|
|
|
|
Strumenti |
26-02-2016, 14:11 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link all'Articolo: http://www.hwupgrade.it/articoli/sic...tto_index.html
Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes. Click sul link per visualizzare l'articolo. |
26-02-2016, 15:44 | #2 |
Senior Member
Iscritto dal: May 2004
Messaggi: 3025
|
La verità è che nel 2016 ci sono fior fiore di aziende e professionisti che non hanno completamente idea del fatto che i dati non sono una ben definita entità fisica ma un ammasso di byte pronti ad essere persi e/o danneggiati da un qualsiasi evento.
Ci hanno contattato perfino da Comuni dove il personale si è autoinfettato tramite email inviate da alcuni dipartimenti e che si sono diffuse in tutti gli uffici. La soluzione è sempre esistita ma non si vuole affrontare il costo o la seccatura di effettuare l'operazione con una certa cadenza (se il sistema non provvede in automatico), quindi direi che è una cosa tutta meritata per chi "sfortunatamente" ne è vittima. |
26-02-2016, 16:12 | #3 |
Senior Member
Iscritto dal: Nov 2000
Città: Tokyo
Messaggi: 3008
|
Cit.
<<Server nuovi o l'X5 aziendale per natale?>> |
26-02-2016, 16:45 | #4 |
Senior Member
Iscritto dal: Feb 2003
Città: BG
Messaggi: 9444
|
una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus? lo domando perché io farei il backup del PC su un NAS, senza mappare la share del NAS in cui salvare i file in un'unità di Windows, e facendo puntare il programma di backup ("O&O AutoBackup" nel mio caso) direttamente al percorso di rete (in più farei il backup una volta alla settimana, lasciando spento il NAS e facendolo accendere in automatico solo prima del job di backup). in questo modo dovrei essere sicuro che questi infami non siano in grado di accedere anche ai file sul NAS, giusto? PS: da qualche settimana sto provando sul PC di casa (dopo essermi beccato un cryptolocker sul pc dell'ufficio... grazie Norton Endpoint Protection, funzioni benissimo!) Malwarebytes Anti-Ramsonware, e ieri mi ha "bloccato" l'aggiornamento di JDownloader 2 in quanto conteneva un ramsonware. io nel dubbio ho ovviamente evitato di aggiornare il programma.
__________________
PC: Apple Mac mini M1, 16GB, 2TB, 10Gbit - Time Machine: WD 4TB - Peripherals: Logitech MX Keys; Logitech MX Vertical; Philips 288E2A; PreSonus Eris E3.5; HP LaserJet Pro M281fdw - NAS: QNAP TVS-871-i3-4G 8x WD Red CMR 6TB raid 6; QNAP QXG-2G1T-I225 - Network: Asus GT-AX6000; QNAP QSW-1105-5T - Mobile: Apple iPhone 14 Pro Max 1TB; Apple iPad mini 2021 256GB; Apple Watch Ultra 2; Apple AirPods Pro 2; Bose QC35II - TV: LG OLED C2 48"; Apple TV 4K 2021 64GB; Denon AVR-X2800H - Gaming: Xbox Series X |
26-02-2016, 16:56 | #5 | |
Senior Member
Iscritto dal: May 2004
Messaggi: 3025
|
Quote:
|
|
26-02-2016, 17:04 | #6 | |
Senior Member
Iscritto dal: Feb 2003
Città: BG
Messaggi: 9444
|
Quote:
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di (che non guasta mai! ). PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati. PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale). ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato. PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!
__________________
PC: Apple Mac mini M1, 16GB, 2TB, 10Gbit - Time Machine: WD 4TB - Peripherals: Logitech MX Keys; Logitech MX Vertical; Philips 288E2A; PreSonus Eris E3.5; HP LaserJet Pro M281fdw - NAS: QNAP TVS-871-i3-4G 8x WD Red CMR 6TB raid 6; QNAP QXG-2G1T-I225 - Network: Asus GT-AX6000; QNAP QSW-1105-5T - Mobile: Apple iPhone 14 Pro Max 1TB; Apple iPad mini 2021 256GB; Apple Watch Ultra 2; Apple AirPods Pro 2; Bose QC35II - TV: LG OLED C2 48"; Apple TV 4K 2021 64GB; Denon AVR-X2800H - Gaming: Xbox Series X |
|
26-02-2016, 17:36 | #7 |
Senior Member
Iscritto dal: Jan 2002
Messaggi: 2671
|
l'articolo non e' male, tuttavia omette 2 aree di fondamentale importanza:
1) come limitare al massimo la probabilita' di infezione 2) come comportarsi con un pc infetto per la 1, e' abbastanza facile: non aprire allegati che non ci si aspetta, soprattutto se con nomi strani, criptici o casuali e porre molta attenzione all' estensione dei file. estensioni .exe .bat .vbs .js sono quasi sempre virus, ovviamente si tratta di file a loro volta zippati altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...) per la 2 invece, a parte i consigli corretti sul disconnettere/spegnere il pc, quando si e' stati infettati la cosa migliore e piu' sicura da fare e' recuperare il recuperabile e procedere con una formattazione del disco e reinstallazione della macchina. Questo semplicemente perche' ogni volta che si viene infettati e' generalmente da una nuova variante di ransomware non ancora identificata dagli antivirus, variante che potrebbe benissimo comportarsi in modo diverso dalle altre ed insinuarsi piu' a fondo ed in maniera piu' subdola nel sistema, per eventualmente ripresentarsi in futuro (e questo scommetto sara' il prossimo passo evolutivo di questi malware), percui l'unico modo per essere certi al 100% che il sistema sia pulito e' ripartire da 0.
__________________
Saying that Java is nice because it works on all OS's is like saying that anal sex is nice because it works on all genders |
26-02-2016, 17:38 | #8 | |
Senior Member
Iscritto dal: Jan 2011
Città: Milano
Messaggi: 2740
|
Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose. Motivo del contagio? HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia Quote:
Purtroppo basta una disattenzione, una mail finta inviata da un contatto conosciuto con allegato un file tipo documento e la frittata è fatta. Non so come sia potuto accadere a te, però mi sembra utile condividere questa informazione...
__________________
CPU: i5 3570K @ 4.4GHz Dissi: Grand Kama Cross MoBo: AsRock Z77 GPU: Zotac 660Ti RAM: 4x2GB 1333MHz ALI: OCZ 500W 80+ SSD: Samsung 830 256Gb OS: Win10 Pro x64 Portable: Samsung 900x3a+32Gb Photo: d7100 + vetri ACQUISTI: WhiteHand VENDITE: John Foxx, Terroncello86, Valnir, gg1992_user Ultima modifica di threnino : 26-02-2016 alle 17:41. |
|
26-02-2016, 17:38 | #9 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4712
|
Quote:
Il disco di backup sul nas protetto da credenziali. Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate). Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema. Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows. Cripta file di testo, pdf, immagini. Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall). In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa). Dopo di chè usare un programma per vedere le copie shadow sui dischi: Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%) Spero di essere stato utile |
|
26-02-2016, 17:42 | #10 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4712
|
Quote:
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto. In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24. Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora) |
|
26-02-2016, 17:42 | #11 | |
Senior Member
Iscritto dal: Jan 2002
Messaggi: 2671
|
Quote:
tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve. se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati
__________________
Saying that Java is nice because it works on all OS's is like saying that anal sex is nice because it works on all genders |
|
26-02-2016, 17:44 | #12 |
Senior Member
Iscritto dal: Jan 2002
Messaggi: 2671
|
pebkac!
__________________
Saying that Java is nice because it works on all OS's is like saying that anal sex is nice because it works on all genders |
26-02-2016, 17:53 | #13 | |
Senior Member
Iscritto dal: Jan 2007
Città: Village of Belin
Messaggi: 27362
|
Quote:
l'icona però non potrebbe esser quella del pdf allora. chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita. quindi già si salvano quando arriva il solito file preventivo.pdf.exe
__________________
ROGRIPPER: Helios+Thor1,2kW+3960X+Zenith II+64gb 3600C16+3080 12gb Vector2+Rocket4x2 NB: Alienware X17 R2 Acoustyx S7 Planar |-| Truthear Nova |-| FiiO BTR 7 |-| Sundara closed back |-| Moondrop PARA |-| SPL Phonitor One ->╚(ಠ_ಠ)=┐┌( ಠ_ಠ)┘ LG 65G26LA - Marantz Cinema 40 - SuperNait 2 - D50S - SS315X - Jamo HCS628, 2x QA3070S ╚(•⌂•)╝┌( ಠ_ಠ)┘<- Ultima modifica di Goofy Goober : 26-02-2016 alle 17:55. |
|
26-02-2016, 17:56 | #14 | |
Senior Member
Iscritto dal: Jan 2002
Città: Firenze, Perugia, Formia(LT)
Messaggi: 8737
|
Quote:
per dire un file da 10gb quanto impiega a criptarlo? |
|
26-02-2016, 17:59 | #15 | |
Senior Member
Iscritto dal: Feb 2003
Città: BG
Messaggi: 9444
|
Quote:
allora dovrei trovare un sw di backup via FTP. non credo che quello che uso ora possa farlo.
__________________
PC: Apple Mac mini M1, 16GB, 2TB, 10Gbit - Time Machine: WD 4TB - Peripherals: Logitech MX Keys; Logitech MX Vertical; Philips 288E2A; PreSonus Eris E3.5; HP LaserJet Pro M281fdw - NAS: QNAP TVS-871-i3-4G 8x WD Red CMR 6TB raid 6; QNAP QXG-2G1T-I225 - Network: Asus GT-AX6000; QNAP QSW-1105-5T - Mobile: Apple iPhone 14 Pro Max 1TB; Apple iPad mini 2021 256GB; Apple Watch Ultra 2; Apple AirPods Pro 2; Bose QC35II - TV: LG OLED C2 48"; Apple TV 4K 2021 64GB; Denon AVR-X2800H - Gaming: Xbox Series X |
|
26-02-2016, 18:00 | #16 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4712
|
Quote:
Non so davvero come facciano, ma forse hanno trovato il modo di dirottare la ricerca di caratteri non europei (cirillico, arabo, ideogrammi, non so) verso un server diverso da quello adobe (a dire il vero non hanno aperto mail con allegati strani, stanno attenti di la, e l'unica mail aperta quel giorno è stata quella e subito dopo il criptaggio dei dati). Come lettore di pdf acrobat, sarebbe interessante sapere se funziona lo stesso meccanismo anche con lettori diversi (nitro pdf, sumatra ecc). |
|
26-02-2016, 18:00 | #17 | |
Senior Member
Iscritto dal: Dec 2000
Città: Draghistan
Messaggi: 5403
|
Quote:
Si possono però usare dei plugin come noscript per dare permessi di usare javascript solo ai siti che si ritengono sicuri questo ovviamente non risolve il problema ma lo limita di molto. Ad ogni modo IMHO il sistema più sicuro per prevenirli rimane sempre il backup periodico su periferiche esterne, sperando non inventino ransom più subdoli che non si attivano immediatamente e che come i virus normali, hanno un periodo iniziale di inattività, in questo modo uno può essere convinto di essere pulito e copiare nelle periferiche esterne i dati contenenti già il virus e senza saperlo infettarsi i dati di backup.
__________________
PC1 (lazzaro)Intel core i5 3570k IB XFX pro series 550W MSI B75MA-P45 2x4 GB DD3 corsair vengeance blue LP 1600 Mhz Sapphire HD7750 SSD crucial M4 128 GB + WD caviar green 2 TB PC2 Ryzen 5 5600 Be quiet pure power 10 400W MSI B450 Gaming plus 2x8 GB DD4 HyperX predator 3000 Mhz GTX 1660 SSD Samsung 860 Evo 500 GB + WD RED 3 TB (WIP) |
|
26-02-2016, 18:12 | #18 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4712
|
Quote:
Credo che tra 100 gb e 5 mb non cambi la velocità, basterebbe criptare solo l'header del file (e lasciare il resto intatto) per rendere inutiliuzzabile lo stesso. Ps i sistemi delle shadow funzionano solo da vista in poi. Con Xp se proprio abbiamo dati importanti bisogna smontare il disco, fare una scansione con software di recupero dati (io uso testdisk) e sperare. Il file non viene in genere criptato al volo, ma dovrebbe funzionare con: creazione di una cartella temp. criptaggio del file in temp e sostituzione dell'originale. Qualcosa su xp ho recuperato, ma ci vuole molto tempo (e relativi soldi) per fare un buon lavoro. Il primo criptowall che ho beccato mi ha tenuto sotto 3 gg (e ci ho lavorato fino alle 2 di notte per due notti di fila), ma alla fine l'ho Ps staccarlo sempre dalla rete ed usare la modalità provvisoria nel tentativo di recuperare i dati. Per il nas, basta che i permessi di scrittura siano dati ad un utente diverso da quello di win, e impostati nel programma di backup (il sistema, e relativo virus, non hanno i permessi di scrittura in questo modo ed i backup sono al sicuro) |
|
26-02-2016, 18:14 | #19 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4712
|
Quote:
Quando rileva un disco esterno inserito si attiva ed il backup è comunque compromesso. |
|
26-02-2016, 18:16 | #20 | |
Senior Member
Iscritto dal: Sep 2004
Messaggi: 1247
|
Quote:
Cmq non vedo come possano esistere soluzioni preventive diverse dal fare backup periodici su dischi normalmente disconnessi fisicamente dal sistema! Un virus ha accesso a tutto ciò cui avete accesso voi... password incluse! E curiosamente non vedo nè nel thread nè nell'articolo nessun link ai programmi più importanti in tutta questa faccenda: quelli per il backup! E nemmeno una bella spiegazione su com'è e come si fa un backup, che differenza c'è tra backup incrementale e differenziale, ecc... Cioè, ok, l'articolo ha funzionato, ci avete terrorizzato... e adesso? Qualcuno sa dirci cosa fare, invece cosa NON fare? (NON cliccare, NON aprire mail, NON usare java, NON usare flash, NON usare javascript.... NON usare il PC!!?!)
__________________
La scienza è provvisoria -- Jumpjack -- |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:47.