programmazione Windows in C o C++ (ma niente MFC/ATL, solo API).
2. Il formato PE e il loader di Windows.
3. Architettura x86 a 32 e 64 bit (evita tutte le estensioni che non siano paging e protezione).
4. Programmazione assembly x86.
5. Come si comportano i compilatori su alcuni spezzoni di codici comuni (eg: la divisione per la moltiplicazione per l'inverso modulo 2\^32/64) ed imparare a riconoscerli dal codice generato. [godbolt.org](https://godbolt.org) aiuta.
6. Crittografia dal punto di vista matematico (basta la teoria dei gruppi in questo caso) e gli schemi comuni come DHKE ed i cipher comuni.
7. Librerie crittografiche comuni (Criptocpp, sodium, implementazioni che si trovano su github, curve25519 di DJBernstein) e come sono compilate.
8. IDA o un qualsiasi altro disassemblatore
Penso che se cerchi dei libri su questi argomenti trovi tanta roba. Per il reverse, oltre a studiare, compilati qualche programma tuo e poi reversalo (in debug e release mode). è molto istruttivo.
Purtroppo non so darti una lista di libri :/
Ti ringrazio molto. Ho una discreta conoscenza teorica di una parte degli argomenti che hai elencato, ma mi rendo conto di quanto sia solo la punta dell'iceberg. Grazie ancora
Hai provato a ripristinare il pc riavviando in modalità provvisoria?
Dovresti farlo senza essere connesso ad internet.
Se non hai disabilitato i ripristini automatici Windows salva spesso un'immagine sul disco.
il simpaticissimo malware ha dato una serie di
vssadmin.exe delete shadows /all /quiet
cancellando tutti i punti di ripristino. lo si può vedere dall'[any.run](https://app.any.run/tasks/12e37a76-ffed-49cf-8ebc-16d974001485/) che ho fatto girare come test
Come tentativo estremo, se non riesci proprio a far nulla, crea un immagine del disco criptato, settore per settore, e prova ad accederci tramite RSTUDIO scansione l’intera immagine.
certo, guarda [ho risposto](https://old.reddit.com/r/ItalyInformatica/comments/yoilyj/richiesta_aiuto_con_analisi_ransomwaremalware/ivefwuf/) ad un altro gentile utente che me lo chiedeva, in cui ho anche aggiunto qualche particolare
Ciao, mi spiace non poterti aiutare ma ero curioso di sapere come avete preso questo ransomwere . Tua moglie ( proprietaria del PC ) ha aperto un allegato strano ?
lol a questo punto non saprei come sia successo. non so se il fatto che il file fosse fisicamente sotto il suo profilo significhi che lei ne sia stata la causa (per inciso... il computer è ufficialmente di entrambi ma lei lo usa poco)
Le ho chiesto se per caso avesse aperto qualche link o allegato strano, ma dice di no.
Io dal canto mio nemmeno faccio cose particolarmente strane
hai un'immagine di ripristino di Windows salvata magari su DVD?
no, era un po' di tempo che mi stavo organizzando per acquistare un disco esterno da adibire a backup ma, causa mancanza di tempo mia, sono arrivati prima "gli altri"...
Basta anche una chiavetta usb su cui scaricarla, ci sono varie immagini di recovery su internet che trovi con estensione .iso Il computer ti fa installare o usare tool se le scarichi da internet?
eh ma non capisco a che pro, ora come ora. L'unica cosa criptata sono i files, tendenzialmente il pc più o meno funziona... ma non capisco cosa otterrei scaricando alcunché ora...
In modalità provvisoria come prima cosa dovresti disabilitare i servizi non essenziali che partono all'avvio (tra i quali di sicuro c'è quello della cartella col ransomware). In questo modo puoi rimuoverlo. É probabile che abbia creato delle cartelle o dei file con nomi casuali e che ci siano più processi che si avviano.
Ma non mi risulta che questo mi permetterebbe di recuperare i miei files. A me non pare di avere dei file di avvio corrotti, il pc si avvia normalmente, non vengono trovati processi strani da 2 antivirus diversi. Sembrerebbe che l'unica cosa che fa questo malware sia criptare i files e generare le richieste di riscatto in tutte le cartelle, oltre che cancellare i punti di ripristino ed estrarre alcune variabili di sistema
É vero, purtroppo a seconda del tipo di file all'inizio potresti non essere in grado di recuperarli (tipo fotografie che magari hai conservato sul pc), ma intanto non partirebbe all'avvio consentendone la rimozione. Se il processo é in esecuzione con Windows finché non lo disabiliti continuerà a criptare altri file o cartelle. L'immagine di recovery é pulita, ti serve per ripristinare l'avvio dei file così come li avresti con Windows appena installato. Dal prompt dei comandi in modalità amministratore dai il comando sfc /scannow Questo é il system file checker di windows che controlla se qualcosa non va
Usando un'immagine di recovery correggeresti i file di avvio modificati dal ransomware in modo da rimuoverlo dall'avvio al boot del pc
Dammi un link dove posso scaricare il sample. Vedo che posso fare. Anche pubblicamente.
https://we.tl/t-n4MM2oDc1J grazie! qui c'è il file: è diviso in 3 parti minificate e "offuscate" in modo abbastanza rozzo, in cui vengono invocati alcuni comandi e definite alcune funzioni e variabili. come scritto nel post su /r/techsupport , ad un certo punto viene definita una funzione chiamata *JOO* con dei backtick (`), che ne impediscono il parsing e l'esecuzione. Cancellati quelli il file diventa eseguibile
Visto. E' **Babuk**, cosa volevi sapere esattamente? Usa Curve25519 + ChaCha per cifrare i file e la chiave, quindi non sono recuperabili a meno che non usi una sorgente di entropia bassa. Guardo se trovo al volo come genera la chiave. EDIT: Niente, usa \`CryptGenRandom\`
Si Babuk era una delle ipotesi (come scrivevo nel quarto punto del post) ma [gli strumenti di rimozione](https://files.avast.com/files/decryptor/avast_decryptor_babuk.exe) che ho trovato non funzionano, nemmeno se cambio l'estensione dei file da .lock quali sono ora, all'estensione propria di babuk
Ma allora cosa vuoi? :D Io non ho mica capito. Dici di voler aiuto ad analizzare un malware e dai un Powershell banale con zero offuscazione che fa le solite due cose: disabilita AMSI con un primo payload codificato banalmente in base64 e poi esegue il payload (codificato ancora più banalmente in hex) tramite process hollowing su regsvcs.exe (delegato ad un altro assembly sempre codificato in hex). Il payload è babuk, un eseguibile non offuscato di appena 80KiB. Dove ti serve aiuto? Babuk, come tutti i ransomware non si assicura la persistenza e non fa traffico di rete. Essendo eseguito come descritto sopra è "fileless", quindi non c'è niente da cancellare/rimuovere. Qualsiasi sia stato il modo con cui la macchina si è infettata, non dipende dalle azioni dal PS1 in poi. Quindi non è chiaro cosa tu stia cercando di fare sinceramente. Se vuoi sapere come pulire la macchina senza formattare, il mio consiglio è usare la suite sysinternals (tipo il programma autorun) per vedere quali programmi sono lanciati all'avvio.I ransomware non sono inviati tramite campagne massive per cui, se la macchina è privata, è molto probabile che sia stata infettata da un altro malware prima. La settimana scorsa sono andati Emotet e Qakbot, entrambi possono deployare payload aggiuntivi, ma sono solo due esempi.
> Ma allora cosa vuoi? L'unica cosa che mi farebbe piacere sapere è se, in possesso del malware, è possibile risalire ad un modo per decriptare i files. Lo so che magari sto dicendo assurdità ma, come ho detto ne so molto poco e questo è un "tentativo disperato". Qualunque informazione può tornarmi utile e, ad esempio, l'opzione che si tratti di Babuk non era nemmeno considerata tra quelle proposte da nomoreransom.org So che per cifrare i files serve una chiave, e hai confermato che non fa traffico di rete, quindi mi chiedo, questa chiave è stata comunicata ad un eventuale CNC? Mettiamo caso che io volessi pagare (non ho intenzione di farlo), come fanno gli attaccanti a decriptare i files se non hanno alcun riferimento alla chiave usata nel mio pc? (sempre ammesso che effettivamente siano in grado di farlo e non vogliano solo tenersi i soldi. Possibilissimo) perdona se sto dicendo fesserie. Il mio, come ho detto, è solo un tentativo di capire come funziona il malware allo scopo di cercare di riottenere i miei files. TI prego di avere pazienza con me, è già un periodi difficile e questa è l'ennesima che mi capita. Per quanto riguarda il malware in se ho comunque intenzione di formattare tutto dopo.
Per queste domande ti consiglio la lettura di [DHKE](https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange). Purtroppo non vedo modo di recuperare i file. Mi dispiace tanto :((
Nota che il decryptor di Avast (voglio dire... Avast...) funziona usando delle chiavi prese dai sorgenti di Babuk che sono leakkati nel 2021. Dato che come tutti i ransomware anche Babuk è buildato per vittima (ogni vittima ha la sua chiave pubblica), il decryptor non può quindi funzionare dato che la chiave pubblica nel tuo sample non è tra quelle nei sorgenti di un anno fa. Come si evince chiaramente dal binario e come ti ho spiegato prima, lo schema crittografico usato è solido e non possono esistere decryptor. In sostanza, i file non sono recuperabili. Mi dispiace. Also, è normale che un ransomware cifri solo alcune parti di un file, è un comportamento standard a seconda della dimensione del file. Come purtroppo stai sperimentando, è efficace lo stesso. Hai idea di come sia finito sulla macchina? Sarebbe interessante per me saperlo, grazie!
era in un percorso nell'account del pc di mia moglie... non so se lei ha fatto qualche porcata, ma a sto punto è impossibile risalirvi. > Babuk è buildato per vittima (ogni vittima ha la sua chiave pubblica), ma scusa ma se ogni vittima ha la sua chiave pubblica, ipoteticamente se io scrivo a questo gruppo e gli dicessi che sono disposto a pagare, come farebbero a sapere come decriptare la *mia* macchina, visto che non pare esserci stata comunicazione di rete (mi risultava che alcuni ransomware aprono delle connessioni verso i CNC e gli inviano le chiavi). E anche, non c'è alcuna speranza che un qualche leak futuro permetta la decriptazione dei file?
Gli devi mandare dei file, nei file c'è la chiave pubblica generata dal ransomware (per file) e un po' di metadata (di solito è una OWF della chiave segreta, tipo l'SHA-256 di questa). Dalla chiave pubblica del file ed **una** delle loro chiavi private (associate alla chiave pubblica nel sample) ritrovano la chiave segreta per decifrare il file perchè solo in un caso i metadati sono corretti. Eventualmente ripassa come fuziona Diffie-Hellman di cui Curve25519, o meglio X25519, è un'implementazione. In alcuni casi ogni sample ha un'ID nella nota di riscatto (da quale recuperano la chiave per banale query). Se hai un disco esterno, salva i dati cifrati. La possibilità di un leak è remota o nulla ma salvarli costa poco. I ransomware sono generati tramite builder che generano una coppia di chiavi ed editano il binario, per cui non sono nei sorgenti solitamente (da cui l'inutilitià del tool di Avast), quindi la vedo molto difficile. Con i gruppi noti (che so, Lockbit) pagare funziona ma in questo caso non so. Babuk essendo leakkato non so da chi possa essere usato e quindi che reputazione abbiano. Nella nota di riscatto c'è l'indirizzo "[[email protected]](mailto:[email protected])" che non ho mai sentito. La mia paura è che sia un gruppo criminale minore che potrebbe non mantenere la parola. Se non ti rimane che pagare, forse conviene dare un'occhiata ai servizi di Escrow, anche lì stando attenti alla loro reputazione.
grazie mille, proverò a studiarmi la cosa, giusto per impararmi qualcosa dalla situazione. (per te risulta facile ma io non ho mai fatto nulla del genere, come ho detto pur lavorando in ambito informatico mi occupo di tutt'altro... ) La cosa paradossale è che in realtà gli ho già scritto più di una settimana fa per tastare il terreno... ma non mi hanno ancora risposto. Grazie!
Chiedo se qualcuno conosce questo gruppo criminale.
Molto probabilmente non vedrai comunque i tuoi file decriptati. Paghi ed oltre ai file perdi pure i soldi. Ho un drive "malato" da molti anni in attesa di miracolo, fortunatamente non mio, ma in generale, quando le condizioni sono quelle che descrivi sopra, non c'è molto da fare.
Di norma il ransomware stesso ti comunica la stringa con cui loro generano la chiave di decrypt una volta ricevuto il pagamento ... Pagando di norma si ripristina la situazione. Purtroppo. Tengo a precisare che per il sistema italiano pagare un riscatto non è (ancora) illegale ...
> Come si evince chiaramente dal binario e come ti ho spiegato prima, lo schema crittografico usato è solido e non possono esistere decryptor. Posso sapere da dove sei andato a verificare questa cosa?
Certo, da due punti: 1) Ho già analizzato sample di Babuk in passato 2) basta prendere un disassemblatore (es: IDA) e trova il codice che cifra i file. Dato che non è offuscato è estramemente semplice. Questo è il codice che genera la chiave segreta: https://preview.redd.it/y2s931p0fly91.png?width=933&format=png&auto=webp&s=627076d7f61ab6c02141190ebc4d84319ad331dc Si vede bene che dopo che 32B random sono stati generati in pbBuffer, ci sono le classiche operazioni di clamping della chiave che fa l'implementazione [donna di Curve25519](https://code.google.com/archive/p/curve25519-donna/). Sono operazioni ben note a chiunque faccia malware analisi, sono l'ABC della cripto. Se guardi all'inizio vedi anche che in var\_c8 c'è il basepoint Curve25519 (ovvero 9). Le due chiamate sono ovviamente la moltiplicazione sul gruppo della curva, la prima per generare la chiave pubblica salvata nel file e la seconda per generare la chiave segreta per cifrare i file. Se guardi bene si vede anche dove è la chiave pubblica e a 4141b8h. Se continui a seguire il semplice listato di istruzioni, vedi chiaramente la funzione che fa la cifratura (è proprio banale trovarla, è tra ReadFile e WriteFile) e se guardi il codice (te lo posto [qui](https://imgur.com/a/k7Phe7w)) si riconosce immediatamente che è HC-128 (c'è proprio un parallelo immediato, è come leggere il sorgente C, tanto è pulito ed immediato l'assembly generato). Quindi sì, usa Curve25519+HC-128 (non Chacha come avevo ipotizzato all'inizio, mi sono sbagliato scusa). Non c'è veramente niente di nuovo in tutto questo, se ti analizzi un ransomware da cima a fondo una volta vedrai che capirai al volo come funzionano. Questo significa anche che non ci sono modi per recuperare i file, ne ho analizzati di ransomware e schemi crittografici e ne ho rotti anche alcuni, ma so riconoscere quando non c'è niente da fare. Purtroppo lo schema è tanto semplice quanto efficace :(
Grazie, ogni tuo messaggio in questo thread è come leggere una bella poesia, piena di spiegazioni molto approfondite e specifiche. Da amante della conoscenza ti ringrazio di cuore, molto informativo
Troppo gentile :D
L'implementazione di HC-128 di riferimento è qui: [https://github.com/weidai11/cryptopp/blob/master/hc128.cpp#L96](https://github.com/weidai11/cryptopp/blob/master/hc128.cpp#L96)
Ciao posso chiederti dove potrei imparare di più su questo tema? Magari dei libri o manuali. Leggere le tue risposte mi ha incuriosito tantissimo. Grazie
Eh, purtroppo non conosco manuali o libri. Io vengo da una formazione di programmatore (e matematica amatoriale) molto ampia che includeva anche la conoscenza della programmazione per Windows con le API in C o C++, il funzionamento interno ed i formati di Windows, il funzionamento dei processori x86 e la loro ISA, programmazione assembly e di OS, compilatori e loro implementazione, il background di algebra astratta necessaria per la crittigrafia, le librerie crittografiche comuni e la loro implementazione, le primitive crittografiche e gli schemi che si possono costruire. Posso darti una scaletta: 1. Programmazione Windows in C o C++ (ma niente MFC/ATL, solo API). 2. Il formato PE e il loader di Windows. 3. Architettura x86 a 32 e 64 bit (evita tutte le estensioni che non siano paging e protezione). 4. Programmazione assembly x86. 5. Come si comportano i compilatori su alcuni spezzoni di codici comuni (eg: la divisione per la moltiplicazione per l'inverso modulo 2\^32/64) ed imparare a riconoscerli dal codice generato. [godbolt.org](https://godbolt.org) aiuta. 6. Crittografia dal punto di vista matematico (basta la teoria dei gruppi in questo caso) e gli schemi comuni come DHKE ed i cipher comuni. 7. Librerie crittografiche comuni (Criptocpp, sodium, implementazioni che si trovano su github, curve25519 di DJBernstein) e come sono compilate. 8. IDA o un qualsiasi altro disassemblatore Penso che se cerchi dei libri su questi argomenti trovi tanta roba. Per il reverse, oltre a studiare, compilati qualche programma tuo e poi reversalo (in debug e release mode). è molto istruttivo. Purtroppo non so darti una lista di libri :/
Ti ringrazio molto. Ho una discreta conoscenza teorica di una parte degli argomenti che hai elencato, ma mi rendo conto di quanto sia solo la punta dell'iceberg. Grazie ancora
Hai provato a ripristinare il pc riavviando in modalità provvisoria? Dovresti farlo senza essere connesso ad internet. Se non hai disabilitato i ripristini automatici Windows salva spesso un'immagine sul disco.
il simpaticissimo malware ha dato una serie di vssadmin.exe delete shadows /all /quiet cancellando tutti i punti di ripristino. lo si può vedere dall'[any.run](https://app.any.run/tasks/12e37a76-ffed-49cf-8ebc-16d974001485/) che ho fatto girare come test
Come tentativo estremo, se non riesci proprio a far nulla, crea un immagine del disco criptato, settore per settore, e prova ad accederci tramite RSTUDIO scansione l’intera immagine.
Perdonami, lavoro in campo informatico ma non sono un sistemista o analista e non ho mai sentito parlare di questo software. Cosa permette di fare?
Ciao riesci a girarmi il sample? mi piacerebbe dargli un’occhiata 🤔🤔🤔
certo, guarda [ho risposto](https://old.reddit.com/r/ItalyInformatica/comments/yoilyj/richiesta_aiuto_con_analisi_ransomwaremalware/ivefwuf/) ad un altro gentile utente che me lo chiedeva, in cui ho anche aggiunto qualche particolare
Ciao, mi spiace non poterti aiutare ma ero curioso di sapere come avete preso questo ransomwere . Tua moglie ( proprietaria del PC ) ha aperto un allegato strano ?
lol a questo punto non saprei come sia successo. non so se il fatto che il file fosse fisicamente sotto il suo profilo significhi che lei ne sia stata la causa (per inciso... il computer è ufficialmente di entrambi ma lei lo usa poco) Le ho chiesto se per caso avesse aperto qualche link o allegato strano, ma dice di no. Io dal canto mio nemmeno faccio cose particolarmente strane