Allarme Cryptovirus: prevenire per non pagare il riscatto

[battilei]

Quote:

Originariamente inviato da Averell

non ho capito come qualcuno sia arrivato a parlare della disabilitazione di Windows Script Host come possibile soluzione contro i Ransomware, ad ogni modo il ricorso alla procedura indicata non copre contro un uso improprio della risorsa come dimostrato nel video sotto:
Windows Script Host, PowerShell, and Scriptors

E' ovvio, ma l'importante sembra che sia dare la colpa agli "utenti idioti".
Il che conferma la mia tesi: nel 99% dei casi di sicurezza informatica, il problema sono gli espertoni nel reparto IT.

Quote:

Originariamente inviato da LukeIlBello

2) linux (unix) con permessi user (e senza il supporto ad SSLv2 )

Proprio oggi in una mailbox del lavoro è arrivata una mail "invoice" con allegato un .zip, con dentro un ransomware. Avendo dei client Thunderbird+Ubuntu ho accennato un sorriso e non mi sono neanche scomodato ad alzare il telefono per avvisare la persona interessata

[mmiat]

Quote:

Originariamente inviato da battilei

nel 99% dei casi di sicurezza informatica, il problema sono gli espertoni nel reparto IT

mi permetto di difendere, almeno in parte, la categoria, di cui faccio parte. spesso e volentieri il cliente non capisce un c...o e non vuole spendere un euro, ogni tanto fa' pure da solo (facendo ancora più danni), salvo poi spendere migliaia di euro per gadget inutili. con questi personaggi è difficile lavorare con scrupolo ed evitare casini.

[giovanni69]

Tutto il mio rispetto per chi lavora bene ma ci sono IT da galera come quella di non consigliare alcune copertura realtime.
Vedi QUI.

[globi]

Per esempio sul PC di mio padre l`Avira gratuito aveva il Cryptolocker messo in quarantena, lui non sapeva dove lo aveva preso, mi sarebbe interessato saperlo, comunque non ci sono stati danni grazie ad Avira che é intervenuto.

[mmiat]

Quote:

Originariamente inviato da giovanni69

Tutto il mio rispetto per chi lavora bene ma ci sono IT da galera come quella di non consigliare alcune copertura realtime.
Vedi QUI.

non conosco Windows Defender, ma tra Essential e Defender, che sono cambiati più volte nel corso degli anni tra XP, W7, W8 e W10, non si capisce se servono o meno, se sono antivirus o antimalware, e generano solo altra confusione negli utenti.

[Paky]

Quote:

Originariamente inviato da Averell

non ho capito come qualcuno sia arrivato a parlare della disabilitazione di Windows Script Host come possibile soluzione contro i Ransomware,

Everell puoi fare nome e cognome , sono qui , non c'è bisogno di fare i vaghi

Quote:

ad ogni modo il ricorso alla procedura indicata non copre contro un uso improprio della risorsa come dimostrato nel video sotto:
Windows Script Host, PowerShell, and Scriptors

e cosa dimostrerebbe fammi capire
il tizio una volta disabilitato lo script host e il powershell , gli script VBS e JS non li esegue più

e il teslacrypt 3 che gira in questo momento è un javascipt

poi è ovvio che se mi compili 2 exe che al loro interno hanno un interprete per gli script o puntano a quello di windows il codice lo esegui lo stesso

ma torniamo sempre a bomba , se l'utente demente mi clicca su un .EXE che gli arriva zippato per posta da non si sa chi ,sono cavoli suoi.

che poi.... al giorno d'oggi voglio proprio vedere quanti server di posta ti fanno passare o buttano nello spam uno zip con dentro un exe


Io non uso un antivirus dal 2000 e vivo sereno lo stresso

non mi ritengo un esperto , ma solo uno che ha imparato a muoversi
e non clicca a ca@@o dove capita

[giovanni69]

Quote:

Originariamente inviato da mmiat

non conosco Windows Defender, ma tra Essential e Defender, che sono cambiati più volte nel corso degli anni tra XP, W7, W8 e W10, non si capisce se servono o meno, se sono antivirus o antimalware, e generano solo altra confusione negli utenti.

Non mi risulta che Windows Defender di suo abbia capacità euristiche avanzate.
Nell'articolo oggetto di questo thread si cita:
"Abbiamo procurato un eseguibile contenente il cryptovirus e abbiamo provato a lanciarlo in presenza di Avira Antivirus e Windows Defender. In queste condizioni l'antivirus ha subito rilevato la presenza del cryptovirus e bloccato l'esecuzione, per cui, in modo da infettare il computer, abbiamo dovuto provvedere a rimuovere la protezione Real-Time di Avira e disabilitare Windows Defender."

E non è chiaro cosa sarebbe successo se ci fosse stato solo Windows Defender.
Circa Microsoft Essentials si possono vedere i risultati su AV comparatives e fare le proprie valutazioni vs altri AV.

Utlizzare un proprio AV che abbia esplicite funzioni anti-exploit (così' almeno la software house ci mette la faccia) ed abbinarlo ad un Malwarebytes Anti-Exploit (gratis / pagamento) in attesa che la versione anti Ransomware esca dalla fase beta, non sarebbe una cattiva idea. Ed i costi sono davvero irrisori rispetto ai rischi. Inoltre di tanto in tanto effettuare scansione trasversale con altro AV in modalità on-demand che non interferisce con l'AV esistente, è altra buona cosa. Ad esempio con EEK.

[battilei]

Quote:

Originariamente inviato da mmiat

mi permetto di difendere, almeno in parte, la categoria, di cui faccio parte. spesso e volentieri il cliente non capisce un c...o e non vuole spendere un euro, ogni tanto fa' pure da solo (facendo ancora più danni), salvo poi spendere migliaia di euro per gadget inutili. con questi personaggi è difficile lavorare con scrupolo ed evitare casini.

Ma sai, se un cliente tuo è un idiota, parla per lui, e non per tutti gli utenti, perchè capisci che se ad esempio mia madre clicca un invoice.exe, non le dico "mamma sei un idiota".
Poi se un cliente vuole fare da solo, siamo sicuri che ha sempre torto ?
Non sarà il tuo caso, ma a volte dipenderà anche dal "tennico", perchè mi vengono in mente certi personaggi che pensano solo a spillare soldi ai clienti, e allora forse forse, se il cliente preferisce comprare un BMW piuttosto che cambiare i server, potrei anche dare ragione al cliente.

[Averell]

Quote:

Originariamente inviato da Paky

Everell puoi fare nome e cognome , sono qui , non c'è bisogno di fare i vaghi

Averell, please...e ad ogni modo seguo distrattamente il thread e non avevo interesse a mettermi li' a ricostruire chi avesse citato per primo WSH quindi come vedi nulla di personale anche perchè non mi farei certo problemi a citare Tizio, Caio o Sempronio, figuriamoci...

Se credi pertanto alla mia buona fede -e cioè che mi sia soffermato esclusivamente sul 'concetto' invece che sul 'soggetto' [notare anche la rima]- bene...in caso contrario vivrò felice ugualmente

Quote:

e cosa dimostrerebbe fammi capire

tante cose a partire dal fatto che non si affronta certamente il problema dei Ransomware con quel suggerimento....

[Paky]

allora non essere criptico , spiegacelo tu come risolverlo

[mmiat]

Quote:

Originariamente inviato da battilei

Ma sai, se un cliente tuo è un idiota, parla per lui, e non per tutti gli utenti, perchè capisci che se ad esempio mia madre clicca un invoice.exe, non le dico "mamma sei un idiota".
Poi se un cliente vuole fare da solo, siamo sicuri che ha sempre torto ?
Non sarà il tuo caso, ma a volte dipenderà anche dal "tennico", perchè mi vengono in mente certi personaggi che pensano solo a spillare soldi ai clienti, e allora forse forse, se il cliente preferisce comprare un BMW piuttosto che cambiare i server, potrei anche dare ragione al cliente.

infatti ho specificato "almeno in parte": la regola non vale sempre, ma nella mia esperienza vale spesso. poi magari sono stato sfortunato io che ho trovato tutti i peggiori...

[Averell]

Quote:

Originariamente inviato da Paky

allora non essere criptico , spiegacelo tu come risolverlo

ignore list da adesso...

[Paky]

sei semplicemente ridicolo
e non è la prima volta che mi rompi le scatole con le tue entrate a gamba tesa che poi non dicono e risolvono nulla

chiusa qui , non amo i flame

[*aLe]

Quote:

Originariamente inviato da mmiat

spesso e volentieri il cliente non capisce un c...o e non vuole spendere un euro, ogni tanto fa' pure da solo (facendo ancora più danni), salvo poi spendere migliaia di euro per gadget inutili.

This. Cento volte THIS.

A volte la gente non sa neanche a cosa serva un backup, per dire.
Nessuno s'è mai sentito domandare da un cliente (o da un conoscente) "eh ma c'ho il RAID UNO, che me ne faccio del backup?" o cose simili? Ecco.

[bluv]

Ho letto tutte le pagine e non ho trovato una soluzione (magari mi sarà sfuggita).
Morale: Come combattere questo nuovo tipo di tipo virus ransomware/crypto ?!

Domandine:
1) MBAE e HitManPro Alert sono programmi che svolgono la stessa funzione?
"Alert" nella versione gratuita non offre quasi nulla e sinceramente non ho capito a cosa serva ... Mi sono limitato a fargli fare una scansione ed ha trovato dei files sospetti ed altro che ho provveduto ad eliminare.

2) MalwareBytes Ransomware (BETA) conviene installarlo? Se non questi quale? Verrà integrato in MBAM?

3) Occorre anche metter mano al registro di Windows o ai privilegi dei diversi utenti del PC (standard/admin) ?

ecc ...

Date delle risposte secche e certe perché altrimenti - oltre alla buona pratica del backup ed al solito buon senso del "no click" a occhi bendati - all'utente comune non resta altro che incrociare le dita per ogni accesso al web

Ne ho lette di cotte e di crude ma i pareri personali - per quanto utili ed empirici - se non hanno fondamenta valide e provate nella protezione a questa nuova ondata virale, rimangono solo consigli spiccioli che alimentano incertezze

Grazie

[Paky]

qui non c'è da combattere , ma prevenire nel limite del possibile

-tenere aggiornati browser , plugin e antiv
-mettere al sicuro i dati importanti

nell'articolo stesso ci sono ottimi spunti

Quote:

Per quanto riguarda le modalità e i veicoli di infezione anche Giuliani sottolinea quanto queste minacce facciano leva sulle naturali debolezze dell'essere umano: "I principali veicoli di infezione rimangono quelli di sempre: social engineering attraverso e-mail finte e siti web apparentemente leciti ma compromessi con codici exploit capaci di sfruttare vulnerabilità di browser e software non aggiornati per installarsi automaticamente all'interno del PC della vittima. Nella maggior parte dei casi gioca un ruolo critico l'esperienza dell'utente, che spesso deve capire quando un'e-mail è finta e quando no. Per fare un esempio, molte aziende usano quotidianamente corrieri espresso: quando la segretaria riceve una finta e-mail del corriere espresso con link ad una fattura è molto facile che venga tratta in inganno e vada ad aprire il finto documento presente al link della pagina web fittizia. Nei restanti casi si tratta invece di una azione involontaria, dove l'utente - che, anche qui, tuttavia, ha un ruolo fondamentale perché ha il dovere di tenere aggiornati i programmi che utilizza nel proprio PC - si trova a navigare su siti web apparentemente leciti ma che sono stati compromessi da pirati informatici con dei codici capaci di sfruttare le falle dei programmi non aggiornati (Java, Flash, Adobe Acrobat per citarne alcuni). Nel tal caso effettivamente l'utente non ha cliccato su nulla in particolare, ma è rimasto comunque infetto".

[essegi]

beh, poi trovare una soluzione per qualcosa che sta creando guai in mezzo mondo in pochi giorni, poche pagine e poche persone credo sia un po' improbabile, vabbé che gli utenti di hwup son bravi, ma...
piuttosto, c'è da ricordare che anche foolishit.com ha un "cryptoprevent" con versione free, e che fra i sw del genere non possiamo dimenticare quello di tgsoft.it, "intelligente" e italiano perdinci, e poi fatto in una cittadina dove se ne intendono, almeno dal nome...

qui la discussione attuale più corposa sull'argomento è questa:
http://www.hwupgrade.it/forum/showthread.php?t=2697349

[Paky]

x_Master_x ha sempre delle idee semplici ma geniali

http://www.hwupgrade.it/forum/showpo...&postcount=779

[bluv]

Facendo una scansione rapida con SUMo molti dei programmi che utilizzo non sono aggiornati ... soltanto che i più sono portable, quindi:
I programmi portable possono venir colpiti o vale solo per gli installer?

D'accordo sul fatto che i lavori sono in corso d'opera, ma visto che ha già mietuto vittime anche non proprio alle prime armi, si rimane un po' attoniti davanti a questa vulnerabilità

L'AV si aggiorna costantemente, ma il browser no perché esce una nuova versione la settimana (preferisco aggiornarlo ogni tot. mesi sinceramente)
Per i plugin - in primis Flash - l'aggiornamento è indispensabile.

CryptoPrevent l'ho conosciuto leggendo un articolo ma non penso di scaricarlo ed utilizzarlo.
Comunque HitManPro Alert - anche se le più sono attivabili dietro licenza - copre più funzioni rispetto a Mbae.

Sì, questa discussione la devo seguire anche
http://www.hwupgrade.it/forum/showthread.php?t=2697349

Sfogliando l'Avira Virus Lab trovo diversi riferimenti a questi TR/Ransom e TR/AD Cryptowall (rilevati nei mesi precedenti)

[bluv]

Quote:

Originariamente inviato da Paky

x_Master_x ha sempre delle idee semplici ma geniali

http://www.hwupgrade.it/forum/showpo...&postcount=779

Non ho capito cosa intende x_Master_x
Abbastanza semplice visualizzare le estensioni in Windows e dubitare delle doppie estensioni, ma come eseguire il monitoraggio ?