Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/ransomware-sempre-piu-subdoli-e-si-prendono-gioco-dell-utente_59485.html

Criptano l'intero hard disk e chiedono un riscatto per fornire la chiave di cifratura: sono i ransomware, un pericolo sempre più diffuso da qualche anno a questa parte

Click sul link per visualizzare la notizia.

Visto in azione proprio questa settimana.
Bloccato in tempo e recuperati i files da backup.
Purtroppo non siamo riusciti a rintracciare la fonte, sebbene avessimo utente e data/ora di inizio.

Rimane cmq una brutta gatta da pelare..

Si tratta di software che stanno diventando via via più difficili da contrastare e sempre più subdoli, con l'unico scopo di mettere l'utente nella condizione di non avere altra scelta se non quella di pagare il riscatto.

Ma anche NO.
SE hai un backup (ovvio che non devi lasciare il disco attaccato al pc, ma fai il backup al bisogno), formatti il disco e i tuoi dati li rimetti dal backup esterno.

Beccato il mese scorso, mi sono preso un raspberry, un HD esterno da 2 tb e via di backup remoto via ftp...

Beccato il mese scorso, mi sono preso un raspberry, un HD esterno da 2 tb e via di backup remoto via ftp...


Giusto per curiosità, in che ambiente ? (piccolo ufficio, ambiente domestico, ecc...)

Beccato il mese scorso, mi sono preso un raspberry, un HD esterno da 2 tb e via di backup remoto via ftp...

Scusa ma se sei in grado di fare questo con il Raspberry, come diamine hai fatto a farti infettare il sistema? :stordita:
Non pensavo fosse cosí semplice liberarsene. Ma i file non vengono criptati? :confused:

Ah, che bello il backup con versioning su hd esterno... quando mi hanno rubato il macbook ho perso solo pochi giorni di dati. Lo so che andrebbe fatto tutti i giorni, ma ho a malapena lo sbatti di fare nel weekend il backup del macbook e del nas (il resto può andare a farsi friggere)

Io devo dire, con un certo disappunto, che mediamente il livello di protezione dei dati tra professionisti, piccoli uffici e addirittura aziende di una certa stazza lascia parecchio a desiderare.
Non parlò dell'utente in se che ingenuamente attiva il ransomware, non si può pretendere che tutti siano "sgamati"... Ma parlo della pessima gestione del materiale da parte dell'ufficio.. Con backup assenti o magari non aggiornati per mesi.. O addirittura nas aggiornati in continuò e sempre collegati.

Fino a che ci sarà gente che lavora così questi ransomware faranno bella vita.. :help:

provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.
il sistema (Windows 7) è stato infettato per bene e tutto quanto criptato, mentre i files presenti sul NAS (sempre collegato) con filesystem linux non hanno subito danni.

direi che per le piccole/medie aziende, una soluzione ultra economica come un NAS è fondamentale per il backup dei dati.

se qualcun altro può confermare che, almeno fino ad ora, i file salvati su nas partizionato con file system linux non vengono criptati

provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.
il sistema (Windows 7) è stato infettato per bene e tutto quanto criptato, mentre i files presenti sul NAS (sempre collegato) con filesystem linux non hanno subito danni.

direi che per le piccole/medie aziende, una soluzione ultra economica come un NAS è fondamentale per il backup dei dati.

se qualcun altro può confermare che, almeno fino ad ora, i file salvati su nas partizionato con file system linux non vengono criptati

mi spiace ma si stanno facendo sempre più stronzi sti cosi...
capitato poco tempo fà ad un cliente che non seguo personalmente... colpisce anche nas e share lasciate di libera condivisione sui pc in rete tramite discovery...
non dico questo nello specifico... ma un suo cugino che fà la stessa cosa...
fortuna vuole che il nas intaccato fosse "solo" il terzo backup giornaliero...

se le share sono condivise come "everyone" , come spesso capita di trovare in giro... c'è poco da fare....

provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.


è il mio nas! evviva

mi spiace ma si stanno facendo sempre più stronzi sti cosi...


:cry: :cry:

Io ne sono stato colpito a fine settembre e a me avevano chiesto un riscatto di 800$. Uso internet da oltre 20 anni, sono sempre stato attento e non sono mai caduto in phishing nè altra roba ma nonostante questo mi è costata cara aver visitato un sito porno trovato su google. Aperta la homepage ho cliccato sulla categoria che mi interessava e si è aperto un altro sito con lettere lunghissime e strane in alto. Nel giro di due secondi il computer non rispondeva più e ai continui riavvii mi apparivano testi in inglese con richieste di denaro per sbloccare i soldi. Ovviamente non ho pagato. Ho provato a recuperare i dati collegandolo come hd esterno ma risulta inaccessibile e illeggibile. Poco importa, avevo soltanto un centinaio di foto di me e la mia ragazza fatte in vacanza ad agosto, un paio di giochi installati e materiale di lavoro in doc e pdf. Ho preferito non pagare ma non aprirò mai più un sito porno in vita mia.

Io ne sono stato colpito a fine settembre e a me avevano chiesto un riscatto di 800$. Uso internet da oltre 20 anni, sono sempre stato attento e non sono mai caduto in phishing nè altra roba ma nonostante questo mi è costata cara aver visitato un sito porno trovato su google. Aperta la homepage ho cliccato sulla categoria che mi interessava e si è aperto un altro sito con lettere lunghissime e strane in alto. Nel giro di due secondi il computer non rispondeva più e ai continui riavvii mi apparivano testi in inglese con richieste di denaro per sbloccare i soldi. Ovviamente non ho pagato. Ho provato a recuperare i dati collegandolo come hd esterno ma risulta inaccessibile e illeggibile. Poco importa, avevo soltanto un centinaio di foto di me e la mia ragazza fatte in vacanza ad agosto, un paio di giochi installati e materiale di lavoro in doc e pdf. Ho preferito non pagare ma non aprirò mai più un sito porno in vita mia.

Vallo a spiegare alla tua ragazza che hai perso un centinaio di foto vostre per colpa di un sito porno. :sofico:

Vallo a spiegare alla tua ragazza che hai perso un centinaio di foto vostre per colpa di un sito porno. :sofico:

Ovviamente a lei non potevo spiegare tutta la vicenda, è bastato dirle che l'hd non partiva più per un errore. E comunque la cosa importante è che non ci tenessi password varie o dati bancari, in quel caso non avrei avuto altra alternativa che pagare

Io ne sono stato colpito a fine settembre e a me avevano chiesto un riscatto di 800$. Uso internet da oltre 20 anni, sono sempre stato attento e non sono mai caduto in phishing nè altra roba ma nonostante questo mi è costata cara aver visitato un sito porno trovato su google. Aperta la homepage ho cliccato sulla categoria che mi interessava e si è aperto un altro sito con lettere lunghissime e strane in alto. Nel giro di due secondi il computer non rispondeva più e ai continui riavvii mi apparivano testi in inglese con richieste di denaro per sbloccare i soldi. Ovviamente non ho pagato. Ho provato a recuperare i dati collegandolo come hd esterno ma risulta inaccessibile e illeggibile. Poco importa, avevo soltanto un centinaio di foto di me e la mia ragazza fatte in vacanza ad agosto, un paio di giochi installati e materiale di lavoro in doc e pdf. Ho preferito non pagare ma non aprirò mai più un sito porno in vita mia.

Notevole. Semplicemente visitando un sito? :(
Ero convinto che il sandbox dei moderni browser fosse piuttosto sicuro.. Posso chiederti con quale browser ti è successo?

provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.
il sistema (Windows 7) è stato infettato per bene e tutto quanto criptato, mentre i files presenti sul NAS (sempre collegato) con filesystem linux non hanno subito danni.

direi che per le piccole/medie aziende, una soluzione ultra economica come un NAS è fondamentale per il backup dei dati.

se qualcun altro può confermare che, almeno fino ad ora, i file salvati su nas partizionato con file system linux non vengono criptati

Questa cosa è un po' da capire.
Quando è accaduto nei nostri uffici (partì dal pc di un collega) il ransomware andò a criptare i contenuti locali del suo PC ma anche tutti i percorsi di rete a cui lui come utente aveva diditto ad accedere in scrittura.

Notevole. Semplicemente visitando un sito? :(
Ero convinto che il sandbox dei moderni browser fosse piuttosto sicuro.. Posso chiederti con quale browser ti è successo?

Mi è successo con Mozilla Firefox. Tu dici che possa essere dipeso da una falla del browser? cioé usando un altro browser avrei potuto evitarlo?

Notevole. Semplicemente visitando un sito? :(


Non ci vuole molto, basta un URL.

Mi è successo con Mozilla Firefox. Tu dici che possa essere dipeso da una falla del browser? cioé usando un altro browser avrei potuto evitarlo?
Non credo, ci vuole un antiexploit.
http://www.surfright.nl/en/alert

Scusa ma se sei in grado di fare questo con il Raspberry, come diamine hai fatto a farti infettare il sistema? :stordita:
Non pensavo fosse cosí semplice liberarsene. Ma i file non vengono criptati? :confused:

Mia moglie stava cercando non so quale software ed ha lanciato un misterioso setup.exe. Fortunatamente di molti file avevo il backup, altri li ho salvati criptati nell'attesa che la tecnologia (o l'fbi) mi permetta di recuperarli.

provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.
il sistema (Windows 7) è stato infettato per bene e tutto quanto criptato, mentre i files presenti sul NAS (sempre collegato) con filesystem linux non hanno subito danni.

direi che per le piccole/medie aziende, una soluzione ultra economica come un NAS è fondamentale per il backup dei dati.

se qualcun altro può confermare che, almeno fino ad ora, i file salvati su nas partizionato con file system linux non vengono criptati

Prova a montare gli share di rete attribuendo loro una lettera e vedi che bella fine fanno i file contenuti sul nas con file system linux.

Mi è successo con Mozilla Firefox. Tu dici che possa essere dipeso da una falla del browser? cioé usando un altro browser avrei potuto evitarlo?

Non lo so.. Ma visto che mi hai detto di aver usato firefox (che quindi è sempre aggiornato) direi che avrebbe potuto succedere anche con altri.
Te lo avevo chiesto sperando magari ti fosse successo per sfiga usando un browser vecchio e fallato..

Ed un domani dove le auto saranno sempre connesse ad internet, un coso di questi ti chiederà 5000 euro per poterti far accendere l'auto...
:stordita:

Ed un domani dove le auto saranno sempre connesse ad internet, un coso di questi ti chiederà 5000 euro per poterti far accendere l'auto...
:stordita:

Significa che è progettata male :V

Noi facciamo assistenza sistemistica per tante piccole aziende, all'inizio di quest'anno ho inviato a tutti i nostri clienti una mail che li avvisava di questa minaccia, tra le varie contromisure elencate c'era il backup dei client (dei server glie li gestiamo noi per fortuna).

Ce ne fosse stato uno che se fosse interessato... zero risposte e braccino corto.

DOPO la mail almeno tre casi, sempre allegati di posta, in tutti i casi i dati dei client persi, gli share di rete mappati (sui server) recuperati in quanto sotto backup.

Ad oggi nessuno che si sia interessato a chiedere come fare i backup dei client, che s'inc....o, noi intanto fatturiamo ore per rifargli le macchine.

Sarebbe interessante se Hwupgrade in quanto centro di riferimento per la tecnologia e l'informatica in italia pubblicasse approfondimenti di più di una pagina sui temi più importanti, quali sicurezza e altro. Non è interessante sapere quale processore si riesce a overclockare di più nel 2015, ma essere informaticamente preparati ad affrontare questi problemi.
1 - I ransomware e altre tipologie di infezione.
2 - Come funzionano
3 - Come difendersi in una piccola azienda, a casa (prodotti consigliati)

Secondo me spammare notizie di piccola rilevanza non paga sul lungo periodo, articoli approfonditi in stile anandtech invece si.

Continuo a chiedermi per esempio. E' solo perché è meno diffuso che mac OS è meno colpito dai virus o ci sono motivazioni tecniche?

SNIP

Fino a che ci sarà gente che lavora così questi ransomware faranno bella vita.. :help:Sono perfettamente d'accordo con te, ma quello che osserviamo e che hai descritto è l'ovvio risultato della scarsa attenzione riposto dalle aziende sull'IT.

Si prende un ragazzino fresco di scuola (non importa se superiore o università) e solo perchè è "appassionato di computer" gli si sbologna tutto e il contrario di tutto, nel frattempo gli si danno 800 euro al mese, reperibilità inclusa e un paio di sedi distaccate in modo da non pagargli nemmeno le trasferte... ecco qua, il gioco è fatto.

Intanto commerciali inutili si ingrassano fatturando a destra e a manca promettendo mari e monti (salvo poi che metà dei pagamenti vengono bloccati perchè non si riesce/sa realizzare ciò che si è promesso).
E' singnificativo ad esempio che spesso nelle aziende che lavorano in ambito IT (sviluppo, consulting, servizi, etc etc..) c'è una media di un tecnico ogni due commerciali, è evidente che c'è qualcosa di canceroso in tutto questo. :rolleyes:
E questi sono poi quelli che vanno a implementare prodotti e servizi nelle aziende, dove magari questi prodotti e servizi vengono gestiti e manutenuti da un altro junior che fino al giorno prima si occupava "delle stampanti" e che magari non conosce nemmeno le basi del problem solving, oppure dal figlio del titolare che è "esperto di computer perchè ha 3 smartphone" :doh:

Di cosa ci sorprendiamo? Le persone competenti e con esperienza ci sono, sono le aziende che per massimizzare il proprio margine non sono disposte a pagarle il giusto.
Se la situazione è questa che vi devo dire? Teniamoci i ransomware e corriamo ai ripari quando si può, è esattamente quello che abbiamo voluto.

Sarebbe interessante se Hwupgrade in quanto centro di riferimento per la tecnologia e l'informatica in italia...:asd:

comunque ho fatto l'immagine del os così

http://www.windowscentral.com/how-make-full-backup-windows-pc

salvato in più punti in giro :p

Qualcuno ha detto Cloud? :stordita:

Basandomi su quello che prima sapevo, ho sempre pensato che per prendere un "virus" bisognasse dare l'invio ad un operazione, come per esempio il lancio di un setup.exe.
è veramente così facile visitare un sito infetto e beccarsi qualcosa?

Io utilizzo un software per antivirus e uno per firewall e in più il sistema di protezione di windows 7 per l'attivazione di programmi attivo(ovvero mi chiede se voglio accendere il programma o no). Devo supporre che è come se lasciassi una banconota da 500 per strada?

Potete spiegare meglio.
Da un sito porno, a un sito per streaming, allo stesso hwpgrade potrebbero essere infettati e infettare a sua volta????
Grazie.

Io ne sono stato colpito a fine settembre e a me avevano chiesto un riscatto di 800$. Uso internet da oltre 20 anni, sono sempre stato attento e non sono mai caduto in phishing nè altra roba ma nonostante questo mi è costata cara aver visitato un sito porno trovato su google. Aperta la homepage ho cliccato sulla categoria che mi interessava e si è aperto un altro sito con lettere lunghissime e strane in alto. Nel giro di due secondi il computer non rispondeva più e ai continui riavvii mi apparivano testi in inglese con richieste di denaro per sbloccare i soldi. Ovviamente non ho pagato. Ho provato a recuperare i dati collegandolo come hd esterno ma risulta inaccessibile e illeggibile. Poco importa, avevo soltanto un centinaio di foto di me e la mia ragazza fatte in vacanza ad agosto, un paio di giochi installati e materiale di lavoro in doc e pdf. Ho preferito non pagare ma non aprirò mai più un sito porno in vita mia.

Ma che versione di windows avevi? L'UAC era attivo al massimo? Avevi un antivirus? Perché la cosa è preoccupante...

Adblock/ublock + Anti-Malware list oppure Norton dns e passa la paura.
Ovviemte mai aprire allegati da mail da sconosciuti.

Correggetemi se sbaglio, ma un firewall che avvisa di tutti i comportamenti sospetti delle applicazioni che vengono lanciate (accesso a risorse privilegiate, avvio in automatico, connessione a internet ecc...) non dovrebbe essere sufficente per fermare queste minacce? naturalmente è l'utente che decide di volta in volta se concedere o meno questi privilegi... un pò invasivo forse, però se nel bel mezzo di una navigazione in un sito web parte un avviso di un programma che tenta di fare qualcosa di sospetto sicuramente non passa inosservato.

Adblock/ublock + Anti-Malware list oppure Norton dns e passa la paura.
Ovviemte mai aprire allegati da mail da sconosciuti.

Aggiungerei anche e soprattutto noscript.

:asd:

Vabbé mi hai sgamato subito :asd:

Ma che versione di windows avevi? L'UAC era attivo al massimo? Avevi un antivirus? Perché la cosa è preoccupante...

Certo che avevo l'antivirus. L'UAC è sempre al massimo. Avevo Windows 8.1 con tutti gli aggiornamenti fino a quel momento

Certo che avevo l'antivirus. L'UAC è sempre al massimo. Avevo Windows 8.1 con tutti gli aggiornamenti fino a quel momento

Account amministratore? Sandbox? Utilizzi adblocker, Noscript?
Anche a me piacerebbe sapere il rischio reale di prendersi un malware del genere ma bisogna capire anche cos'è stato fatto per prevenire.

Sono perfettamente d'accordo con te, ma quello che osserviamo e che hai descritto è l'ovvio risultato della scarsa attenzione riposto dalle aziende sull'IT.

Si prende un ragazzino fresco di scuola (non importa se superiore o università) e solo perchè è "appassionato di computer" gli si sbologna tutto e il contrario di tutto, nel frattempo gli si danno 800 euro al mese, reperibilità inclusa e un paio di sedi distaccate in modo da non pagargli nemmeno le trasferte... ecco qua, il gioco è fatto.

Intanto commerciali inutili si ingrassano fatturando a destra e a manca promettendo mari e monti (salvo poi che metà dei pagamenti vengono bloccati perchè non si riesce/sa realizzare ciò che si è promesso).
E' singnificativo ad esempio che spesso nelle aziende che lavorano in ambito IT (sviluppo, consulting, servizi, etc etc..) c'è una media di un tecnico ogni due commerciali, è evidente che c'è qualcosa di canceroso in tutto questo. :rolleyes:
E questi sono poi quelli che vanno a implementare prodotti e servizi nelle aziende, dove magari questi prodotti e servizi vengono gestiti e manutenuti da un altro junior che fino al giorno prima si occupava "delle stampanti" e che magari non conosce nemmeno le basi del problem solving, oppure dal figlio del titolare che è "esperto di computer perchè ha 3 smartphone" :doh:

Di cosa ci sorprendiamo? Le persone competenti e con esperienza ci sono, sono le aziende che per massimizzare il proprio margine non sono disposte a pagarle il giusto.
Se la situazione è questa che vi devo dire? Teniamoci i ransomware e corriamo ai ripari quando si può, è esattamente quello che abbiamo voluto.

92 minuti di applausi!

Basandomi su quello che prima sapevo, ho sempre pensato che per prendere un "virus" bisognasse dare l'invio ad un operazione, come per esempio il lancio di un setup.exe.
è veramente così facile visitare un sito infetto e beccarsi qualcosa?

Io utilizzo un software per antivirus e uno per firewall e in più il sistema di protezione di windows 7 per l'attivazione di programmi attivo(ovvero mi chiede se voglio accendere il programma o no). Devo supporre che è come se lasciassi una banconota da 500 per strada?

Potete spiegare meglio.
Da un sito porno, a un sito per streaming, allo stesso hwpgrade potrebbero essere infettati e infettare a sua volta????
Grazie.

:read:
Non ci vuole molto, basta un URL.


ci vuole un antiexploit.
http://www.surfright.nl/en/alert

Per quanto riguarda l'ultima domanda, è quasi impossibile che siti attendibili abbiano questo tipo di comportamento perché significherebbe compromettere il sito assumendone il controllo, entrarvi, inserire l'exploit.... chiaro che su un sito come questo o qualsiasi altro attendibile è un po' difficile, possibile ma improbabile. Sono indirizzi creati ad hoc, chi ci capita può essere fregato e come nascono poi spariscono e se ne creano di altri.
Non c'entra nulla avere l'UAC al massimo, o la versione di Windows o il browser ecc, per questi tipi di ransomware ci vogliono protezioni attive anti exploit.

Oltre al backup, io ho sempre utilizzato un altro sistema per i file più importanti. Renderli esclusivamente di sola lettura a ogni utente e poi renderli di proprietà di un server, che veniva connesso in cross direttamente al pc in uso. È sufficiente la modalità "solo lettura" più proprietario non appartenente alla stessa macchina per proteggere i file? Teoricamente non dovrebbe riuscire a modificare, ne a cancellare il file in nessun modo, giusto?

Account amministratore? Sandbox? Utilizzi adblocker, Noscript?
Anche a me piacerebbe sapere il rischio reale di prendersi un malware del genere ma bisogna capire anche cos'è stato fatto per prevenire.

:read:
Non c'entra nulla avere l'UAC al massimo, o la versione di Windows o il browser ecc, per questi tipi di ransomware ci vogliono protezioni attive anti expliot.

Sì, ma Windows dovrebbe avvisarti quando un eseguibile si avvia e l'UAC dovrebbe impedire che possa far danni dove non ci sono privilegi di utente. O forse questi ramsonware sfruttano dei bug di Firefox e/o di Windows per aggirare le protezioni?
La cosa non mi è chiara. :confused:

Oltre al backup, io ho sempre utilizzato un altro sistema per i file più importanti. Renderli esclusivamente di sola lettura a ogni utente e poi renderli di proprietà di un server, che veniva connesso in cross direttamente al pc in uso. È sufficiente la modalità "solo lettura" più proprietario non appartenente alla stessa macchina per proteggere i file? Teoricamente non dovrebbe riuscire a modificare, ne a cancellare il file in nessun modo, giusto?

E' quello che pensavo anch'io. Tra l'altro ho controllato i permessi del mio disco interno di backup per Windows e risulta in sola lettura per utente con bassi privilegi (vedi allegato sotto).

https://it.malwarebytes.org/business/endpointsecurity/

E' quello che pensavo anch'io. Tra l'altro ho controllato i permessi del mio disco interno di backup per Windows e risulta in sola lettura per utente con bassi privilegi (vedi allegato sotto).

La mia condizione è decisamente più stringente. Il proprietario del file è un utente esterno, che si aggancia al pc solo per diventare proprietario del file. Nello stesso momento, l'accesso al file viene negato ad ogni utente, proprietario incluso. A questo punto il server viene scollegato. Nessun utente può cambiare il proprietario, avendo il proprietario del file (il server) negato l'accesso a qualsiasi utente presente fisicamente sul pc. Per modificare il file è ovviamente laborioso, dovendo necessariamente rientrare in possesso del file. Ma almeno per tutti i dati di sola fruizione, spero sia una soluzione più che efficiente. In fondo, posso appena vederli io, figuriamoci un malware..almeno spero

Sì, ma Windows dovrebbe avvisarti quando un eseguibile si avvia e l'UAC dovrebbe impedire che possa far danni dove non ci sono privilegi di utente. O forse questi ramsonware sfruttano dei bug di Firefox e/o di Windows per aggirare le protezioni?
La cosa non mi è chiara. :confused:


Spesso sì, l'UAC ti chiede conferma, ma non sempre.
Vedi qui:
https://www.youtube.com/watch?v=9VhZGa-NP0w
Alcuni chiedono, altri no, alcuni chiedono ma anche dicendo no mi pare che si attivino lo stesso.

Il problema poi è sempre che l'utente anche se gli viene chiesto di fare attenzione a qualcosa poi clicca comunque sì e ciao... come nelle installazioni, avanti>avanti>avanti... senza neanche leggere.
Una protezione attiva blocca e impedisce a priori.

da profano chiedo:

non ce' un modo per fregarli con loro stesso metodo?
cioe', criptare gli hard disk in modo che niente e nessuno possa accedere/modificare nulla senza il permesso (password?) dell'admin?
almeno per quanto riguarda gli HDDs di storage?


una specie di software che blocca fisicamente (non lo fà partire) l'hd finche' non si digita una password molto complessa o addirittura sfruttare un lettore di impronte?
in pratica lo cripto io prima che lo faccia il malware.
spero di essere stato chiaro:)

da profano chiedo:

.....



no. Ti ritroveresti al massimo i file crittati dal ransomware su un filesystem criptato da te.




Ragassi.... cominciate a mettere un bel divieto di esecuzione nelle cartelle utente (e in particolare files temporanei, cartella download, ecc ecc).

Per il momento io mi proteggo così:

- Su un NAS ho creato uno share nascosto accessibile solo da 1 utente creato apposta
- Con un sw di backup faccio i backup incrementali, il trucco è non montare lo share in locale ne tantomeno dare le permission di lettura/scrittura all'utente allo share, è il software stesso che deve accedere e dare le credenziali al NAS per poter accedere.
- Storico di due settimane dei backup

In pratica l'utente ha un backup incrementale della sua macchina ma non può toccarlo, in quanto ho visto che i ransomware criptano tutto quello a cui ha accesso l'utente.

Se v'interessa il sw che uso è Veeam Endpoint Free

Un altro trucco che ho letto, ma non provato, è quello di bloccare l'esecuzione degli eseguibili nelle cartelle temporanee tramite GPO.

In quanto di solito gli allegati finiscono nelle cartelle temporanee e l'utente esegue il ransomware da quella posizione.

Utile per mettere in sicurezza un dominio in modo veloce.

Account amministratore? Sandbox? Utilizzi adblocker, Noscript?
Anche a me piacerebbe sapere il rischio reale di prendersi un malware del genere ma bisogna capire anche cos'è stato fatto per prevenire.

Si ero l'unico ad usare il PC, un solo account di amministratore. Usavo adblock plus per mozilla firefox, non so quanto possa centrare. Comunque, come ho detto sopra, in vent'anni che uso internet non mi era mai capitato e sono sempre stato attento, non ho mai preso phishing, né altra roba, mai avuto problemi di sicurezza di nessun genere.

no. Ti ritroveresti al massimo i file crittati dal ransomware su un filesystem criptato da te.




Ragassi.... cominciate a mettere un bel divieto di esecuzione nelle cartelle utente (e in particolare files temporanei, cartella download, ecc ecc).

non riesco a capire e mi sono spiegato male:
se un hd interno non e' collegato alla scheda madre il ransomware non può crittografare nulla, giusto?
ecco, un dispositivo hardware o software che faccia da ''bridge'' tra cavetto sata e hd. ecco perchè ho parlato di bloccare fisicamente l'hd.
e senza un imput esterno (quale una password o meglio un lettore di impronte) quel Hard disk non esiste ne per il ransomware ne per il tuo sistema.

o forse un bridge tra alimentazione e hd?

sto dicendo castronerie?

Capitato un po di tempo fa anche in azienda.
La classica mail con allegato aperta dal "distratto" di turno ha polverizzato in qualche ora 4PC e una marea di cartelle condivise su server.
Per i server ci sono repliche e backup, ma per i PC nulla da fare ovviamente...
Ripensando alla sicurezza domestica, oltre a varie accortezze già citate, mi chiedevo se un sw come NoDrives Manager possa rendere invisibili al ransomware di turno i drive di documenti o di backup...

non riesco a capire e mi sono spiegato male:
se un hd interno non e' collegato alla scheda madre il ransomware non può crittografare nulla, giusto?
ecco, un dispositivo hardware o software che faccia da ''bridge'' tra cavetto sata e hd. ecco perchè ho parlato di bloccare fisicamente l'hd.
e senza un imput esterno (quale una password o meglio un lettore di impronte) quel Hard disk non esiste ne per il ransomware ne per il tuo sistema.

o forse un bridge tra alimentazione e hd?

sto dicendo castronerie?

Indipendentemente dalla connessione USB/SATA/LAN/SD/etc. una volta che windows vede il disco/share/risorsa, e ci può scrivere, sei fregato. Alla fine è valida la regola: ci puoi scrivere? allora lo può fare anche il ransomware.

Preso in azienda 3 volte per sbadataggine di persone che non appena hanno ricevuto la mail "Consegna DHL" non ci hanno pensato 2 volte a cliccare.
Fortunatamente tutti i server hanno policy di backup molto severe (backup giornalieri, 4 settimanali, 1 mensile ecc).
Tutti i notebook e pc di dirigenti e quadri, hanno una procedura di backup automatico della cartella utente. Vengono ovviamente esclusi tutti i file video, mp3, tif ecc.
Purtroppo, la prima cosa da fare, oltre ad avere un backup è fare formazione: possiamo avere tutti gli strumenti (IPS, Firewall, Backup ecc) ma se non si istruiscono le persone, il virus è sempre in agguato.

2 hard disk esterni, collegati solo per backup (2 volte al giorno)
e immagine del sistema con clonezilla (sempre nei suddetti dischi).
Uso prevalentemente linux e mi pare di aver capito che 'per il momento'
l'unico a rischio sia windows.

Ragionano giustamente in termini di diffusione del sistema da infettare.. windows è la risposta.
Non lo fanno per mac (per ora almeno) figuriamoci per linux..

Preso in azienda 3 volte per sbadataggine di persone che non appena hanno ricevuto la mail "Consegna DHL" non ci hanno pensato 2 volte a cliccare.
Fortunatamente tutti i server hanno policy di backup molto severe (backup giornalieri, 4 settimanali, 1 mensile ecc).
Tutti i notebook e pc di dirigenti e quadri, hanno una procedura di backup automatico della cartella utente. Vengono ovviamente esclusi tutti i file video, mp3, tif ecc.
Purtroppo, la prima cosa da fare, oltre ad avere un backup è fare formazione: possiamo avere tutti gli strumenti (IPS, Firewall, Backup ecc) ma se non si istruiscono le persone, il virus è sempre in agguato.

Purtroppo anche facendo informazione qualcuno ci cascherà sempre.. (e mi ci metto dentro pure io, potrebbe capitare la sfiga anche a me).
La sola cosa giusta da fare è avere un buon backup periodico. :)

un altra "via" per proteggere i documenti aziendali locali potrebbe essere quella di utilizzare strumenti come onedrive e sharepoint, lì c'è il versioning automatico dei file. Se venissero criptati basterebbe ripristinarne la copia precedente.

mi piacerebbe approfondire la parte descritta poco sopra.. quella che tramite GPO si impedisce l'esecuzione di file eseguibili sulle cartelle temporanee o cartelle utente.
Come la state pensando questa cosa?

Indipendentemente dalla connessione USB/SATA/LAN/SD/etc. una volta che windows vede il disco/share/risorsa, e ci può scrivere, sei fregato. Alla fine è valida la regola: ci puoi scrivere? allora lo può fare anche il ransomware.

La sola cosa giusta da fare è avere un buon backup periodico. :)
E' questo che non mi lascia tranquillo.
Io faccio il backup dei dati una volta la settimana. Dei programmi non m'interessa molto, anzi, sarebbe l'occasione buona per formattare e fare un po' di pulizia.
Ma sono a posto solo se il ransomware si manifesta subito dopo l'infezione.
Supponiamo che il cryptolocker di turno si installi nel mio pc e resti in "incubazione" per qualche tempo. Dopo qualche giorno io, ignaro di tutto, collego il mio hard disk esterno per il backup periodico ed eccolo bello infettato!
Dopo un mesetto il cryptobastardo si manifesta e io sono fregato, con tutti i miei backup inutilizzabili.
Non conosco il funzionamento di questi programmi, ma se fossi il loro autore non li farei manifestare subito: darei il tempo alla vittima di fare tutti i suoi backup, prima.
Mi sa che l'unico modo per essere davvero sicuri è collegarsi ai siti porno solo via macchina virtuale con Linux. :D

Si ero l'unico ad usare il PC, un solo account di amministratore. Usavo adblock plus per mozilla firefox, non so quanto possa centrare. Comunque, come ho detto sopra, in vent'anni che uso internet non mi era mai capitato e sono sempre stato attento, non ho mai preso phishing, né altra roba, mai avuto problemi di sicurezza di nessun genere.
Ma il ramsonware ti ha rasato anche il backup?

Indipendentemente dalla connessione USB/SATA/LAN/SD/etc. una volta che windows vede il disco/share/risorsa, e ci può scrivere, sei fregato. Alla fine è valida la regola: ci puoi scrivere? allora lo può fare anche il ransomware.
Sì, ma nel programma di backup di windows solo chi ha privilegi massimi può scrivere nel disco di backup. Chi ha provilegi di utente invece può solo leggere (vedi sotto).

http://thumbnails105.imagebam.com/44576/79cfc4445753431.jpg (http://www.imagebam.com/image/79cfc4445753431)


Quindi il backup fatto con windows è al sicuro? O il ramsonware riesce in qualche modo a scalare i privilegi? :confused:

magari domanda scema, non avendo mai visto in azione questi criptatori, ma per farli entrare nel pc non serve più che si "esegua" qualcosa? basta quindi un url ad apertura automatica (tipo popup internet)?

chiedo perchè sinceramente in casa ho solo un pc con Bitdefender Internet Security a pagamento ultima versione, gli altri hanno l'antivirus stock di Win 10 o Win 8.1 (con 7 non mi è rimasto niente adesso).

è anche vero che nella navigazione alla cieca tramite ricerca Google ci vado il 99% delle volte con un Mac El Capitan, quindi eventuali siti poco raccomandabili vengono visualizzati su questo pc e non su Windows...

inoltre altra domanda forse scema, ma eventuali unità di rete "montate" ma disconnesse, sono a rischio?
intendo dire quando accendo prima il pc client, e dopo il server da dove prende l'unità condivisa su rete, se questa unità non risulta connessa sul client è cmq possibile venga toccata dalla criptazione?

Ma fatemi capire: io che salvo tutti i miei documenti su OneDrive sarei comunque a rischio? Sto ransomware riesce a criptare anche i documenti salvati in cloud?

da dicembre dell'anno scorso almeno una ventina di clienti avranno preso cryptolocker/wall. Via di restore dei dati o della vm e sottoscrizione forzata al servizio di antispam, perchè al 99% questa m.... arriva da mail. Link o allegati con estensioni exe nascoste fa poca differenza: l'utonto non può resistere a cliccarci :muro:

Poi con l'apertura come una mela di libero e la sottrazione di di centinaia di migliaia di ind. email gli spammer hanno sfondato anche il dogma di non aprire mail da sconosciuti.

Gli antivirus purtroppo contro questa piaga fanno poco, l'unico modo è evitare che entrino in azienda con antispam o controlli http con proxy o personal firewall nei pc

Ottima l'idea di bloccare eseguibili in %userprofile%, adesso vado in cerca di una cavia :D mi domando solo se i jar dei programmi dell'agenzia delle entrate funzioneranno...
Per quanto riguarda i nas, togliete l'accesso guest/everyone e non fate backup dei files in chiaro o zippati/rarrati. Utilizzate programmi tipo acronis et simila: con questi files CW non può far nulla

Scusate domande da profano:
Delle mail non ho paura in quanto non apro mai nulla che non arrivi da fonti affidabili (ed a volte dubito pure da quelle) ma mi preoccupa invece la possibilità di rimanere infettato da siti web. Di default uso Win7+Chrome con plugin AdBlock e ScriptSafe perennemente attivi e javascript disabilitato, ho letto inoltre sopra che bisognerebbe bloccare l'esecuzione di files nelle cartelle download e file internet temporanei, per farlo basta cliccare col pulsante destro sulle cartelle > "proprietà" > "sicurezza" e cambiare le "autorizzazioni per System" giusto?
Questo può essere sufficiente? Sono solo queste due di cartelle da modificare o ce ne sono altre?
Grazie!

OT:
Una domanda: utilizzo firefox con i vari adblock + noscript. Su Android utilizziamo in azienda adblock browser. Ho installato noscript sui terminali ma non ho la possibiltà di abilitare/disabilitare i siti: non ho l'icona come sulla versione desktop. Sapete come fare?
/OT

Caso di ransomware proprio 48 ore fa. Mi chiama un amico in preda al panico; dagli screenshot sembra proprio aver contratto Cryptowall (RSA2048, quindi dovrebbe trattarsi del 3.0) attraverso la visita di alcuni siti da cui scaricare musica (no e-mail).
Non ha backup, quindi perderà irrimediabilmente tutti i "ricordi" (foto di famiglia) e documenti di lavoro accumulati negli anni.
Esiste una sorta di "guida" o qualcosa del genere dove si tratti l'argomento del come prevenire in maniera efficace questo tipo di infezioni?

Non so se funzionino, ma se cerchi, anche su youtube ci sono delle guide per rimuovere anche cryptowall 3.0...
https://www.youtube.com/results?search_query=remove+cryptowall+3.0

Non so se funzionino, ma se cerchi, anche su youtube ci sono delle guide per rimuovere anche cryptowall 3.0...
https://www.youtube.com/results?search_query=remove+cryptowall+3.0
Rimuove cryptowall ma per i file cifrati temo non ci sia speranza... :mad:

rimuovere il virus è una caxxxata, è una delle cose piu semplici in assoluto.
il problema non è il virus in se, ma il fatto di avere i files (foto,video,documenti) criptati e recuperabili SOLO con la chiave originale.

L'UNICO modo per salvarsi dal virus è avere un BACKUP.

Ripeto che ho fatto delle prove a infettare un pc a cui era collegato un NAS, con ben 2 cryptolocker, e il NAS non ha subito danni di nessun tipo.
Nemmeno il Google Drive collegato è stato criptato, risultavano solo i famosi documenti che spiegavano come pagare il riscatto ma i files sul Drive erano intatti.

come suggeriva anche un altro utente sarebbe molto interessante ma soprattutto utile se HW Upgrade facesse un approfondimento sulla questione.

Magari qualche test per mostrare l'infezione e in generale le varie modalità cui si prende questa piaga di ransomware bastardi.

Quoto!

magari domanda scema, non avendo mai visto in azione questi criptatori, ma per farli entrare nel pc non serve più che si "esegua" qualcosa? basta quindi un url ad apertura automatica (tipo popup internet)?


Me lo stavo chiedendo pure io. Perchè se si esegue volontariamente o anche per sbaglio un eseguibile (magari camuffato) cliccandoci sopra è un conto, che mi si apra in background una pagina web e venga automaticamente infettato è un'altro paio di maniche.
Vorrei capire se questo tipo di malware funziona se ad attivarlo è un utente standard e non amministratore, a prescindere dagli altri sistemi di sicurezza eventualmente attivati.
Per dire se si facesse girare Linux come superuser sempre e comunque il rischio di prendersi qualcosa aumenterebbe esponenzialmente, anche se il rischio rimarrebbe comunque inferiore rispetto a Windows.

Ma fatemi capire: io che salvo tutti i miei documenti su OneDrive sarei comunque a rischio? Sto ransomware riesce a criptare anche i documenti salvati in cloud?

Cripta dischi collegati al pc e in rete locale se i permessi lo concedono. I dati in cloud sono al sicuro.

Perdonate la mia ignoranza in materia.. azzardo un'ipotesi.
Se si creasse un file di testo molto piccolo (es. 4 byte contenente le lettere "ABCD" messo nella directory radice del disco) e, nel malaugurato caso venisse criptato, sarebbe comunque infattibile partire dal file risultante, conoscendo l'algoritmo di crittografia utilizzato, e risalire alla chiave utilizzando un brute-force attack?

Perdonate la mia ignoranza in materia.. azzardo un'ipotesi.
Se si creasse un file di testo molto piccolo (es. 4 byte contenente le lettere "ABCD" messo nella directory radice del disco) e, nel malaugurato caso venisse criptato, sarebbe comunque infattibile partire dal file risultante, conoscendo l'algoritmo di crittografia utilizzato, e risalire alla chiave utilizzando un brute-force attack?

haha.. ok ho capito quello che intendi.. e la risposta può essere che si può fare qualsiasi cosa.. basta avere tempo.

Perdonate la mia ignoranza in materia.. azzardo un'ipotesi.
Se si creasse un file di testo molto piccolo (es. 4 byte contenente le lettere "ABCD" messo nella directory radice del disco) e, nel malaugurato caso venisse criptato, sarebbe comunque infattibile partire dal file risultante, conoscendo l'algoritmo di crittografia utilizzato, e risalire alla chiave utilizzando un brute-force attack?
il file è di 4 byte ma la cifratura è di 2048 bit... hai voglia di avere "pazienza" con un bruteforce...

haha.. ok ho capito quello che intendi.. e la risposta può essere che si può fare qualsiasi cosa.. basta avere tempo.

il file è di 4 byte ma la cifratura è di 2048 bit... hai voglia di avere "pazienza" con un bruteforce...

Si immaginavo che con una chiave così lunga un brute-force attack "puro" fosse troppo oneroso in termini di tempo. La mia domanda era relativa al vantaggio (se così si può considerare) del conoscere in anticipo il punto di partenza e il punto di arrivo.
Tanto per fare un esempio, se il sapere che il file originale inizia con l'esadecimale 0x41 (codice ASCII della lettera 'A') permettesse di escludere a priori determinate chiavi sicuramente non funzionanti.

Sarà suggestione, ma un po' di tempo fa ho visto il film The Imitation Game in cui Alan Turing aveva costruito la famosa macchina che avrebbe decriptato i messaggi inviati dai tedeschi con l'Enigma (in pratica cercava proprio la chiave con cui erano stati criptati i messaggi), ma essa girava in continuazione senza mai venirne a capo a causa dei troppi tentativi e la soluzione venne proprio dalla genialata di riprogrammare la macchina facendole escludere delle combinazioni sicuramente sbagliate proprio perché sapeva a priori come doveva venire decriptato un particolare messaggio di cui conosceva l'originale non criptato.
C'è una base scientifica in ciò o è una cosa romanzata a fini cinematografici?

ci sono dietro moltissime persone alla ricerca di una soluzione e se fosse davvero "facile" come dici te saremmo già a posto.

nella prima versione del Cryptolocker è stato possibile decifrare i files criptati grazie al fatto che erano state trovare fisicamente le chiavi sui pc da parte della polizia o fbi, oltre ad un controllo incrociato con tutte le chiavi pubbliche rilevate.
altrimenti eravamo ancora qui a parlare della versione 1

ci sono dietro moltissime persone alla ricerca di una soluzione e se fosse davvero "facile" come dici te saremmo già a posto.

Non ho detto che è facile :read:, ho chiesto se può essere vantaggioso/fattibile ;)

Esiste una sorta di "guida" o qualcosa del genere dove si tratti l'argomento del come prevenire in maniera efficace questo tipo di infezioni?

Sarebbe sufficiente accendere il cervello.

Parrebbe pleonastico affermarlo, ma certamente non lo è in un paese popolato da ebeti che passano le giornate a postare le foto della cacca del pupo su Fessobuc.

Si immaginavo che con una chiave così lunga un brute-force attack "puro" fosse troppo oneroso in termini di tempo. La mia domanda era relativa al vantaggio (se così si può considerare) del conoscere in anticipo il punto di partenza e il punto di arrivo.
Tanto per fare un esempio, se il sapere che il file originale inizia con l'esadecimale 0x41 (codice ASCII della lettera 'A') permettesse di escludere a priori determinate chiavi sicuramente non funzionanti.

Sarà suggestione, ma un po' di tempo fa ho visto il film The Imitation Game in cui Alan Turing aveva costruito la famosa macchina che avrebbe decriptato i messaggi inviati dai tedeschi con l'Enigma (in pratica cercava proprio la chiave con cui erano stati criptati i messaggi), ma essa girava in continuazione senza mai venirne a capo a causa dei troppi tentativi e la soluzione venne proprio dalla genialata di riprogrammare la macchina facendole escludere delle combinazioni sicuramente sbagliate proprio perché sapeva a priori come doveva venire decriptato un particolare messaggio di cui conosceva l'originale non criptato.
C'è una base scientifica in ciò o è una cosa romanzata a fini cinematografici?

Enigma immagino fosse una cifratura molto più semplice di un RSA a 2048 Bit come usa Cryptolocker...

Comunque su PC Professionale suggerivano un sito internet che cercava di decriptare i file visto che per le prime versioni di Cryptlocker la chiave fu, appunto, trovata... ma se è una delle nuove versioni in cui hanno cambiato la chiave bisogna formattare e perdere tutto :muro:

racconto in 2 parole la mia esperienza: beccai mesi fa una delle versioni di PClock Cryptolocker. Oltretutto formattai.
Le speranze erano nulle, ma sul forum bleepingcomputer.com hanno fatto un miracolo: la mia versione del ransomware era una di quelle già rotte e pur avendo formattato ho recuperato i dati :sofico:

Sarà suggestione, ma un po' di tempo fa ho visto il film The Imitation Game in cui Alan Turing aveva costruito la famosa macchina che avrebbe decriptato i messaggi inviati dai tedeschi con l'Enigma (in pratica cercava proprio la chiave con cui erano stati criptati i messaggi), ma essa girava in continuazione senza mai venirne a capo a causa dei troppi tentativi e la soluzione venne proprio dalla genialata di riprogrammare la macchina facendole escludere delle combinazioni sicuramente sbagliate proprio perché sapeva a priori come doveva venire decriptato un particolare messaggio di cui conosceva l'originale non criptato.
C'è una base scientifica in ciò o è una cosa romanzata a fini cinematografici?
Sì, c'è una base scientifica in quello che hai scritto. Anni fa lessi un libro di un matematico che parlava di sistemi di cifratura e anche di Enigma. Gli inglesi si erano accorti che per velocizzare la decifrazione potevano ridurre le combinazioni escludendo quelle sicuramente sbagliate. Ciò era utile soprattutto per la versione di Enigma usata dalla marina tedesca che era più complessa delle altre Enigma. Un altro trucco consisteva nel capire in anticipo parte del contenuto di certi messaggi. Per esempio ogni giorno alcune navi meteorologiche tedesche che si trovavano al largo trasmettevano il bollettino meteo crifato. Ma anche gli inglesi avevano il loro servizio meteorologico. Così se era previsto poco vento e sole sapevano che nei testi cifrati c'erano quelle parole e così diminuivano le combinazioni possibili aumentando la possibilità di trovare la parola chiave per quel giorno (cambiavano tutti i giorni).

Il libro è "Codici e segreti" di Simon Singh.

e pur avendo formattato ho recuperato i dati :sofico:

come?!?

Sarebbe sufficiente accendere il cervello.

Parrebbe pleonastico affermarlo, ma certamente non lo è in un paese popolato da ebeti che passano le giornate a postare le foto della cacca del pupo su Fessobuc.

che discorso. :mbe:
sono software pensati appositamente per trarre in inganno l'utente.
Non è che se uno cade nel tranello è un deficiente, soprattutto in un ufficio dove magari arrivano decine e decine di mail simili.
A nche i più sgamati potrebbero cadere in errore, basta un attimo.

Usare il cervello vuol dire avere un buon sistema di backup per il recupero dei dati, non avere la sfera di cristallo.
In ufficio da noi capitò, e la persona da cui partì l'infezione non è l'ebete di cui parli.

come?!?

Facendo un po' di ricerche sono riuscito a individuare la variante precisa del mio cryptolocker (primo passo fondamentale per avere speranze di recuperare i dati).
Per i ransomware "rotti" vengono diffusi dei tool per decrittare.
Solitamente i tool cercano la chiave privata del ransomware che è memorizzata nel registro di sistema, io avevo formattato quindi niente chiave. Ho contattato lo sviluppatore del tool (un esperto di sicurezza Emsisoft) che mi ha detto che per la mia variante c'era un metodo alternativo per utilizzare il tool. L'ho usato e ho decrittato tutto :D

thewebsurfer, se possibile condividi le info di cui scrivi, quale sarebbe questo tool? Puoi mandarmi il link in pvt? In ogni caso, sicuro che qualcuno lo avrà già scritto, ma ribadire è meglio. Sti simpaticoni provengono da tante vie, non sapevo anche dal semplice sito internet ... in ogni caso mi dicevano che principalmente operano da allegati presenti in mail provenienti che di solito sono phishing, tipo le mail della postepay per rubarne i dati o altro .. piazzano un allegato in doc o pdf, questi alle volte hanno degli activex da abilitare, se uno li attiva, è fregato ... parte l'esecuzione del prog che crypta i file sensibili (estensioni tipo . jpg .bpm .avi .exe ... ma di solito mai i file di sistema, perchè devi essere in grado di eseguirlo per far continuare a criptare i file al bastardo ...
Mai aprire allegati da mail dubbie .. verificare sempre i dettagli di chi manda la mail, ricordarsi che se ci sono delle questioni importanti e vitali di solito non si è contattati via mail, ma via posta raccomandata ... anche .. DA privaoto riparatore di pc piantati per passione personale, ho incontrato sto porcello e devo dire che è uno dei virus più bastardi che ci possano essere ... ho notato che fa sparire i punti di ripristino, così non puoi più ripristinare .. poi le versioni sono una quantità assurda ed è difficile trovare i tool per la propria versione.
Pagare il riscatto non garantisce il totale recupero dei file, mi dicevano che le foto possono rimanere corrotte dopo la decriptazione e così anceh gli altri file ... uccide file su tutti gli account collegati (driveone dropbox ecc ecc) solo che per dropbox dovrebbe essere attivo il backup incrementale, significa che se il pc si infetta ed uccide anche i file in dropbox si può disinfettare il pc, cancellare i file criptati, o formattare la macchina, poi entrare in dropbox e ripristinare i file ad un paio di gg prima della criptatura ...

Ma sempre occhio .. meglio cancellare una mail dubbia che prendere una di ste bestie nere ... chiaro che in ditta si dovrebbe sempre tenere immagini di backup di tutta la banca dati su spporti esterni (nastri o HD scollegati da rete) è di fondamentale importanza, ma per i privati non è così facile ... e questi non hanno scrupoli colpiscono tutti a caso .. e come diceva demon77 possono ingannare tutti anche quelli col cervello acceso ..

PS: per i siti porno usate sempre e solo i più blasonati ... non andate in giro a caso ... :-)

PPS: se volte fare dei giri in siti poco raccomandabili, è sempre meglio recuperare un sistema operativo live magari basato su TOR ... così avete pure la navigazione anonima .. ed essendo in live, non succede nulla beccando qualsiasi tipo di virus ... ma ovviamnete in queste sessioni tenete lontane le chiavette usb dalla macchine ......

PS: per i siti porno usate sempre e solo i più blasonati ... non andate in giro a caso ... :-)


:mano:



Te le sei lavate, vero? :asd:

Thewebsurfer parlavo del recupero dei dati dopo il format

Non so se funziona, ma io ho creato un utente secondario, sempre amministratore a cui ho dato la proprietà di tutti i file e le cartelle per me vitali. Nelle stesse cartelle, ho aggiunto la regola per chiunque (Everyone) che nega la possibilità di eliminare e modificare i file di queste cartelle. Con lo stesso sistema ho imposto che nelle cartelle temporanee non possono essere avviate le applicazioni. Per entrambe ho escluso i diritti ereditati, escludendo che qualche utente potesse ricevere autorizzazioni da altri gruppi o utenti superiori. Ho poi controllato per sicurezza che le regole fossero attive per ogni singolo utente o gruppo. In questo modo, nessun utente può eliminare o modificare i file in questione. Se ho capito bene, questi malware criptano e poi eliminano il file originale, giusto?

Sì, c'è una base scientifica in quello che hai scritto. Anni fa lessi un libro di un matematico che parlava di sistemi di cifratura e anche di Enigma. Gli inglesi si erano accorti che per velocizzare la decifrazione potevano ridurre le combinazioni escludendo quelle sicuramente sbagliate. Ciò era utile soprattutto per la versione di Enigma usata dalla marina tedesca che era più complessa delle altre Enigma. Un altro trucco consisteva nel capire in anticipo parte del contenuto di certi messaggi. Per esempio ogni giorno alcune navi meteorologiche tedesche che si trovavano al largo trasmettevano il bollettino meteo crifato. Ma anche gli inglesi avevano il loro servizio meteorologico. Così se era previsto poco vento e sole sapevano che nei testi cifrati c'erano quelle parole e così diminuivano le combinazioni possibili aumentando la possibilità di trovare la parola chiave per quel giorno (cambiavano tutti i giorni).

Il libro è "Codici e segreti" di Simon Singh.

Interessante.. grazie :)

Rimuove cryptowall ma per i file cifrati temo non ci sia speranza... :mad:

rimuovere il virus è una caxxxata, è una delle cose piu semplici in assoluto.
il problema non è il virus in se, ma il fatto di avere i files (foto,video,documenti) criptati e recuperabili SOLO con la chiave originale.

L'UNICO modo per salvarsi dal virus è avere un BACKUP.

E va bè... grazie al piffero.
Nei video non fa vedere solo che rimuove il ransomware ma che appunto alla fine ottiene il file originale.
Ripeto, non so se funzioni veramente quel metodo descritto, ma alla fine il file che prima era illeggibile torna leggibile.
Ne ho visto uno a caso, di quelli del link postato.
Dopo aver rimosso i file incriminati nei vari percorsi, in modalità provvisoria, al riavvio fa vedere un file di testo dentro una cartella sul desktop ovviamente criptato, semplicemente seleziona le proprietà della cartella e quindi la funzione per ripristinare versioni precedenti. Appena fatto questo il file viene ripristinato ed è leggibile.
Non viene detto ma per far ciò ovviamente bisognerà avere attivato il ripristino configurazione di sistema o il Windows backup perché da qualche parte deve attingere, quindi non è necessario per forza avere la chiave originale e decriptare.

E va bè... grazie al piffero.
Nei video non fa vedere solo che rimuove il ransomware ma che appunto alla fine ottiene il file originale.
Ripeto, non so se funzioni veramente quel metodo descritto, ma alla fine il file che prima era illeggibile torna leggibile.
Ne ho visto uno a caso, di quelli del link postato.
Dopo aver rimosso i file incriminati nei vari percorsi, in modalità provvisoria, al riavvio fa vedere un file di testo dentro una cartella sul desktop ovviamente criptato, semplicemente seleziona le proprietà della cartella e quindi la funzione per ripristinare versioni precedenti. Appena fatto questo il file viene ripristinato ed è leggibile.
Non viene detto ma per far ciò ovviamente bisognerà avere attivato il ripristino configurazione di sistema o il Windows backup perché da qualche parte deve attingere, quindi non è necessario per forza avere la chiave originale e decriptare.
grazie al piffero pure quello allora, è sempre una copia di backup... che sia fatta in modo manuale o in modo automatico è pur sempre un backup.
non è stato decriptato nulla.

addirittura, alcune versioni, che non erano in grado di "criptare" direttamente i files, forse a seconda del sistema colpito, ne creavano una copia criptata e l'originale veniva eliminato.
quindi con un Recupero dei files eliminati si poteva risolvere comunque, nel caso non si fosse fatta una copia di sicurezza e/o non fosse attivo il backup automatico.

Ma anche NO.
SE hai un backup (ovvio che non devi lasciare il disco attaccato al pc, ma fai il backup al bisogno), formatti il disco e i tuoi dati li rimetti dal backup esterno.

il problema è che stanno diventando più subdoli anche sul discorso backup.
Preso da altra fonte sempre sull'argomento:
"Per complicare la vita agli utenti, Cryptowall rinomina i file di cui sequestra il contenuto, rendendo più difficile capire quali documenti siano stati criptati e quindi è difficile capire se ne abbiamo una copia di backup o meno.

Come se ciò non bastasse, una variante di Cryptowall sembra codificare al volo il flusso di dati che vengono indirizzati al backup, ritardando anche di mesi la richiesta di riscatto. In questo modo, l'utente si ritrova con mesi di backup che contengono file criptati che risultano inaccessibili senza pagare."

se vale solo con Windows backup sì ma se il ripristino alla versione precedente funziona anche con il solo ripristino configurazione di sistema attivo allora, a meno che uno non l'abbia disabilitato (perché è sempre attivo di default) allora recupera tutto.
Quella funzione di ripristino precedente non l'ho mai utilizzata quindi non so dove va a parare...

Come se ciò non bastasse, una variante di Cryptowall sembra codificare al volo il flusso di dati che vengono indirizzati al backup, ritardando anche di mesi la richiesta di riscatto.

In questo caso l'unica alternativa è una protezione attiva.

Se comunque tutti questi ransomware vanno a scrivere file di quel tipo (quei files che ho visto nei video) io non ci metterei molto ad accorgermene che qualcosa è entrato perché vado spesso a far pulizia in quelle cartelle, anche nascoste.
Discorso diverso è invece se rimane silente e praticamente invisibile e poi scrive tutti i file in questione dopo mesi, allora come detto, l'unica soluzione è quella attiva che blocca al momento dell'ingresso.

se vale solo con Windows backup sì ma se il ripristino alla versione precedente funziona anche con il solo ripristino configurazione di sistema attivo allora, a meno che uno non l'abbia disabilitato (perché è sempre attivo di default) allora recupera tutto.
Quella funzione di ripristino precedente non l'ho mai utilizzata quindi non so dove va a parare...
purtroppo no xchè il Ripristino di sistema si occupa appunto dei files di sistema e dei programmi installati.
tanto è vero che dopo un ripristino ad una data precedente, magari dopo una installazione finita male di un software, si riporta il sistema a quella data ma i DATI utente non vengono toccati.

Se però vai a vedere in proprietà>versioni precedenti
c'è scritto che le versioni precedenti provengono da punti di ripristino o da Windows backup, ed anche nell'aiuto leggo:

Che cosa sono le versioni precedenti?
Le versioni precedenti sono copie di cartelle e file create da Windows Backup oppure copie di cartelle e file salvate automaticamente da Windows come parte di un punto di ripristino. Le versioni precedenti possono essere utilizzate per ripristinare le cartelle e i file danneggiati, modificati o eliminati accidentalmente. A seconda del tipo di file o cartella, è possibile aprire, salvare in un percorso diverso o ripristinare una versione precedente.

Qual è la differenza tra il ripristino di versioni precedenti da punti di ripristino e il ripristino di versioni precedenti da un backup?
Quando si ripristina una versione precedente da un punto di ripristino, il file è già salvato nel computer, pertanto non è necessario eseguire ulteriori operazioni. Se invece si desidera ripristinare una versione precedente di un file o una cartella da un backup, dopo aver selezionato la versione precedente e aver fatto clic su Ripristina, viene aperta la procedura guidata Ripristina file di Windows ed è necessario seguire le relative istruzioni. Per poter ripristinare elementi da un backup, l'unità o il supporto su cui è archiviato il backup deve essere disponibile.

Come se ciò non bastasse, una variante di Cryptowall sembra codificare al volo il flusso di dati che vengono indirizzati al backup, ritardando anche di mesi la richiesta di riscatto. In questo modo, l'utente si ritrova con mesi di backup che contengono file criptati che risultano inaccessibili senza pagare."
Proprio come temevo.
Nemmeno con il backup ti salvi.
Spero che l'uso di macchine virtuali quando navigo in siti a rischio sia sufficiente. Purtroppo nemmeno questo mi lascia tranquillo.
Faccio girare regolarmente ADWCleaner e, nonostante tutte le mie precauzioni, mi trova sempre qualche spyware in giro. L'ultima è stata due giorni fa, che mi ha trovato (fra gli altri) un tracker softonic infilato dentro Chrome, quando sono assolutamente certo di non essermi mai nemmeno avvicinato a softonic negli ultimi mesi/anni.
Se un tracker si può insinuare così facilmente, che dire di un cryptolocker?

Dipende cosa ha trovato... magari erano solo dei tracking cookies... quelli praticamente te li ritrovi sempre a meno che hai fatto dei settaggi molto particolari ed hai delle estensioni apposite.

Per quanto riguarda il prolungamento "in mesi" di questa infezione, mi lascia un po' perplesso comunque...
Queste dovrebbero essere cose che colpiscono e si rinnovano nel giro di breve tempo se no sarebbe più semplice beccare i responsabili.
Cioè attivi una URL becchi qualcuno e poi spegni tutto e rinnovi la sorgente, lo stesso con gli allegati, ecc.
Mettiamo che inizino ad appestare oggi ed ogni giorno qualcuno se lo becca, silente ovviamente. Tra sei mesi iniziano ad arrivare i messaggi di pagamento, in successione, giorno per giorno per i futuri sei mesi a chi se l'è beccato.
E' chiaro che una roba di questo genere mette molto in pericolo chi ha fatto il virus sia perché deve stare per molto tempo in attesa dell'infezione col rischio di non beccare un soldo se uno se ne accorge prima che qualcosa non va, sia col rischio di essere beccato prima durante la fase silente per altri motivi e quindi allo stesso modo non beccare un soldo, sia perché nel giro di mesi le cose vengono fuori ed i programmi di protezione potrebbero quindi svelare l'infezione silente, sia nei mesi in cui iniziano a manifestarsi le infezioni e sei esposto al rintracciamento per lungo periodo durante gli eventuali incassi a cui sei finalmente arrivato.
Insomma non mi pare una grande idea...

Che cosa dobbiamo usare per proteggerci da questi ransomware che criptano? Le email sospette le elimino tutte e non apro gli allegati, li elimino. Uso thundebird...
Ma in firefox aggiornato che cosa dobbiamo usare? che estensioni? Assieme ad adblock plus basta metterci anche l'estensione WOT? Che ti dice con colori e commenti che tipo di sito è prima di entrarci e te lo blocca pure? Guardando i risultati da google...
Insomma che cosa dobbiamo usare?

"WOT è un servizio di reputazione e recensione di siti web che ti aiuta a decidere in maniera informata se fidarti di un sito web o meno mentre stai facendo una ricerca, acquisti o semplicemente navigando online.

WOT mostra in modo chiaro le reputazioni dei siti web sotto forma di semafori posti accanto ai risultati di ricerca quando usi Google, Yahoo!, Bing o qualunque altro motore di ricerca. Le icone sono inoltre visibili accanto ai link su siti di social network come Facebook e Twitter e servizi e-mail come Gmail e Yahoo! Mail, senza dimenticare altri siti molto frequentati come Wikipedia. Cliccando sull'icona del semaforo puoi scoprire ulteriori informazioni sulla reputazione di un sito web e altre opinioni degli utenti. Un semaforo verde significa che gli utenti hanno valutato il sito come fidato ed affidabile, uno rosso avverte di possibili minacce e uno giallo indica che bisogna essere prudenti quando si utilizza quel sito.

Le valutazioni e recensioni di WOT sono rese possibili da una comunità globale di utenti che valutano i siti web in base alle loro esperienze personali. Inoltre, fonti di terze parti sono usate per avvertirti di malware e altre minacce tecniche nelle quali potresti imbatterti.

Puoi condividere le tue esperienze valutando un sito tu stesso e aiutare a rendere Internet un posto più sicuro per tutti.
WOT è stato presentato su il New York Times, CNET, PC World, Kim Komando show, Tech Republic, PC Welt e molti altri famosi media."

L'ho scritto almeno due o tre volte...
http://www.hwupgrade.it/forum/showpost.php?p=43040534&postcount=18
Ci vuole un antiexploit...
tipo
-HitmanPro.Alert
-Malwarebytes Antiexploit
-EMET
ecc.

Ok provo Malwarebytes Antiexploit ,tanto ho già malwarebytes antimalware

Scusa ma se è free come c'è scritto, perchè sotto ci sono le opzioni "buy now" e "activate " ?? su about c'è scritto license id: FREE VERSION.

AAAH La versione premium! ma questi si vogliono arricchire coi malware. Ho capito.

perché c'è sia la versione free che quella a pagamento, come d'altronde anche per l'antimalware che già hai. Sul sito è scritto chiaramente delle due versioni.

Queste falle ,chiamate anche exploit sarebbero dunque dei bug che firefox e altri browser devono ancora correggere, altrimenti non ci sarebbe bisogno di questi programmini aggiuntivi, e che aspettano a correggerle ?

Anche ma non solo, se leggi il link che avevo postato di Alert
http://www.surfright.nl/en/alert
vedi che è molto "composita" la faccenda.
Come chiedevano altri, sarebbe utile un bell'articolo che tratti bene ed esaurientemente del problema, visto che molti lo ignorano ancora.

Io ho trovato questo pdf molto interessante
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf

Da un certo punto di vista cono "contento" che ci siano i ransomware che criptano "a caso" file vecchi, per lungo tempo prima di farsi beccare.

Un motivo in più per portare le persone ad archiviare i dati in sola lettura.

riprendo il thread perchè ora è molto di attualità, ci sono stati molti 'casi' recentemente.
ho preso il Tesla 3 da poco (tra la sostituzione del server e il ripristino dei backup.... una nuova legge di murphy).
in studio ho 10 cliente e 1 server.
pensavo di organizzarmi così: il nas collegato ad alla seconda scheda di rete del server, con una rete ip diversa da quella dello studio (tipo 192.168.0.1), ovviamente non mappato direttamente sul server, le credenziali solo nel programma di backup, il nas si accende da solo di notte , sta acceso il tempo che serve per il backup, poi si spegne da solo. backup multipli, incrementali.
suiclient una GPO per bloccare eseguibili indesiderati...
secondo voi può funzionare?
thanks