Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/ospedale-sotto-attacco-ransomware-richiesto-riscatto-di-3-6-milioni-di-dollari_60990.html

I computer dell'Hollywood Presbyterian Medical Center sono offline da più di una settimana per via di un pesante attacco ransomware che richiede un riscatto di 3,6 milioni di dollari

Click sul link per visualizzare la notizia.

Ma come fa un sistema ospedaliero a subire un attocco simile? Capisco se vengono compromessi i singoli PC ma l'intero struttura IT mi sembra improbabile.

Ma come fa un sistema ospedaliero a subire un attocco simile? Capisco se vengono compromessi i singoli PC ma l'intero struttura IT mi sembra improbabile.

Finchè permetti ai dipendenti di installare zozzerie ste cose accadranno sempre

c'è il caso che si sblocchi qualcosa? nel benaugurato caso che prendano i responsabili, credo che in america non ci andranno per il sottile!:D

Scusate non so se è già stato chiesto: che sistema operativo usano ? :D

c'è il caso che si sblocchi qualcosa? nel benaugurato caso che prendano i responsabili, credo che in america non ci andranno per il sottile!:D

Ma i responsabili molto probabilmente saranno in russia o in cina o chissà dove, non credo sarà semplice prenderli.

Scusate non so se è già stato chiesto: che sistema operativo usano ? :D
ahi ahi ahi ho paura di sapere la risposta :D


io@sulmiodesktop$ curl -I http://hollywoodpresbyterian.com/
HTTP/1.1 200 OK
Transfer-Encoding: chunked
Content-Type: text/html;charset=UTF-8
Content-Language: en-US
Server: Microsoft-IIS/8.5
...
X-Powered-By: ASP.NET
Date: Tue, 16 Feb 2016 13:40:05 GMT

Ma come fa un sistema ospedaliero a subire un attocco simile? Capisco se vengono compromessi i singoli PC ma l'intero struttura IT mi sembra improbabile.

basta tagliare sull'IT e prendere i consulenti meno costosi :read:

mi sento ignorante in materia, ma come si prendono questi virus? tipo anche i cyberlocker o criptolocker non so bene il nome, cioè davvero riescono a cripare tutti i dati?

se qualcuno ha voglia di spendere due parole per gli ignoranti come me fa un piacere pubblico

Ma i responsabili molto probabilmente saranno in russia o in cina o chissà dove, non credo sarà semplice prenderli.

dipende tutto dalla "voglia"...:rolleyes: senza scatenare flame, so benisssimo che sarà dura! però le possibilità ci sono. deve esserci anche la voglia per arrivarci a capo...

ahi ahi ahi ho paura di sapere la risposta :D


io@sulmiodesktop$ curl -I http://hollywoodpresbyterian.com/
HTTP/1.1 200 OK
Transfer-Encoding: chunked
Content-Type: text/html;charset=UTF-8
Content-Language: en-US
Server: Microsoft-IIS/8.5
...
X-Powered-By: ASP.NET
Date: Tue, 16 Feb 2016 13:40:05 GMT

Beh ma quello è il server che ospita il sito, il fatto che il sito sia raggiungibile e operativo indica che quel server non è tra gli apparati colpiti dalal criptazione.
Troubleshooting proprio base dai su, impegnatevi di più :D

Beh ma quello è il server che ospita il sito, il fatto che il sito sia raggiungibile e operativo indica che quel server non è tra gli apparati colpiti dalal criptazione.
Troubleshooting proprio base dai su, impegnatevi di più :D
uffa mannaggia mi hai sgamato :Prrr:
in rete non ho trovato nulla sui dettagli tecnici, e sono già un po' di giorni che gira questa notizia boh.
Comunque direi che posso scommetterci abbastanza tranquillamente :D
Sono solo curioso, visto che qui si sbandierava il TCO, se i responsabili dell'ospedale nel TCO ci hanno previsto anche quei 3,6 milioni, più il danno enorme della perdita di fatturato, più la perdita del danno di immagine :fagiano:

Beh ma quello è il server che ospita il sito, il fatto che il sito sia raggiungibile e operativo indica che quel server non è tra gli apparati colpiti dalal criptazione.
Beh IIS non è proprio immune dal pericolo di esecuzione codice remoto..poi il suo scopo è rendere "inservibili" i dati utente, non abbatterlo :asd:

Detto questo, è chiaro che quella di battilei era una frecciatina al mondo Microsoft :)

uffa mannaggia mi hai sgamato :Prrr:
in rete non ho trovato nulla sui dettagli tecnici, e sono già un po' di giorni che gira questa notizia boh.
Comunque direi che posso scommetterci abbastanza tranquillamente :D
Sono solo curioso, visto che qui si sbandierava il TCO, se i responsabili dell'ospedale nel TCO ci hanno previsto anche quei 3,6 milioni, più il danno enorme della perdita di fatturato, più la perdita del danno di immagine :fagiano:

aggiungerei i danni alle persone... insomma non è proprio rosea come situazione...:mc:

Ma i responsabili molto probabilmente saranno in russia o in cina o chissà dove, non credo sarà semplice prenderli.

Basterebbe che si infettino i PC di Putin o Jinping e tranquillo che li prendono! :asd:

Comunque qualcuno di questi "cryptlocker" l'hanno anche preso, ma ne prendi uno e ne spuntano altri 5 come le teste dell'Hidra.
Quello che mi pare strano è che non siano ancora riusciti a trovare un antivirus che li becchi, se un SW si mete a scrivere su tutto il disco non mi pare poi così difficie fare in modo che l'Antivirus se ne accorga.

Ma si sa, l'unica cosa veramente sicura è il backup, su più supporti diversi possibile.

aggiungerei i danni alle persone... insomma non è proprio rosea come situazione...:mc:
ma senza esagerare, visto che il primo dei loro servizi sono le tette :D
http://hollywoodpresbyterian.com/our-services/

ma senza esagerare, visto che il primo dei loro servizi sono le tette :D
http://hollywoodpresbyterian.com/our-services/

be ma in america esagerano sempre :asd: :fagiano:

edit

be ma in america esagerano sempre :asd: :fagiano:
e giustamente :oink: :D per me non è importante perchè non mi piacciono le tette rifatte, però anche quella è una priorità :sofico:


http://www.neowin.net/news/meet-ransom32-the-first-javascript-ransomware-for-windows-mac-and-linux
certo credici :D

Ma tanto, da quello che ho capito del funzionamento di questi criptolocker, basta anche solo un client windows collegato alla rete ed eseguendo da lì il criptolocker quello ti encripta tutto ciò a cui riesce a collegarsi.
Metti caso che questo ospedale ha una infrastruttura IT di primordine, protetta come si deve eccetera ma uno sciagurato si è portato il portatile da casa per vedersi un film e sbam, si collega alla rete aziendale, da un occhio alle mail, apre una fattura scam e ha fottuto tutto. :D

Mi stupisce più che non abbiano backup di dati che "potrebbero salvare vite" :rolleyes:

Ma tanto, da quello che ho capito del funzionamento di questi criptolocker, basta anche solo un client windows collegato alla rete ed eseguendo da lì il criptolocker quello ti encripta tutto ciò a cui riesce a collegarsi.
Metti caso che questo ospedale ha una infrastruttura IT di primordine, protetta come si deve eccetera ma uno sciagurato si è portato il portatile da casa per vedersi un film e sbam, si collega alla rete aziendale, da un occhio alle mail, apre una fattura scam e ha fottuto tutto. :D

spero abbia una buona assicurazione :asd:

Mi stupisce più che non abbiano backup di dati che "potrebbero salvare vite" :rolleyes:

Presumibilmente sono stati criptati anche i backup interni, voglio dire è più che probabile che facciano dei backup su apparati interni e collegati alla rete locale.

Mi stupisce più che non abbiano backup di dati che "potrebbero salvare vite" :rolleyes:Non voglio credere che non avessero backup dai.

My 2 cents? Backup effettuati su una share di rete "accessibile" che, ovviamente, è stata bellamente attaccata anche lei. :asd:

Metti caso che questo ospedale ha una infrastruttura IT di primordine, protetta come si deve eccetera ma uno sciagurato si è portato il portatile da casa per vedersi un film e sbam, si collega alla rete aziendale, da un occhio alle mail, apre una fattura scam e ha fottuto tutto. :DNo dai, non può essere. Se ti porti un PC da casa (non inserito in AD) non dovresti essere in grado di accedere a nessuna share di rete (devi fornire l'autenticazione AD per poter accedere).
Se ti colleghi alla rete aziendale col tuo utente AD, si suppone che tu possa accedere solo a determinate cartelle (ora dimmi che diritto avrebbe un OSS di mettersi a spulciare nelle cartelle della contabilità, o viceversa che diritto avrebbe di accedere a diagnosi/referti uno che lavora in contabilità).

Che poi tra l'altro un riscatto così alto mi puzza un po'...
O l'hanno preso in mille dentro l'ospedale (mail infetta inviata a tappeto e l'hanno aperta in molti? Boh), o non riesco a capire come sia possibile.

mi sento ignorante in materia, ma come si prendono questi virus? tipo anche i cyberlocker o criptolocker non so bene il nome, cioè davvero riescono a cripare tutti i dati?

se qualcuno ha voglia di spendere due parole per gli ignoranti come me fa un piacere pubblico

Lo ha preso anche mia madre.
In pratica gli e' arrivato un allegato in una mail farlocchissima che parlava di una sua vecchia amica che e' morta.

Non lo so cosa c'era scritto e non lo so come facciano a generare questo ripo di mail, fattosta' che ha scaricato l'allegato, che era un file ".exe.zip" e lo ha installato.
Ha fatto tutto da sola in pratica.

Malwarebytes cmq ha fatto un antiramnsonware in versione beta che dovrebbe bloccare il tutto quando clicchi.

Esatto è questo il meccanismo, mail farlocche.
Fate estremamente attenzione ad evitare le mail che segnalano cose che non c'entrano con i vostri affari.
Vi faccio un esempio pratico: a me la settimana scorsa è arrivata una mail da telecom che mi notificava una fattura. L'indirizzo del mittente era davvero l'indirizzo del servizio cliente di Telecom Italia e questo dettaglio da solo ti porta a fidarti e a venire fragato. L'allegato era un normale pdf, al riguardo evidentemente tanti non sanno che non serve un eseguibile per fare eseguire qualcosa, anche aprendo il pdf si avvia il software e sei fregato. Se vi viene un dubbio (a me il dubbio era venuto, nello specifico che qualcuno avesse attivato un contratto ocn telecom in modo fraudolento) googlate, io ho goglato con fattura + indirizzo mail del mittente ed è emerso che telecom italia già da ttempo viene sfruttata per la sua notorietà e insomma sono state inviate una marea di mail scam per criptolockare le macchine di tanti poveracci.
PEr chi ha voglia di smanettare può provare con un pc cavia ad aprire queste mail di scam, ovviamento tenendolo alla larga dalla rete locale!, per vederne gli effetti. Dopo gli esperimenti formattate tutto con qualcosa tipo clonezilla.

Malwarebytes cmq ha fatto un antiramnsonware in versione beta che dovrebbe bloccare il tutto quando clicchi.

Ma gli antivirus non possono fare nulla?

No dai, non può essere. Se ti porti un PC da casa (non inserito in AD) non dovresti essere in grado di accedere a nessuna share di rete (devi fornire l'autenticazione AD per poter accedere).
Se ti colleghi alla rete aziendale col tuo utente AD, si suppone che tu possa accedere solo a determinate cartelle (ora dimmi che diritto avrebbe un OSS di mettersi a spulciare nelle cartelle della contabilità, o viceversa che diritto avrebbe di accedere a diagnosi/referti uno che lavora in contabilità).

Che poi tra l'altro un riscatto così alto mi puzza un po'...
O l'hanno preso in mille dentro l'ospedale (mail infetta inviata a tappeto e l'hanno aperta in molti? Boh), o non riesco a capire come sia possibile.

Boh, le mie sono solo ipotesi, non mi occupo di sicurezza. MA un po' di approfondimento fa solo bene visto che è una cosa che riguarda chiunque.

Ma tanto, da quello che ho capito del funzionamento di questi criptolocker, basta anche solo un client windows collegato alla rete ed eseguendo da lì il criptolocker quello ti encripta tutto ciò a cui riesce a collegarsi.
Metti caso che questo ospedale ha una infrastruttura IT di primordine, protetta come si deve eccetera ma uno sciagurato si è portato il portatile da casa per vedersi un film e sbam, si collega alla rete aziendale, da un occhio alle mail, apre una fattura scam e ha fottuto tutto. :D

Beh se ila rete è fatta bene non succede, una azienda che conosco l'era beccato (e per ben 2 volte), ma siccome ogni notte fanno backup sul NAS, hanno perso solo il lavoro di una giornata, mentre il NAS non è stato colpito.

siamo nel 2016, prendere 2 secondi del TUO tempo e googlare quello che non sai, no?

Certa gente è di una bassezza allucinante... un minimo di codice etico non ce l'hanno?
Arrivare ad attaccare perfino un ospedale è squallido...

PEr chi ha voglia di smanettare può provare con un pc cavia ad aprire queste mail di scam, ovviamento tenendolo alla larga dalla rete locale!, per vederne gli effetti. Dopo gli esperimenti formattate tutto con qualcosa tipo clonezilla.

ma a livello teorico funziona anche su sistema android/ios questo bel sistemino? :mc: perchè ultimamente le mail le controllo tutte da tablet prima di fare qualsiasi cosa sul pc :stordita:

mi sento ignorante in materia, ma come si prendono questi virus? tipo anche i cyberlocker o criptolocker non so bene il nome, cioè davvero riescono a cripare tutti i dati?

se qualcuno ha voglia di spendere due parole per gli ignoranti come me fa un piacere pubblico

Questo tipo di virus si prendono in 2 modi , il piu comune è cliccando su un allegato , ma anche su un file scaricato per errore credendo fosse altra cosa.

In genere si chiamano abcd.pdf.exe o abcd.jpg.exe, e siccome di dafault windows ha le estensioni nascoste , un naab non si accorge della differenza.

Poi in teoria ci sarebbe l'uac , ma tutti o quasi la disttivano.

Secondo metodo usano bug del java o del flash per installarsi tramite browser. In genere si insidiano nei banner o in pagine internet balorde. ( a me è capitato di beccare un virus in questo modo)


Poi si installa in autoavvio e inizia a criptare tutto il disco ( ci puo mettere giorni )quando ha finito o ritiene di essere a un buon punto ti esce in banner col riscatto.


Ps attenzione che alcuni malwere si installano anche nei bios delle mobo. Questo grazie alla deficienza di chi ha inventato i suddetti e non ha impedito l'update da windows.

Poi in teoria ci sarebbe l'uac , ma tutti o quasi la disttivano.



L'UAC però li blocca allora, poi chiaro che se acconsento la prendo nel ...browser

Boh, le mie sono solo ipotesi, non mi occupo di sicurezza. MA un po' di approfondimento fa solo bene visto che è una cosa che riguarda chiunque.Anche io sto ragionando per ipotesi (e per quel poco che leggo qui)...
Ne ho anche provato uno (volontariamente, su una VM come dicevi tu, era arrivato a mio zio che fortunatamente, dopo aver pigliato quello della Finanza, s'è fatto un po' sgamato e mi ha chiesto prima di aprirlo).
Da quel poco che sono riuscito a capire, il comportamento è stato questo:
Arrivata una mail con un file Word in allegato, facente riferimento a una non meglio precisata fattura.
Il file Word ovviamente aveva dentro una macro.
Una volta abilitata, questa tentava di collegarsi a internet (per prendersi i link del software malevolo da scaricare?)
Con la connessione attiva, si tirava giù il malware e cominciava a fare il suo lavoro. Senza connessione, invece, non succedeva niente.

Beh se ila rete è fatta bene non succede, una azienda che conosco l'era beccato (e per ben 2 volte), ma siccome ogni notte fanno backup sul NAS, hanno perso solo il lavoro di una giornata, mentre il NAS non è stato colpito.

E come era protetto il nas? Che io sappia il criptolocker cripta tutto quello che trova collegato in lan, il nas come faccio a tenerlo fuori?

L'UAC però li blocca allora, poi chiaro che se acconsento la prendo nel ...browser

L'uac blocca l'exe dove clicchi. Se usa un bug del java o del flash sei cmq fottuto.

Per quello conviene tenere il java aggiornato e adblock.

Cmq per sta gente ci vorrebbe la pena di morte. E non scherzo

Certa gente è di una bassezza allucinante... un minimo di codice etico non ce l'hanno?
Arrivare ad attaccare perfino un ospedale è squallido...

Ma sti virus si espandono in automatico a macchia d'olio, il fatto che se lo sia beccato l'ospedale, non vuol dire che fosse stato indirizzato specificatamente a loro.
Poi comunque uno che ha un codice etico non si mette certo a fare un ramsonware.

E come era protetto il nas? Che io sappia il criptolocker cripta tutto quello che trova collegato in lan, il nas come faccio a tenerlo fuori?

E' come dici, ma se non è in condivisione con gli altri pc, il rischio di prenderlo su un'altra macchina si riduce e di molto.

E come era protetto il nas? Che io sappia il criptolocker cripta tutto quello che trova collegato in lan, il nas come faccio a tenerlo fuori?Una soluzione potrebbe essere quella di non esporlo in scrittura che io sappia.

Esempio stupido: utente DOMAIN\Pippo lavora sul PC, può scrivere sul suo PC e su alcune cartelle in rete, non tutte.
Se prende uno di questi, verrà eseguito come DOMAIN\Pippo, quindi farà danno solo dove lui ha i permessi per scrivere.

Se il backup lo fai come DOMAIN\Pluto (so per certo che Cobian può farlo) e permetti solo a DOMAIN\Pluto di scrivere sul NAS, se DOMAIN\Pippo si becca un ransomware ragionevolmente non dovresti, per quel che ne so, correre rischi di perdere i dati sul NAS (perché DOMAIN\Pippo dal NAS può solo leggere).

E' come dici, ma se non è in condivisione con gli altri pc, il rischio di prenderlo su un'altra macchina si riduce e di molto.

Una soluzione potrebbe essere quella di non esporlo in scrittura che io sappia.

Esempio stupido: utente DOMAIN\Pippo lavora sul PC, può scrivere sul suo PC e su alcune cartelle in rete, non tutte.
Se prende uno di questi, verrà eseguito come DOMAIN\Pippo, quindi farà danno solo dove lui ha i permessi per scrivere.

Se il backup lo fai come DOMAIN\Pluto (so per certo che Cobian può farlo) e permetti solo a DOMAIN\Pluto di scrivere sul NAS, se DOMAIN\Pippo si becca un ransomware ragionevolmente non dovresti, per quel che ne so, correre rischi di perdere i dati sul NAS (perché DOMAIN\Pippo dal NAS può solo leggere).
Messa così sembra abbastanza easy tenere al sicuro almeno il dispositivo di backup (nas o quello che è)

E come era protetto il nas? Che io sappia il criptolocker cripta tutto quello che trova collegato in lan, il nas come faccio a tenerlo fuori?

Non so i dettagli, ma se non ho capito male il loro NAS non è accessibile direttamente agli utenti, viene utilizzato solo per il backup automatico notturno.

Comunque credo che se il nas fosse accessibile solo all'amministratore, verrebbe criptato solo se fosse l'amministratore stesso a beccarsi il cryptlocker.
Nell'azienda dove lavoravo qualche anno fa poi ogni volta che andavo a scrivere sul server dovevo inserire una PW, credo basterebbe anche questo a fermarlo.
Inoltre il server può anche tenere uno storico di tutti i files, se io sovrascrivo un file, lui in realtà ne scrive uno nuovo e backuppa l'originale da qualche parte.

Messa così sembra abbastanza easy tenere al sicuro almeno il dispositivo di backup (nas o quello che è)Sì, dovrebbe. Per quello che dicono tutti che la miglior soluzione contro questi str:banned:zi è il backup fatto regolarmente.
Se poi vuoi essere ancora più sicuro, vai di cassettine (o comunque di backup su un supporto che poi "stacchi" completamente, ad esempio per i dati di casa usi un HD esterno che poi tieni in un cassetto).

Comunque credo che se il nas fosse accessibile solo all'amministratore, verrebbe criptato solo se fosse l'amministratore stesso a beccarsi il cryptlocker.Penso anche io che sia così.

Si, vale più o meno quanto detto da *aLe. Ho visto di persona un pc infetto all'interno di uno studio di avvocati e in questo ufficio avevano anche un nas, ma non era accessibile/condiviso tra i vari pc. Quindi situazione simile al caso esposto da Bestio. Fortunatamente il ransomware non si è esteso ad altre macchine, ma ha colpito solo il pc in cui l'avevano beccato.

Comunque credo che se il nas fosse accessibile solo all'amministratore, verrebbe criptato solo se fosse l'amministratore stesso a beccarsi il cryptlocker.Se fosse l'amministratore stesso (non l'utente facente funzione di amministratore, eh... Proprio l'utente NOMEDOMINIO\Administrator) a beccarsi il malware, il responsabile non dovrebbe mai più farsi vedere in azienda. :asd:

Aggiungo per quanto può valere e sia scomodo... questo tipo d'infezioni non hanno effetto se i dati vengono salvati su supporti ottici, avendo però l'accortezza in fase di masterizzazione, di finalizzare il disco (chiusura) e quindi impedendo l’aggiunta di dati o la creazione di nuove sessioni di scrittura.

Teoricamente il disco si può usarlo anche in un pc ancora infetto, senza che i dati vengano criptati o danneggiati.

questi virus criptano tutti i file dove hanno privilegi di scrittura
per proteggere il nas è sufficente che non sia mappato come unità di rete (ora non so se è cambiato ma fino ad un mese fà i ransomware non lavoravano su nfs ma solo scandagliando l'albero delle directory da A: a Z: )

oltre a quello la soluzione migliore è usare per i backup credenziali diverse da quelle degli share condivisi (se utilizzati sullo stesso nas) non registrate in windows ma solo sul sw di backup

...
Non lo so cosa c'era scritto e non lo so come facciano a generare questo tipo di mail, fattosta' che ha scaricato l'allegato, che era un file ".exe.zip" e lo ha installato....

semmai xxx.zip.exe :)

... L'allegato era un normale pdf, al riguardo evidentemente tanti non sanno che non serve un eseguibile per fare eseguire qualcosa, anche aprendo il pdf si avvia il software e sei fregato. ...

mi sembra strano...

mi sembra strano...

se il PDF contiene un exploit avoja se funziona :D

Questo tipo di virus si prendono in 2 modi --
grazie mille

Esatto è questo il meccanismo, mail farlocche--
un grazie anche a te
smettila di dire bugie ... che tanto battilei non ci crede :D
è una news abbastanza seria, non trascinarla nel flame , sappiamo già come la pensi ;)
siamo nel 2016, prendere 2 secondi del TUO tempo e googlare quello che non sai, no?
grazie lo stesso del tuo contributo

Rik`[;43384967']se il PDF contiene un exploit avoja se funziona :D

Non è un pdf è un documento.pdf .exe , solo che di default non si vede il .exe


E come icona ci mettono quella di adobe

Beh IIS non è proprio immune dal pericolo di esecuzione codice remoto..poi il suo scopo è rendere "inservibili" i dati utente, non abbatterlo :asd:

Detto questo, è chiaro che quella di battilei era una frecciatina al mondo Microsoft :)

Frecciatina? ... :asd: è da quando è comparso in questo forum che fa una battaglia ideologica, in confronto Stallman è un figlio dei fiori :asd:

Non è un pdf è un documento.pdf .exe , solo che di default non si vede il .exeSono due cose diverse...
O è un exe mascherato da pdf (ed è un modo) oppure il codice malevolo è davvero all'interno del documento.

Per esempio, se ti arriva un file di word con dentro una macro malevola è proprio un file di word, non è un nomefile.docx.exe o roba simile, è proprio un nomefile.docx al cui interno è salvata una macro che si va a prendere da internet il malware e lo esegue.
Lo stesso immagino succeda coi file pdf.
So (perché li ho visti) che in alcuni pdf ci sono aree in cui, se premi, viene caricato un docx o un xlsx allegato.
Magari con lo stesso principio nel pdf viene incluso del codice che quando eseguito scarica e lancia l'encrypter.

Sono due cose diverse...
O è un exe mascherato da pdf (ed è un modo) oppure il codice malevolo è davvero all'interno del documento.

Per esempio, se ti arriva un file di word con dentro una macro malevola è proprio un file di word, non è un nomefile.docx.exe o roba simile, è proprio un nomefile.docx al cui interno è salvata una macro che si va a prendere da internet il malware e lo esegue.
Lo stesso immagino succeda coi file pdf.
So (perché li ho visti) che in alcuni pdf ci sono aree in cui, se premi, viene caricato un docx o un xlsx allegato.
Magari con lo stesso principio nel pdf viene incluso del codice che quando eseguito scarica e lancia l'encrypter.
Si chiaro , ma in questo caso è mascherato.

Han fatto vedere le mail "pescatrici" in vari video e anche in tv , allegano un exe , o lo fanno scaricare da un sito.

Ps: prima di installare un exe passatelo da virustotal online

mi sembra strano...

in effetti mi viene il dubbio, forse era uno zip o un .pdf.exe -Ma orrmai ho eliminato la mail quindi non posso accertarmene.

In pratica suggerite di utilizzare di default un account in solo lettura anche dal proprio pc principale per accedere al nas quotidianamente, e di utilizzare l'admin solo per il tempo necessario a trasferire qualcosa quando capita, ho capito bene?

Il mio titolare ha tirato giù il suo PC, quello della collega acceso la notte, visto che viviamo in un paese del terzo mondo, siamo senza adsl e dobbiamo lasciarlo acceso di notte a scaricare la posta che se il gg dopo cade il ponte 802.11e siamo del gatto, e il NAS della qnap. Per fortuna l'azienda gira su as/400 e da quell'aspetto ci siamo salvati. Cmq basterebbe che l'utonto infettato non saltasse la pass di rete e già si andava meglio. Poi ovvio troppa fatica.

Io avevo pensato di blindare il titolare e gli altri incolpevoli (non in sola lettura anche se meriterebbe ma non posso permettermelo) creando un accesso in sola creazione nuovo file. Permetterebbe a loro di salvarsi i file sul nas ma non di toccare gli altri per la quale ci vuole un accesso dedicato.

Problema è che il qnap OS non lo Permette che io sappia.

*Saltasse =salvasse

Mi è venutl un dubbio , ma se un word ha un exploit , o un pdf , ma uno non ha office installato sul pc , la macro non si apre giusto?

Io uso google documenti e affini per tutto.



Intanto in toscana non rimaniamo indietro .....

http://m.iltirreno.gelocal.it/empoli/cronaca/2016/02/16/news/il-virus-cryptolocker-attacca-il-server-del-municipio-servizi-in-tilt-a-vinci-1.12967998

questi virus criptano tutti i file dove hanno privilegi di scrittura
per proteggere il nas è sufficente che non sia mappato come unità di rete (ora non so se è cambiato ma fino ad un mese fà i ransomware non lavoravano su nfs ma solo scandagliando l'albero delle directory da A: a Z: )

oltre a quello la soluzione migliore è usare per i backup credenziali diverse da quelle degli share condivisi (se utilizzati sullo stesso nas) non registrate in windows ma solo sul sw di backup
Non dare delle nuove idee ai developer :D
Io non farei affidamento su quello che fanno i ransomware fino ad adesso, perchè se un bel giorno quelli si decidono di scannare anche altre partizioni, che si fa ? Personalmente metto già in conto che dare l'accesso sulle partizioni di un server significa già esporlo ad un potenziale rischio, NFS lo lascio alle macchine *nix.



Intanto in toscana non rimaniamo indietro .....

http://m.iltirreno.gelocal.it/empoli/cronaca/2016/02/16/news/il-virus-cryptolocker-attacca-il-server-del-municipio-servizi-in-tilt-a-vinci-1.12967998
Solo 2 giorni fa riguardo alla Pubblica Amministrazione leggevo l'opinione che la T in TCO considerasse tutto.


Vedo che tanti danno ancora la colpa all'utente, chiamandolo in modo dispregiativo "utonto", ma non è ora di smetterla ?
Io una segretaria non ho il diritto di chiamarla "utonta", lei fa il suo lavoro, io il mio.
Lei ha tutto il diritto di sbagliare, ed è la mia responsabilità darle dei mezzi per fare il suo lavoro.

No. Nessuna unità di rete. Beccano tutti i PC di tutti i workgroup e se trovano le credenziali di accesso a tale IP, entrano,cryptano, creano 3 file x il pagamento in ogni directory è relativa sub ramificata all'infinito, un html , un jpg e un txt con sempre lo stesso testo sul pagamento.
Anche la mia collega è un genio apprende, assimila e fa suo ogni concetto che le viene spiegato. Non mi permetterei mai di chiamare lei utonta che è decisamente più acuta di me. Tuttavia un titolare che apre e risponde a mail palesemente scritte da BOT nonostante raccomandazioni e spiegazioni e che si fregia a massimo esponente dell'astuzia sul pianeta io lo chiamo utonto. Se la cosa turba qualcuno lo posso chiamare clueless user. E se ti riferivi a me... no, io non sono tenuto a rimediare ne è colpa mia per i suoi casini, visto che non sono stato assunto per farlo e mi occupo di ben altro nella ditta e i PC sono uno strumento per me come lo sono per gli altri dipendenti, o per lui.

Sono due cose diverse...
O è un exe mascherato da pdf (ed è un modo) oppure il codice malevolo è davvero all'interno del documento.

Per esempio, se ti arriva un file di word con dentro una macro malevola è proprio un file di word, non è un nomefile.docx.exe o roba simile, è proprio un nomefile.docx al cui interno è salvata una macro che si va a prendere da internet il malware e lo esegue.
Lo stesso immagino succeda coi file pdf.
So (perché li ho visti) che in alcuni pdf ci sono aree in cui, se premi, viene caricato un docx o un xlsx allegato.
Magari con lo stesso principio nel pdf viene incluso del codice che quando eseguito scarica e lancia l'encrypter.

Ma una macro non dovrebbe essere solo un richiamo ad operazioni ripetitive parametrizzate, ma sempre e solo operazioni previste nel contesto e nelle finalità dell'ambito in cui il prodotto lavora?
Se qualche genio M$ o Adobe (peggio ancora) ha ben pensato di dare la possibilità a macro e simili artifizi di fare senza alcun controllo qualunque cosa imprevista che nulla c'entra con l'ambito e le finalità suddette, complimenti davvero a costoro!

Insomma, mi state dicendo che qualunque accozzaglia di comandi operativi (codice eseguibile o interpretato che sia), annidata/travestita da .docx o .doc o .pdf, è libera di fare qualunque cosa (o richiamare chi per lei lo faccia) come se fosse direttamente un .exe (o .com o .bat ...), anche se la sua estensione è tutt'altra ed il suo compito è gestire banali documenti stampabili??? Andiamo bene davvero!

Ma una macro non dovrebbe essere solo un richiamo ad operazioni ripetitive parametrizzate, ma sempre e solo operazioni previste nel contesto e nelle finalità dell'ambito in cui il prodotto lavora? Se usate in maniera benevola, di solito sì... Ma purtroppo non tutti le usano a 'sto modo.
Guarda qua, questo è proprio il caso della "finta fattura" che dicevo: https://blog.malwarebytes.org/intelligence/2015/10/beware-of-doc-a-look-on-malicious-macros/

Non dare delle nuove idee ai developer :D
Io non farei affidamento su quello che fanno i ransomware fino ad adesso, perchè se un bel giorno quelli si decidono di scannare anche altre partizioni, che si fa ? Personalmente metto già in conto che dare l'accesso sulle partizioni di un server significa già esporlo ad un potenziale rischio, NFS lo lascio alle macchine *nix.



Solo 2 giorni fa riguardo alla Pubblica Amministrazione leggevo l'opinione che la T in TCO considerasse tutto.


Vedo che tanti danno ancora la colpa all'utente, chiamandolo in modo dispregiativo "utonto", ma non è ora di smetterla ?
Io una segretaria non ho il diritto di chiamarla "utonta", lei fa il suo lavoro, io il mio.
Lei ha tutto il diritto di sbagliare, ed è la mia responsabilità darle dei mezzi per fare il suo lavoro.


come se il s.o. del server contasse qualcosa in questo caso... puoi avere windows osx linux bsd unix os/2 o qualsiasi altro sistema operativo lato server e non cambia una mazzuola visto che il virus viene eseguito sui client e effettua solo operazioni lecite a livello di server

E' una bella bega!
Ma possibile che non si riesce a fare nulla?

come se il s.o. del server contasse qualcosa in questo caso... puoi avere windows osx linux bsd unix os/2 o qualsiasi altro sistema operativo lato server e non cambia una mazzuola visto che il virus viene eseguito sui client e effettua solo operazioni lecite a livello di server
è quello che dicevo, *nix->*nix è da gestire diversamente da windows->*nix: devo starci molto più attento perchè so già che può succedere qualcosa



... visto che ti trovi oltre a darle i mezzi, prova a speigargli anche qualcosina in piu' in merto a cosa e come fare e cosa no... o e' considerato offensivo?
Puoi spiegargli tutto quello che vuoi, anche io ci provo ma è inutile, un utente non è obbligato a diventare come me. E tanto per dire anche a me è capitata una mail malware con il nome di un impiegato, non so come hanno fatto ad indovinarlo ma è successo, io stesso sono rimasto interdetto.


Cari signori i casi sono 2
1)gli utenti sono utonti,coglioni e clueless, e i soli furbi sono qui sul forum
2)tutto il paradigma è sbagliato

Adesso rileggiamo tutti questa frase e poniamoci delle domande:
Per fortuna l'azienda gira su as/400 e da quell'aspetto ci siamo salvati.

Sono due cose diverse...
O è un exe mascherato da pdf (ed è un modo) oppure il codice malevolo è davvero all'interno del documento.

Per esempio, se ti arriva un file di word con dentro una macro malevola è proprio un file di word, non è un nomefile.docx.exe o roba simile, è proprio un nomefile.docx al cui interno è salvata una macro che si va a prendere da internet il malware e lo esegue.
Lo stesso immagino succeda coi file pdf.

premesso che propendo per il caso dell'exe mascherato, questo è uno dei motivi perchè sulla mia macchina nessun sw ha permessi di "uscita" dal firewall, e men che verso porte http e ftp ecc.
fatto salvo ovviamente il browser.
word o adobe reader non hanno nessun bisogno di andare a spasso per il web.
Quanto a word, ti viene chiesto se vuoi eseguire le macro.
reader non ha le macro ma può incorporare javascript, funzione disabilitabile (e nel mio caso disabilitata) dalle opzioni.

in effetti mi viene il dubbio, forse era uno zip o un .pdf.exe -Ma orrmai ho eliminato la mail quindi non posso accertarmene.
qualcuno dice anche che il virus si prende anche solo aprendo la mail (non l'allegato). pure qua ho forti dubbi...
Si, teoricamente se include un javascript potrebbe essere eseguito, ma i client tipo thunderbird (o anche i vecchi outlook express se correttamente configurati) ovviamente NON lo permettono.
I webclient sono un po' più critici, perchè in realtà non sai come sono fatti/configurati. Motivo per cui preferisco possibilmente un client locale.

Quanto a word, ti viene chiesto se vuoi eseguire le macro.Sicuramente... Quanti secondo te leggono l'avvisetto giallo in alto prima di clickare "OK"? Secondo me, meno di quelli che controllano l'estensione del file documento.pdf.exe prima di aprirlo.

Diciamo che in buona parte dei casi (quando non si tratta di visite a siti infetti che con qualche exploit ti scaricano il pacchettino sul PC senza che tu sospetti di nulla), questo malware necessita dell'autorizzazione dell'utente per girare.

Dicevo nell'altro thread (ce n'è uno in "Aiuto sono infetto" di 50+ pagine sull'argomento) che il passaparola, nel mio caso, ha salvato diverse persone che altrimenti sarebbero state totalmente ignare e quindi facilmente attaccabili.
È bastato dirgli "ragazzi guardate bene i nomi dei file che vi arrivano per mail: se c'è scritto exe o bat o scr alla fine, nel dubbio NON aprite" per fare in modo che exe mascherati da documenti non facessero danno, e dirgli "leggete bene cosa vi dice Word o Excel, se parla di contenuto attivo o roba del genere NON eseguitelo a meno che non sappiate esattamente di cosa si tratta" per mitigare l'attacco delle macro.

Certo trovi sempre l'utente che si crede il più furbo e che vuol fare di testa sua, è qui che diventa importante avere a disposizione un buon backup.

Ma una macro non dovrebbe essere solo un richiamo ad operazioni ripetitive parametrizzate, ma sempre e solo operazioni previste nel contesto e nelle finalità dell'ambito in cui il prodotto lavora?
Se qualche genio M$ o Adobe (peggio ancora) ha ben pensato di dare la possibilità a macro e simili artifizi di fare senza alcun controllo qualunque cosa imprevista che nulla c'entra con l'ambito e le finalità suddette, complimenti davvero a costoro!

Insomma, mi state dicendo che qualunque accozzaglia di comandi operativi (codice eseguibile o interpretato che sia), annidata/travestita da .docx o .doc o .pdf, è libera di fare qualunque cosa (o richiamare chi per lei lo faccia) come se fosse direttamente un .exe (o .com o .bat ...), anche se la sua estensione è tutt'altra ed il suo compito è gestire banali documenti stampabili??? Andiamo bene davvero!
non ho mai scritto macro maligne, ma ti posso dire che:
- dalla macro puoi "chiamare" qualunque dll per farle fare delle cose (per es recuperare i dati exif della tua collezione di foto o titolo-autore dei tuoi mp3 e usarli in office).
- puoi probabilmente scrivere un file di testo e chiamarlo pincopallo.bat.
- suppongo che si possa anche accedere a internet "di nascosto" dalla macro, non ho mai provato ma cmq si può chiamare pagine web in una finestra di dialogo.
sono cose comode che il 90% degli utenti non sa manco che esistono e non servono.

in OGNI CASO, word ti chiede SE vuoi eseguire le macro. Se le esegui... beh, come dire...

Sicuramente... Quanti secondo te leggono l'avvisetto giallo in alto prima di clickare "OK"? Secondo me, meno di quelli che controllano l'estensione del file documento.pdf.exe prima di aprirlo.
che ti devo dire? hai ragione :)
purtroppo di solito il fatto che uno sia capace di EVITARE danni non viene molto apprezzato in giro... Non so se mi sono spiegato ;)

che ti devo dire? hai ragione :)
purtroppo di solito il fatto che uno sia capace di EVITARE danni non viene molto apprezzato in giro... Non so se mi sono spiegato ;)
Se peró si apre un pdf e parte l'uac , qualche sospetto dovrebbe venire...

Se peró si apre un pdf e parte l'uac , qualche sospetto dovrebbe venire..."UAC? Chi era costui?" (semi-cit.)

A parte gli scherzi, con le versioni più recenti l'hanno tranquillizzato (indebolito?) un po', ma io ricordo un sacco di persone su Vista che lo disattivavano perché "Io col mio PC voglio farci quello che voglio, non me lo deve dire MS cosa posso farci. E poi è anche scomodo".

"UAC? Chi era costui?" (semi-cit.)

A parte gli scherzi, con le versioni più recenti l'hanno tranquillizzato (indebolito?) un po', ma io ricordo un sacco di persone su Vista che lo disattivavano perché "Io col mio PC voglio farci quello che voglio, non me lo deve dire MS cosa posso farci. E poi è anche scomodo".

Questo è vero. Anzi molti assemblatori lo disattivavano di serie , forse nella speranza di fare qualche intervento di assistenza in più

"UAC? Chi era costui?" (semi-cit.)

A parte gli scherzi, con le versioni più recenti l'hanno tranquillizzato (indebolito?) un po', ma io ricordo un sacco di persone su Vista che lo disattivavano perché "Io col mio PC voglio farci quello che voglio, non me lo deve dire MS cosa posso farci. E poi è anche scomodo".

Il problema con UAC è sempre lo stesso e di annosa questione.
Quando hai 10 .exe da installare e per ognuno di essi ti vedi apparire sta finestrella con su scritto SI-NO alla fine diventa un riflesso normale e incondizionato clikkare sempre su SI.
Sarebbe arrivato anche il momento di blindare tutte le installazioni esterne e passare solo per lo STORE. Gran parte dei problemi si risolverebbero già solo così.
Certo, per il problema oggetto del topic sarebbero comunque cazzi...Sti malvagi ci stanno facendo un bel business con sta storia del riscatto.
Bastardi...:(

Il problema con UAC è sempre lo stesso e di annosa questione.
Quando hai 10 .exe da installare e per ognuno di essi ti vedi apparire sta finestrella con su scritto SI-NO alla fine diventa un riflesso normale e incondizionato clikkare sempre su SI.
Sarebbe arrivato anche il momento di blindare tutte le installazioni esterne e passare solo per lo STORE. Gran parte dei problemi si risolverebbero già solo così.
Certo, per il problema oggetto del topic sarebbero comunque cazzi...Sti malvagi ci stanno facendo un bel business con sta storia del riscatto.
Bastardi...:(

Ma anche no.

Primo android ha dimostrato che non è sicuro lo stesso .

Secondo realtà come steam , origin, e altre cose sparirebbero.


Casomai si potrebbe creare una lista di exe certificati sicuri e escluderli dall'uac.

Ma anche no.

Primo android ha dimostrato che non è sicuro lo stesso .
Secondo realtà come steam , origin, e altre cose sparirebbero.
Casomai si potrebbe creare una lista di exe certificati sicuri e escluderli dall'uac.

E infatti Android non è sicuro perché molti ragionano come se davanti avessero windows.
Scaricano l'APK da sarcaxxo dove e poi si impestano.
Blinda lo store, obbliga tutti a passare di la e vedrai che, come ho detto, risolvi gran parte dei problemi.

E infatti Android non è sicuro perché molti ragionano come se davanti avessero windows.
Scaricano l'APK da sarcaxxo dove e poi si impestano.
Blinda lo store, obbliga tutti a passare di la e vedrai che, come ho detto, risolvi gran parte dei problemi.

no sul play store ci sono state app ''maligne'' in più occasioni. è impossibile controllare tutto il codice di un fiume di app che si aggiornano ogni giorno. e sono le più pericolose perché uno no se lo aspetta.

blindare lo store serve solo a creare un sistema di non concorrenza dove i prezzi aumentano e i costi sono di grand lunga superiori a riformattare un pc per i virus.



cmq oggi mi sono ritrovato tutti e 4 i core del processore a 100% ..... credevo fosse il cryptolocker , invece era solo un assassin creed 5 :asd:

E infatti Android non è sicuro perché molti ragionano come se davanti avessero windows.
Scaricano l'APK da sarcaxxo dove e poi si impestano.
Blinda lo store, obbliga tutti a passare di la e vedrai che, come ho detto, risolvi gran parte dei problemi.

il google play store è una zozzeria... è pieno di roba di dubbia provenienza e con codice tutto fuorchè benevolo... :mc:

Ovviamente per store mi riferisco a quelli che funzionano davvero e che vengono controllati.
Se sul Play Store mi trovo 200 Candy Cash tutti uguali, è probabile che tra quelli qualcosa che ti impesta il sistema ci sia.
Ma lì, non è' che è impossibile controllare tutto, è proprio che non viene controllato praticamente nulla...

Ovviamente per store mi riferisco a quelli che funzionano davvero e che vengono controllati.
Se sul Play Store mi trovo 200 Candy Cash tutti uguali, è probabile che tra quelli qualcosa che ti impesta il sistema ci sia.
Ma lì, non è' che è impossibile controllare tutto, è proprio che non viene controllato praticamente nulla...

se vuoi che un sistema sia UNICO , devi poter permettere a tutti di potervi pubblicare le sue app . altrimenti poi la gente passa alle alternative.

se vuoi che queste app passino per il tuo store e vuoi che siano sicure le devi controllare ,e non solo quando ci vengono messe , ma soprattutto quandoo ricevono update.

ecco su android le app ricevono update con cadenze settimanali .

immagina quanti programmatori servono per controllare tutto il codice presente.


e questo è android. immagina windows.

microsoft con w8 ci ha provato ad imporre il suo store , ma hai visto cosa è successo: gabe si è ribellato , e in molti lo han boicottato.

quella strada non è possibile.

Se peró si apre un pdf e parte l'uac , qualche sospetto dovrebbe venire...
mica i ransomware fanno modifiche al sistema, l'UAC non parte.
crittografano i file dell'utente, non quelli di sistema.

mica i ransomware fanno modifiche al sistema, l'UAC non parte.Anche dovesse partire... Mi sento di dare retta ad adapter:
Quando hai 10 .exe da installare e per ognuno di essi ti vedi apparire sta finestrella con su scritto SI-NO alla fine diventa un riflesso normale e incondizionato clikkare sempre su SI.La stessa cosa succede a chi scarica software freeware (anche da fonti attendibili) e poi clicka su avanti-avanti-avanti-sì-confermo-voglioveramentedartiimieidati-fine senza guardare... Poi si lamentano che il PC è lento, che appaiono i banner pubblicitari, che questo e che quello.

Ultimamente con software tipo Ninite 'sta cosa si è ridotta, ma... Quanti utenti normali lo conoscono/usano?

mica i ransomware fanno modifiche al sistema, l'UAC non parte.
crittografano i file dell'utente, non quelli di sistema.

Mi riferivo al .dpf.exe.

Se è un exe l'uac parte.

Poi se la.gente ci clicca a caso ....


Se ti suona il citofono tu apri senza guardare?

Quella volta che becchi un testimone di geova poi te lo ciucci

Mi riferivo al .dpf.exe.

Se è un exe l'uac parte.

Poi se la.gente ci clicca a caso ....


Se ti suona il citofono tu apri senza guardare?

Quella volta che becchi un testimone di geova poi te lo ciucci

Se la suocera ha una porta secondaria e controllata da cui entrare tu, sapendo che è sempre e solo lei cosa fai, controlli ogni volta? :stordita:
Ovviamente parlo dello UAC e del fatto che andrebbero blindate tutte le installazioni al di fuori della porta principale/store.

Se la suocera ha una porta secondaria da cui entrare tu, sapendo che è sempre e solo lei cosa fai, controlli ogni volta? :stordita:
Ovviamente parlo dello UAC e del fatto che andrebbero blindate tutte le installazioni al di fuori della porta principale/store.

No la chiudo proprio :asd:

Hanno pagato:
http://losangeles.cbslocal.com/2016/02/17/la-hospital-paid-17k-ransom-to-hackers-of-its-computer-network

The chief executive of a Los Angeles hospital says it paid a ransom in bitcoins equivalent to about $17,000 to hackers who infiltrated and disabled its computer network.

Hollywood Presbyterian Medical Center CEO Allen Stefanek said in a statement Wednesday that paying the ransom of 40 bitcoins was “the quickest and most efficient way to restore our systems and administrative functions.” He says the hospital did it in the interest of restoring normal operations.

Stefanek says the hospital first noticed the malware in its computer system on Feb. 5, and normal operations were restored on Monday, 10 days later.

He said patient care was not affected, and there’s no evidence patient data was compromised.

FBI spokeswoman Laura Eimiller says the agency is investigating the extortion plot, often called “ransomware,” but she couldn’t immediately provide further details.

(© Copyright 2016 The Associated Press. All Rights Reserved. This material may not be published, broadcast, rewritten or redistributed.)

Hanno pagato:
http://losangeles.cbslocal.com/2016/02/17/la-hospital-paid-17k-ransom-to-hackers-of-its-computer-network

Si crea un brutto precedente....

Da questo momento azioni come queste in Ospedali, o qualsiasi struttura pubblica sensibile può diventare una normalità, in particolare con gruppi che agiscono nell'est Europa, persone prive di scrupoli...

Se peró si apre un pdf e parte l'uac , qualche sospetto dovrebbe venire...

a chi?
a uno dei milioni di cerebrolesi che passano le giornate a postare foto della cacca del pupo su Fessobuc?
:muro:

Si crea un brutto precedente....

Da questo momento azioni come queste in Ospedali, o qualsiasi struttura pubblica sensibile può diventare una normalità, in particolare con gruppi che agiscono nell'est Europa, persone prive di scrupoli...

quoto :(
anche se la somma è bassa rispetto al riscatto richiesto è comunque un calare le braghe...:muro: :mc:

Hanno pagato:
http://losangeles.cbslocal.com/2016/02/17/la-hospital-paid-17k-ransom-to-hackers-of-its-computer-network

Quando dicevo che i bitcoin , tor, le vpn e tutto ciò che non è tracciabile andrebbe eluso dalla rete intendevo questo.

Spero solo che riescano a chiapparli , e che tramite appunto i log dei bitcoin rirscano a trovarli e ci mandino la cia a eliminarli. Sta gente si merita solo questo.

Quando dicevo che i bitcoin , tor, le vpn e tutto ciò che non è tracciabile andrebbe eluso dalla rete intendevo questo.

Spero solo che riescano a chiapparli , e che tramite appunto i log dei bitcoin rirscano a trovarli e ci mandino la cia a eliminarli. Sta gente si merita solo questo.

io li appenderei in piazza per le palle... altro che eliminare... li faccio soffrire per giorni:mad: :mad:

Non voglio credere che non avessero backup dai.

My 2 cents? Backup effettuati su una share di rete "accessibile" che, ovviamente, è stata bellamente attaccata anche lei. :asd:

@rispondo anche a Therinai

In infrastrutture del genere, mi aspetto che i backup vengano eseguiti si in rete, ma su nastro magnetico (magari in duplice copia) accessibile solo ripristinando.
Probabilmente sarà andata come dite voi, è un peccato che l'articolo non ne faccia il minimo cenno, avrei voluto saperne di più.

Intanto in toscana non rimaniamo indietro .....

http://m.iltirreno.gelocal.it/empoli/cronaca/2016/02/16/news/il-virus-cryptolocker-attacca-il-server-del-municipio-servizi-in-tilt-a-vinci-1.12967998
con google ne saltano fuori tanti altri :rolleyes:

http://www.alessandrianews.it/breaking-news/attenzione-teslacrypt-virus-informatico-che-tiene-sotto-scacco-alessandria-126124.html
Un centro analisi, un ospedale in modo marginale, diverse scuole, "abbiamo perso 20 anni di archivio"
Nel TCO di Windows tutto questo l'hanno considerato ? :mc: Adesso quanti stipendi pubblici ci vogliono per rimediare ai danni ?


Signori cari, finchè diamo la colpa agli utenti chiamandoli con disprezzo "utonti", non andiamo da nessuna parte.
Perchè ammettere che c'è un problema, è il primo step per risolverlo, e mi spiace dirvelo, questi ransomware sono qui e ci restano. :rolleyes:

Signori cari, finchè diamo la colpa agli utenti chiamandoli con disprezzo "utonti", non andiamo da nessuna parte.
Perchè ammettere che c'è un problema, è il primo step per risolverlo, e mi spiace dirvelo, questi ransomware sono qui e ci restano. :rolleyes:

Intanto se si legge tra le righe dell'articolo che hai postato, è possibile leggere anche qualcosa di interessante.
E nello specifico:

Cosa è possibile fare per mettersi al sicuro da questa minaccia?
Intanto è fondamentale avere sempre un backup dei vostri dati più importanti, eseguito su unità esterne al pc da scollegare immediatamente dopo aver effettuato la suddetta operazione.

Quello è un buon punto di partenza.
Certo che, fino a quando ti fai rapire e poi paghi il riscatto non se ne viene di certo a capo.
D'altronde, qua in Italia quanti rapimenti c'erano negli anni passati?
Quanti ne avvengono ancora oggi?
Nessuno! E il motivo è semplice: c'è di fatto una legge che ti impedisce di pagare bloccandoti i conti.
Quindi si, i ransomware sono qui e ci restano ma come tutte le cose criminali, hanno avuto un inizio e avranno anche una fine.
Il problema, imho, va risolto alla radice...

Quello è un buon punto di partenza.
di partenza ma non di arrivo.

L'ho già scritto ma lo ripeto, da noi arrivano spesso questi ransoware per email:
-l'impiegata apre la mail, con Thunderbird su Ubuntu,
-nella mail c'è un eseguibile, e non ha il bit di execute settato,
-l'impiegata può cliccarci sopra anche con tutta la testa di caxxo che vuole :D che il ransomware non parte, e il nostro lavoro è salvo
Troppo difficile ?

o leghiamo le mani agli utenti o troviamo altre soluzioni, ma bisogna trovarle perchè il vaso di pandora si è aperto

-nella mail c'è un eseguibile, e non ha il bit di execute settato,


da ignorante so che si trova in una impostazione da bios, vero?
come si implementa in windows in moda da bloccare ste infezioni? :mc:
brancolo nel buio in queste cosette tecniche...

di partenza ma non di arrivo.

L'ho già scritto ma lo ripeto, da noi arrivano spesso questi ransoware per email:
-l'impiegata apre la mail, con Thunderbird su Ubuntu,
-nella mail c'è un eseguibile, e non ha il bit di execute settato,
-l'impiegata può cliccarci sopra anche con tutta la testa di caxxo che vuole :D che il ransomware non parte, e il nostro lavoro è salvo
Troppo difficile ?

o leghiamo le mani agli utenti o troviamo altre soluzioni, ma bisogna trovarle perchè il vaso di pandora si è aperto



Si ok ma di impiegate che usano Ubuntu e Thunderbird purtroppo io ne vedo ben poche.
Quindi, ci tocca sorbirci Windows e l'impiegata che distrattamente apre il PDF di sarcaxxo quale ditta credendolo innocuo.
A questo punto, oltre ad altre precauzioni che certamente esistono, diventa fondamentale un piano di backup incrementali su dischi esterni (meglio nas che tipicamente girano sotto Linux).
Insomma..Settare delle policy probabilmente non è alla portata di tutti (io ad esempio non saprei da dove iniziare).
Fare un piano di Backup invece non dovrebbe essere difficile e francamente, quando leggo nell'articolo che hai postato che una scuola ha perso 20 anni di archivi, due domande me le faccio...:rolleyes:

L'Ignoranza purtroppo vince sulla ragione quando non c'è un minimo di pianificazione aziendale, sia che si tratti di una struttura pubblica che di un azienda privata.

Applicare delle semplici policy di sicurezza sui terminali non ci vuole un genio, sarebbe opportuno affidare la sicurezza a chi la sa fare (magari che non ha paraocchi e ideologie distorte).

Oggi poi quelle certificate ISO 9001 devono avere un responsabile IT di controllo che pianifica in automatico e supervisiona da remoto centinaia di terminali, terminali settati a prova di coglione, e soprattutto backup incrementali gestiti dai Server su dischi esterni...

Purtroppo quando si entra nella PA si vede di ogni senza un minimo di criterio..

da ignorante so che si trova in una impostazione da bios, vero?
come si implementa in windows in moda da bloccare ste infezioni? :mc:
brancolo nel buio in queste cosette tecniche...
Ma no, è un concetto elementare nel file system di unix
ogni file ha dei permessi, per capirci
-rwxr-xr-x eseguibile.exe
-rw-r--r-- testo.txt
Se non ha la "x", non è un programma

Se mi arriva un file allegato nella email, arriva senza la "x". E se voglio farlo funzionare come programma, devo fare a mano "chmod a+x" per modificargli i permessi. L'impiegata può cliccare quanto vuole, ma non lo fa di sicuro.
Al di là di bachi e vulnerabilità che ha ogni software, basta una cazzatina come questa per eliminare il 99% dei ransomware.

Ma no, è un concetto elementare nel file system di unix
ogni file ha dei permessi, per capirci
-rwxr-xr-x eseguibile.exe
-rw-r--r-- testo.txt
Se non ha la "x", non è un programma

Se mi arriva un file allegato nella email, arriva senza la "x". E se voglio farlo funzionare come programma, devo fare a mano "chmod a+x" per modificargli i permessi. L'impiegata può cliccare quanto vuole, ma non lo fa di sicuro.
Al di là di bachi e vulnerabilità che ha ogni software, basta una cazzatina come questa per eliminare il 99% dei ransomware.

ah ok. bien quindi con windows si è fottuti sempre :asd: molto benissimooo:mc:

Mi riferivo al .pdf.exe.
Se è un exe l'uac parte.


NO, se l'exe crittografa solo i tuoi documenti non parte nessun UAC, perchè dovrebbe?

Forse non ti è chiaro cosa fa l'UAC: protegge le modifiche ai file di sistema, non ai documenti dell'utente! :)
Mica si apre l'UAC ogni volta che modifici un documento di word, ti pare?

E anche gli exe possono benissimo girare se li clicchi e l'UAC non si scomoda se l'exe non va a toccare i file si sistema.

NO, se l'exe crittografa solo i tuoi documenti non parte nessun UAC, perchè dovrebbe?

Forse non ti è chiaro cosa fa l'UAC: protegge le modifiche ai file di sistema, non ai documenti dell'utente! :)
Mica si apre l'UAC ogni volta che modifici un documento di word, ti pare?

E anche gli exe possono benissimo girare se li clicchi e l'UAC non si scomoda se l'exe non va a toccare i file si sistema.

Scusa ma se non si installa nei file di sistema non serve neppure formattare. Basta cancellarlo e saluti . ( ovviamente avendo backuppato tutto prima. )



Ps cmq mi sono arrivate pure a me mail probabili di cryptolocker.

Solo che google le ha messe nello spam e ha cancellato gli eseguibili .exe .

per una risultato di tale disastrosità mi immagino che abbiano messo gli infermieri a gestire gli impianti informatici, i server e la rete :asd:
io gestisco i sistemi informativi di un ospedale qui a Roma, ed ho sotto mano almeno 2-3 sistemi di backup tra i quali la tape library
hanno completamente sottovalutato i rischi

per una risultato di tale disastrosità mi immagino che abbiano messo gli infermieri a gestire gli impianti informatici, i server e la rete :asd:
io gestisco i sistemi informativi di un ospedale qui a Roma, ed ho sotto mano almeno 2-3 sistemi di backup tra i quali la tape library
hanno completamente sottovalutato i rischi

Ah ah ah
Mentre invece i responsabili IT e i sistemisti erano in sala operatoria...:asd:

Scusa ma se non si installa nei file di sistema non serve neppure formattare. Basta cancellarlo e saluti . ( ovviamente avendo backuppato tutto prima. )

ho appena trascinato un eseguibile qualunque in esecuzione automatica. Nessuna richiesta.
'Sti cosi girano come utente, non con privilegi elevati (che non gli servono)...

ho appena trascinato un eseguibile qualunque in esecuzione automatica. Nessuna richiesta.
'Sti cosi girano come utente, non con privilegi elevati (che non gli servono)...

io ho provato ad eseguire 2 o 3 eseguibili non installati sul pc un vs portable e il risultato è sempre stato questo .http://imgur.com/6XjKj0d.jpg


e non è roba che ha bisogno di accesso al sistema.

solo che windows ti avvisa. poi se uno da ok caxxi suoi.

l'avviso che il file è stato scaricato e può non essere sicuro non c'entra niente con l'UAC e i permessi utente...

Rik`[;43395100']l'avviso che il file è stato scaricato e può non essere sicuro non c'entra niente con l'UAC e i permessi utente...

Ma di cosa parli ?

Quello è windows che mi dice che l'exe che sto tentanto di aprire non è installato . E la prima volta di avvisa.

quello è l'avviso che ti dice che il file non è sicuro perché non si conosce l'autore, sono d'accordo che ti appaia quando provi ad avviare parecchi file scaricati da internet, ma non c'entra nulla con l'UAC

Rik`[;43395185']quello è l'avviso che ti dice che il file non è sicuro perché non si conosce l'autore, sono d'accordo che ti appaia quando provi ad avviare parecchi file scaricati da internet, ma non c'entra nulla con l'UAC
Si ma sempre un avviso da.

Il succo è quello.


Io confondevo i 2 avvisi credendo fosse la stessa cosa .

Rik`[;43395185']quello è l'avviso che ti dice che il file non è sicuro perché non si conosce l'autore, sono d'accordo che ti appaia quando provi ad avviare parecchi file scaricati da internet, ma non c'entra nulla con l'UAC
esatto, quoto. :)

Si ma sempre un avviso da.

Il succo è quello.

Io confondevo i 2 avvisi credendo fosse la stessa cosa .

se l'exe "manomette il sistema" DOPO quell'avviso appare l'UAC che ti chiede la pass di admin.
ma se l'exe cancella solo tutti i tuoi file l'UAC se ne frega.

se l'exe "manomette il sistema" DOPO quell'avviso appare l'UAC che ti chiede la pass di admin.
ma se l'exe cancella solo tutti i tuoi file l'UAC se ne frega.

Ok ma un exe può eludere quel l'avviso?

Perche quello è sufficiente ad essere tranquilli.

sì, se è stato usato un certificato valido per firmare l'exe