Discussioni su virus e antivirus
 

Vaccino contro ransomware Petya / NotPetya

Gabriele - onenet 28 Giu 2017 01:42
In due parole, contro sto ransomware delle ultime ore che sta facendo disastri
perché anche *grosse* società si proteggono male, è stato trovato il modo di
"vaccinarsi" in un modo semplice che consiste nel creare un ******* in sola
lettura
come spiegato qui:
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

Cioè il ******* si deve chiamare "perfc", essere "read only" e va messo dentro
C:\Windows


x-post e f/u su it.comp.sicurezza.virus


Gabriele
Archaeopteryx 28 Giu 2017 07:14
> In due parole, contro sto ransomware delle ultime ore che sta facendo disastri
> perché anche *grosse* società si proteggono male, Ú stato trovato il
modo di
> "vaccinarsi" in un modo semplice che consiste nel creare un ******* in sola
lettura
> come spiegato qui:
>
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

grazie!

--
"La teoria è sapere come funzionano le cose e
non sapere come farle funzionare; la pratica è
sapere come far funzionare la cose senza sapere come
funzionano; il nostro scopo è unire la pratica
alla teoria per riuscire a non far funzionare
le cose senza capire come abbiamo fatto"
Zangune 28 Giu 2017 13:01
"cicero®" <cicero49NOSPAM@gmail.com.invalid> ha scritto nel messaggio
news:sf17lcp7cmctgp4uooqvlqs89in2mc360m@4ax.com...

> sul sito dice che è di 189 KB, mentre a me è venuto 0 byte? Che
> contenuto deve avere?

Il contenuto dovrebbe essere irrilevante, in quanto il criptovirus
dovrebbe solo usarne la presenza.
Sul sito hanno suggerito di creare il documento con dentro scritta la
motivazione per la presenza del documento stesso, cioe' "Non cancellarmi
perche' servo a prevenire Petna".
ObiWan 28 Giu 2017 14:46
:: On Wed, 28 Jun 2017 12:35:13 +0200
:: (it.comp.sicurezza.virus)
:: <sf17lcp7cmctgp4uooqvlqs89in2mc360m@4ax.com>
:: cicero® <cicero49NOSPAM@gmail.com.invalid> wrote:

> Ma come mai sul sito dice che è di 189 KB, mentre a me è venuto 0
> byte? Che contenuto deve avere?

Ammesso e non concesso che funzioni, ti basta copiare un qualsiasi ******* in
%WINDIR% e rinominarlo "perfc" (nell'esempio hanno usato notepad), a
questo punto imposti i diritti di accesso ad "everyone", "deny all" e
lo metti read-only e, in teoria, dovresti essere "vaccinato"
P/ero 28 Giu 2017 17:04
"cicero®" [by ForteAgent/7.20.32.1218] on 28/06/17 12:35:13 (Italian Time)
wrote:

> On Wed, 28 Jun 2017 01:42:07 +0200, Gabriele - onenet
> <infoTS@onenet.it> wrote:

>> In due parole, contro sto ransomware delle ultime ore che sta facendo
>> disastri perché anche *grosse* società si proteggono male, è stato
>> trovato il modo di "vaccinarsi" in un modo semplice che consiste nel
>> creare un ******* in sola lettura come spiegato
>> qui: https://www.bleepingcomputer.com/news/security/vaccine-not-killswit
>> ch-found-for-petya-notpetya-ransomware-outbreak/

>> Cioè il ******* si deve chiamare "perfc", essere "read only" e va messo
>> dentro C:\Windows

> Ma come mai sul sito dice che è di 189 KB, mentre a me è venuto 0
> byte? Che contenuto deve avere?
> cicero®

C'è scritto che *devi copiare* notepad.exe, rinominarlo e collocarlo in
C:\windows\ quindi avrà gli stessi KB dell'eseguibile.

Mi sembra di aver letto che c'è anche un batch che lo fa per te. :-)

--
* b *
* y *
* Piero *
#v+
-errare humanum est-
#v-
Arne Saknussemm 29 Giu 2017 10:16
On Wed, 28 Jun 2017 01:42:07 +0200
"Gabriele - onenet" wrote in
it.comp.sicurezza.virus,it.comp.sicurezza.varie,it.discussioni.consumatori.tutela
<oiuqge$2car$1@newsreader1.mclink.it>:

> In due parole, contro sto ransomware delle ultime ore che sta facendo
> disastri perché anche *grosse* società si proteggono male, è stato
> trovato il modo di "vaccinarsi" in un modo semplice che consiste nel
> creare un ******* in sola lettura come spiegato qui:
>
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
>
> Cioè il ******* si deve chiamare "perfc", essere "read only" e va messo
> dentro C:\Windows
>

A proposito di petya (o notpetya)

https://motherboard.vice.com/en_us/article/new8xw/*****er-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid
Sleepers 29 Giu 2017 22:10
Arne Saknussemm wrote:

>A proposito di petya (o notpetya)

Uno tra i tanti siti che lo hanno esaminato:
https://www.carbonblack.com/2017/06/28/carbon-black-threat-research-technical-*****ysis-petya-notpetya-ransomware/

--
Ciao, Alessio - http://www.sleepers.it

Materiale in italiano per Agent: http://agentit.altervista.org/
ArchiPit 1 Lug 2017 08:54
Rispondo quì sotto a Arne Saknussemm


> A proposito di petya (o notpetya)
>
>
https://motherboard.vice.com/en_us/article/new8xw/*****er-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid

Grazie, molto interessante.
Pare che riesca ad evitare alcuni o tutti i controlli dei seguenti
antivirus tra cui quello che ho io (kaspersky)

# AvP products:
# * TrendMicro
# * Webroot
# * Malwarebytes
# * Arcabit
# * Zonealarm
# * Kaspersky

Con Everything ho notato la presenza di uno dei ******* segnalati dal sito
come caratteristici di Petya: perfc.dat con date 18 e 20 marzo 2017, in
C:\Windows\INF\PERFLIB\0000 e in C:\Windows\INF\PERFLIB\0410.

Altri 2 perfc.dat in
C:\Windows\WinSxS\amd64_microsoft-windows-p..structureexecutable_31bf3856ad364e35_10.0.15063.0_none_091c59b88ed6fbeb

e in

C:\Windows\WinSxS\amd64_microsoft-windows-p..xecutable.resources_31bf3856ad364e35_10.0.15063.0_it-it_06f9483267293595\

Non mi sembrerebbe però che questi ******* nel mio caso siano
identificativi del ramsonware. Forse sono di windows? Li hai anche tu?

Uso win10pro CU installato pulito il 2 giugno, che dovrebbe (dovrebbe!)
non avere la vulnerabilità usata da Petya

/ironic mode on
Che faccio, reinstallo? :-)
/ironic mode off

Comunque ho backup in abbondanza...
ArchiPit 1 Lug 2017 14:13
Sul muletto, che uso molto poco e che non ha posta elettronica, ho la
bellezza di 8 ******* perfc.dat, di cui 5 con 37 e 39kB, e 3 da 7kB.

I primi contengono dati leggibili a vista e apparentemente molto
normali, gli altri invece contengono caratteri non leggibili.

Stessa cosa su questo pc.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni su virus e antivirus | Tutti i gruppi | it.comp.sicurezza.virus | Notizie e discussioni sicurezza virus | Sicurezza virus Mobile | Servizio di consultazione news.