Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/ransom32-il-ransomware-che-si-finge-chrome-chiede-soldi-e-spaventa-l-italia_60314.html

Gli italiani si sono mostrati fra i più sensibili e i più colpiti dal nuovo ransomware che prende in ostaggio tutti i file sensibili di un sistema richiedendo un riscatto

Click sul link per visualizzare la notizia.

In azienda stiamo ricevendo molte mail contraffatte ed infette e, purtroppo, nonostante i nostri ripetuti avvisi, due dipendenti ci sono anche cascati e si sono beccati Cryptoloker (o magari era già questo). Fortunatamente sono stati infettati due portatili e l'attacco è avvenuto mentre erano fuori dall'azienda, quindi ci siamo salvati. Il fenomeno effettivamente si è molto accentuato a partire dallo scorso periodo natalizio.
Continuano ad arrivare mail con allegati Word con scritto che si tratta di fatture per alcuni pagamenti effettuati, ovviamente finti. Il solo fatto che ti venga mandata una fattura in formato word dovrebbe un minimo farti pensare ma di utonti, si sa, è pieno il mondo.
Per non parlare di quante mail con allegati eseguibili arrivano, quelle vengono tutte bloccate dal sistema anti-spam, ma si parla di decine e decine di mail al giorno.

confermo quanto detto da TheMonzOne .. lunedì ne sono arrivate 8 una in fila all'altra.. fortunatamente tutte segnalate come spam e con allegato rimosso..
la cosa inizia ad assumere dimensioni preoccupanti..

ce n'è sempre una nuova :muro:

ultimamente vedo che circolano parecchio anche delle finte mail di Equitalia scritte in un Italiano sgrammaticato e con allegati sospetti

occhio :D

se non ricordo male colpisce anche i files nelle unità di rete mappate?
devo ricordarmi di smappare l'unità di bkp del nas a casa che non si sa mai :D

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..

circolano parecchio anche delle finte mail di Equitalia scritte in un Italiano sgrammaticato e con allegati sospetti

Pensavo fosse la prova che sono autentiche... :fagiano:

Quasi tutti i contagiati che ho visto non usavano Gmail.
E poi c'e' il problema dei filtri delle caselle postali corporate. Alcuni sono molto carenti (sopratutto per le piccole e medie aziende).

Le vostre esperienze sono concordi alle mie ?

TheMac

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..

lavoro in azienda con altre 10 persone, è un lavoro amministrativo con utilizzo massico del pc; sono quello che di gran lunga ne sa di più in ambito informatico, ma ti garantisco che i miei colleghi e colleghe non sono ritardati, anzi lavoro con gente veramente in gamba e potrei essere considerato tranquillamente l'ultima ruota del carro

Pensavo fosse la prova che sono autentiche... :fagiano:

potrebbe essere :asd: :asd:

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

immagino che succeda aprendo l'allegato (se è un EXE) o se si tratta di un file compresso, estraendo ed eseguendo il contenuto

Devo correggermi, anche un altro dei nostri dipendenti si era preso il cryptoloker, però sul desktop personale a casa. E' stato il precursore qualche mese fa :sofico: .

Esterni all'azienda ho visto solo altri due casi, uno l'anno scorso e uno un paio di anni fa, se non 3, quindi una delle prime versioni di Cryptoloker.
Ai tempi poi era ancora "aggirabile" tramite le shadow copy di windows, ora non ce la si fa più.
quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

immagino che succeda aprendo l'allegato (se è un EXE) o se si tratta di un file compresso, estraendo ed eseguendo il contenuto
C'è scritto nell'articolo:
"Un'altra delle peculiarità del malware è che si traveste da Chrome per passare inosservato agli occhi degli utenti. Ransom32 viene consegnato sotto forma di un file compresso con estensione RAR che si auto-estrae creando un collegamento nella cartella di Avvio automatico con il nome "ChromeService". In questo modo Ransom32 viene eseguito ad ogni avvio, chiedendo un riscatto in Bitcoin per riottenere l'uso di tutti i file, i quali vengono protetti con una chiave crittografica che l'utente non può sapere."

se non ricordo male colpisce anche i files nelle unità di rete mappate?
devo ricordarmi di smappare l'unità di bkp del nas a casa che non si sa mai :D

Attenzione perché alcune varianti vanno anche a cercare le condivisioni di rete e se sono "aperte" cercano di infettare anche quelle non mappate.

Io ho smesso di memorizzare le credenziali di rete per le cartelle su cui eseguo i backup, le faccio memorizzare solo ai software di backup. In questo modo il sistema operativo non ha accesso diretto alle cartelle e il ransomware non le può "visitare".

Comunque effettivamente ho visto un'impennata, nel 2016 già 3 clienti infettati.

Attenzione perché alcune varianti vanno anche a cercare le condivisioni di rete e se sono "aperte" cercano di infettare anche quelle non mappate.

Io ho smesso di memorizzare le credenziali di rete per le cartelle su cui eseguo i backup, le faccio memorizzare solo ai software di backup. In questo modo il sistema operativo non ha accesso diretto alle cartelle e il ransomware non le può "visitare".

Comunque effettivamente ho visto un'impennata, nel 2016 già 3 clienti infettati.

già, come previsto nel 2016 il fenomeno crescerà.


https://www.achab.it/achab.cfm/it/blog/prodotti/webroot/cryptovirus-perche-bucano-gli-antivirus-e-best-practice-per-fermarli

queste cose però succedono se si va a navigare senza criterio in chissà quali siti e usando un browser privo di Adblock, Ublock e simili

Il malware viene offerto ... in qualità di "ransomware-as-a-service"
:rotfl:
mi sembra di aver già sentito una frase del genere.... :D

Confermo anche per quanto mi riguarda, a livello personale, un aumento esponenziale delle mail che arrivano oltre che dalle solite finte banche o gestori di servizi che richiedono l'accesso con le credenziali ad un link in allegato, ultimamente invece anche molte mail con fantomatiche fatture o documenti importanti che avrei richiesto ecc ecc.
Ormai è un supplizio.

queste cose però succedono se si va a navigare senza criterio in chissà quali siti e usando un browser privo di Adblock, Ublock e simili
Fosse solo quello, il problema più grave è proprio lo spam secondo me... a cui molti ci cascano. E ublock e simili non fermano i ransomware durante la navigazione.

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..
LOL :D
Poi capita che in qualche posto c'è uno capace, e invece del sistema operativo più famoso del mondo, ci installa un altro sistema operativo degno di questo nome, che non nomino per non scatenare gli squadristi della sezione :D
E così i "ritardati" che lavorano in azienda, possono cliccare dove caxxo vogliono, che non possono fare danni :cool:
E io mi faccio delle risate quando leggo queste news :D

Il malware viene offerto ... in qualità di "ransomware-as-a-service"
:D
e il sistema operativo viene offerto... in qualità di "colabrodo-as-a-service" :asd:

Confermo che con gmail non arriva quasi niente... 2-3 mail in tutto sono passate (poste italiane o roba simile) è vero che ogni tanto capita che qualche mail finisca nello spam quando non dovrebbe.

In azienda stiamo ricevendo molte mail contraffatte ed infette e, purtroppo, nonostante i nostri ripetuti avvisi, due dipendenti ci sono anche cascati e si sono beccati Cryptoloker (o magari era già questo). Fortunatamente sono stati infettati due portatili e l'attacco è avvenuto mentre erano fuori dall'azienda, quindi ci siamo salvati. Il fenomeno effettivamente si è molto accentuato a partire dallo scorso periodo natalizio.
Continuano ad arrivare mail con allegati Word con scritto che si tratta di fatture per alcuni pagamenti effettuati, ovviamente finti. Il solo fatto che ti venga mandata una fattura in formato word dovrebbe un minimo farti pensare ma di utonti, si sa, è pieno il mondo.
Per non parlare di quante mail con allegati eseguibili arrivano, quelle vengono tutte bloccate dal sistema anti-spam, ma si parla di decine e decine di mail al giorno.

Non utilizzando outlook ma client web mi chiedo: è possibile visualizzare l'estensione prima di scaricare l'allegato?
Inoltre non dovrebbe bastare che i dipendenti non usino un utente admin (o su w7 o più recenti abilitare lo uac)? lo so che in molte aziende sono restii a queste politiche ma visto il crescere di questi casi...
Comunque forse dovrebbe essere necessario istruire i dipendenti a determinate best pratices di sicurezza...

Lo chiedo per capire in quanto sono molto interessato al tema (mi sono anche guardato il webinar achab :D)

Infine mi chiedo: come mai, visti i noti casi (da sempre...) di virus .exe che si mascherano da .doc o .pdf, Microsoft continui a impostare come predefinito che le estensioni conosciute sono note....:rolleyes: Io lo so ed è la prima cosa che modifico ogni volta su un mio pc o di qualche amico, ma non sono in molti a farlo...

chissà se aver tolto i diritti di amministrazione ai miei utenti è servito a qualcosa.... :D

chissà se aver tolto i diritti di amministrazione ai miei utenti è servito a qualcosa.... :D

sei riuscito a farlo anche con il capo? negli anni leggevo che di solito sono piuttosto restii :D :D :D

Purtroppo, a mio avviso, il problema principale è che la stragrande maggioranza degli italiani non ha una cultura di internet. Basta pensare alle connessioni mobile e fisso: siamo ultimi in Europa per quanto riguarda la velocità delle connessioni fisse ma siamo i primi per quelle mobile. Perchè? perchè alla maggior parte degli italiani internet serve solo per usare Facebook, WhatsApp e Youtube dal telefonino (tra l'altro siamo uno dei paesi al mondo con il maggior rapporto abitanti/numero telefonini). Gli italiani ancora non hanno alba delle VERE potenzialità di internet: altri paesi hanno letteralmente fondato la loro economia sulle nuove tecnologie e l'informatica. I paesi del nord europa, per esempio, hanno una percentuale altissima (70%-90%) di popolazione che fa acquisti su internet. Qua da noi invece (dove solo il 20-30% acquista su internet) i nostri commercianti magari chiudono perchè non possono (e molti anche non vogliono) sfruttare le potenzialità del mercato via internet. Questo per dire, appunto, che gli italiani di internet non ne sanno nulla (e purtroppo, mi duole dirlo, non vogliono sapere nulla se non le cose che ho accennato sopra) e cadono facilissimamente vittima dei criminali informatici, che per l'appunto, scelgono il nostro paese non a caso. Avendo un minimo di intelligenza e conoscenze non è difficile capire se la mail arrivata sia falsa o vera.

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

Il fatto è che nn scrivono mai niente su come il malware arriva e si piazza/esegue sulla macchina per capire come prevenire la cosa e di chi/cosa è la colpa ... ma solo cosa fa.Indovinate perchè:D




Devo correggermi, anche un altro dei nostri dipendenti si era preso il cryptoloker, però sul desktop personale a casa. E' stato il precursore qualche mese fa :sofico:


Ma avete visto come arrivara Cryptoloker? Arrivava una mail da solito mittente inquietante sconosciuto con la solita scusa della fattura con tanto di file .zip che l'utente scaricava ( moltissimi oramai usano la WebMail di Outlook, Gmail etc e nn piu' il client per aver sempre le email a disposizione su tutti i dispositivi al volo senza configurare server IMAP etc ) poi apriva e lanciava/eseguiva pure l'.exe con tanto di solito account Amministratore ...oppure file .mp3 come exploit+shellcode ad eseguirsi per sfruttare falla sul Player Audio di default non aggiornato ( per mancanza ultimi aggiornamenti sicurezza di sistema)




C'è scritto nell'articolo:
"Un'altra delle peculiarità del malware è che si traveste da Chrome per passare inosservato agli occhi degli utenti. Ransom32 viene consegnato sotto forma di un file compresso con estensione RAR che si auto-estrae creando un collegamento nella cartella di Avvio automatico con il nome "ChromeService". In questo modo Ransom32 viene eseguito ad ogni avvio, chiedendo un riscatto in Bitcoin per riottenere l'uso di tutti i file, i quali vengono protetti con una chiave crittografica che l'utente non può sapere."

Scusate, avete capito cosa vuol dire: il Ransomware viene consegnato?
Su queste "descrizioni tecniche" nulle sembra di stare a Zelig.

Il fatto è che nn scrivono mai niente su come il malware arriva e si piazza/esegue sulla macchina per capire come prevenire la cosa e di chi/cosa è la colpa ... ma solo cosa fa.Indovinate perchè:D







Ma avete visto come arrivara Cryptoloker? Arrivava una mail da solito mittente inquietante sconosciuto con la solita scusa della fattura con tanto di file .zip che l'utente scaricava ( moltissimi oramai usano la WebMail di Outlook, Gmail etc e nn piu' il client per aver sempre le email a disposizione su tutti i dispositivi al volo senza configurare server IMAP etc ) poi apriva e lanciava/eseguiva pure l'.exe con tanto di solito account Amministratore ...oppure file .mp3 come exploit+shellcode ad eseguirsi per sfruttare falla sul Player Audio di default non aggiornato ( per mancanza ultimi aggiornamenti sicurezza di sistema)





Scusate, avete capito cosa vuol dire: il Ransomware viene consegnato?
Su queste "descrizioni tecniche" nulle sembra di stare a Zelig.

Scusa, la posta cartacea non viene "consegnata"? :D

Suppongo quindi si possa dire che anche la posta elettronica venga "consegnata", anche se è un termine un po' arcaico. :)

sei riuscito a farlo anche con il capo? negli anni leggevo che di solito sono piuttosto restii :D :D :D

I capi sono SEMPRE restii, ma nelle PMI italiane è praticamente impossibile adottare una politica di sicurezza a livello di account, vista l'italica propensione a non seguire le regole e ad usare i programmi più disparati, giusto per il gusto di differenziarsi dagli altri.

Se io dovessi permettere l'uso solo di quei 5-10 eseguibili veramente necessari ai miei colleghi, starei tutto il giorno al telefono a sentire le lamentele e a subire pressioni da tutti i livelli aziendali.

Anche se partisse una sirena a 130 dBa e lampeggiasse il video con una immagine raccapricciante, dicendo che vi verrà all'istante la morte nera se eseguite quel programma, ci sarebbe sempre qualcuno che tenterebbe di farlo partire. ;)

Scusa, la posta cartacea non viene "consegnata"? :D

Suppongo quindi si possa dire che anche la posta elettronica venga "consegnata", anche se è un termine un po' arcaico. :)

Invece di scrivere che l'Italia trema per questo Ransom:D , non si faceva prima a scrivere che arriva una email col solito allegato tarocco .zip o .rar che l'utente non dovrebbe nè scaricare nè poi aprire eseguendo a sua volta il file ivi compresso spiegando il perchè accade tutto questo e come prevenire?
E' come dire che è bruttissimo andare in giro in macchina perchè ci sono un sacco di pedoni che potrebbero essere investiti facendo una strage dietro l'altra invece di spiegare come fare per non investirli.:)

anche con Hotmail passa quasi nulla.
Le uniche che arrivano sono spedite da computer infetti di contatti della rubrica

Scusate, avete capito cosa vuol dire: il Ransomware viene consegnato?
ma chissaaaa cosa vorrààà mai direeee ohhhhhh
http://www.google.it/search?q=malware+delivery


Su queste "descrizioni tecniche" nulle sembra di stare a Zelig.
disse quello che si fa un nickname nuovo ogni settimana :asd:

prendi una zappa e vai nell'orto che sta per arrivare la primavera :D

ma chissaaaa cosa vorrààà mai direeee ohhhhhh
http://www.google.it/search?q=malware+delivery


disse quello che si fa un nickname nuovo ogni settimana :asd:

prendi una zappa e vai nell'orto che sta per arrivare la primavera :D

Quindi, stando a quello che ho letto, la "consegna" e la conseguente esecuzione di quel codice in questo caso non è dovuta a falle di sistema.Penso lo avrai capito invece di linkarmi Google a vuoto:D

Quindi, stando a quello che ho letto, la "consegna" e la conseguente esecuzione di quel codice in questo caso non è dovuta a falle di sistema.Penso lo avrai capito invece di linkarmi Google a vuoto:D
prova questo :D
http://www.google.it/search?q=preparare+il+terreno+per+la+semina+primaverile

prova questo :D
http://www.google.it/search?q=preparare+il+terreno+per+la+semina+primaverile

Non sai come ti capisco.:D

Anche se partisse una sirena a 130 dBa e lampeggiasse il video con una immagine raccapricciante, dicendo che vi verrà all'istante la morte nera se eseguite quel programma, ci sarebbe sempre qualcuno che tenterebbe di farlo partire. ;)
Basterebbe il bit di execute non settato.
Pensa un po' che sugli altri OS c'è dagli anni '70. :D

Basterebbe il bit di execute non settato.
Pensa un po' che sugli altri OS c'è dagli anni '70. :D

Volendo si può fare abbastanza facilmente anche con Windows, sia sul singolo PC, che tramite GPO su un dominio.

Solo che si ritorna al discorso di prima: o sei in una grande azienda dove c'è una struttura addetta alla sicurezza in generale, per cui quando ti assumono ti fanno "'na capa tanta" su quello che puoi fare e quello che non, con tanto di documento a prova di avvocati che ti fanno sottoscrivere "col sangue"; oppure sei in una PMI in cui il 50enne responsabile di turno ti rompe le scatole 20 volte al giorno perché non riesce a vedersi i siti porno durante la pausa o non riesce a guardare quanto gli rimane sul conto in banca o a puntare qualche soldo al poker online o sui cavalli...:mad:

così se parte qualcosa riprendi la precedente immagine della macchina e vai avanti, altrimenti ti copi il file in una partizione condivisa e continui a lavorare

non ho capito qual'è il vettore d'infezione.
un file javascript? un exe? un sito infetto? :confused:

immagino che succeda aprendo l'allegato (se è un EXE) o se si tratta di un file compresso, estraendo ed eseguendo il contenuto

E pensi bene.

Logica vuole che qualunque situazione infetta su un PC non può generarsi dal nulla, ma che qualche processo esecutivo malevolo la crei.
Chi (o cosa) è che manda in esecuzione un processo malevolo su un PC ancora non infettato?

Chi sa rispondere a questa domanda sa benissimo come premunirsi.

PS: Qualunque AV passivo e qualunque SO aggiornatissimo o per assurdo perfetto nulla possono contro un comportamento dell'utente/onto che ai loro occhi è visto come azione legittima esplicitamente richiesta.

E pensi bene.

Logica vuole che qualunque situazione infetta su un PC non può generarsi dal nulla, ma che qualche processo esecutivo malevolo la crei.
Chi (o cosa) è che manda in esecuzione un processo malevolo su un PC ancora non infettato?

Chi sa rispondere a questa domanda sa benissimo come premunirsi.

PS: Qualunque AV passivo e qualunque SO aggiornatissimo o per assurdo perfetto nulla possono contro un comportamento dell'utente/onto che ai loro occhi è visto come azione legittima esplicitamente richiesta.

L'utente (utonto)? Se però la soluzione è che non abbia i diritti di admin e di compiere determinate azioni ma come riportato da un altro utente (ma è cosa nota l'ho letto molte volte) non è praticabile in azienda per volontà della stessa?

Personalmente in pasato mi è capitato di prendere dei malware semplicemente navigando, proprio attraverso java script.
Ho risolto almeno parzialmente con no script, almeno sono io di volta in volta a dare i permessi di usare script solo ai siti che ritengo affidabili, può sembrare qualcosa di estremo e che mina la fluidità della navigazione, ma mi sento molto più sicuro.
In ogni caso il backup periodico su supporti esterni non deve mancare mai.

Personalmente in pasato mi è capitato di prendere dei malware semplicemente navigando, proprio attraverso java script.
Ho risolto almeno parzialmente con no script, almeno sono io di volta in volta a dare i permessi di usare script solo ai siti che ritengo affidabili, può sembrare qualcosa di estremo e che mina la fluidità della navigazione, ma mi sento molto più sicuro.
In ogni caso il backup periodico su supporti esterni non deve mancare mai.

Se ti si è autoinstallato del malware navigando su sito corrotto con exploit+shellcode dedicato per Javascript di quel tal Browser X che usavi per navigare sul web, deve poi essere uscito un aggiornamento di sicurezza del browser che usavi e su cui è andato in porto l'exploit, altrimenti si impesterebbero 1 miliardo di computer ogni giorno.
Ps: usavi account Admin o avevi UAC al minimo.
PPS: che browser era?

uuuh allora era questo il virus che mi e entrato,ma era prima di dicembre credo. non era completo ancora, anche perchè io chrome non lo uso..
Questo è stato il primo che non sono riuscito a rimuovere manualmente,non mi andava di perdere tempo a provare complimenti. La soluzione e usare un hard disk solo per il sistema operativo,e se succedere provvedere subito a formattare.

complimenti al team

Sul PC di mio padre l`Avira gratuito bloccò il Cryptolocker e lo mise in quarantena, mi pare successe durante l`anno scorso, non so però che versione di Cryptolocker fosse visto che ne esistono già alcune.

Ho sentito di GGente che è riuscita a far criptare i file condivisi nel server, alcuni che non riuscivano ad accedere ai ile consivisi in dropbox da utenti infetti e uno che affermava di essere al sicuro perchè ha i file neel clllaaauuuud con ggguuuuugggoool drive... Epic file ehm... fail!!!

HD esterno o backup desincronizzato, what else!!!

Sapete se l'infezione anche in questo caso passa attraverso i soliti percorsi? Intendo le cartelle appdata e localappdata?

In ogni caso che il fenomeno aumenti è normale visto che in molti stanno pagando.

Se ti si è autoinstallato del malware navigando su sito corrotto con exploit+shellcode dedicato per Javascript di quel tal Browser X che usavi per navigare sul web, deve poi essere uscito un aggiornamento di sicurezza del browser che usavi e su cui è andato in porto l'exploit, altrimenti si impesterebbero 1 miliardo di computer ogni giorno.
Ps: usavi account Admin o avevi UAC al minimo.
PPS: che browser era?

Stiamo parlando di 8 o più anni fa non ricordo esattamente come ero configurato allora...
il S.O. probabilmente era windows XP.
mentre il browser probabilmente explorer, non a caso poi sono passato a firefox+noscript e non ho più avuto tali problemi

Personalmente in pasato mi è capitato di prendere dei malware semplicemente navigando, proprio attraverso java script.
Ho risolto almeno parzialmente con no script, almeno sono io di volta in volta a dare i permessi di usare script solo ai siti che ritengo affidabili, può sembrare qualcosa di estremo e che mina la fluidità della navigazione, ma mi sento molto più sicuro.
Quoto!

E pensi bene.

Logica vuole che qualunque situazione infetta su un PC non può generarsi dal nulla, ma che qualche processo esecutivo malevolo la crei.
Chi (o cosa) è che manda in esecuzione un processo malevolo su un PC ancora non infettato?
beh, non è detto che ci voglia un'azione "da utonto". se c'è qualche componente bacato nel SO, può essere mandato in esecuzione codice senza nessuna interazione con l'utente/utonto.

Quindi per Mac e sistemi basati su linux è sufficiente disattivare JS.

Cosa buona e giusta a prescindere!

Ma usando un'app web per la gestione della posta (anziché un client nativo), si è un po' più tutelati o no? Mi sembra strano che Gmail (tanto per dirne una) lasci passare del codice js in maniera così plateale...

Dipende dal filtro antispam...
Quello di Gmail in genere funziona bene, comunque anche io con indirizzo di libero trovo sempre queste mail nella cartella spam, non credo di averne mai viste nella posta in arrivo.

beh, non è detto che ci voglia un'azione "da utonto". se c'è qualche componente bacato nel SO, può essere mandato in esecuzione codice senza nessuna interazione con l'utente/utonto.

Se ti arriva un allegato .pdf.js exploit in messaggio di posta elettronica da mittente sconosciuto/inquietante in un archizio .zip:D che tu poi a sua volta scarichi, decompatti e lanci facendo sopra al .pdf.js doppio click, su Windows viene invocato per l'apertuta del file .js exploit wscript.exe

Se wscript.exe (& relative sue .dll) ha una vulnerabilità ( Sistema Operativo senza patch/aggiornamenti di sicurezza), si esegue l'exploit+shellcode in area dati di wscript.exe ( sempre che DEP+ ASLR & SEHOP vengano bypassati) e va in porto quello che deve andare in porto ( sempre se stai con account Admin e UAC non settato al massimo) altrimenti non succede una bega.

edit

Se ti arriva un allegato .pdf.js exploit in messaggio di posta elettronica da mittente sconosciuto/inquietante in un archizio .zip:D che tu poi a sua volta scarichi, decompatti e lanci facendo sopra al .pdf.js doppio click, su Windows viene invocato per l'apertuta del file .js exploit wscript.exe

Se wscript.exe (& relative sue .dll) ha una vulnerabilità ( Sistema Operativo senza patch/aggiornamenti di sicurezza), si esegue l'exploit+shellcode in area dati di wscript.exe ( sempre che DEP+ ASLR & SEHOP vengano bypassati) e va in porto quello che deve andare in porto ( sempre se stai con account Admin e UAC non settato al massimo) altrimenti non succede una bega.
io mi riferivo a bug più seri.
tipo molti anni fa un bug di outlook express 4 mandava in esecuzione del codice semplicemnte scaricando la mail, perchè c'era un problema su come erano gestiti gli header delle mail. lì potevi essere un superhacker sgamatissimo, ma il malware te lo beccavi comunque in ogni caso.

qua non ho capito ancora come funziona 'sto ransom32....

io mi riferivo a bug più seri.
tipo molti anni fa un bug di outlook express 4 mandava in esecuzione del codice semplicemnte scaricando la mail, perchè c'era un problema su come erano gestiti gli header delle mail. lì potevi essere un superhacker sgamatissimo, ma il malware te lo beccavi comunque in ogni caso.

qua non ho capito ancora come funziona 'sto ransom32....
In quel caso è stato necessario un aggiornamento del client di posta elettronica.( PS: con account Limitato non si beccava niente)

Per questo Ransom32 invece mi sono informato in rete, visto che gli articoli usciti sui vari siti in questi 2 giorni non spiegano niente nello specifico dietro a quale tipo di raggiro del niubbo di turno viene fatto scaricare... ovvero non capisco per quale utility o aggiornamento viene spacciato per incutere allo scarico sul computer + a doppiocliccarci sopra tramite solito social engineering.

Da un sito concorrente ad HwUpgrade ho ricavato questa informazione:

I vettori di infezione sono i soliti: campagne di spam, siti compromessi,

Quindi prendiamo che arrivi in posta elettronica con una qualche balla di messaggio che inciti il niubbo a scaricare e doppiocliccare il file ( per chi usa la WebMail) o solo a doppiocliccare il file per chi usa il Client di posta elettonica POP3 che scarica già lui la mail col relativo allegato sull'Hard Disk ( che io nn uso piu' perchè mi trovo meglio con la WebMail su tutti i dispositivi che utilizzo ) dicevo dopo che l'utente è stato convinto in una qualche maniera, il file in questo caso puo' avere estensione o .scr ( screen-salvaschermo) o .rar o .zip etc

Qualora avesse estensione .scr, una volta lanciato con doppioclick dal niubbo, invoca Rar ( idem se fosse .rar e se fosse .zip invocherebbe il decompattatore Zip di sistema) e parte in autoestrazione tramite javascript sullo stesso sistema decompattando appunto tutti i files nella cartella Temp e procedendo poi all'installazione dove si spaccia per Chrome

tutto questo avviene tramite questo benedetto Framework NW.js


So what is NW.js exactly? NW.js is essentially a framework that allows you to develop normal desktop applications for Windows, Linux and MacOS X using JavaScript. It is based upon the popular Node.js and Chromium projects. So while JavaScript is usually tightly sandboxed in your browser and can’t really touch the system it runs upon, NW.js allows for much more control and interaction with the underlying operating system, enabling JavaScript to do almost everything “normal” programming languages like C++ or Delphi can do. The benefit for the developer is that they can turn their web applications into normal desktop applications relatively easily. For normal desktop application developers it has the benefit that NW.js is able to run the same JavaScript on different platforms. So a NW.js application only needs to be written once and is instantly usable on Windows, Linux and MacOS X.
Another large benefit for the malware author is that NW.js is a legitimate framework and application.



come poi si installa con tutta la procedura in sequenza lo si è visto nel testo & link della news ....anche se qua è riassunto meglio a mio avviso:

https://blog.malwarebytes.org/intelligence/2016/01/ransom32-look-at-the-malicious-package/


Appena ho tempo voglio approfondire questo NW.js

Ottimo articolo che finalmente chiarsice anche il mio dubbio; le cartelle interessate da ormai la totalità dei malware sono sempre le stesse a partire da appdata.
Pertanto al momento non è male utilizzare un bello script che blocchi l'esecuzione di eseguibili da quelle posizioni (o programmi tipo cryptoprevent o bitdefender anticryptowall).
Ovviamente un pò di buonsenso e i vari metodi già indicati sono sempre la miglior medicina.

...

Quindi prendiamo che arrivi in posta elettronica con una qualche balla di messaggio che inciti il niubbo a scaricare e doppiocliccare il file ( per chi usa la WebMail) o solo a doppiocliccare il file per chi usa il Client di posta elettonica POP3 che scarica già lui la mail col relativo allegato sull'Hard Disk ( che io nn uso piu' perchè mi trovo meglio con la WebMail su tutti i dispositivi che utilizzo ) dicevo dopo che l'utente è stato convinto in una qualche maniera, il file in questo caso puo' avere estensione o .scr ( screen-salvaschermo) o .rar o .zip etc

Qualora avesse estensione .scr, una volta lanciato con doppioclick dal niubbo, invoca Rar ( idem se fosse .rar e se fosse .zip invocherebbe il decompattatore Zip di sistema) e parte in autoestrazione tramite javascript sullo stesso sistema decompattando appunto tutti i files nella cartella Temp e procedendo poi all'installazione dove si spaccia per Chrome

tutto questo avviene tramite questo benedetto Framework NW.js


continua a risultarmi oscuro.
un sito infetto può passarti un js (motivo per cui li tengo disattivati) ma cmq viene interpretato dal browser e non da altro.
se invece scarichi un file js sul desk e lo clicchi, viene avviato windows script host. è questo il componente buggato? non sembra.

'sto framework è un interprete alternativo a Win-script-host? ma allora si chiama "nw.js" ma non è un file .js, bensì un .exe, e va installato a parte e PRIMA...
articoli così servono solo a confondere le idee ed attirare nuovi lettori... prima confondono le idee con notizie allarmistiche, si mette in agitazione il mondo, poi si fa una serie di altri 50 articoli per cercare chi calmare tutti, e alla fine tutto si risolve in una bolla di sapone, e vien fuori magari che non c'era nessun rischio... :muro:

continua a risultarmi oscuro.
un sito infetto può passarti un js (motivo per cui li tengo disattivati) ma cmq viene interpretato dal browser e non da altro.

Difatti in questo caso sarebbe una vulnerabilità del browser usato ( Firefox, Chrome, Opera, IE etc) che riceverà sicuramente poi un aggiornamento di sicurezza.
Non è questo il caso perche è solita ingegneria sociale a convincere il niubbo ad aprire il file allegato nella email che poi è il ransomware che si installa sul sistema e che se fosse con account non Amministratore non si installerebbe sempre che non digiti anche la password:D ed allora nn ci sono santi che tengano:D ( mi piacerebbe anche sapere quale balla hanno usato via messaggio email per convicerlo a farlo)


se invece scarichi un file js sul desk e lo clicchi, viene avviato windows script host. è questo il componente buggato? non sembra.

'sto framework è un interprete alternativo a Win-script-host? ma allora si chiama "nw.js" ma non è un file .js, bensì un .exe, e va installato a parte e PRIMA...
articoli così servono solo a confondere le idee ed attirare nuovi lettori... prima confondono le idee con notizie allarmistiche, si mette in agitazione il mondo, poi si fa una serie di altri 50 articoli per cercare chi calmare tutti, e alla fine tutto si risolve in una bolla di sapone, e vien fuori magari che non c'era nessun rischio... :muro:

Non ci ho capito una fava difatti ( non è un .exe) e devo approfondire pure io su quel Framework NW.js

Se qualcuno sa già qualcosa in merito da spiegare in 4 parole ...ben venga

Difatti in questo caso sarebbe una vulnerabilità del browser usato ( Firefox, Chrome, Opera, IE etc) che riceverà sicuramente poi un aggiornamento di sicurezza.
Non è questo il caso perche è solita ingegneria sociale a convincere il niubbo ad aprire il file allegato nella email che poi è il ransomware che si installa sul sistema e che se fosse con account non Amministratore non si installerebbe sempre che non digiti anche la password:D ed allora nn ci sono santi che tengano:D ( mi piacerebbe anche sapere quale balla hanno usato via messaggio email per convicerlo a farlo)
vabbè, se arriva x mail un exe di 32 MEGA (!) e uno lo esegue...
(a parte che non scarico mai mail con allegati oltre qualche centinaio di kb)


Non ci ho capito una fava difatti (non è un .exe) e devo approfondire pure io su quel Framework NW.js

se no è un exe (o scr ecc.) non vedo come possa essere eseguito e creare danni seri. mi sa di notizia-balla.

Ma usando un'app web per la gestione della posta (anziché un client nativo), si è un po' più tutelati o no? Mi sembra strano che Gmail (tanto per dirne una) lasci passare del codice js in maniera così plateale...
imho meno.
perchè è sempre online e non firewallabile.
un client locale lo puoi impostare in modo moooooolto più sicuro.

imho meno.
perchè è sempre online e non firewallabile.
un client locale lo puoi impostare in modo moooooolto più sicuro.

si ma sbaglio o usando il client web il malware dovrebbe bucare sia gmail sia il browser?
Inoltre con strumenti che bloccano gli script (noscript o ancora meglio umatrix) questo codice non viene eseguito se tu non lo abiliti. Sbaglio?

Imho è molto molto più sicuro il client web.

si ma sbaglio o usando il client web il malware dovrebbe bucare sia gmail sia il browser?
Inoltre con strumenti che bloccano gli script (noscript o ancora meglio umatrix) questo codice non viene eseguito se tu non lo abiliti. Sbaglio?

Imho è molto molto più sicuro il client web.
no.
la casella di posta che la consulti via web o via pop, ha comunque lo stesso tipo di filtraggio antivirus/antispam. Se il virus viene individuato viene rimosso dalla casella punto. non c'entra nulla il modo in cui tu la vai a guardare.

inoltre nel caso passasse i controlli del provider (gmail o libero o chi vuoi) e lo script rimanesse nella mail, sarebbe comunque uno script sotto dominio gmail o libero ecc, per cui andrebbe in esecuzione con tutto il resto degli script che fanno funzionare il client web 8che non puoi bloccare altrimenti non funziona il client web.

inoltre se il JS va in esecuzione, può accedere a qualunque server su internet liberamente.

viceversa su un client locale:
- l'html viene "bonificato"
- puoi mettere il client offline prima di aprire mail sospette
- puoi firewallarlo in modo che acceda solo ed esclusivamente al provider di posta e solo sulle porte della posta (no http, no ftp ecc) per cui anche fosse eseguito poi non può "uscire" a scaricare altri pezzi o ricevere "istruzioni".

no.
la casella di posta che la consulti via web o via pop, ha comunque lo stesso tipo di filtraggio antivirus/antispam. Se il virus viene individuato viene rimosso dalla casella punto. non c'entra nulla il modo in cui tu la vai a guardare.

Ni. Da Gmail le mail della cartella spam arrivano tra le altre mail, se si fa il download in POP. Sicuramente ci sono header che si possono usare per filtrare, ma non mi sembra automatico.

Sul resto mi trovi daccordo.

Ni. Da Gmail le mail della cartella spam arrivano tra le altre mail, se si fa il download in POP. Sicuramente ci sono header che si possono usare per filtrare, ma non mi sembra automatico.

Sul resto mi trovi daccordo.perchè, se c'è un virus allegato te la mettono in "spam"? penso la eliminino direttamente (o quantomeno segano l'allegato), no?

ci sono novità in merito?

L'ha preso anche mia madre ne suo ufficio! La segretaria ha aperto l'allegato e zacccc! Migliaia di pratiche e cartelle cliniche sono state "criptate" con estensione micro!

Come posso risolvere? Bel problema :muro: