Ransomware: Prevenzione e soluzioni

[Unax]

ho rifatto il test ieri ed in effetti il comportamento è come descrivi tu non appare l'avviso ma negli eventi viene rilevato il blocco con il codice evento 865

non so però perchè sempre ieri per due volte il blocco, attraverso l'operazione pianificata eseguita come admin, veniva bypassato per l'eseguibile e per gli exe contenuti nella medesima cartella

forse perchè avevo solo fatto il restart di explorer ma non il riavvio?

comunque le policy erano queste

defaultlevel a 0 blocca tutto tranne ciò che è autorizzato sotto

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths]

Codice:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
"ExecutableTypes"=hex(7):41,00,55,00,54,00,00,00,41,00,33,00,58,00,00,00,41,00,\
  44,00,45,00,00,00,41,00,44,00,50,00,00,00,42,00,41,00,53,00,00,00,42,00,41,\
  00,54,00,00,00,43,00,48,00,4d,00,00,00,43,00,4d,00,44,00,00,00,43,00,4f,00,\
  4d,00,00,00,43,00,50,00,4c,00,00,00,43,00,52,00,54,00,00,00,45,00,58,00,45,\
  00,00,00,48,00,4c,00,50,00,00,00,48,00,54,00,41,00,00,00,49,00,4e,00,46,00,\
  00,00,49,00,4e,00,53,00,00,00,49,00,53,00,50,00,00,00,4d,00,44,00,42,00,00,\
  00,4d,00,44,00,45,00,00,00,4d,00,53,00,43,00,00,00,4d,00,53,00,49,00,00,00,\
  4d,00,53,00,50,00,00,00,4d,00,53,00,54,00,00,00,4d,00,53,00,48,00,00,00,4d,\
  00,53,00,48,00,31,00,00,00,4d,00,53,00,48,00,32,00,00,00,4d,00,53,00,48,00,\
  58,00,4d,00,4c,00,00,00,4d,00,53,00,48,00,31,00,58,00,4d,00,4c,00,00,00,4d,\
  00,53,00,48,00,32,00,58,00,4d,00,4c,00,00,00,4f,00,43,00,58,00,00,00,50,00,\
  43,00,44,00,00,00,50,00,49,00,46,00,00,00,50,00,53,00,31,00,00,00,50,00,53,\
  00,31,00,58,00,4d,00,4c,00,00,00,50,00,53,00,32,00,00,00,50,00,53,00,32,00,\
  58,00,4d,00,4c,00,00,00,50,00,53,00,43,00,31,00,00,00,50,00,53,00,43,00,32,\
  00,00,00,52,00,45,00,47,00,00,00,53,00,46,00,43,00,00,00,53,00,43,00,52,00,\
  00,00,53,00,48,00,53,00,00,00,55,00,52,00,4c,00,00,00,56,00,42,00,00,00,56,\
  00,42,00,53,00,00,00,56,00,42,00,45,00,00,00,57,00,53,00,43,00,00,00,57,00,\
  53,00,00,00,57,00,53,00,46,00,00,00,4a,00,53,00,00,00,4a,00,53,00,45,00,00,\
  00,41,00,50,00,50,00,4c,00,49,00,43,00,41,00,54,00,49,00,4f,00,4e,00,00,00,\
  47,00,41,00,44,00,47,00,45,00,54,00,00,00,44,00,4f,00,43,00,4d,00,00,00,44,\
  00,4f,00,54,00,4d,00,00,00,58,00,4c,00,53,00,4d,00,00,00,58,00,4c,00,54,00,\
  4d,00,00,00,58,00,4c,00,41,00,4d,00,00,00,50,00,50,00,54,00,4d,00,00,00,50,\
  00,4f,00,54,00,4d,00,00,00,50,00,50,00,41,00,4d,00,00,00,52,00,53,00,50,00,\
  50,00,00,00,53,00,4c,00,44,00,4d,00,00,00,00,00
"PolicyScope"=dword:00000001
"TransparentEnabled"=dword:00000002
"AuthenticodeEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-008390A4B13A}]
"ItemData"="C:\\Program Files (x86)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-0280D0843A46}]
"ItemData"="C:\\WINDOWS\\*.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-34614D484530}]
"ItemData"="C:\\Program Files"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-353646434040}]
"ItemData"="C:\\WINDOWS\\system32"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-40270D3B3B41}]
"ItemData"="C:\\WINDOWS\\system32\\*.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-461B161A5220}]
"ItemData"="C:\\WINDOWS"

[Fabio2691]

ho analizzato il tablet asus T100 in modalità prov con malwarebytes e kaspersky removal tool però non trovano il virus! l'estensione è .crypt

perché?

Variante: .crypt
Sistema Operativo: win 8.1
Livello UAC: si
Anti-Ransomware e/o Criteri di gruppo: no (antivirus AVG)
Veicolo di infezione: boh
Provider di posta: libero
Macro di Office: boh
Ad-Block: si
Flash: si
Java: boh

[S@ibbu]

Scusate forse dico una cosa stupida...ma io utente medio che utilizza lo smartphone per tutto, non posso controllare la posta dal mio telefono così da evitare qualsiasi problema ?

Inviato dal mio SM-G900F utilizzando Tapatalk

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da S@ibbu

Scusate forse dico una cosa stupida...ma io utente medio che utilizza lo smartphone per tutto, non posso controllare la posta dal mio telefono così da evitare qualsiasi problema ?

Inviato dal mio SM-G900F utilizzando Tapatalk

Certo che puoi controllare la posta con lo smartphone (poi magari becchi il ransomware anche lì), se è per quello puoi controllarla anche da un internet point, ma perché?

[S@ibbu]

Ah, quindi lo becco anche con android ? Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...

Inviato dal mio SM-G900F utilizzando Tapatalk

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da S@ibbu

Ah, quindi lo becco anche con android ?

Non lo becchi, puoi beccarlo.

https://www.google.it/search?q=ranso...AY3F8AfZgonADQ

Così come non lo prendi sicuramente su windows, puoi prenderlo su windows.

E non muori sicuramente di infarto o a causa di un incidente automobilistico. Puoi morire di infarto o a causa di incidente automobilistico.

Quote:

Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...

Mah io la guardo da dove posso al momento, c'è qualcosa di sbagliato?


Mi chiedo a cosa servono discussioni come queste se il risultato è ottenere utenti così ansiosi sull'argomento, invece di utenti più consapevoli della questione e che hanno capito quali strategie di prevenzione adottare.

[Unax]

Quote:

Originariamente inviato da S@ibbu

Ah, quindi lo becco anche con android ? Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...

Inviato dal mio SM-G900F utilizzando Tapatalk

ma non è che consultando la posta ti becchi il virus, se non ti fidi di farlo con un programma puoi usare l'intefaccia web della casella mail

che poi anche un dispositivo mobile possa essere vittima di virus di varia natura è possibile anche se meno usuale rispetto a sistemi windows

ma sono i comportamenti che fanno la differenza come con le malattie sessuali

se fosse così semplice che basta consultare le mail da un dispositivo mobile per evitare tutti i rischi....

[S@ibbu]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Mah io la guardo da dove posso al momento, c'è qualcosa di sbagliato?

NOn c'è niente di sbagliato e comunque non stavo a sindacare le modalità di leggere la posta, esprimevo solo il mio modo di fare la cosa che potrebbe essere anche l' abitutdine di altri visto che ormai con il cellulare si fa tutto.
Cmq mi sa che devo leggere meglio, mi sarà sfuggito qualcosa...

[x_Master_x]

Quote:

Kaspersky Lab detected 2,896 new ransomware modifications during the first quarter, which is an increase of 14 percent on the previous quarter. In addition, the number of attempted ransomware attacks increased by 30 percent.

One of the most famous and widespread ransomware in Q1, 2016 was Locky. Kaspersky Lab detected attempts to infect users with this Trojan in 114 countries, and as of early May 2016 it remains active.

According to Kaspersky Lab detections the top three ransomware families in Q1 were: Teslacrypt (58.4%), CTB Locker (23.5%), and Cryptowall (3.4%). All three propagate mainly through spam emails with malicious attachments or links to infected web pages.

21.2 percent of Internet users faced web-based attacks at least once, which is 1.5 percentage points lower than in Q4, 2015.

Cybercriminals continued to use vulnerabilities in Adobe Flash Player, Internet Explorer and Java to propagate malware. Less frequently, they used exploits for Java – according to our statistics this has decreased by 3.3 percentage points on Q4, 2015 and equals 8% of overall exploit statistics for Q1. The same statistics registered an increased use of vulnerabilities in Flash (a rise of 1 percentage point which is 6% in total) and Microsoft Office (an increase of 10 percentage points which is 15% in total)

Ho estrapolato solo i punti salienti, dati che dovrebbero far riflettere chi non ha ancora attuato una politica di prevenzione contro i ransomware. Chiaramente il discorso non si estende a chi utilizzava già prima di questo tipo minaccie VM, sandbox o metodologie simili ma a coloro che ripongono la propria fiducia negli antivirus che in pratica contro i ransomware sono del tutto inutili.

[Unax]

Quote:

Originariamente inviato da x_Master_x

Ho estrapolato solo i punti salienti, dati che dovrebbero far riflettere chi non ha ancora attuato una politica di prevenzione contro i ransomware. Chiaramente il discorso non si estende a chi utilizzava già prima di questo tipo minaccie VM, sandbox o metodologie simili ma a coloro che ripongono la propria fiducia negli antivirus che in pratica contro i ransomware sono del tutto inutili.

purtroppo vale anche per i virus non ransomware, gli antivirus sono diventati nel tempo dei pachidermi con sempre più moduli di protezione e allo stesso tempo sempre meno efficaci

anche gli antivirus che con l'euristica riuscivano a bloccare molte varianti anche se non presenti nelle firme oramai debbono alzare bandiera bianca con tutte le loro gui colorate e piene di animazioni ed icone, uno spreco di ram e processore in piena regola

[Averell]

Editato visto che agli occhi di molti sarebbe risultato troppo fuori tema

[Eress]

Quote:

Originariamente inviato da Unax

purtroppo vale anche per i virus non ransomware, gli antivirus sono diventati nel tempo dei pachidermi con sempre più moduli di protezione e allo stesso tempo sempre meno efficaci

anche gli antivirus che con l'euristica riuscivano a bloccare molte varianti anche se non presenti nelle firme oramai debbono alzare bandiera bianca con tutte le loro gui colorate e piene di animazioni ed icone, uno spreco di ram e processore in piena regola

Sottoscrivo ogni parola. Aggiungo che gli AV, sono fondamentalmente un'inutile spreco di risorse HW. Se proprio si vuole star sicuri, ci sono sistemi alternativi, molto meno invasivi. ma molto più efficaci.

[Beelzebub]

Quote:

Originariamente inviato da Unax

ma non è che consultando la posta ti becchi il virus, se non ti fidi di farlo con un programma puoi usare l'intefaccia web della casella mail

che poi anche un dispositivo mobile possa essere vittima di virus di varia natura è possibile anche se meno usuale rispetto a sistemi windows

ma sono i comportamenti che fanno la differenza come con le malattie sessuali

se fosse così semplice che basta consultare le mail da un dispositivo mobile per evitare tutti i rischi....

Beh, c'è da dire che le email che veicolano questi malware/ransomware sono si sono evolute rispetto ai vecchi tentativi di phishing. L'altro giorno ho ricevuto una mail da una mia cliente (faccio il commercialista) con testo: "invio in allegato le fatture" e un link a Google drive che in realtà era farlocco. L'ho vista io e conoscendo la persona in questione mi sembrava improbabile che le avesse mandate con quel metodo, quindi ho controllato bene la mail e il link senza cliccare nulla. Ma se l'avesse vista una mia impiegata probabilmente sarebbe caduta nel tranello, visto che a volte capita che alcuni clienti ci mandino blocchi di documenti compressi tramite link a Google drive. Questo per dire che sicuramente la formazione dell'utente è fondamentale è vale più di qualcosa antivirus, ma soprattutto in ambito lavorativo non è così facile come qualche anno fa.

Mi sembra che a oggi l'unica vera salvezza sia una pianificazione attenta, precisa e frequente di backup su supporti esterni.

Inviato dal mio Nexus 5 utilizzando Tapatalk

[Unax]

Quote:

Originariamente inviato da Beelzebub

Beh, c'è da dire che le email che veicolano questi malware/ransomware sono si sono evolute rispetto ai vecchi tentativi di phishing. L'altro giorno ho ricevuto una mail da una mia cliente (faccio il commercialista) con testo: "invio in allegato le fatture" e un link a Google drive che in realtà era farlocco. L'ho vista io e conoscendo la persona in questione mi sembrava improbabile che le avesse mandate con quel metodo, quindi ho controllato bene la mail e il link senza cliccare nulla. Ma se l'avesse vista una mia impiegata probabilmente sarebbe caduta nel tranello, visto che a volte capita che alcuni clienti ci mandino blocchi di documenti compressi tramite link a Google drive. Questo per dire che sicuramente la formazione dell'utente è fondamentale è vale più di qualcosa antivirus, ma soprattutto in ambito lavorativo non è così facile come qualche anno fa.

Mi sembra che a oggi l'unica vera salvezza sia una pianificazione attenta, precisa e frequente di backup su supporti esterni.

Inviato dal mio Nexus 5 utilizzando Tapatalk

e il link puntava ad un exe?

[Beelzebub]

Quote:

Originariamente inviato da Unax

e il link puntava ad un exe?

No, a una pagina web "irfanferdinan-qualcosa.html".

[ciccioz1]

tutti i file mi risultano criptati (tranne immagini e video).
Estensione file .crypt
Ho fatto rirpristino di configurazione di sistema e tutto è rimasto così tranne la schermata desktop che prima del rirpristino aveva uno sfondo con una immagine probabilmente del virus.
C' qualche soluzione?

[x_Master_x]

Prima pagina questa sconosciuta...
L'estensione .crypt è comune ad una serie di varianti come CryptXXX, Gomasom, CrypBoss per citarne quelle che si possono decriptare come da sezione Quali varianti è possibile decriptare?
Prova con i tool che trovi facilmente su google ( es. Emsisoft Decrypter for Gomasom ) e spera che la variante sia quella giusta.

[ciccioz1]

Quote:

Originariamente inviato da x_Master_x

Prima pagina questa sconosciuta...
L'estensione .crypt è comune ad una serie di varianti come CryptXXX, Gomasom, CrypBoss per citarne quelle che si possono decriptare come da sezione Quali varianti è possibile decriptare?
Prova con i tool che trovi facilmente su google ( es. Emsisoft Decrypter for Gomasom ) e spera che la variante sia quella giusta.

Come faccio a capire quale variante è la mia? i tool come li cerco? Quello che mi hai indicato l ho scaricato ma quando parte l'exe mi da un errore.

[x_Master_x]

Fammi la cortesia di leggere la prima pagina altrimenti scriviamo sempre le solite cose ( c'è scritto come identificare la variante; tramite sito ID-Ransomware, con l'estensione ma non è il tuo caso perché è comune oppure tramite il nome dei file che lascia per tutto il PC esempio "decrypt_readme.txt" ) se poi qualcosa non ti è chiaro o hai dei dubbi sicuramente qualcuno ti aiuterà nel percorso.

P.S. L' .exe da un "errore", cerca di essere più vago la prossima volta

[ciccioz1]

Quote:

Originariamente inviato da x_Master_x

Fammi la cortesia di leggere la prima pagina altrimenti scriviamo sempre le solite cose ( c'è scritto come identificare la variante; tramite sito ID-Ransomware, con l'estensione ma non è il tuo caso perché è comune oppure tramite il nome dei file che lascia per tutto il PC esempio "decrypt_readme.txt" ) se poi qualcosa non ti è chiaro o hai dei dubbi sicuramente qualcuno ti aiuterà nel percorso.

P.S. L' .exe da un "errore", cerca di essere più vago la prossima volta

Ho provato con il sito ID, ho inserito il file txt che è pieno nel pc e mi ha generato questo nome:
CryptXXX 2.0

p.s. per l'exe del tool di prima mi dice esattamente: the decrypyion key for your systm cold not be found. please attempt to drag and drop both an encrypted...