Allarme Cryptovirus: prevenire per non pagare il riscatto

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...tto_index.html

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

Click sul link per visualizzare l'articolo.

[Dante89]

La verità è che nel 2016 ci sono fior fiore di aziende e professionisti che non hanno completamente idea del fatto che i dati non sono una ben definita entità fisica ma un ammasso di byte pronti ad essere persi e/o danneggiati da un qualsiasi evento.

Ci hanno contattato perfino da Comuni dove il personale si è autoinfettato tramite email inviate da alcuni dipartimenti e che si sono diffuse in tutti gli uffici.

La soluzione è sempre esistita ma non si vuole affrontare il costo o la seccatura di effettuare l'operazione con una certa cadenza (se il sistema non provvede in automatico), quindi direi che è una cosa tutta meritata per chi "sfortunatamente" ne è vittima.

[cata81]

Cit.

<<Server nuovi o l'X5 aziendale per natale?>>

[insane74]

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

lo domando perché io farei il backup del PC su un NAS, senza mappare la share del NAS in cui salvare i file in un'unità di Windows, e facendo puntare il programma di backup ("O&O AutoBackup" nel mio caso) direttamente al percorso di rete (in più farei il backup una volta alla settimana, lasciando spento il NAS e facendolo accendere in automatico solo prima del job di backup).

in questo modo dovrei essere sicuro che questi infami non siano in grado di accedere anche ai file sul NAS, giusto?

PS: da qualche settimana sto provando sul PC di casa (dopo essermi beccato un cryptolocker sul pc dell'ufficio... grazie Norton Endpoint Protection, funzioni benissimo!) Malwarebytes Anti-Ramsonware, e ieri mi ha "bloccato" l'aggiornamento di JDownloader 2 in quanto conteneva un ramsonware. io nel dubbio ho ovviamente evitato di aggiornare il programma.

[Dante89]

Quote:

Originariamente inviato da insane74

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).

[insane74]

Quote:

Originariamente inviato da Dante89

Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).

ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di (che non guasta mai! ).

PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.

PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!

[Braccop]

l'articolo non e' male, tuttavia omette 2 aree di fondamentale importanza:

1) come limitare al massimo la probabilita' di infezione
2) come comportarsi con un pc infetto

per la 1, e' abbastanza facile: non aprire allegati che non ci si aspetta, soprattutto se con nomi strani, criptici o casuali e porre molta attenzione all' estensione dei file. estensioni .exe .bat .vbs .js sono quasi sempre virus, ovviamente si tratta di file a loro volta zippati

altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)

per la 2 invece, a parte i consigli corretti sul disconnettere/spegnere il pc, quando si e' stati infettati la cosa migliore e piu' sicura da fare e' recuperare il recuperabile e procedere con una formattazione del disco e reinstallazione della macchina.

Questo semplicemente perche' ogni volta che si viene infettati e' generalmente da una nuova variante di ransomware non ancora identificata dagli antivirus, variante che potrebbe benissimo comportarsi in modo diverso dalle altre ed insinuarsi piu' a fondo ed in maniera piu' subdola nel sistema, per eventualmente ripresentarsi in futuro (e questo scommetto sara' il prossimo passo evolutivo di questi malware), percui l'unico modo per essere certi al 100% che il sistema sia pulito e' ripartire da 0.

[threnino]

Quote:

Originariamente inviato da cata81

Cit.

<<Server nuovi o l'X5 aziendale per natale?>>

Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.

Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia

Quote:

Originariamente inviato da insane74

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!

Oggi abbiamo ricevuto una comunicazione che estende il pericolo anche ad allegati di tipo *.doc, *.pdf e *.xls, oltre ai classici *.exe e *.zip.
Purtroppo basta una disattenzione, una mail finta inviata da un contatto conosciuto con allegato un file tipo documento e la frittata è fatta.
Non so come sia potuto accadere a te, però mi sembra utile condividere questa informazione...

[Piedone1113]

Quote:

Originariamente inviato da insane74

ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di (che non guasta mai! ).

PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.

PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!

Ormai sono un esperto del settore:
Il disco di backup sul nas protetto da credenziali.
Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate).
Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema.
Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows.
Cripta file di testo, pdf, immagini.
Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall).
In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa).
Dopo di chè usare un programma per vedere le copie shadow sui dischi:
Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%)
Spero di essere stato utile

[Piedone1113]

Quote:

Originariamente inviato da threnino

Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.

Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia

E' un "virus" stronzo.
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto.
In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24.
Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora)

[Braccop]

Quote:

Originariamente inviato da insane74

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

[Braccop]

Quote:

Originariamente inviato da threnino

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia

pebkac!

[Goofy Goober]

Quote:

Originariamente inviato da Piedone1113

E' un "virus" stronzo.
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto.
In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24.
Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora)

iniettarsi sui PDF vuol dire che appare come un file PDF agli occhi del pc, ma una volta eseguito invece fa partire un eseguibile?

l'icona però non potrebbe esser quella del pdf allora.
chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita.
quindi già si salvano quando arriva il solito file preventivo.pdf.exe

[icoborg]

Quote:

Originariamente inviato da Piedone1113

Ormai sono un esperto del settore:
Il disco di backup sul nas protetto da credenziali.
Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate).
Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema.
Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows.
Cripta file di testo, pdf, immagini.
Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall).
In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa).
Dopo di chè usare un programma per vedere le copie shadow sui dischi:
Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%)
Spero di essere stato utile

interessante la cosa dei file zip, riguardo file musicali e video?
per dire un file da 10gb quanto impiega a criptarlo?

[insane74]

Quote:

Originariamente inviato da Braccop

si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

mmm...
allora dovrei trovare un sw di backup via FTP. non credo che quello che uso ora possa farlo.

[Piedone1113]

Quote:

Originariamente inviato da Goofy Goober

iniettarsi sui PDF vuol dire che appare come un file PDF agli occhi del pc, ma una volta eseguito invece fa partire un eseguibile?

l'icona però non potrebbe esser quella del pdf allora.
chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita.
quindi già si salvano quando arriva il solito file preventivo.pdf.exe

Icona pdf e si apre un pdf (nel caso citato era un F24 da pagare).
Non so davvero come facciano, ma forse hanno trovato il modo di dirottare la ricerca di caratteri non europei (cirillico, arabo, ideogrammi, non so) verso un server diverso da quello adobe (a dire il vero non hanno aperto mail con allegati strani, stanno attenti di la, e l'unica mail aperta quel giorno è stata quella e subito dopo il criptaggio dei dati).
Come lettore di pdf acrobat, sarebbe interessante sapere se funziona lo stesso meccanismo anche con lettori diversi (nitro pdf, sumatra ecc).

[rattopazzo]

Quote:

Originariamente inviato da Braccop

altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)

Java del browser non se ne può fare a meno, visto che la maggior parte dei siti web lo usa per funzionare correttamente.
Si possono però usare dei plugin come noscript per dare permessi di usare javascript solo ai siti che si ritengono sicuri
questo ovviamente non risolve il problema ma lo limita di molto.

Ad ogni modo IMHO il sistema più sicuro per prevenirli rimane sempre il backup periodico su periferiche esterne, sperando non inventino ransom più subdoli che non si attivano immediatamente e che come i virus normali, hanno un periodo iniziale di inattività, in questo modo uno può essere convinto di essere pulito e copiare nelle periferiche esterne i dati contenenti già il virus e senza saperlo infettarsi i dati di backup.

[Piedone1113]

Quote:

Originariamente inviato da icoborg

interessante la cosa dei file zip, riguardo file musicali e video?
per dire un file da 10gb quanto impiega a criptarlo?

Audio e video vengono criptati, a meno non si trovino in cartelle di sistema.
Credo che tra 100 gb e 5 mb non cambi la velocità, basterebbe criptare solo l'header del file (e lasciare il resto intatto) per rendere inutiliuzzabile lo stesso.
Ps i sistemi delle shadow funzionano solo da vista in poi.
Con Xp se proprio abbiamo dati importanti bisogna smontare il disco, fare una scansione con software di recupero dati (io uso testdisk) e sperare.
Il file non viene in genere criptato al volo, ma dovrebbe funzionare con:
creazione di una cartella temp.
criptaggio del file in temp e sostituzione dell'originale.
Qualcosa su xp ho recuperato, ma ci vuole molto tempo (e relativi soldi) per fare un buon lavoro.
Il primo criptowall che ho beccato mi ha tenuto sotto 3 gg (e ci ho lavorato fino alle 2 di notte per due notti di fila), ma alla fine l'ho

Ps staccarlo sempre dalla rete ed usare la modalità provvisoria nel tentativo di recuperare i dati.
Per il nas, basta che i permessi di scrittura siano dati ad un utente diverso da quello di win, e impostati nel programma di backup (il sistema, e relativo virus, non hanno i permessi di scrittura in questo modo ed i backup sono al sicuro)

[Piedone1113]

Quote:

Originariamente inviato da rattopazzo

Java del browser non se ne può fare a meno, visto che la maggior parte dei siti web lo usa per funzionare correttamente.
Si possono però usare dei plugin come noscript per dare permessi di usare javascript solo ai siti che si ritengono sicuri
questo ovviamente non risolve il problema ma lo limita di molto.

Ad ogni modo IMHO il sistema più sicuro per prevenirli rimane sempre il backup periodico su periferiche esterne, sperando non inventino ransom più subdoli che non si attivano immediatamente e che come i virus normali, hanno un periodo iniziale di inattività, in questo modo uno può essere convinto di essere pulito e copiare nelle periferiche esterne i dati contenenti già il virus e senza saperlo infettarsi i dati di backup.

La prossima variante sarà (se non lo è gia) in asclolto per un tot di tempo.
Quando rileva un disco esterno inserito si attiva ed il backup è comunque compromesso.

[jumpjack]

Quote:

Originariamente inviato da Goofy Goober

iniettarsi sui PDF vuol dire che appare come un file PDF agli occhi del pc, ma una volta eseguito invece fa partire un eseguibile?

l'icona però non potrebbe esser quella del pdf allora.
chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita.
quindi già si salvano quando arriva il solito file preventivo.pdf.exe

Tristemente, dopo 20 anni e 8 versioni, Windows ha ancora per attiva per default l'opzione "nascondi estensioni conosciute dei file".

Cmq non vedo come possano esistere soluzioni preventive diverse dal fare backup periodici su dischi normalmente disconnessi fisicamente dal sistema! Un virus ha accesso a tutto ciò cui avete accesso voi... password incluse!

E curiosamente non vedo nè nel thread nè nell'articolo nessun link ai programmi più importanti in tutta questa faccenda: quelli per il backup!
E nemmeno una bella spiegazione su com'è e come si fa un backup, che differenza c'è tra backup incrementale e differenziale, ecc...
Cioè, ok, l'articolo ha funzionato, ci avete terrorizzato... e adesso? Qualcuno sa dirci cosa fare, invece cosa NON fare? (NON cliccare, NON aprire mail, NON usare java, NON usare flash, NON usare javascript.... NON usare il PC!!?!)