Allarme Cryptovirus: prevenire per non pagare il riscatto

Allarme Cryptovirus: prevenire per non pagare il riscatto

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

di pubblicato il nel canale Sicurezza
 

Come curare, per quanto possibile

Veniamo alla domanda più calda quando si parla di ransomware: cosa è possibile fare quando, nonostante le dovute attenzioni, il proprio sistema viene colpito da uno di questi malware? Estinguiamo subito le speranze sottolineando che tutti i casi in cui le società di sicurezza sono state in grado di recuperare i file criptati si riconducono a poche circostanze: sequestro dei server che ospitano le chiavi di cifratura, infiltrazione di ricercatori di sicurezza nei sistemi degli attaccanti o implementazione non corretta dei sistemi di crittografia. Un ransomware correttamente programmato e le cui chiavi di cifratura siano adeguatamente protette lascia pochissimo se non nullo spazio alla possibilità di recuperare i dati senza la giusta chiave, per la quale è richiesto il riscatto.

Cryptovirus

Riscatto che sconsigliamo nella maniera più assoluta di corrispondere: non vi è infatti alcuna garanzia che l'attaccante fornisca la chiave corretta, non vi è nessuna assicurazione che il problema non si ripresenti e, in ultima istanza, si alimenterebbe il giro criminale cui Manzoni faceva riferimento nella pagina precedente. E' interessante osservare, a tal proposito, che molti servizi di cambio bitcoin stanno approntando un sistema di monitoraggio per individuare quelle somme che più frequentemente sono state chieste come riscatto, allo scopo di ostacolare il fenomeno.

Chiarito ciò, quali eventuali contromisure immediate è possibile adottare non appena ci si accorge di essere stati colpiti da un ransomware? Suggerisce Giuliani: "Molti ransomware necessitano di una connessione ad Internet. Un primo trucco banale ma efficace contro qualche variante di ransomware è quello di interrompere appena possibile la connessione al web. In questo modo per alcune versioni la routine di crittografia dei dati viene interrotta, permettendo di limitare i danni. In alternativa si può spegnere il computer il prima possibile, per poter recuperare in un secondo momento ciò che ancora non è stato compromesso". Successivamente si può tentare di avviare il sistema tramite un antivirus con boot da CD (ad esempio Kaspersky Rescue Disk, Windows Defender Offline, BitDefender bootable CD, Dr.Web Live Disk) o da altra unità per trattare l'infezione: è consigliabile in questo caso non eliminarla ma confinarla in quarantena poiché rivolgendosi ad una società di sicurezza è possibile far analizzare la minaccia e tentare un recupero dei dati.

278 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dante8926 Febbraio 2016, 16:44 #1
La verità è che nel 2016 ci sono fior fiore di aziende e professionisti che non hanno completamente idea del fatto che i dati non sono una ben definita entità fisica ma un ammasso di byte pronti ad essere persi e/o danneggiati da un qualsiasi evento.

Ci hanno contattato perfino da Comuni dove il personale si è autoinfettato tramite email inviate da alcuni dipartimenti e che si sono diffuse in tutti gli uffici.

La soluzione è sempre esistita ma non si vuole affrontare il costo o la seccatura di effettuare l'operazione con una certa cadenza (se il sistema non provvede in automatico), quindi direi che è una cosa tutta meritata per chi "sfortunatamente" ne è vittima.
cata8126 Febbraio 2016, 17:12 #2
Cit.

<<Server nuovi o l'X5 aziendale per natale?>>

insane7426 Febbraio 2016, 17:45 #3
una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

lo domando perché io farei il backup del PC su un NAS, senza mappare la share del NAS in cui salvare i file in un'unità di Windows, e facendo puntare il programma di backup ("O&O AutoBackup" nel mio caso) direttamente al percorso di rete (in più farei il backup una volta alla settimana, lasciando spento il NAS e facendolo accendere in automatico solo prima del job di backup).

in questo modo dovrei essere sicuro che questi infami non siano in grado di accedere anche ai file sul NAS, giusto?

PS: da qualche settimana sto provando sul PC di casa (dopo essermi beccato un cryptolocker sul pc dell'ufficio... grazie Norton Endpoint Protection, funzioni benissimo!) Malwarebytes Anti-Ramsonware, e ieri mi ha "bloccato" l'aggiornamento di JDownloader 2 in quanto conteneva un ramsonware. io nel dubbio ho ovviamente evitato di aggiornare il programma.
Dante8926 Febbraio 2016, 17:56 #4
Originariamente inviato da: insane74
una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?


Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).
insane7426 Febbraio 2016, 18:04 #5
Originariamente inviato da: Dante89
Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).


ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di (che non guasta mai! ).

PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.

PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!
Braccop26 Febbraio 2016, 18:36 #6
l'articolo non e' male, tuttavia omette 2 aree di fondamentale importanza:

1) come limitare al massimo la probabilita' di infezione
2) come comportarsi con un pc infetto

per la 1, e' abbastanza facile: non aprire allegati che non ci si aspetta, soprattutto se con nomi strani, criptici o casuali e porre molta attenzione all' estensione dei file. estensioni .exe .bat .vbs .js sono quasi sempre virus, ovviamente si tratta di file a loro volta zippati

altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)

per la 2 invece, a parte i consigli corretti sul disconnettere/spegnere il pc, quando si e' stati infettati la cosa migliore e piu' sicura da fare e' recuperare il recuperabile e procedere con una formattazione del disco e reinstallazione della macchina.

Questo semplicemente perche' ogni volta che si viene infettati e' generalmente da una nuova variante di ransomware non ancora identificata dagli antivirus, variante che potrebbe benissimo comportarsi in modo diverso dalle altre ed insinuarsi piu' a fondo ed in maniera piu' subdola nel sistema, per eventualmente ripresentarsi in futuro (e questo scommetto sara' il prossimo passo evolutivo di questi malware), percui l'unico modo per essere certi al 100% che il sistema sia pulito e' ripartire da 0.
threnino26 Febbraio 2016, 18:38 #7
Originariamente inviato da: cata81
Cit.

<<Server nuovi o l'X5 aziendale per natale?>>



Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.

Motivo del contagio?
HAI VINTO 500&#8364;, clicca qui per scegliere se spenderli nel supermercato A o supermercato B

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia

Originariamente inviato da: insane74
PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!


Oggi abbiamo ricevuto una comunicazione che estende il pericolo anche ad allegati di tipo *.doc, *.pdf e *.xls, oltre ai classici *.exe e *.zip.
Purtroppo basta una disattenzione, una mail finta inviata da un contatto conosciuto con allegato un file tipo documento e la frittata è fatta.
Non so come sia potuto accadere a te, però mi sembra utile condividere questa informazione...
Piedone111326 Febbraio 2016, 18:38 #8
Originariamente inviato da: insane74
ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di (che non guasta mai! ).

PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.

PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!


Ormai sono un esperto del settore:
Il disco di backup sul nas protetto da credenziali.
Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate).
Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema.
Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows.
Cripta file di testo, pdf, immagini.
Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall).
In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa).
Dopo di chè usare un programma per vedere le copie shadow sui dischi:
Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%)
Spero di essere stato utile
Piedone111326 Febbraio 2016, 18:42 #9
Originariamente inviato da: threnino
Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.

Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia


E' un "virus" stronzo.
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto.
In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24.
Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora)
Braccop26 Febbraio 2016, 18:42 #10
Originariamente inviato da: insane74
una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?


si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^