Allarme Cryptovirus: prevenire per non pagare il riscatto

[mmiat]

Quote:

Originariamente inviato da nn020

Alla fine l'UAC non fa quello? poi non so se funziona anche con un .bat

a me pare che chieda solo conferma, però se l'utente non sa' quello che fa' gli da' conferma e viene fregato lo stesso. e comunque non sono così convinto che faccia la richiesta...

io voglio proprio bloccarlo, essere io a deciderlo "a monte", non l'utente.

[majerle]

anche dove lavoro io il teslacrypt ha fatto danni.
Nulla di critico, l'azienda e' strutturata ed i server sono sotto backup, ma.. file personali.. o cartelle sharate non sotto backup sono andati a "cryptarsi" definitivamente.

Tutti i server sono caduti tranne quello di mia competenza, l'unico che monta una Debian, le cui cartelle sono accessibili solo tramite samba con utente non di dominio (ma legato al server linux) ed FTP (non e' cosi' scomodo come sembra...)
Noi abbiamo continuato a lavorare mentre gli altri colleghi hanno perso mezza giornata di lavoro (dovendo poi fare le corse per recuperarla..)!

Lunga vita a linux!

BHH

[texfan749]

Grazie dell'illuminante articolo, ma ci sono tante domande però sull'argomento.

Facciamo una premessa:
Ho windows 7 aggiornato con : antivirus free aggiornato, con un programma che fa da firewall, con l'UAC al massimo, vari programm installati (Adobe, office, ecc), connessione a internet sempre presente, un hard disk che collego ogni tanto ecc. Credo di essere nella media degli utenti, e NON APRO EMAIL STRANE .

Tramite email ormai è risaputo che si può prendere un virus.
Aprendo un allegato di un contatto noto, ( cito il caso detto a pagina 4 del file pdf) e il file pdf è infetto, si prende un virus senza poterci fare nulla, giusto?

Si possono trasportare tramite pen drive usb questi cryptolocker? mi riferisco all' amico che ti passa il video del compleanno, appunti di scuola, una presentazione ppt o un pdf.

Da google tramite ricerca, clicco sulla pagina di FB e entro nella pagina iniziale quella per il login. Se il sito è stato infettato, il fatto di aver aperto la pagina mi espione automaticamente a rischio anche se non ho cliccato su nulla all'interno della pagina?

Utilizzare l'tente GUEST su windows 7 serve veramente a qualcosa? Se mi passano un virus qualsiasi, anche un cryptolocker, tramite pennina o la becco su un sito, che mi può succedere.

Dubbi banali i miei, ma vorrei sapere cosa ne pensate.

[Pino90]

Ragazzi scusate ma in caso di pdf o altri file con estensione legittima ma infetti l'antivirus non dovrebbe accorgersene?

[marcoesse]

non ho letto tutti i post per cui non so se è già stato scritto
ho letto varie info a riguardo e la cosa più semplice da fare a riguardo sarebbe di togliere l'opzione di default di Win
"nascondi le estensioni per i tipi di file conosciuti"
in questo modo penso che il 99% degli allegati con un po' di attenzione e colpo d'occhio venga sgamato
ho sempre letto da utenti preparati (NON io) che è molto molto più semplice "nascondere" l'exe
clicca ha vinto 500 euro.doc (.exe nascosto di default)
che creare doc excel pdf con dentro il virus dove è richiesta molta preparazione e molto tempo
avendo l'opzione
"nascondi le estensioni per i tipi di file conosciuti"
attivata di default per loro il gioco è più facile
c'è da togliere subito spunta ed avvisare di NON aprire mai file allegati con doppia estensione finale a questo punto visibile .exe + le altre eseguibili che non ricordo i nomi

[marcoesse]

Quote:

Originariamente inviato da Pino90

Ragazzi scusate ma in caso di pdf o altri file con estensione legittima ma infetti l'antivirus non dovrebbe accorgersene?

no perchè sono tutti 0 day si mutano ogni giorno
potresti mettere hitman pro alert
CryptoGuard stops ransomware
http://www.surfright.nl/en/alert
io l'ho messo

[marcoesse]

Quote:

Originariamente inviato da texfan749

Tramite email ormai è risaputo che si può prendere un virus.
Aprendo un allegato di un contatto noto, ( cito il caso detto a pagina 4 del file pdf) e il file pdf è infetto, si prende un virus senza poterci fare nulla, giusto?

dentro un pdf vero non è semplice
è più facile
ciao sono io.pdf (.exe nascosto di defalt)
togli spunta a
"nascondi le estensioni per i tipi di file conosciuti"
e li sgami (quasi) tutti

[mmiat]

credo che non sia il pdf ad essere infetto, ma dentro al pdf c'è un link da dove si scarica l'eseguibile

per quanto riguarda le estensioni, personalmente trovo la cosa di nasconderle follia pure, però.... un paio di mesi fa' mi chiamò disperata una ragazza perché non riusciva più ad aprire la tesi, e si laureava un paio di giorni dopo e doveva andare a stampare la tesi. l'aveva rinominata e non aveva messo l'estensione....

[marcoesse]

Quote:

Originariamente inviato da mmiat

per quanto riguarda le estensioni, personalmente trovo la cosa di nasconderle follia pura...

purtroppo di default è così

Quote:

Originariamente inviato da mmiat

però.... un paio di mesi fa' mi chiamò disperata una ragazza perché non riusciva più ad aprire la tesi, e si laureava un paio di giorni dopo e doveva andare a stampare la tesi. l'aveva rinominata e non aveva messo l'estensione....

vero capita bisogna fare attenzione con un po' di conoscenza molto basica...

[mmiat]

Quote:

Originariamente inviato da mmiat

io voglio proprio bloccarlo, essere io a deciderlo "a monte", non l'utente.

mi rispondo da solo, un'idea potrebbe essere questa: http://www.ilsoftware.it/articoli.as...-Windows_11628

[Braccop]

Quote:

Originariamente inviato da rockroll

Questo perchè sono sempre della teoria, invalsa fino a prova contraria, che un PC non infetto può essere infettato solo da operazione ATTIVA comandata dall'utente, cioè dal lancio intenzionale di un processo di dubbia provenienza avente caratteristiche di eseguibilità, da codice macchina o da interpretato che sia, terminante per intenderci con estensioni esplicite

purtroppo parti da un assunzione di base errata.

un pc puo' essere infettato anche in maniera assolutamente automatica senza che l'utente faccia nulla: e' il caso dei vari exploit di remote code execution. (chi si ricorda msblaster?)

e' capitato spesso in tempi recenti di trovare pc infettati da malware assortito semplicemente perche' dei banner infetti vengono visualizzati dal browser di turno con plugin vulnerabili (ne ho beccati una manciata che si sono presi il celeberrimo "virus della finanza" semplicemente grazie al passaggio di un banner infetto su libero.it...)

da qui il consiglio di purgare il piu' possibile software che va ad integrarsi con i browser e fornisce cosi' un veicolo di infezione in piu'

[Stephen88]

questo virus è davvero micidiale proprio l'altro giorno un cliente mi ha dato da riparare il suo portatile per dei problemi di virus ed ho trovato questo "TeslaCrypt 3.0" tutti i file sono stati criptati con cifratura AES 256 e ECDH 521 e rinominate le estensioni dei file con .ttt, .xxx, .micro, .mp3 ecc. e al momento non c'è nessun tool o modo per recuperarli, come spiegato qui sul forum di bleepingcomputer -> http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/?p=3944813

Hanno sistemato le vulnerabilità della precedente versione 2.2.0 ed ora questa 3.0 è veramente difficile da sconfiggere, l'unico consiglio è conservare i file e sperare in un futuro fix.

[Piedone1113]

Quote:

Originariamente inviato da Stephen88

questo virus è davvero micidiale proprio l'altro giorno un cliente mi ha dato da riparare il suo portatile per dei problemi di virus ed ho trovato questo "TeslaCrypt 3.0" tutti i file sono stati criptati con cifratura AES 256 e ECDH 521 e rinominate le estensioni dei file con .ttt, .xxx, .micro, .mp3 ecc. e al momento non c'è nessun tool o modo per recuperarli, come spiegato qui sul forum di bleepingcomputer -> http://www.bleepingcomputer.com/foru...sts/?p=3944813

Hanno sistemato le vulnerabilità della precedente versione 2.2.0 ed ora questa 3.0 è veramente difficile da sconfiggere, l'unico consiglio è conservare i file e sperare in un futuro fix.

Hai provato a recuperare le copie shadow?

[fraussantin]

ho appena fatto una prova drammatica:

anche i file in cloud possono venir cryptati.

[cata81]

Quote:

Originariamente inviato da Piedone1113

Il miglior sistema è quello che il nas si logghi sulle unità che deve eseguire il backup, in quel caso non ci sono possibilità che venga eseguito una criptazione dei dati.

Esempi di questi NAS? riescono a fare anche un backup bare metal? grazie.

[Qnick]

Leggevo poco fa che esiste già qualche variante di ransomware in grado di criptare files in unità di rete non mappate, e per giunta cancella anche le copie shadow presenti, come ad esempio Locky: http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Proprio una bella rogna, l'unica cosa da fare è prevenire il problema con backup frequenti e massima attenzione a quello che si riceve o si scarica, magari utilizzando unitamente all'AV qualche sw come quelli citati nell'articolo che potrebbero bloccare perlomeno i ransomware già conosciuti.

[OttoVon]

scusate, ma se i miei file sono già criptati?

Li decripta e li cambia?

[cata81]

Quote:

Originariamente inviato da mmiat

....

domanda: è possibile consentire solo certi programmi? ovvero, far eseguire agli utenti solo determinati eseguibili (winword.exe, ecc.) e bloccare tutto il resto? in modo da impedire l'esecuzione di questi software?

E possibile tramite le policy per i software anche se io non l'ho mai fatto, solo che è un casino assurdo fare la whitelist, devi metterci dentro di tutto altrimenti non funziona più nulla e ad ogni modifica sw puoi incappare in blocchi.

[cata81]

Quote:

Originariamente inviato da OttoVon

scusate, ma se i miei file sono già criptati?

Li decripta e li cambia?

li ricripta, non ha bisogno di vederne il contenuto per criptarli.

[cata81]

Quote:

Originariamente inviato da Qnick

Leggevo poco fa che esiste già qualche variante di ransomware in grado di criptare files in unità di rete non mappate, e per giunta cancella anche le copie shadow presenti, come ad esempio Locky: http://www.bleepingcomputer.com/news...etwork-shares/

Proprio una bella rogna, l'unica cosa da fare è prevenire il problema con backup frequenti e massima attenzione a quello che si riceve o si scarica, magari utilizzando unitamente all'AV qualche sw come quelli citati nell'articolo che potrebbero bloccare perlomeno i ransomware già conosciuti.

In teoria se uno gestisce bene i permessi sugli share, non dovrebbero esistere accessi Everyone Full Control, ma purtroppo in alcune realtà è la norma, se la cercano...