Link all'Articolo: http://www.hwupgrade.it/articoli/sicurezza-software/4582/allarme-cryptovirus-prevenire-per-non-pagare-il-riscatto_index.html

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

Click sul link per visualizzare l'articolo.

La verità è che nel 2016 ci sono fior fiore di aziende e professionisti che non hanno completamente idea del fatto che i dati non sono una ben definita entità fisica ma un ammasso di byte pronti ad essere persi e/o danneggiati da un qualsiasi evento.

Ci hanno contattato perfino da Comuni dove il personale si è autoinfettato tramite email inviate da alcuni dipartimenti e che si sono diffuse in tutti gli uffici.

La soluzione è sempre esistita ma non si vuole affrontare il costo o la seccatura di effettuare l'operazione con una certa cadenza (se il sistema non provvede in automatico), quindi direi che è una cosa tutta meritata per chi "sfortunatamente" ne è vittima.

Cit.

<<Server nuovi o l'X5 aziendale per natale?>>

:asd:

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

lo domando perché io farei il backup del PC su un NAS, senza mappare la share del NAS in cui salvare i file in un'unità di Windows, e facendo puntare il programma di backup ("O&O AutoBackup" nel mio caso) direttamente al percorso di rete (in più farei il backup una volta alla settimana, lasciando spento il NAS e facendolo accendere in automatico solo prima del job di backup).

in questo modo dovrei essere sicuro che questi infami non siano in grado di accedere anche ai file sul NAS, giusto?

PS: da qualche settimana sto provando sul PC di casa (dopo essermi beccato un cryptolocker sul pc dell'ufficio... grazie Norton Endpoint Protection, funzioni benissimo!) Malwarebytes Anti-Ramsonware, e ieri mi ha "bloccato" l'aggiornamento di JDownloader 2 in quanto conteneva un ramsonware. io nel dubbio ho ovviamente evitato di aggiornare il programma.

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).

Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).

ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di :ciapet: (che non guasta mai! :p ).

PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.

PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!

l'articolo non e' male, tuttavia omette 2 aree di fondamentale importanza:

1) come limitare al massimo la probabilita' di infezione
2) come comportarsi con un pc infetto

per la 1, e' abbastanza facile: non aprire allegati che non ci si aspetta, soprattutto se con nomi strani, criptici o casuali e porre molta attenzione all' estensione dei file. estensioni .exe .bat .vbs .js sono quasi sempre virus, ovviamente si tratta di file a loro volta zippati

altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)

per la 2 invece, a parte i consigli corretti sul disconnettere/spegnere il pc, quando si e' stati infettati la cosa migliore e piu' sicura da fare e' recuperare il recuperabile e procedere con una formattazione del disco e reinstallazione della macchina.

Questo semplicemente perche' ogni volta che si viene infettati e' generalmente da una nuova variante di ransomware non ancora identificata dagli antivirus, variante che potrebbe benissimo comportarsi in modo diverso dalle altre ed insinuarsi piu' a fondo ed in maniera piu' subdola nel sistema, per eventualmente ripresentarsi in futuro (e questo scommetto sara' il prossimo passo evolutivo di questi malware), percui l'unico modo per essere certi al 100% che il sistema sia pulito e' ripartire da 0.

Cit.

<<Server nuovi o l'X5 aziendale per natale?>>

:asd:

Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.

Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B :asd:

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia :asd:


PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!

Oggi abbiamo ricevuto una comunicazione che estende il pericolo anche ad allegati di tipo *.doc, *.pdf e *.xls, oltre ai classici *.exe e *.zip.
Purtroppo basta una disattenzione, una mail finta inviata da un contatto conosciuto con allegato un file tipo documento e la frittata è fatta.
Non so come sia potuto accadere a te, però mi sembra utile condividere questa informazione...

ok, allora mi sembra un buon compromesso.
antivirus, antimalware, antiramsonware, browser aggiornato (con adblock+ghostery), backup su NAS non mappato, un po' di sale in zucca e un po' di :ciapet: (che non guasta mai! :p ).

PS: in effetti occorre ricordarsi anche del cloud! uso Onedrive, Dropbox e Google Drive: occorre fare il backup sul NAS anche di questi, altrimenti nel caso si è fregati.

PPS: quando me lo sono beccato in ufficio, mi ha criptato i file sulla macchina fisica, su una virtual machine (il disco della virtual era "sharato" sulla macchina fisica) + 5 share di rete mappate (in automatico alla login, default aziendale).
ovviamente tutto quello che avevo sul PC l'ho perso (niente backup per i poveri dipendenti) mentre almeno quello che c'era sulle share di rete l'hanno recuperato.

PPPS: il pc poi l'hanno preso in mano quelli che in azienda si occupano della gestione IT (io sono un "semplice" sviluppatore) e hanno dovuto provare 5 diversi tool (non so quali) prima di sgamare il colpevole e sradicarlo. mah! chissà come l'ho preso! niente mail, niente allegati strani! boh!

Ormai sono un esperto del settore:
Il disco di backup sul nas protetto da credenziali.
Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate).
Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema.
Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows.
Cripta file di testo, pdf, immagini.
Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall).
In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa).
Dopo di chè usare un programma per vedere le copie shadow sui dischi:
Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%)
Spero di essere stato utile

Nell'azienda dove sono ora sono stati colpiti da una serie di ransomware proprio negli ultimi giorni.
Sono quindi stati criptati anche dati di cartelle di rete condivise con informazioni preziose.

Motivo del contagio?
HAI VINTO 500€, clicca qui per scegliere se spenderli nel supermercato A o supermercato B :asd:

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia :asd:

E' un "virus" stronzo.
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto.
In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24.
Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora)

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?


si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia :asd:


pebkac!

E' un "virus" stronzo.
Si inietta anche sui pdf e ti arriva la mail da un indirizzo che conosci con su scritto tuo preventivo richiesto.
In un'azienda addirittura gli è arrivato tramite un pdf del loro commercialista dell'f24.
Formattare non serve ad un cavolo, e puoi salvare tutti i dati con pochi accorgimenti preventivi (per ora)

iniettarsi sui PDF vuol dire che appare come un file PDF agli occhi del pc, ma una volta eseguito invece fa partire un eseguibile?

l'icona però non potrebbe esser quella del pdf allora.
chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita.
quindi già si salvano quando arriva il solito file preventivo.pdf.exe

Ormai sono un esperto del settore:
Il disco di backup sul nas protetto da credenziali.
Disco da far usare solo al programma di backup che si logga con le sue credenziali (preimpostate nel programma stesso), in fase di backup, ed al termine riavvia il sistema (o lo spegne, come meglio desiderate).
Attivare i punti di ripristino sul pc, e fate eseguire pure le copie shadow su partizioni non di sistema.
Questo tipo di virus cripta tutti i dati tranne quelli presenti nelle cartelle Programmi, programmi x86, windows.
Cripta file di testo, pdf, immagini.
Fin'ora non ho beccato file zip criptati (su 6-7 varianti di crypolocker-wall).
In caso di infezione sradicare il malware, (uso malwarebytes), scanzione all'avvio completa con antivirus (potrebbe trovare qualche sorpresa).
Dopo di chè usare un programma per vedere le copie shadow sui dischi:
Recuperate da li i file (con copie shadow attive il recupero finora è stato del 100%)
Spero di essere stato utile
interessante la cosa dei file zip, riguardo file musicali e video?
per dire un file da 10gb quanto impiega a criptarlo?

si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

mmm...
allora dovrei trovare un sw di backup via FTP. non credo che quello che uso ora possa farlo.

iniettarsi sui PDF vuol dire che appare come un file PDF agli occhi del pc, ma una volta eseguito invece fa partire un eseguibile?

l'icona però non potrebbe esser quella del pdf allora.
chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita.
quindi già si salvano quando arriva il solito file preventivo.pdf.exe

Icona pdf e si apre un pdf (nel caso citato era un F24 da pagare).
Non so davvero come facciano, ma forse hanno trovato il modo di dirottare la ricerca di caratteri non europei (cirillico, arabo, ideogrammi, non so) verso un server diverso da quello adobe (a dire il vero non hanno aperto mail con allegati strani, stanno attenti di la, e l'unica mail aperta quel giorno è stata quella e subito dopo il criptaggio dei dati).
Come lettore di pdf acrobat, sarebbe interessante sapere se funziona lo stesso meccanismo anche con lettori diversi (nitro pdf, sumatra ecc).

altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)


Java del browser non se ne può fare a meno, visto che la maggior parte dei siti web lo usa per funzionare correttamente.
Si possono però usare dei plugin come noscript per dare permessi di usare javascript solo ai siti che si ritengono sicuri
questo ovviamente non risolve il problema ma lo limita di molto.

Ad ogni modo IMHO il sistema più sicuro per prevenirli rimane sempre il backup periodico su periferiche esterne, sperando non inventino ransom più subdoli che non si attivano immediatamente e che come i virus normali, hanno un periodo iniziale di inattività, in questo modo uno può essere convinto di essere pulito e copiare nelle periferiche esterne i dati contenenti già il virus e senza saperlo infettarsi i dati di backup.

interessante la cosa dei file zip, riguardo file musicali e video?
per dire un file da 10gb quanto impiega a criptarlo?

Audio e video vengono criptati, a meno non si trovino in cartelle di sistema.
Credo che tra 100 gb e 5 mb non cambi la velocità, basterebbe criptare solo l'header del file (e lasciare il resto intatto) per rendere inutiliuzzabile lo stesso.
Ps i sistemi delle shadow funzionano solo da vista in poi.
Con Xp se proprio abbiamo dati importanti bisogna smontare il disco, fare una scansione con software di recupero dati (io uso testdisk) e sperare.
Il file non viene in genere criptato al volo, ma dovrebbe funzionare con:
creazione di una cartella temp.
criptaggio del file in temp e sostituzione dell'originale.
Qualcosa su xp ho recuperato, ma ci vuole molto tempo (e relativi soldi) per fare un buon lavoro.
Il primo criptowall che ho beccato mi ha tenuto sotto 3 gg (e ci ho lavorato fino alle 2 di notte per due notti di fila), ma alla fine l'ho :ciapet: :fuck:

Ps staccarlo sempre dalla rete ed usare la modalità provvisoria nel tentativo di recuperare i dati.
Per il nas, basta che i permessi di scrittura siano dati ad un utente diverso da quello di win, e impostati nel programma di backup (il sistema, e relativo virus, non hanno i permessi di scrittura in questo modo ed i backup sono al sicuro)

Java del browser non se ne può fare a meno, visto che la maggior parte dei siti web lo usa per funzionare correttamente.
Si possono però usare dei plugin come noscript per dare permessi di usare javascript solo ai siti che si ritengono sicuri
questo ovviamente non risolve il problema ma lo limita di molto.

Ad ogni modo IMHO il sistema più sicuro per prevenirli rimane sempre il backup periodico su periferiche esterne, sperando non inventino ransom più subdoli che non si attivano immediatamente e che come i virus normali, hanno un periodo iniziale di inattività, in questo modo uno può essere convinto di essere pulito e copiare nelle periferiche esterne i dati contenenti già il virus e senza saperlo infettarsi i dati di backup.

La prossima variante sarà (se non lo è gia) in asclolto per un tot di tempo.
Quando rileva un disco esterno inserito si attiva ed il backup è comunque compromesso.

iniettarsi sui PDF vuol dire che appare come un file PDF agli occhi del pc, ma una volta eseguito invece fa partire un eseguibile?

l'icona però non potrebbe esser quella del pdf allora.
chiedo perchè nella mia ditta ci sono trogloditi informatici, che però si salvano in corner evitando di cliccare su cose che non hanno le icone di documenti oltre l'estensione solita.
quindi già si salvano quando arriva il solito file preventivo.pdf.exe
Tristemente, dopo 20 anni e 8 versioni, Windows ha ancora per attiva per default l'opzione "nascondi estensioni conosciute dei file". :doh:

Cmq non vedo come possano esistere soluzioni preventive diverse dal fare backup periodici su dischi normalmente disconnessi fisicamente dal sistema! Un virus ha accesso a tutto ciò cui avete accesso voi... password incluse!

E curiosamente non vedo nè nel thread nè nell'articolo nessun link ai programmi più importanti in tutta questa faccenda: quelli per il backup!
E nemmeno una bella spiegazione su com'è e come si fa un backup, che differenza c'è tra backup incrementale e differenziale, ecc...
Cioè, ok, l'articolo ha funzionato, ci avete terrorizzato... e adesso? Qualcuno sa dirci cosa fare, invece cosa NON fare? (NON cliccare, NON aprire mail, NON usare java, NON usare flash, NON usare javascript.... NON usare il PC!!?!)

Già beccato in azienda 2 volte in pochi mesi.. Beati backup!!

Java del browser non se ne può fare a meno, visto che la maggior parte dei siti web lo usa per funzionare correttamente.
Si possono però usare dei plugin come noscript per dare permessi di usare javascript solo ai siti che si ritengono sicuri
questo ovviamente non risolve il problema ma lo limita di molto.

Ad ogni modo IMHO il sistema più sicuro per prevenirli rimane sempre il backup periodico su periferiche esterne, sperando non inventino ransom più subdoli che non si attivano immediatamente e che come i virus normali, hanno un periodo iniziale di inattività, in questo modo uno può essere convinto di essere pulito e copiare nelle periferiche esterne i dati contenenti già il virus e senza saperlo infettarsi i dati di backup.

Java != JavaScript

Tristemente, dopo 20 anni e 8 versioni, Windows ha ancora per attiva per default l'opzione "nascondi estensioni conosciute dei file". :doh:

Cmq non vedo come possano esistere soluzioni preventive diverse dal fare backup periodici su dischi normalmente disconnessi fisicamente dal sistema! Un virus ha accesso a tutto ciò cui avete accesso voi... password incluse!

E curiosamente non vedo nè nel thread nè nell'articolo nessun link ai programmi più importanti in tutta questa faccenda: quelli per il backup!
E nemmeno una bella spiegazione su com'è e come si fa un backup, che differenza c'è tra backup incrementale e differenziale, ecc...
Cioè, ok, l'articolo ha funzionato, ci avete terrorizzato... e adesso? Qualcuno sa dirci cosa fare, invece cosa NON fare? (NON cliccare, NON aprire mail, NON usare java, NON usare flash, NON usare javascript.... NON usare il PC!!?!)
Se usi synckback per esempio, configuri correttamente gli accessi al nas con utente diverso da quello di windows, nessun virus sarà in grado di accedere alla cartella di backup.
finorà non c'è stato nemmeno il problema di sovrascrivere con file criptati dato che cambiano il nome e l'estensione, quindi per il programma sono file diversi.

Diciamo che probabilità di infezione, salgono esponenzialmente dalla quantità di file che vengono gestiti. Un utente privato, viene infettato più per ignoranza informatica, al contrario le aziende sono più facilmente soggette proprio per l'enorme mole di documenti. Quelle che gestiamo noi, tranquillamente scambiano anche 10gb di posta ogni 2 settimane, su 100/160 account diversi... È facile intuire che quando ricevi trilioni di gb di documenti, foto e quant'altro infezione ci sta.

Se usi synckback per esempio, configuri correttamente gli accessi al nas con utente diverso da quello di windows, nessun virus sarà in grado di accedere alla cartella di backup.
finorà non c'è stato nemmeno il problema di sovrascrivere con file criptati dato che cambiano il nome e l'estensione, quindi per il programma sono file diversi.

E la stessa tecnica che uso io ma con un altro programma, la mia paura è che prima o poi si sveglino e forzino la password dei più noti programmi di backup, spero che la password sia storata in maniera seria... altrimenti il castello cade.

E la stessa tecnica che uso io ma con un altro programma, la mia paura è che prima o poi si sveglino e forzino la password dei più noti programmi di backup, spero che la password sia storata in maniera seria... altrimenti il castello cade.

Il miglior sistema è quello che il nas si logghi sulle unità che deve eseguire il backup, in quel caso non ci sono possibilità che venga eseguito una criptazione dei dati.

Ma quanto il programma cripta i file dovrà pure utilizzare la cpu quasi al massimo e quindi uno notando un uso anomalo delle risorse può accorgersi di quanto succede?

Ma quanto il programma cripta i file dovrà pure utilizzare la cpu quasi al massimo e quindi uno notando un uso anomalo delle risorse può accorgersi di quanto succede?

se sei uno che sa cos'e' la cpu, e sa come tenere sotto controllo l'utilizzo delle risorse e' molto difficile che ti prenda il virus in primo luogo.

comunque, non ci farei troppo affidamento... ormai le cpu moderne hanno istruzioni dedicate per criptare con AES, inoltre questi malware criptano solo un piccolo pezzettino di ogni file, giusto quel tanto che basta a corromperlo irrimediabilmente ma mantenendo l'operazione il piu' veloce e leggera possibile...

se sei uno che sa cos'e' la cpu, e sa come tenere sotto controllo l'utilizzo delle risorse e' molto difficile che ti prenda il virus in primo luogo.

comunque, non ci farei troppo affidamento... ormai le cpu moderne hanno istruzioni dedicate per criptare con AES, inoltre questi malware criptano solo un piccolo pezzettino di ogni file, giusto quel tanto che basta a corromperlo irrimediabilmente ma mantenendo l'operazione il piu' veloce e leggera possibile...

un possibile step successivo di questi malware è quello di occupare la cpu quando è in idle (utente lontano) e appena succede qualche operazione tornare nell'ombra. Credo sia fattibile come misura per nascondere l'operatività :rolleyes:

Un bel casino comunque, anche perchè da quel che leggo li stanno perfezionando sempre più, quindi se già adesso è dura individuarli figuriamoci tra 1 anno che disastri conbineranno...
Evitare crack e keygen penso sia la prima cosa da fare

un possibile step successivo di questi malware è quello di occupare la cpu quando è in idle (utente lontano) e appena succede qualche operazione tornare nell'ombra. Credo sia fattibile come misura per nascondere l'operatività :rolleyes:

Prima ransom che si attivano quando è collegata un unità esterna, ora altri che criptano quando la CPU è in idle...
speriamo che non ci sia qui in ascolto qualche programmatore di malware perchè gli state dando delle buone idee :sofico:

Come al solito, nel 99% dei casi di sicurezza informatica, il problema si trova tra il monitor e la sedia :asd:

Ad insultare gli utenti sono capaci tutti.
Invece a proporre soluzioni efficaci, non tutti sono capaci. :rolleyes:

Francamente preferisco essere un impiegato inesperto di sicurezza, che un sedicente esperto di non sia bene cosa ma sicuramente esperto a dare la colpa agli altri. :asd:

Io sono un tipo molto attento e fortunatamente non mi ha mai beccato.
Ora vorrei proporvi alcune domande tecniche.

Sarebbe di qualche utilità fissare i file in sola lettura?

Ammesso che io abbia una copia sicura di un file che mi è stato criptato, non è possibile, raffrontando i 2 file risalire alla chiave e decrittare altri file di cui magari non ho backup?

Icona pdf e si apre un pdf (nel caso citato era un F24 da pagare).
Non so davvero come facciano, ma forse hanno trovato il modo di dirottare la ricerca di caratteri non europei (cirillico, arabo, ideogrammi, non so) verso un server diverso da quello adobe (a dire il vero non hanno aperto mail con allegati strani, stanno attenti di la, e l'unica mail aperta quel giorno è stata quella e subito dopo il criptaggio dei dati).
Come lettore di pdf acrobat, sarebbe interessante sapere se funziona lo stesso meccanismo anche con lettori diversi (nitro pdf, sumatra ecc).

quindi è un pdf pieno di caratteri strani che "costringono" adobe reader a collegarsi?
e a collegarsi a dei server sbagliati?
strano cmq...
cmq configurando adobe per non effettuare nessuna connessione non si risolve?
o meglio ancora lo si blocca da firewall.

a me fa anche impressione che abbiano mandato il file riuscendo ad usare la posta del commercialista, e lo abbiano chiamato apposta F24.
sembra una cosa fatta ad-hoc per far danni ad un dato soggetto, come se sapessero che stava aspettando un F24.

mmm...
allora dovrei trovare un sw di backup via FTP. non credo che quello che uso ora possa farlo.

"Archiviazione su cloud privato, ibrido e pubblico - FTP, SFTP" per Acronis Backup Advanced for Windows Server ma anche la versione base Backup per PC (vedi manuale italiano AcronisBackupPC_11.5_userguide_it-IT pag. 43 e seguenti).

Java != JavaScript
Hai modo di dimostrare che una certa versione Java è stata portatrice di un'infezione dovuta a Ransomware di qualche tipo e che quindi nella versione successiva la release note abbia riportato il fix riferibile a quel tipo di rischio specifico?

E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).

Non so come gestiscono i file dp e gd ma mega mette in un cestino tutte le versioni precedenti dei file modificati. Finchè si ha spazio sull'account il cestino può non essere svuotato.

Ad insultare gli utenti sono capaci tutti.
Invece a proporre soluzioni efficaci, non tutti sono capaci. :rolleyes:

Beh, ma ha ragione da vendere, il problema è l'utente nel 99% dei casi e questa non è un'opinione. Capisco fossimo ancora agli albori dei pc, ma oramai chiunque decida di affidare al pc una gran fetta dei propri affari DEVE interessarsi di come funzionano certe cose, soprattutto se il sistema operativo stesso ti fornisce gratuitamente tutte le possibilità.

Io ed altri non abbiamo mai preso alcunché anche non avendo alcun anti-malware/virus residente sul sistema.

Java, Flash, PDF? Sono dei non problemi: tutto è utilizzabile usandoli non a livello sistema ma a livello locale su account standard e non admin.

Il 99% della gente ancora si ostina a non studiare un po' meglio windows e continua ad affidarsi a prodotti terzi anti di qua e anti di là che non fanno altro che rompere le balle in tantissime occasioni fuori luogo e ciucciare risorse: e qua non si tratta di programmazione, si tratta solo di capire alcune cose messe a disposizione dell'UTENTE che utilizza windows.

Ransomware? E che caccola è? Così difficile mettere il flag di non esecuzione per certe directory nelle quali vanno automaticamente a finire i file della rete (non quelli che si scaricano volontariamente)?

Cristo Santo, ancora si parla di click su link allegati alle mail, su doppio click a questo e a quell'altro, che schifo, questi invertebrati si meritano altro che ransomware. Non c'è più alcuna scusa: svolgere una professione che non c'entra niente con l'informatica non vuol dire fregarsene totalmente di uno strumento general purpose che TU UTENTE HAI DECISO DI USARE (o che ti è stato imposto di usare al lavoro e ti è stata data una certa responsabilità di utilizzo) per tutta una serie di atttività. La responsabilità è tua e solo tua: ci sono guide idiot-proof a livello utente che spiegano questo e quello (ma si spera che l'utente sia in grado di comprendere almeno un po' di inglese scritto), ci sono libri per inesperti, ecc..

Hai modo di dimostrare che una certa versione Java è stata portatrice di un'infezione dovuta a Ransomware di qualche tipo e che quindi nella versione successiva la release note abbia riportato il fix riferibile a quel tipo di rischio specifico?

Java e' ed e' stato veicolo di infezione per molti malware, e non ho nessuna intenzione di perdere tempo a trovarti materiale a riguardo dato che puoi benissimo trovarlo tu facendo qualche ricerca.
java e' stato veicolo di infezione di un ransomware? boh! fa differenza? se e' vulnerabile e' vulnerabile, che la vulnerabilita' venga sfruttata da un trojan, ransomware, script kiddo o perfino NSA&co.

per finire, se tu avessi mai letto un bollettino riguardo alle vulnerabilita' ed ai bugfix, sapresti che non vengono MAI menzionati malware o exploit specifici, ma soltanto la vulnerabilita' stessa.
se non ti fidi, fai delle ricerche e porta argomenti e fatti concreti per controbattere, l'onere della prova spetta a te.

Beh, ma ha ragione da vendere, il problema è l'utente nel 99% dei casi e questa non è un'opinione. Capisco fossimo ancora agli albori dei pc, ma oramai chiunque decida di affidare al pc una gran fetta dei propri affari DEVE interessarsi di come funzionano certe cose, soprattutto se il sistema operativo stesso ti fornisce gratuitamente tutte le possibilità.

Io ed altri non abbiamo mai preso alcunché anche non avendo alcun anti-malware/virus residente sul sistema.

Java, Flash, PDF? Sono dei non problemi: tutto è utilizzabile usandoli non a livello sistema ma a livello locale su account standard e non admin.

Il 99% della gente ancora si ostina a non studiare un po' meglio windows e continua ad affidarsi a prodotti terzi anti di qua e anti di là che non fanno altro che rompere le balle in tantissime occasioni fuori luogo e ciucciare risorse: e qua non si tratta di programmazione, si tratta solo di capire alcune cose messe a disposizione dell'UTENTE che utilizza windows.

Ransomware? E che caccola è? Così difficile mettere il flag di non esecuzione per certe directory nelle quali vanno automaticamente a finire i file della rete (non quelli che si scaricano volontariamente)?

Cristo Santo, ancora si parla di click su link allegati alle mail, su doppio click a questo e a quell'altro, che schifo, questi invertebrati si meritano altro che ransomware. Non c'è più alcuna scusa: svolgere una professione che non c'entra niente con l'informatica non vuol dire fregarsene totalmente di uno strumento general purpose che TU UTENTE HAI DECISO DI USARE (o che ti è stato imposto di usare al lavoro e ti è stata data una certa responsabilità di utilizzo) per tutta una serie di atttività. La responsabilità è tua e solo tua: ci sono guide idiot-proof a livello utente che spiegano questo e quello (ma si spera che l'utente sia in grado di comprendere almeno un po' di inglese scritto), ci sono libri per inesperti, ecc..


Ad ognuno il suo mestiere... Sei troppo drastico. In più non è mai bello augurare del male agli altri. Io penso al mio commercialista "diversamente giovane" che sì, può essere attento a non aprire posta sospetta ecc, ma se vede un pdf con la scritta F24 mandato magari da un suo cliente è facile che lo apra. Insomma ricordiamoci che chi scrive su questo forum un po' di esperienza la ha ma mica possiamo pretendere che tutti abbiano il tempo di potersela formare. Diverso sarebbe costringere le aziende a far fare un corso di sicurezza informatica elementare ai dipendenti. Ne gioverebbero e basta.
Sinceramente non è utile a nessuno dare dello stupido a chi è estraneo a qualcosa per "buona" ignoranza. Io lo so benissimo che non dovrei gettare niente nel lavandino ma può succedere che quel figlio di buona donna del tappo del dentifricio ci possa cadere dentro. L'amico "idraulico a gratis" non è che viene e mi da dello stupido e nemmeno io lo do a lui quando gli formatto la macchina. Si può stare attenti ma non siamo perfetti. Ho visto gente ben più esperta di me farsi "infettare" da qualche crack del gioco del momento.

Ad ognuno il suo mestiere... Sei troppo drastico.
Come già detto chiaramente, qua il mestiere non c'entra proprio niente, si tratta di essere consapevoli, di ritagliare un po' di tempo nel conoscere meglio uno strumento che si è DECISO DI USARE e di affidargli pure dati IMPORTANTI.
Inoltre, non sono drastico, lo sarei se tale discorso lo avessi fatto ad inizio diffusione di personal computer.

In più non è mai bello augurare del male agli altri.
Nemmeno io lo auguro, ma sicuramente dico "ti sta bene, così forse ti servirà da lezione per il futuro" quando uno è un coglione recidivo, pure in anni e anni di utilizzo.

Io penso al mio commercialista "diversamente giovane" che sì, può essere attento a non aprire posta sospetta ecc, ma se vede un pdf con la scritta F24 mandato magari da un suo cliente è facile che lo apra.
Lo può aprire come gli pare senza alcun patema pur non avendo alcun anti-malware/virus residente. Windows ti fornisce tutto quello che ti serve: non lo sai fare? Allora vedi se riesci a trovare una persona onesta che lo sappia fare, ci vogliono solo 5 minuti e poi tale persona non dovrà mai più intervenire sul tuo pc (ovvio che la cosa va rifatta se si decide di reinstallare e non si ha una iso appositamente pre-modificata, cioè che integri tali interventi, da cui partire).

Non c'è più alcuna giustificazione, sia perché siamo noi ad aver deciso di usare quello strumento, sia perché l'attuale internet permette di azzerare o quasi l'asimmetria informativa pre-Internet/bbs.

Edit: informatica=informativa

Beh, ma ha ragione da vendere, il problema è l'utente nel 99% dei casi e questa non è un'opinione. Capisco fossimo ancora agli albori dei pc, ma oramai chiunque decida di affidare al pc una gran fetta dei propri affari DEVE interessarsi di come funzionano certe cose, soprattutto se il sistema operativo stesso ti fornisce gratuitamente tutte le possibilità.

Io ed altri non abbiamo mai preso alcunché anche non avendo alcun anti-malware/virus residente sul sistema.

Java, Flash, PDF? Sono dei non problemi: tutto è utilizzabile usandoli non a livello sistema ma a livello locale su account standard e non admin.

Il 99% della gente ancora si ostina a non studiare un po' meglio windows e continua ad affidarsi a prodotti terzi anti di qua e anti di là che non fanno altro che rompere le balle in tantissime occasioni fuori luogo e ciucciare risorse: e qua non si tratta di programmazione, si tratta solo di capire alcune cose messe a disposizione dell'UTENTE che utilizza windows.

Ransomware? E che caccola è? Così difficile mettere il flag di non esecuzione per certe directory nelle quali vanno automaticamente a finire i file della rete (non quelli che si scaricano volontariamente)?

Cristo Santo, ancora si parla di click su link allegati alle mail, su doppio click a questo e a quell'altro, che schifo, questi invertebrati si meritano altro che ransomware. Non c'è più alcuna scusa: svolgere una professione che non c'entra niente con l'informatica non vuol dire fregarsene totalmente di uno strumento general purpose che TU UTENTE HAI DECISO DI USARE (o che ti è stato imposto di usare al lavoro e ti è stata data una certa responsabilità di utilizzo) per tutta una serie di atttività. La responsabilità è tua e solo tua: ci sono guide idiot-proof a livello utente che spiegano questo e quello (ma si spera che l'utente sia in grado di comprendere almeno un po' di inglese scritto), ci sono libri per inesperti, ecc..

io ho la patente B, posso guidare un'auto.
eppure ho solo una vaga idea di come funzioni un motore a scoppio, di sicuro non lo so riparare, e nemmeno saprei guidare una formula 1, pur avendo 4 ruote ed un volante.
quindi che facciamo, butto via la patente perché sono un "invertebrato"? perché prima di uscire dal garage dovrei informarmi su come funziona ogni parte della mia auto così da non avere mai un guasto o un incidente? e già che ci sono controllo prima la strada da fare caso mai ci fossero delle buche o dei pericoli?

mai sentito parlare di 0-day, exploit, PC non aggiornati (magari per policy aziendale gli aggiornamenti dell'OS vengono fatti solo ogni tot mesi per evitare problemi di compatibilità e simili, o per evitare che 400 PC scarichino contemporaneamente giga e giga di aggiornamenti intasando la rete aziendale)?
non è che queste cose si diffondono solo perché tutti cliccano a caso senza chiedersi che c'è sotto quel link/mail/documento.
come diceva Forrest Gump, "la merd@ capita".

Come già detto chiaramente, qua il mestiere non c'entra proprio niente, si tratta di essere consapevoli, di ritagliare un po' di tempo nel conoscere meglio uno strumento che si è DECISO DI USARE e di affidargli pure dati IMPORTANTI.
Inoltre, non sono drastico, lo sarei se tale discorso lo avessi fatto ad inizio diffusione di personal computer.


Nemmeno io lo auguro, ma sicuramente dico "ti sta bene, così forse ti servirà da lezione per il futuro" quando uno è un coglione recidivo, pure in anni e anni di utilizzo.


Lo può aprire come gli pare senza alcun patema pur non avendo alcun anti-malware/virus residente. Windows ti fornisce tutto quello che ti serve: non lo sai fare? Allora vedi se riesci a trovare una persona onesta che lo sappia fare, ci vogliono solo 5 minuti e poi tale persona non dovrà mai più intervenire sul tuo pc (ovvio che la cosa va rifatta se si decide di reinstallare e non si ha una iso appositamente pre-modificata, cioè che integri tali interventi, da cui partire).

Non c'è più alcuna giustificazione, sia perché siamo noi ad aver deciso di usare quello strumento, sia perché l'attuale internet permette di azzerare o quasi l'asimmetria informativa pre-Internet/bbs.

Edit: informatica=informativa

Secondo me è sempre facile parlare per chi ci è dentro. Il nostro ritaglio di tempo è di 5 minuti, per un neofita diventano ore.
Il meccanico si domanda come si faccia a non dedicare 5 minuti alla manutenzione della macchina.
L'idraulico si domanda come si faccia a non dedicare 5 minuti alla pulizia delle tubature.
Il medico si domanda come si faccia a non dedicare 5 minuti alle piccole "accortezze" di salute.
Il dietologo si domanda come si faccia a non dedicare 5 minuti a pianificare un pasto equilibrato.

Potrei andare avanti all'infinito. Se uno lavora, ha delle responsabilità, deve dedicare il tempo a talmente 10 000 micro-cose che per chi ci lavora sembra sempre impossibile che accada eppure è così. Pensi che sia impossibile che un'autista di un camion si dimentichi il cambio dell'olio e butti via 20 000€ di motore? Eppure succede.

io ho la patente B, posso guidare un'auto.
eppure ho solo una vaga idea di come funzioni un motore a scoppio, di sicuro non lo so riparare, e nemmeno saprei guidare una formula 1, pur avendo 4 ruote ed un volante.
quindi che facciamo, butto via la patente perché sono un "invertebrato"? perché prima di uscire dal garage dovrei informarmi su come funziona ogni parte della mia auto così da non avere mai un guasto o un incidente? e già che ci sono controllo prima la strada da fare caso mai ci fossero delle buche o dei pericoli?

mai sentito parlare di 0-day, exploit, PC non aggiornati (magari per policy aziendale gli aggiornamenti dell'OS vengono fatti solo ogni tot mesi per evitare problemi di compatibilità e simili, o per evitare che 400 PC scarichino contemporaneamente giga e giga di aggiornamenti intasando la rete aziendale)?
non è che queste cose si diffondono solo perché tutti cliccano a caso senza chiedersi che c'è sotto quel link/mail/documento.
come diceva Forrest Gump, "la merd@ capita".

Anche se il mio ragionamento si discosta un pochino, quoto in toto

ho capito... me ritocca mette le VM pure pe' legge 2 cose su internet e scaricare la posta...

il problema non e' a lavoro, che piu' o meno uno riesce a formalizzare un tipo di protezione preventiva, e' a casa!
mica posso mettere sul NAS tutto...schiatta!
devo decidere di fare pulizia su quel coso e tenermi solo i file che mi servono realmente... avro' 10 copie di tutto qua e la.

ormai su 10 mail al giorno 8 sono di phising, e pure ben fatte!

non se ne puo' piu'... non e' piu' un mondo sano.

Ad insultare gli utenti sono capaci tutti.
Invece a proporre soluzioni efficaci, non tutti sono capaci. :rolleyes:

Francamente preferisco essere un impiegato inesperto di sicurezza, che un sedicente esperto di non sia bene cosa ma sicuramente esperto a dare la colpa agli altri. :asd:

guarda che io non ho insultato gli utenti in generale. Ho solo detto, in modo sarcastico, che i ransomware si attivano esclusivamente traminte l'intervanto ATTIVO di un utente.
La macchina da sola non si infetta. Questo è il punto. :read:

Che tu lo faccia per ignoranza, per negligenza o per errore (capita a tutti di mis-clickare qualcosa) è sempre stata un'azione. Period.
Le soluzioni per prevenire ci sono già, quelle per curare purtroppo sono molto drastiche.
La mia paura è che per colpa di alcuni eventi sfortunati, potrebbero esserci restrizioni pesanti nell'utilizzo dei pc.

Fateci caso, oggi per utilizzare qualsiasi macchina (automobile, strumento diagnostico, strumento analitico) c'è sempre un corso, un piccolo training o un certificato ufficiale. Per i computer non c'è nulla, poi non stupiamoci più di quello che può succedere. :rolleyes:

mai sentito parlare di 0-day, exploit, PC non aggiornati (magari per policy aziendale gli aggiornamenti dell'OS vengono fatti solo ogni tot mesi per evitare problemi di compatibilità e simili, o per evitare che 400 PC scarichino contemporaneamente giga e giga di aggiornamenti intasando la rete aziendale)?
non è che queste cose si diffondono solo perché tutti cliccano a caso senza chiedersi che c'è sotto quel link/mail/documento.
come diceva Forrest Gump, "la merd@ capita".

Senza contare che sempre per 'policy aziendale' non è proprio detto che vengano installati i patch di sicurezza perchè dopotutto quel che funziona è meglio non toccarlo (l'IT può anche non voler rischiare certi aggiornamento anche solo di sicurezza del Framework di Microsoft per evitare problemi di compatibilità). Non è detto che se ci sia l'IT che si interessa a far installare degli antimalaware o anti exploit anche se gratuiti o proponendo licenze aziendali che avrebbero un costo relativamente per il tipo di copertura offerta, almeno parziale se vogliamo... (perchè se succedono infezioni dopotutto viene chiesto il suo prezioso intervento). E non è detto che lo stesso IT per il fatto di essere stato costretto ad utilizzare licenze pirata in azienda sia stato costretto a disattivare certi aggiornamenti altrimenti proprio il PC del capo si blocca... ed infine vai a vedere dove finisce la responsabilità nel caso di infezioni: rischia l'IT di saltare se vengono persi i dati oppure visto che serve il famoso intervento 'attivo' dell'utente con un click la colpa è sempre dell'impiegato di turno che ha scaricato l'allegato pericoloso? Ho visto più di qualche responsabile IT fare terrorismo psicologico e poi in realtà aver ben poche policy di sicurezza attive e preventive.
Ci sono tante sfumature di... ransomware quando colpisce.

l'articolo non e' male, tuttavia omette 2 aree di fondamentale importanza:

1) come limitare al massimo la probabilita' di infezione
2) come comportarsi con un pc infetto

per la 1, e' abbastanza facile: non aprire allegati che non ci si aspetta, soprattutto se con nomi strani, criptici o casuali e porre molta attenzione all' estensione dei file. estensioni .exe .bat .vbs .js sono quasi sempre virus, ovviamente si tratta di file a loro volta zippati

altra contromisura importantissima e', se non strettamente necessario, purgare Java a partire dai suoi plugin del browser per finire (sempre possibilmente) con tutta la JVM. Java e' una enorme porta aperta a malware di ogni tipo e genere, una roba che flash in confronto e' fort knox (e flash e' rinomato per essere pieno di vulnerabilita' e comune veicolo di infezione...)

per la 2 invece, a parte i consigli corretti sul disconnettere/spegnere il pc, quando si e' stati infettati la cosa migliore e piu' sicura da fare e' recuperare il recuperabile e procedere con una formattazione del disco e reinstallazione della macchina.

Questo semplicemente perche' ogni volta che si viene infettati e' generalmente da una nuova variante di ransomware non ancora identificata dagli antivirus, variante che potrebbe benissimo comportarsi in modo diverso dalle altre ed insinuarsi piu' a fondo ed in maniera piu' subdola nel sistema, per eventualmente ripresentarsi in futuro (e questo scommetto sara' il prossimo passo evolutivo di questi malware), percui l'unico modo per essere certi al 100% che il sistema sia pulito e' ripartire da 0.

Hai fatto un intervento utile, almeno come finalità, al contrario di chi inveisce contro gli inesperti e dall'alto dela sua prosopopea non fa nulla per spiegar loro le poche cose che hai detto tu.

Sono perfettamente daccordo sul punto 1A, un po' meno sul punto 1B, per tutto il punto 2 e discussione che ne segue sono ancora daccordo.

Questo perchè sono sempre della teoria, invalsa fino a prova contraria, che un PC non infetto può essere infettato solo da operazione ATTIVA comandata dall'utente, cioè dal lancio intenzionale di un processo di dubbia provenienza avente caratteristiche di eseguibilità, da codice macchina o da interpretato che sia, terminante per intenderci con estensioni esplicite (ultimi caratteri dopo il punto finale) .exe, .bat, .vbs, .com, .js, ... ma non . pdf, .doc, .docx, ... .mp3, .mp4 ..., che sono estensioni trattate da SW applicativo legittimo, che non prevede (a meno di assurde pensate dei produttori), azioni e funzioni di qualsiasi tipo estranee alla natura ed alla finalità del prodotto! E' il bello è che si tratta di files sensatamente prevedibili in sola lettura come input a SW standard di gestione documenti stampabili e riproduzione flussi multimediali, quindi per loro natura assolutamente INNOCUI!

Certo che Java piuttosto che PDF o Docx, per quanto patchati, possono essere infettati a volontà, specialmente il primo, ma infettati da chi? sempre da quell'attività utente di cui sopra , che lancia qualcosa molto probabilmente proveniente da dubbio allegato (o da P2P o siti Warez...) camuffata a prima vista da documento innocuo, ma con la maledetta estensioni di eseguibilità magari mascherata di default (pensata eccelsa!).

In poche parole, se l'ambiente Java non ha virus ed io mi collego ad un sito malevolo, non può essere eseguita un'elaborazione malevola da questo SW, se prima io, attirato magari da un finto pulsante di ricerca o cambio pagina, non scateno D.L. ed EXE contesutale e nascosta che mi va a sputtanare l'ambiente Java (ovviamente sfruttanto qualche baco/exploit dello stesso).

Mi stavo chiedendo...usando una qualsiasi distro Linux si è al riparo da questi malware preparati per sistemi Windows anche se sembra che qualcosa ci sia anche per Linux.
Proprio per questo motivo però anche le difese (vedi hitmanPro, malwarebytes etc...) sono sviluppate per Windows e non per Linux.
Quindi se dovessero concentrarsi su Linux a questo punto sarebbe più sicuro usare Windows...o no?

Ok i permessi degli utenti ma a quanto ho capito qui si sfruttano vulnerabilità che non sempre permettono a un'accorto uso dei permessi di evitare il danno.
Ok il flag executable ma anche qui, Windows con UAC, un aiuto lo da. Poi se uno clicca compulsivamente pace....

Sbaglio?

io ho la patente B, posso guidare un'auto.
eppure ho solo una vaga idea di come funzioni un motore a scoppio, di sicuro non lo so riparare, e nemmeno saprei guidare una formula 1, pur avendo 4 ruote ed un volante.
Paragone del tutto fuori luogo perché:

per sistemare il tuo pc non lo devi aprire, non ti servono attrezzi (né hardware né software, windows offre già tutto), non è richiesto un intervento altamente specializzato, ecc., il tutto è fattibile dall'utente anche semplice (in rete ci sono tanti tutorial pure per i neofiti, se uno è pigro sono cazzi suoi, non esiste alcuna giustificazione). In questo l'utente non è solo, ha internet, si può informare, anche nel caso che capisca poco può almeno intuire di cosa avrebbe bisogno e magari chiamare un qualcuno di onesto che faccia quell'immediata configurazione usando ESCLUSIVAMENTE ciò che offre windows, non servono tool esterni, non serve pagare alcuna licenza software, ecc.. L'intervento che viene fatto non è da ripetere, lo fai UNA SOLA volta fino a quando non reinstalli l'os.

Il tuo paragone è oggettivamente fuori luogo perché l'utente di un PC non è paragonabile ad un meccanico di un auto, ma bensì ad un guidatore di un auto.
Utente PC e guidatore, per un uso consapevole e in sicurezza devono sottostare a delle regole: quando un guidatore aziona la freccia in un dato momento, sta seguendo una regola (anche di sicurezza), così come quando sbrina i vetri, usa gli abbaglianti, ecc., oltre al fatto che anche solo per guidare l'auto devi studiare e fare l'esame orale e pratico.
Inoltre il PC come viene usato oggi, ben più dell'auto mantiene dati sensibili, economici, privati, ecc., e lo sarà immensamente sempre di più nel futuro.

Il non voler imparare ad usare bene il sistema operativo a cui si VOGLIONO affidare dati sempre più importanti/sensibili è senza alcun dubbio da idioti, non ci sono santi a cui appellarsi.

Le cose che io so fare al pc riguardano ben prima che andassi all'università e non hanno avuto niente a che vedere con la mia facoltà di informatica dove non ti insegnano niente sull'uso di windows visto che questo riguarda il semplice utente, la semplice utenza, in facoltà ti insegnano a programmare, la matematica continua e discreta, gli algoritmi in teoria e applicati, diritto dei beni digitali, marketing, reti, sistemi operativi a basso livello (uno dei progetti di tale corso non riguarda le banalità di cui stiamo parlando, ma sviluppare per esempio un device driver per l'os) e bla bla.

Anche se non si ha alcuna passione, nel momento in cui decidi di usare un certo strumento, che decidi di affidargli dati sempre più importanti e che sai che tale strumento avrà sempre più importanza nel futuro, bisogna interessarsene seriamente (anche se sempre a livello utente), se non lo si fa sei un coglione certificato, punto.


mai sentito parlare di 0-day, exploit,
Tutti evitabili in modo stra-banale con quella prudenza nell'uso già pubblicizzata enormemente fin dagli anni 90 e con gli strumenti interni di windows. Lo si faceva già ai tempi di win2000.

PC non aggiornati (magari per policy aziendale gli aggiornamenti dell'OS vengono fatti solo ogni tot mesi per evitare problemi di compatibilità e simili, o per evitare che 400 PC scarichino contemporaneamente giga e giga di aggiornamenti intasando la rete aziendale)?
La questione aziendale è diversa da quella privata ma anche in tantissimi casi appartenenti a questa categoria (la quasi totalità di quelli che sono stati discussi nelle news di questi ultimi tempi), sono stra-banalmente risolvibili: il caso del ransomware che ha colpito l'apparato informatico di quell'ospedale americano, per esempio, è scaturito da una gestione ben più che idiota e che avrebbe risolto anche un perito di un istituto tecnico appassionato. E' sconcertante la situazione di straccionaggine e superficialità in cui si trovano tantissime aziende: sinceramente, si meritano tutte le rogne possibili.

C'è troppa gente lassista e scaribarile in giro, non è mai colpa di nessuno e bla bla bla: se iniziassero a fioccare severi provvedimenti e licenziamenti (non dico alla prima cazzata, ma certamente alla terza), come ho visto nelle realtà estere, quella "famosa" gestione allegra, spensierata e da coglioni verrebbe ridotta brutalmente (in primis nel settore pubblico italiano dove spesso ti chiedi come è possibile che certi individui vengano pagati anche solo 300 euro al mese, già troppo per quello che non fanno o, ben peggio, causano).

Mi stavo chiedendo...usando una qualsiasi distro Linux si è al riparo da questi malware preparati per sistemi Windows anche se sembra che qualcosa ci sia anche per Linux.

C'è linux e linux (visto che alcuni produttori decidono autonomamente sulle politiche di default della distribuzione ad installazione appena avvenuta) ma, in generale, l'ambiente *nix è certamente più sicuro/attento sia perché segue una letteratura informatica molto solida e di provata efficienza nei decenni, sia perché non ha scopi di lucro/marketing (alcune isolate realtà a parte) come invece Windows e quindi non ha necessità di esagerata profilazione utente, di presentargli pubblicità (come quella che di default passa nel lock screen di Win10), ecc.. Onestamente, con win10 c'è stata un'aggressività verso l'utente senza precedenti e politiche sempre più distanti da quelle che dovrebbero caratterizzare un os (sì, non vale solo per windows).

Lo scopo degli OS *nix like è unicamente quello di cercare di fare bene il sistema operativo e basta.

MS non ha fatto che rincorrere con molto ritardo e c'è arrivata dopo (partendo dai Win con kernel NT fino ai giorni nostri) MA dannatamente in malo modo, visto che non ha educato nel modo giusto la sua utenza e anzi l'ha danneggiata brutalmente depistandola alla grande (e tenendo di default, ad installazione appena avvenuta, tutta una serie di configurazioni pericolose/idiote, come quelle dello UAC, e non ha fatto altro che dare un falso senso di sicurezza), un dato oggettivo osservando il tipico utente windows.
MS ha anche la grande colpa di non aver pubblicizzato bene, spiegato bene, tutta una serie di strumenti integrati nel suo OS e che fanno una grande differenza tra un windows molto sicuro solo con i suoi tool e un win spesso pseudo sicuro usando tool di terzi che impattano pure sulle risorse del sistema.

Paragone del tutto fuori luogo perché:

per sistemare il tuo pc non lo devi aprire, non ti servono attrezzi (né hardware né software, windows offre già tutto), non è richiesto un intervento altamente specializzato, ecc., il tutto è fattibile dall'utente anche semplice (in rete ci sono tanti tutorial pure per i neofiti, se uno è pigro sono cazzi suoi, non esiste alcuna giustificazione). In questo l'utente non è solo, ha internet, si può informare, anche nel caso che capisca poco può almeno intuire di cosa avrebbe bisogno e magari chiamare un qualcuno di onesto che faccia quell'immediata configurazione usando ESCLUSIVAMENTE ciò che offre windows, non servono tool esterni, non serve pagare alcuna licenza software, ecc.. L'intervento che viene fatto non è da ripetere, lo fai UNA SOLA volta fino a quando non reinstalli l'os.

Il tuo paragone è oggettivamente fuori luogo perché l'utente di un PC non è paragonabile ad un meccanico di un auto, ma bensì ad un guidatore di un auto.
Utente PC e guidatore, per un uso consapevole e in sicurezza devono sottostare a delle regole: quando un guidatore aziona la freccia in un dato momento, sta seguendo una regola (anche di sicurezza), così come quando sbrina i vetri, usa gli abbaglianti, ecc., oltre al fatto che anche solo per guidare l'auto devi studiare e fare l'esame orale e pratico.
Inoltre il PC come viene usato oggi, ben più dell'auto mantiene dati sensibili, economici, privati, ecc., e lo sarà immensamente sempre di più nel futuro.

Il non voler imparare ad usare bene il sistema operativo a cui si VOGLIONO affidare dati sempre più importanti/sensibili è senza alcun dubbio da idioti, non ci sono santi a cui appellarsi.

Le cose che io so fare al pc riguardano ben prima che andassi all'università e non hanno avuto niente a che vedere con la mia facoltà di informatica dove non ti insegnano niente sull'uso di windows visto che questo riguarda il semplice utente, la semplice utenza, in facoltà ti insegnano a programmare, la matematica continua e discreta, gli algoritmi in teoria e applicati, diritto dei beni digitali, marketing, reti, sistemi operativi a basso livello (uno dei progetti di tale corso non riguarda le banalità di cui stiamo parlando, ma sviluppare per esempio un device driver per l'os) e bla bla.

Anche se non si ha alcuna passione, nel momento in cui decidi di usare un certo strumento, che decidi di affidargli dati sempre più importanti e che sai che tale strumento avrà sempre più importanza nel futuro, bisogna interessarsene seriamente (anche se sempre a livello utente), se non lo si fa sei un coglione certificato, punto.


Tutti evitabili in modo stra-banale con quella prudenza nell'uso già pubblicizzata enormemente fin dagli anni 90 e con gli strumenti interni di windows. Lo si faceva già ai tempi di win2000.


La questione aziendale è diversa da quella privata ma anche in tantissimi casi appartenenti a questa categoria (la quasi totalità di quelli che sono stati discussi nelle news di questi ultimi tempi), sono stra-banalmente risolvibili: il caso del ransomware che ha colpito l'apparato informatico di quell'ospedale americano, per esempio, è scaturito da una gestione ben più che idiota e che avrebbe risolto anche un perito di un istituto tecnico appassionato. E' sconcertante la situazione di straccionaggine e superficialità in cui si trovano tantissime aziende: sinceramente, si meritano tutte le rogne possibili.

C'è troppa gente lassista e scaribarile in giro, non è mai colpa di nessuno e bla bla bla: se iniziassero a fioccare severi provvedimenti e licenziamenti (non dico alla prima cazzata, ma certamente alla terza), come ho visto nelle realtà estere, quella "famosa" gestione allegra, spensierata e da coglioni verrebbe ridotta brutalmente (in primis nel settore pubblico italiano dove spesso ti chiedi come è possibile che certi individui vengano pagati anche solo 300 euro al mese, già troppo per quello che non fanno o, ben peggio, causano).

concordo solo sulla parte della "responsabilità di chi dovrebbe essere responsabile" all'interno di un'azienda, ma sul resto non sono d'accordo.
proprio come un guidatore DEVE avere la patente per guidare (almeno, dovrebbe!), per usare un PC non è richiesta da nessuno e da nessuna legge (e forse dovrebbe essere obbligatoria!) una "certificazione" per l'acquisto/uso dello strumento.
ergo, lo strumento stesso DOVREBBE essere sicuro "di suo", semplicemente leggendo il "libretto di istruzioni" (non serve un corso per usare un forno a microonde, ma nel libretto di istruzioni c'è scritto di non metterci dentro, chessò, qualcosa in alluminio. se lo fai e fai esplodere il microonde la colpa è tua, così come se non fai manutenzione (presso un concessionario! non "fai da te"!) dell'auto e hai un guasto, la "colpa" è del guidatore).
non si può dire lo stesso nel caso di un PC (con qualsiasi OS). il PC, di suo, non è uno strumento "sicuro" quando lo tiri fuori dalla scatola e lo accendi e colleghi ad internet. richiede (o forse pretende) un utente un minimo informato senza che nessuno abbia informato/istruito l'utente che dovrebbe possedere un minimo di competenze prima di usare lo strumento perché potenzialmente pericoloso.

tralasciamo il nostro piccolo angolino nerd/forum di esperti-appassionati e pensiamo ad un libero professionista che usa, chessò, Autocad per disegnare, Outlook per gestire la posta, Acrobat per leggere i PDF, Word per fare i preventivi, ecc (si papà di 72 anni, sto parlando di te! :p ).
se tramite uno 0-day (e scusa, ma secondo me hai scritto una cosa non vera: se nel browser/OS c'è uno 0-day sfruttabile che permette un'escalation dei privilegi, ti attacchi indipendentemente dalle tue "capacità") gli arriva una mail in grado di sfruttare "in automatico" una falla di Outlook (buffer overflow con esecuzione di codice, l'utente manco deve aprire/lanciare un allegato) o gli arriva un PDF "infetto" da un contatto "lecito" e si ritrova infettato, cosa/dove ha sbagliato? come poteva intervenire? su uno 0-day? :rolleyes:

concordiamo tutti che è necessaria prudenza nell'usare un PC collegato ad internet come quando si guida un'auto per strada, ma NESSUNO (al momento) obbliga/informa/pretende che un utilizzatore del primo oggetto debba possedere dei "requisiti minimi necessari" per poterlo utilizzare, mentre è previsto/obbligatorio per il secondo oggetto.
possiamo discutere se sia giusto o sbagliato, ma al momento attuale a mio parere non si può colpevolizzare l'utente "medio" perché un malintenzionato è riuscito a sfruttare falle nell'OS/browser/programma utilizzato di cui l'utente, giustamente, non può saperne nulla.

PS: un paio d'anni fa era saltato fuori che un certo numero di router Asus potevano essere facilmente bucato da remoto senza alcun intervento da parte dell'utente per via di un bug del firmware (c'è pure una class action in America, mi pare). ora, in un caso del genere è colpa dell'utente "invertebrato" se il suo router è stato compromesso? eppure lui da bravo ha comprato il prodotto, l'ha configurato come si deve leggendo il manuale delle istruzioni, ha scelto una password "forte", ha abilitato il firewall, disabilitato la gestione remota, ecc ecc. eppure è stato bucato.
come ho scritto prima, la "merd@ capita", non importa quanto sei "informato" (o pensi di esserlo).

PPS: non aggiungo altro perché la discussione si sta trascinando oltre il "lecito" e stiamo andando OT. sarebbe meglio tornare a parlare di strumenti per proteggersi/prevenire questo tipo di infezioni (e magari come suggeriva qualcuno, dare delle buone dritte sulle politiche di backup), non su di chi è la "colpa" dell'aver preso un virus.

ciao e buon weekend a tutti. ;)

PPS: non aggiungo altro perché la discussione si sta trascinando oltre il "lecito" e stiamo andando OT. sarebbe meglio tornare a parlare di strumenti per proteggersi/prevenire questo tipo di infezioni (e magari come suggeriva qualcuno, dare delle buone dritte sulle politiche di backup), non su di chi è la "colpa" dell'aver preso un virus.

ciao e buon weekend a tutti. ;)
Perfettamente d'accordo.
Due dritte:
Se sul pdf c'è un solo carattere strano, magari di colore bianco o trasparente, l'utente non ha modo di accorgersene.
Se una mail ti arriva l'8 febbraio dal tuo commercialista con su scritto F24 da pagare il 16 e con allegato un pdf chi non apre il pdf per vedere l'importo?
Non sono esperto programmatore, ma come si fa ad evitare di avere java per i millemila programmi delle agenzia dell'entrata che usano Java?
Come si fa a mettere in sola lettura una cartella dove scrivi i file di lavoro?
Sicuri che il virus non abbia i privilegi di poter modificare l'attributo del file prima di cancellarlo?

Ultima cosa, un consiglio che potrebbe funzionare:
Se non avete voglia/possibilità di fare backup su supporto esterno/nas, con un software di backup fatevi una copia della cartella di lavoro in c:windows o in c:programmi, finora i vari crypto che ho beccato non hanno criptato i file in queste cartelle (probabilmente non lo faranno mai, perchè si impedirebbe di fatto l'avvio del sistema e l'impossibilità di chiedere il riscatto).

Perfettamente d'accordo.
Due dritte:
Se sul pdf c'è un solo carattere strano, magari di colore bianco o trasparente, l'utente non ha modo di accorgersene.
Se una mail ti arriva l'8 febbraio dal tuo commercialista con su scritto F24 da pagare il 16 e con allegato un pdf chi non apre il pdf per vedere l'importo?
Lo può fare con tutta tranquillità senza alcun rischio e anche qua è facile risolvere.
Non sono esperto programmatore, ma come si fa ad evitare di avere java per i millemila programmi delle agenzia dell'entrata che usano Java?
Lo puoi fare quando ti pare: applet e runtime, anche nel caso fossero fallati, dipendono/si affidano sempre allo user space in cui operano, anche qua facile risolvere, oltre al fatto che applet e runtime java (così come flash, silverlight, ecc.) possono benissimo funzionare in windows senza bisogno di alcuna installazione o elevazione privilegi.
Come si fa a mettere in sola lettura una cartella dove scrivi i file di lavoro?
La risposta la puoi trovare tranquillamente perfino su questo forum (pure nella prima pagina di alcuni thread). Il sistema ha delle ampie politiche di gruppo.

Sicuri che il virus non abbia i privilegi di poter modificare l'attributo del file prima di cancellarlo?
A priori gli si può impedire sia di essere eseguito sia di essere eseguito ma in uno spazio utente molto ristretto.

Lo può fare con tutta tranquillità senza alcun rischio e anche qua è facile risolvere.

Lo puoi fare quando ti pare: applet e runtime, anche nel caso fossero fallati, dipendono/si affidano sempre allo user space in cui operano, anche qua facile risolvere, oltre al fatto che applet e runtime java (così come flash, silverlight, ecc.) possono benissimo funzionare in windows senza bisogno di alcuna installazione o elevazione privilegi.

La risposta la puoi trovare tranquillamente perfino su questo forum (pure nella prima pagina di alcuni thread). Il sistema ha delle ampie politiche di gruppo.

A priori gli si può impedire sia di essere eseguito sia di essere eseguito ma in uno spazio utente molto ristretto.

Mi puoi suggerire i termini di ricerca: non so come cercare!

Per i dati veramente importanti io suggerirei a tutti di usare uno o più volumi TrueCrypt, quando vi serve qualcosa li montate e poi smontate tutto.

guarda che io non ho insultato gli utenti in generale. Ho solo detto, in modo sarcastico, che i ransomware si attivano esclusivamente traminte l'intervanto ATTIVO di un utente.
La macchina da sola non si infetta. Questo è il punto. :read:

Che tu lo faccia per ignoranza, per negligenza o per errore (capita a tutti di mis-clickare qualcosa) è sempre stata un'azione. Period.
Le soluzioni per prevenire ci sono già, quelle per curare purtroppo sono molto drastiche.
La mia paura è che per colpa di alcuni eventi sfortunati, potrebbero esserci restrizioni pesanti nell'utilizzo dei pc.

Fateci caso, oggi per utilizzare qualsiasi macchina (automobile, strumento diagnostico, strumento analitico) c'è sempre un corso, un piccolo training o un certificato ufficiale. Per i computer non c'è nulla, poi non stupiamoci più di quello che può succedere. :rolleyes:
Sì caro, è proprio quello il punto: la incapacità dei tecnici a bloccare le azioni dannose degli utenti.
Prima gli danno la possibilità di fare danni, poi li insultano se li fanno. :rolleyes:
E poi li chiamano utonti, clueless user, pebcak, e altra supponenza varia.
Eppure una normale impiegata che risponde al telefono, prepara dei preventivi o passa degli ordini, ecc, avrà il diritto di fare il proprio lavoro senza essere presa per il culo ? :mbe:

Ripeto: io, dopo che le impiegate facevano dei danni con Winzozz, gli ho installato Linux Ubuntu. Risultato: mai più danni, guarda un po'. :O Quando arrivano i ransomware su Thunderbird come allegati, gli eseguibili non possono girare perchè su Linux i files non hanno il bit execute settato per default. E come lettore di pdf non c'è un mastodontico Acrobat Reader pieno di falle e che fa girare degli script, e perlomeno non rischio di essere bucato con dei semplici pdf.
Morale: ho dato lo strumento giusto alle impiegate senza attribuirle delle responsabilità che non gli spettano.



PS: Sulle automobili l'utente non ha la possibilità di installare un pezzo del motore. :O

Mi puoi suggerire i termini di ricerca: non so come cercare!
Non c'è bisogno di cercare molto, credo che nella sezione win8.1/10 ci siano dei thread appositi, ma serve a poco/niente se prima non parti dall'impostare un account standard, non admin, e con uac (che, ripeto, non è esattamente l'equivalente di sudo dei *nix) impostato al massimo per tutto ciò che di produttivo si fa sul pc; l'account admin va usato solo per manutenzione sistema ed eventualmente i suoi privilegi solo da usare quando si eseguono programmi che richiedono accesso più a basso livello e/o girano in kernel mode (monitoraggio hardware, driver virtuali, ecc.).
Tutto questo è il primo passo BASICO.

Poi, ricordarsi che non è proprio obbligatorio installare a tutti i costi un programma (esistono i portabili nativi, quelli con launcher esterno e per quelli forniti solo con installer si può estrarre il loro contenuto, quindi senza eseguire l'installer e quindi senza dover fornirgli i privilegi elevati, per poi prendere il suo contenuto e metterlo in una cartella, preferibilmente non le solite riservate dal sistema, tipo le due "Program Files").

Tutto il resto riguarda i permessi del file system ntfs (dice niente tutti gli allarmi uac di cui molti si lamentavano a partire da Vista? Ecco, tantissimi erano risolvibili solo impostando i giusti permessi del filesystem, ad essere precisi non serviva alcun aggiornamento "Vista" compatibile) e le politiche di gruppo.

Diciamocelo chiaramente: MS essendo una realtà commerciale, deve tenere a bada pure l'indotto che le ruota attorno, quindi è naturale che cerchi di non pubblicizzare troppo le possibilità insite nel suo OS, pena l'estinzione del tutto, o quasi, del settore della sicurezza informatica (anti-malware/virus residenti: quelli off-line fanno sempre comodo quando si deve controllare qualche file che devi distribuire in giro), soprattutto quella beota/non seria, che cerca di convincere che le soluzioni si possano trovare solo acquistando/usando i loro prodotti miracolosi.

Sì caro, è proprio quello il punto: la incapacità dei tecnici a bloccare le azioni dannose degli utenti.
Prima gli danno la possibilità di fare danni, poi li insultano se li fanno. :rolleyes:
Io su questo sono stra-d'accordo, ad ognuno il proprio lavoro: se parliamo di aziende, quando vi è un tecnico informatico in tali realtà, sta a lui e solo a lui impostare l'intero sistema informativo affinché gli impiegati che si occupano di altro possano far tutto quello che devono fare e con i rischi più bassi per la sicurezza dei dati: esistono tonnellate di strumenti per fare tutto questo e il tecnico preposto deve conoscerli e implementarli nell'apposita realtà. Agli impiegati va fatto fare solo un mini-corso o meeting con regole basiche di comportamento, senza bisogno di approfondire.

Caso diverso quando siamo nel privato e l'utente privato decide di affidare al suo PC la sua intera esistenza digitale: in tal caso lui è utente ma anche amministratore, quindi sta a lui, o a qualcuno che viene appositamente pagato, occuparsi della configurazione sicura del propro pc tramite la quale affrontare la vita produttiva.

Cit. <<Server nuovi o l'X5 aziendale per natale?>>

penso che questa la stamperò e ci farò un quadro.... giusto ieri un cliente mi ha chiamato, ha un microserver hp di 5 anni fa' che sta' scoppiando ed è 1 anno che cerco di farglielo cambiare, ma non vuole spendere 2.000€ per un nuovo server, troppi soldi. indovinate che auto ha comprato 2 mesi fa'? Audi Allsport super accessoriata, costo 70.000€....

tornando in topic: ultimamente questo virus arriva in tutti i modi, come link per disiscriversi dalle newsletter, come pdf con link a siti di agenzie pubbliche, posta, banche, ecc. ecc.

domanda: è possibile consentire solo certi programmi? ovvero, far eseguire agli utenti solo determinati eseguibili (winword.exe, ecc.) e bloccare tutto il resto? in modo da impedire l'esecuzione di questi software?

domanda: è possibile consentire solo certi programmi? ovvero, far eseguire agli utenti solo determinati eseguibili (winword.exe, ecc.) e bloccare tutto il resto? in modo da impedire l'esecuzione di questi software?

Alla fine l'UAC non fa quello? poi non so se funziona anche con un .bat

Alla fine l'UAC non fa quello? poi non so se funziona anche con un .bat

a me pare che chieda solo conferma, però se l'utente non sa' quello che fa' gli da' conferma e viene fregato lo stesso. e comunque non sono così convinto che faccia la richiesta...

io voglio proprio bloccarlo, essere io a deciderlo "a monte", non l'utente.

anche dove lavoro io il teslacrypt ha fatto danni.
Nulla di critico, l'azienda e' strutturata ed i server sono sotto backup, ma.. file personali.. o cartelle sharate non sotto backup sono andati a "cryptarsi" definitivamente.

Tutti i server sono caduti tranne quello di mia competenza, l'unico che monta una Debian, le cui cartelle sono accessibili solo tramite samba con utente non di dominio (ma legato al server linux) ed FTP (non e' cosi' scomodo come sembra...)
Noi abbiamo continuato a lavorare mentre gli altri colleghi hanno perso mezza giornata di lavoro (dovendo poi fare le corse per recuperarla..)!

Lunga vita a linux!

BHH

Grazie dell'illuminante articolo, ma ci sono tante domande però sull'argomento.

Facciamo una premessa:
Ho windows 7 aggiornato con : antivirus free aggiornato, con un programma che fa da firewall, con l'UAC al massimo, vari programm installati (Adobe, office, ecc), connessione a internet sempre presente, un hard disk che collego ogni tanto ecc. Credo di essere nella media degli utenti, e NON APRO EMAIL STRANE :D :stordita: .

Tramite email ormai è risaputo che si può prendere un virus.
Aprendo un allegato di un contatto noto, ( cito il caso detto a pagina 4 del file pdf) e il file pdf è infetto, si prende un virus senza poterci fare nulla, giusto?

Si possono trasportare tramite pen drive usb questi cryptolocker? mi riferisco all' amico che ti passa il video del compleanno, appunti di scuola, una presentazione ppt o un pdf.

Da google tramite ricerca, clicco sulla pagina di FB e entro nella pagina iniziale quella per il login. Se il sito è stato infettato, il fatto di aver aperto la pagina mi espione automaticamente a rischio anche se non ho cliccato su nulla all'interno della pagina?

Utilizzare l'tente GUEST su windows 7 serve veramente a qualcosa? Se mi passano un virus qualsiasi, anche un cryptolocker, tramite pennina o la becco su un sito, che mi può succedere.

Dubbi banali i miei, ma vorrei sapere cosa ne pensate.

Ragazzi scusate ma in caso di pdf o altri file con estensione legittima ma infetti l'antivirus non dovrebbe accorgersene?

non ho letto tutti i post per cui non so se è già stato scritto
ho letto varie info a riguardo e la cosa più semplice da fare a riguardo sarebbe di togliere l'opzione di default di Win
"nascondi le estensioni per i tipi di file conosciuti"
in questo modo penso che il 99% degli allegati con un po' di attenzione e colpo d'occhio venga sgamato;)
ho sempre letto da utenti preparati (NON io) che è molto molto più semplice "nascondere" l'exe
clicca ha vinto 500 euro.doc (.exe nascosto di default)
che creare doc excel pdf con dentro il virus dove è richiesta molta preparazione e molto tempo
avendo l'opzione
"nascondi le estensioni per i tipi di file conosciuti"
attivata di default per loro il gioco è più facile
c'è da togliere subito spunta ed avvisare di NON aprire mai file allegati con doppia estensione finale a questo punto visibile .exe + le altre eseguibili che non ricordo i nomi

Ragazzi scusate ma in caso di pdf o altri file con estensione legittima ma infetti l'antivirus non dovrebbe accorgersene?
no perchè sono tutti 0 day si mutano ogni giorno
potresti mettere hitman pro alert
CryptoGuard stops ransomware
http://www.surfright.nl/en/alert
io l'ho messo

Tramite email ormai è risaputo che si può prendere un virus.
Aprendo un allegato di un contatto noto, ( cito il caso detto a pagina 4 del file pdf) e il file pdf è infetto, si prende un virus senza poterci fare nulla, giusto?

dentro un pdf vero non è semplice
è più facile
ciao sono io.pdf (.exe nascosto di defalt)
togli spunta a
"nascondi le estensioni per i tipi di file conosciuti"
e li sgami (quasi) tutti;)

credo che non sia il pdf ad essere infetto, ma dentro al pdf c'è un link da dove si scarica l'eseguibile

per quanto riguarda le estensioni, personalmente trovo la cosa di nasconderle follia pure, però.... un paio di mesi fa' mi chiamò disperata una ragazza perché non riusciva più ad aprire la tesi, e si laureava un paio di giorni dopo e doveva andare a stampare la tesi. l'aveva rinominata e non aveva messo l'estensione....

per quanto riguarda le estensioni, personalmente trovo la cosa di nasconderle follia pura...
purtroppo di default è così :(

però.... un paio di mesi fa' mi chiamò disperata una ragazza perché non riusciva più ad aprire la tesi, e si laureava un paio di giorni dopo e doveva andare a stampare la tesi. l'aveva rinominata e non aveva messo l'estensione....
vero capita bisogna fare attenzione con un po' di conoscenza molto basica...

io voglio proprio bloccarlo, essere io a deciderlo "a monte", non l'utente.

mi rispondo da solo, un'idea potrebbe essere questa: http://www.ilsoftware.it/articoli.asp?tag=Bloccare-esecuzione-di-programmi-in-Windows_11628

Questo perchè sono sempre della teoria, invalsa fino a prova contraria, che un PC non infetto può essere infettato solo da operazione ATTIVA comandata dall'utente, cioè dal lancio intenzionale di un processo di dubbia provenienza avente caratteristiche di eseguibilità, da codice macchina o da interpretato che sia, terminante per intenderci con estensioni esplicite

purtroppo parti da un assunzione di base errata.

un pc puo' essere infettato anche in maniera assolutamente automatica senza che l'utente faccia nulla: e' il caso dei vari exploit di remote code execution. (chi si ricorda msblaster?)

e' capitato spesso in tempi recenti di trovare pc infettati da malware assortito semplicemente perche' dei banner infetti vengono visualizzati dal browser di turno con plugin vulnerabili (ne ho beccati una manciata che si sono presi il celeberrimo "virus della finanza" semplicemente grazie al passaggio di un banner infetto su libero.it...)

da qui il consiglio di purgare il piu' possibile software che va ad integrarsi con i browser e fornisce cosi' un veicolo di infezione in piu'

questo virus è davvero micidiale proprio l'altro giorno un cliente mi ha dato da riparare il suo portatile per dei problemi di virus ed ho trovato questo "TeslaCrypt 3.0" tutti i file sono stati criptati con cifratura AES 256 e ECDH 521 e rinominate le estensioni dei file con .ttt, .xxx, .micro, .mp3 ecc. e al momento non c'è nessun tool o modo per recuperarli, come spiegato qui sul forum di bleepingcomputer -> http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/?p=3944813

Hanno sistemato le vulnerabilità della precedente versione 2.2.0 ed ora questa 3.0 è veramente difficile da sconfiggere, l'unico consiglio è conservare i file e sperare in un futuro fix.

questo virus è davvero micidiale proprio l'altro giorno un cliente mi ha dato da riparare il suo portatile per dei problemi di virus ed ho trovato questo "TeslaCrypt 3.0" tutti i file sono stati criptati con cifratura AES 256 e ECDH 521 e rinominate le estensioni dei file con .ttt, .xxx, .micro, .mp3 ecc. e al momento non c'è nessun tool o modo per recuperarli, come spiegato qui sul forum di bleepingcomputer -> http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/?p=3944813

Hanno sistemato le vulnerabilità della precedente versione 2.2.0 ed ora questa 3.0 è veramente difficile da sconfiggere, l'unico consiglio è conservare i file e sperare in un futuro fix.

Hai provato a recuperare le copie shadow?

ho appena fatto una prova drammatica:

anche i file in cloud possono venir cryptati.

Il miglior sistema è quello che il nas si logghi sulle unità che deve eseguire il backup, in quel caso non ci sono possibilità che venga eseguito una criptazione dei dati.

Esempi di questi NAS? riescono a fare anche un backup bare metal? grazie.

Leggevo poco fa che esiste già qualche variante di ransomware in grado di criptare files in unità di rete non mappate, e per giunta cancella anche le copie shadow presenti, come ad esempio Locky: http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Proprio una bella rogna, l'unica cosa da fare è prevenire il problema con backup frequenti e massima attenzione a quello che si riceve o si scarica, magari utilizzando unitamente all'AV qualche sw come quelli citati nell'articolo che potrebbero bloccare perlomeno i ransomware già conosciuti.

scusate, ma se i miei file sono già criptati?

Li decripta e li cambia?

....

domanda: è possibile consentire solo certi programmi? ovvero, far eseguire agli utenti solo determinati eseguibili (winword.exe, ecc.) e bloccare tutto il resto? in modo da impedire l'esecuzione di questi software?

E possibile tramite le policy per i software anche se io non l'ho mai fatto, solo che è un casino assurdo fare la whitelist, devi metterci dentro di tutto altrimenti non funziona più nulla e ad ogni modifica sw puoi incappare in blocchi.

scusate, ma se i miei file sono già criptati?

Li decripta e li cambia?

li ricripta, non ha bisogno di vederne il contenuto per criptarli.

Leggevo poco fa che esiste già qualche variante di ransomware in grado di criptare files in unità di rete non mappate, e per giunta cancella anche le copie shadow presenti, come ad esempio Locky: http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Proprio una bella rogna, l'unica cosa da fare è prevenire il problema con backup frequenti e massima attenzione a quello che si riceve o si scarica, magari utilizzando unitamente all'AV qualche sw come quelli citati nell'articolo che potrebbero bloccare perlomeno i ransomware già conosciuti.

In teoria se uno gestisce bene i permessi sugli share, non dovrebbero esistere accessi Everyone Full Control, ma purtroppo in alcune realtà è la norma, se la cercano...

Esempi di questi NAS? riescono a fare anche un backup bare metal? grazie.
Thecus W5000 questo per esempio, windows Storage Server, con in più l'opzione Acronis True Image Server.
Ma dovrebbe essere possibile con qualsiasi Nas (o nas homemade anche sotto linux) che gira sotto storage server.

Appena creato un account drive da usare solo via web
Cmq per i nas , funziona così se dal pc che si infetta hai i permessi per modificare i file sul nas senza bisogno di pw sei a rischio.

Quindi teoricamente un NAS fatto con Freenas, a cui poter accedere solo con user e psw da inserire ogni volta (non registrate nel portachiavi quindi) mette al riparo? Teoricamente su un nas linux (come freenas) se non entri con user e password non ci dovrebbe essere nessun modo per modificare i file giusto...

Ce lo siamo beccati in ufficio un mesetto fa..scendo giù a prendere il caffè e vedo dei file criptati su server..nessuno se ne era accorto. Ha devastato tutto..file di decreti, documenti, contratti, lavori di anni persi per sempre..per fortuna che abbiamo recuperato tutto con il backup o ci saremmo bellamente impiccati.

La collega che ha causato l'infezione l'ho battezzata l'untrice..oramai la chiamiamo amichevolmente così- :asd:
Ovviamente i file che l'untrice aveva sul desktop li ha persi per sempre..ma le era stato detto di non farlo :asd:

Certo che se attacca ANCHE i file di backup..sono cavoli amari.

In teoria se uno gestisce bene i permessi sugli share, non dovrebbero esistere accessi Everyone Full Control, ma purtroppo in alcune realtà è la norma, se la cercano...

e se ti dicessi che software costosi prodotti da grandi aziende (italiane) per gestire contabilita', dichiarazioni fiscali ecc richiedono proprio quel tipo di configurazione?

Usare sistemi operativi GNU/Linux no? o non serve a niente?

dato che si parlava di NAS, ma avendo per esempio un Synology o simili, dove idealmente una persona si salva tutti i dati a cui vuole poi avere accesso dalla rete domestica (così non deve tenere hard disk capienti nei pc che usa) come dovrebbe configurare l'accesso al NAS e la condivisione dei file sulla rete per stare al sicuro da virus come questo?

l'unità mappata di rete non va bene a quanto ho capito.
che soluzioni restano per mantenere la fruibilità standard dei dati salvati sul NAS (musiva, foto, video, etc) e al tempo stesso proteggerli?

Thecus W5000 questo per esempio, windows Storage Server, con in più l'opzione Acronis True Image Server.
Ma dovrebbe essere possibile con qualsiasi Nas (o nas homemade anche sotto linux) che gira sotto storage server.

Ottimo ci guarderò! (y)

e se ti dicessi che software costosi prodotti da grandi aziende (italiane) per gestire contabilita', dichiarazioni fiscali ecc richiedono proprio quel tipo di configurazione?

Ci credo, io quando devo armeggiare con i software dell'agenzia delle entrate parte sempre qualche imprecazione... ma qui credo sia dovuto al fatto che pagheranno 2 soldi e 1 figurina i programmatori.

Ci credo, io quando devo armeggiare con i software dell'agenzia delle entrate parte sempre qualche imprecazione... ma qui credo sia dovuto al fatto che pagheranno 2 soldi e 1 figurina i programmatori.

nono, non parlo di quegli obrobri in java dell'agenzia delle entrate, che sono gratuiti, parlo di software a pagamento di ben rinomate ditte del settore...

nono, non parlo di quegli obrobri in java dell'agenzia delle entrate, che sono gratuiti, parlo di software a pagamento di ben rinomate ditte del settore...

Gratuite un corno, chissa quanto vengono pagati quegli obrobi con i soldi delle tasse.

dato che si parlava di NAS, ma avendo per esempio un Synology o simili, dove idealmente una persona si salva tutti i dati a cui vuole poi avere accesso dalla rete domestica (così non deve tenere hard disk capienti nei pc che usa) come dovrebbe configurare l'accesso al NAS e la condivisione dei file sulla rete per stare al sicuro da virus come questo?

l'unità mappata di rete non va bene a quanto ho capito.
che soluzioni restano per mantenere la fruibilità standard dei dati salvati sul NAS (musiva, foto, video, etc) e al tempo stesso proteggerli?

Montare un secondo volume sul nas per i backup del volume condiso da fare dalle impostazioni del nas ed inaccessibile dalla rete.

In ufficio abbiamo preso un viruso circa un mese fa tramite allegato di messaggio di posta elettronica chiamato "fattura" e mittente Telecom.
Dopo che la mia collega ha aperto il file, ha pure telefonato alla Telecom dicendo che il file che le hanno inviato non si visualizzava. :D
Il primo operatore telefonico ha detto che la mail non si apriva perchè non era indirizzata alla mia collega (???), il secondo ha detto che non era una mail della telecom perchè i loro allegati non sono nominati "fattura".
Fattostà che tutti i documenti su dischi di rete sono stati criptati e, fortunatamente, è stato recuperato il backup del giorno precedente.

Visto che non posso disporre dei sistemi tecnologici della mia compagnia, da quello che ho capito da questa discussione il mio WDMyCloud (e relativi backup) sono comunque a rischio infezione. Un utente chiedeva se impostare i file in sola lettura fosse sufficiente, ma non mi pare di aver letto alcuna risposta.
Esiste altrimenti qualche sistema meno complesso che agire tramite FTP (ne ho sentito parlare ma so cosa sia :D )

Io ormai ho due dischi esterni per i backup del nas.. Una volta al mese ne monto uno e faccio un backup.. E poi lo ripongo nel cassetto.. Il mese dopo uso l'altro disco e via così.. Alla peggio perdo un mese.. Inoltre i file importanti e che vengono aggiornati spesso li copio in una chiavetta da 256 gb settimanalmente e poi cassetto.. Spero che basti.. Oltre a stare attento.. Ovviamente..

Domanda da ignorante: ma Gmail fa passare questi virus? Anzi più in generale: Gmail non blocca i virus? Io un virus negli ultimi 20 anni l'ho visto solo su altri pc. Uno sul mio tanto tempo fa quando frequentavo assiduamente crack e keygen. Ma poi qualcuno ha trovato una minimissima ragione razionale al perchè windows di default nasconde le estensioni? (Un pdf con virus vorrei proprio vederlo) Ciao e grazie.

Domanda da ignorante: ma Gmail fa passare questi virus? Anzi più in generale: Gmail non blocca i virus? Io un virus negli ultimi 20 anni l'ho visto solo su altri pc. Uno sul mio tanto tempo fa quando frequentavo assiduamente crack e keygen. Ma poi qualcuno ha trovato una minimissima ragione razionale al perchè windows di default nasconde le estensioni? (Un pdf con virus vorrei proprio vederlo) Ciao e grazie.


Gmail a me ha cancella tutti gli allegati eseguibili ( bat exe ecc) non zippati dello spam che mi arriva. Quindi una prima sicurezza c'è.

Certo se cliccki su un link di una mail e lo scarichi ...



Poi va detto che le aziende usano posta con dominio personale.

Scusate la domanda: io che ho un MAC rischio qualcosa? Grazie.

Scusate la domanda: io che ho un MAC rischio qualcosa? Grazie.

Sicuramente meno di un pc windows , ma cmq devi portare attenzione lo stesso.

Gratuite un corno, chissa quanto vengono pagati quegli obrobi con i soldi delle tasse.

intendo per l'utente... e' OVVIO che dietro a quelle schifezze ci sara' dietro un magna magna non indifferente

Visto che non posso disporre dei sistemi tecnologici della mia compagnia, da quello che ho capito da questa discussione il mio WDMyCloud (e relativi backup) sono comunque a rischio infezione. Un utente chiedeva se impostare i file in sola lettura fosse sufficiente, ma non mi pare di aver letto alcuna risposta.
Esiste altrimenti qualche sistema meno complesso che agire tramite FTP (ne ho sentito parlare ma so cosa sia :D )

mettere i file in sola lettura sul nas? si, e' efficace (ovviamente si parla dei permessi dei file, non dell'attributo "sola lettura")

mettere invece i file in "sola lettura" sul pc stesso no, non e' una buona contromisura.

Come hanno detto in molti per uso personale è meglio avere un sistema GNU/Linux altrimenti si deve spendere soldi, tempo e rischiare seriamente di perdere tutti i propri dati personali. Io preferisco imparare come funziona la mia distro che imparare tutto sui virus.

Poi a livello aziendale penso che una infrastruttura linux aiuti parecchio come quel lavoratore che è in una struttura che usa Debian che non è stata intaccata mentre i colleghi che usano windows hanno perso mezza giornata di lavoro (e gli è andata bene che avevano il backup).

P.S. quando incomincerà l'attacco anche alla mia Mageia (una distribuzione GNU/Linux che penso sia sconosciuta) vedrò di contribuire di più al suo sviluppo anche con soldi che non perdere il tempo a leggere sui forum come si fa ad evitare i virus. Meglio collaborare che agire individualmente.

Come hanno detto in molti per uso personale è meglio avere un sistema GNU/Linux altrimenti si deve spendere soldi, tempo e rischiare seriamente di perdere tutti i propri dati personali. Io preferisco imparare come funziona la mia distro che imparare tutto sui virus.

Poi a livello aziendale penso che una infrastruttura linux aiuti parecchio come quel lavoratore che è in una struttura che usa Debian che non è stata intaccata mentre i colleghi che usano windows hanno perso mezza giornata di lavoro (e gli è andata bene che avevano il backup).

P.S. quando incomincerà l'attacco anche alla mia Mageia (una distribuzione GNU/Linux che penso sia sconosciuta) vedrò di contribuire di più al suo sviluppo anche con soldi che non perdere il tempo a leggere sui forum come si fa ad evitare i virus. Meglio collaborare che agire individualmente.

Il problema è: se il client usa windows e se l'impiegata clicca ,tutti i file cui ha accesso il pc client anche da remoto sono a rischio qualunque os usino .

Tu cosa fai?impari linux a tutti i dipendenti italiani , e lo sostituisci a windows in ogni pc? Perfeto il prossimo ramson esce per linux.


L'unico sistema è fare un backup del server non incrementale , ne sostitutivo , direttamente da server o nas in un altro posto senza che i client vi abbino accesso.

Si ma fare ogni tanto un backup fa così schifo?
Cavolo io è dal primo Pc che ho comprato che di tanto in tanto ho sempre fatto backup all'inizio su cd-r, poi su dvd-r e infine da qualche anno su chiavetta USB.
E non ho manco dati importanti, ma solo cagate (tipo foto, video o file audio).
Se uno si becca sto cavolo di Virus, sarà anche sfortunato ma è anche pirla che non si è fatto prima il backup.

Io preferisco imparare come funziona la mia distro che imparare tutto sui virus.
a volte capita di leggere qualcosa di intelligente ;)
Sono ridicole tutte le energie spese per installare antivirus, antimalware, antiransom, cazzi e mazzi solo per poter usare Windows, e poi usarlo senza essere tranquilli comunque, perchè può succedere lo stesso di tutto, madonna quanta fatica inutile :asd:

Perfeto il prossimo ramson esce per linux.

l'ho già scritto tante volte che ho consumato i tasti :D no, perchè su LINUX i files hanno il bit execute non settato per default. Gli allegati che arrivano per mail, non possono girare come programmi. Per farlo devi salvare il file, e impostargli i permessi a mano.

Gli attributi dei files sono roba degli anni '70, ed è sufficiente quello per bloccare il 100% dei malware che vengono lanciati dall'utente disattento.

mettere i file in sola lettura sul nas? si, e' efficace (ovviamente si parla dei permessi dei file, non dell'attributo "sola lettura")

mettere invece i file in "sola lettura" sul pc stesso no, non e' una buona contromisura.

Dovrei aver trovato l'opzione per accedere ai file su NAS in sola lettura, grazie per la risposta ;)

Si ma fare ogni tanto un backup fa così schifo?
Cavolo io è dal primo Pc che ho comprato che di tanto in tanto ho sempre fatto backup all'inizio su cd-r, poi su dvd-r e infine da qualche anno su chiavetta USB.
E non ho manco dati importanti, ma solo cagate (tipo foto, video o file audio).
Se uno si becca sto cavolo di Virus, sarà anche sfortunato ma è anche pirla che non si è fatto prima il backup.

Foto e video sono i ricordi di una vita. Nel mio PC sono la cosa più importante che ho. :rolleyes:

a volte capita di leggere qualcosa di intelligente ;)
Sono ridicole tutte le energie spese per installare antivirus, antimalware, antiransom, cazzi e mazzi solo per poter usare Windows, e poi usarlo senza essere tranquilli comunque, perchè può succedere lo stesso di tutto, madonna quanta fatica inutile :asd:


l'ho già scritto tante volte che ho consumato i tasti :D no, perchè su LINUX i files hanno il bit execute non settato per default. Gli allegati che arrivano per mail, non possono girare come programmi. Per farlo devi salvare il file, e impostargli i permessi a mano.

Gli attributi dei files sono roba degli anni '70, ed è sufficiente quello per bloccare il 100% dei malware che vengono lanciati dall'utente disattento.

Anche su windows un eseguibile non installato ha necessità di un consent.( tu prova io non ho trovato un file portable che funzioni senza consent. )Ma a quanto pare han trovato il modo di farlo lo stesso.

Vedi questo per esempio
https://siamogeek.com/2015/11/ransomware-linux/

Io ne capisco poco di linux ( lo conosco solo da utente)

Ma di falle che permettono di ottenere i permessi di supersu ne esistono , e se ne sente parlare spesso.

Certo usare oggi linux a livello aziendale ha il suo perché ... Meno costi e meno rischi di malwere. Perche ovviamente essendo meno usato ha meno occhi puntati sopra.


Ps per dire android è più bucato di windows mobile ? Perché ?

a volte capita di leggere qualcosa di intelligente ;)
Sono ridicole tutte le energie spese per installare antivirus, antimalware, antiransom, cazzi e mazzi solo per poter usare Windows, e poi usarlo senza essere tranquilli comunque, perchè può succedere lo stesso di tutto, madonna quanta fatica inutile :asd:...

a volte capita di leggere qualcosa di poco intelligente (battuta, neh!).
a volte la gente (utente comune, utente aziendale) ha la necessità/obbligo/nessuna alternativa al dover usare applicazioni sviluppate/esistenti solo per Windows. senza tirare in ballo il trito discorso relativo ad eventuale hw non supportato o supportato male (certo, certo, non è colpa di linux ma dei cattivi produttori di hw che non fanno i driver ecc ecc ecc).

non si può usare linux in ogni frangente, né tirarlo in ballo come "cura" di ogni male.
come si sa, vengono presi di mira gli OS più diffusi in quanto aumenta il bacino dei possibili "target infettabili". se hai l'1,5% di share sui desktop, sei una "nullità", e a nessuno dei "cattivi" importa spendere energie a trovare/sfruttare bachi/falle/exploit/0-day di un OS che "nessuno" usa (parlo sempre a livello desktop). e le falle (anche grosse) esistono, bastano 5 minuti su google.
porta la percentuale di utilizzo al 10% e vedrai che anche il caro linux verrà preso di mira sui desktop (e guarda un po', è proprio quello che è successo ad OSX: fino a quando era sotto il 10% di share a livello mondiale praticamente non esistevano virus per OSX, poi superato il 10% hanno cominciato a spuntar fuori pure lì. cos'è, improvvisamente l'OS è diventato meno sicuro? o semplicemente i "cattivi" si sono impegnati di più a sfruttare le potenziali vittime?).
basta dire con linux si è "al sicuro". probabilmente e per ora si è meno esposti ad attacchi/virus, semplicemente perché al momento non è una piattaforma "appetibile".

PS: parlo da utente di ubuntu dalla 7.04 alla 11.04, e in quel periodo usavo solo quell'OS, quindi non sono certo né un "hater" né uno che non ha mai usato/apprezzato linux (provate/usate anche Mint, Mandriva, Opensuse, Arch, Debian).

Anche su windows un eseguibile non installato ha necessità di un consent.( tu prova io non ho trovato un file portable che funzioni senza consent. )Ma a quanto pare han trovato il modo di farlo lo stesso.

Non uso Windows da anni :D
Ma sai bene che l'utente clicca "Avanti-Avanti" su qualunque cosa vede senza neanche leggere.
Un altra cosa è su linux fare "chmod a+x" dalla shell, oppure andare con tasto destro+proprietà+permessi+"esegui come programma" :D


Vedi questo per esempio
https://siamogeek.com/2015/11/ransomware-linux/

Io ne capisco poco di linux ( lo conosco solo da utente)

Ma di falle che permettono di ottenere i permessi di supersu ne esistono , e se ne sente parlare spesso.

Quello è diverso, non è l'utente disattento che clicca su fattura.pdf.exe. Riguarda i server, che vengono attaccati tramite vulnerabilità, in questo caso di Magento
https://en.wikipedia.org/wiki/Linux.Encoder.1



Certo usare oggi linux a livello aziendale ha il suo perché ... Meno costi e meno rischi di malwere. Perche ovviamente essendo meno usato ha meno occhi puntati sopra.
mah questa è la solita banalità che ti fa già capire che chi la dice non ha una prospettiva completa, in realtà sulla maggioranza dei server gira *nix

mah questa è la solita banalità che ti fa già capire che chi la dice non ha una prospettiva completa, in realtà sulla maggioranza dei server gira *nix

Certo ma è molto più remunerativo e meno impegnativo puntare alla segretaria che clicca a vanvera piuttosto che bucare un server.
Come diceva insane74 sopra, se linux (in senso desktop) avesse una percentuale più alta di utilizzo stai certo che ci sarebbero problemi anche li. Android ne è la dimostrazione.

e sia chiaro, uso anche linux da parecchio

... in realtà sulla maggioranza dei server gira *nix

perdonami, ma è un'altra inesattezza.
di che ambiti stiamo parlando? web server? allora ci può stare (se non ricordo male la percentuale di linux è sul 65%).
ma in altri ambiti (server aziendali) spesso e volentieri è Windows a farla da padrone, sempre per il "problema" delle applicazioni che ci girano.

nel mio piccolo orticello (gestione della logistica, automazione dei magazzini) dal '99 ad oggi solo una manciata di clienti hanno server linux (e solo per il db). TUTTI hanno server Windows, per il dominio, per le applicazioni, ecc.
chi per scelta, chi per "obbligo" (semplicemente non ci sono i sw necessari per comunicare con gli impianti "fisici").
:read:

ripeto: linux può essere un'alternativa, ma non è la cura.

Ma per carità, se siete convinti e vi va bene Windows, continuate con Windows, energie e soldi sono vostri mica miei.
Poi però non continuate a dare la colpa all'utonto incapace. :rolleyes:
Gli esperti siete voi ? allora sbrigatevi a trovare una soluzione decente invece di fare i nazi sulle statistiche e i profeti della diffusione dei virus.

Io la soluzione in azienda l'ho realizzata con Linux e ho dei risultati concreti. Voi fate delle parole.

Non uso Windows da anni :D
Ma sai bene che l'utente clicca "Avanti-Avanti" su qualunque cosa vede senza neanche leggere.
Un altra cosa è su linux fare "chmod a+x" dalla shell, oppure andare con tasto destro+proprietà+permessi+"esegui come programma" :D


Quello è diverso, non è l'utente disattento che clicca su fattura.pdf.exe. Riguarda i server, che vengono attaccati tramite vulnerabilità, in questo caso di Magento
https://en.wikipedia.org/wiki/Linux.Encoder.1



mah questa è la solita banalità che ti fa già capire che chi la dice non ha una prospettiva completa, in realtà sulla maggioranza dei server gira *nix

Non sto parlando do server ma di pc da scrivania.


La segretaria mica prende il ramsom sul server ?

Ma per carità, se siete convinti e vi va bene Windows, continuate con Windows, energie e soldi sono vostri mica miei.
Poi però non continuate a dare la colpa all'utonto incapace. :rolleyes:
Gli esperti siete voi ? allora sbrigatevi a trovare una soluzione decente invece di fare i nazi sulle statistiche e i profeti della diffusione dei virus.

Io la soluzione in azienda l'ho realizzata con Linux e ho dei risultati concreti. Voi fate delle parole.

ultimo post OT.

scusa, ma che stai dicendo? :confused:
1) non ho dato dell'utonto a nessuno.
2) non ho denigrato né linux né la ricerca di "alternative" a Windows.
3) ho semplicemente puntualizzato dove/come, secondo me, hai dato informazioni imprecise/non corrette.
4) non discuto che nel tuo caso (domestico o aziendale) il passaggio a linux sia stato fruttuoso, ma ho solo puntualizzato che non può in nessun caso essere presentata come soluzione per tutti i tipi di utenti e per tutte le tipologie di utilizzo.

tralascio il tono/contenuto del tuo post perché mi sembra decisamente "emotivo", manco avessi offeso la tua squadra del cuore.

fine OT.

Sì caro, è proprio quello il punto: la incapacità dei tecnici a bloccare le azioni dannose degli utenti.
Prima gli danno la possibilità di fare danni, poi li insultano se li fanno. :rolleyes:
E poi li chiamano utonti, clueless user, pebcak, e altra supponenza varia.
Eppure una normale impiegata che risponde al telefono, prepara dei preventivi o passa degli ordini, ecc, avrà il diritto di fare il proprio lavoro senza essere presa per il culo ? :mbe:

Ripeto: io, dopo che le impiegate facevano dei danni con Winzozz, gli ho installato Linux Ubuntu. Risultato: mai più danni, guarda un po'. :O Quando arrivano i ransomware su Thunderbird come allegati, gli eseguibili non possono girare perchè su Linux i files non hanno il bit execute settato per default. E come lettore di pdf non c'è un mastodontico Acrobat Reader pieno di falle e che fa girare degli script, e perlomeno non rischio di essere bucato con dei semplici pdf.
Morale: ho dato lo strumento giusto alle impiegate senza attribuirle delle responsabilità che non gli spettano.


PS: Sulle automobili l'utente non ha la possibilità di installare un pezzo del motore. :O

caro, non mettermi in bocca cose che non ho detto.
Tu hai risolto brillantemente un potenziale problema grave perchè ne avevi la possibilità e lo sai fare.
Ci sono ALTRE REALTA' che usano applicativi che per linux non esistono e quindi le macchine si interfacciano ESCLUSIVAMENTE tramite Windows, in particolare sono macchine talmente antiche da un punto di vista digitale che hanno driver solo per XP.
Quindi cosa facciamo? Installiamo linux e buttiamo via 20k€ di strumento o teniamo WinXP e insegnamo alle persone cosa NON devono fare?
In molti casi è necessario seguire questa strada. Educazione informatica, chi deve essere responsabile di questa formazione è probabilmente il reparto IT, ma se dopo una corretta formazione l'utente continua a sbagliare la palla passa a lui :rolleyes:

Educazione informatica, chi deve essere responsabile di questa formazione è probabilmente il reparto IT, ma se dopo una corretta formazione l'utente continua a sbagliare la palla passa a lui :rolleyes:
Dunque l'impiegato della contabilità o la segretaria che riceve le telefonate e prepara dei preventivi, avrebbe poi la responsabilità di capire che un file allegato nella mail è un eseguibile potenzialmente pericoloso ? :rolleyes:

E invece se il reparto IT facesse il suo lavoro, e desse uno strumento che impedisce alla segretaria di lanciare un eseguibile che arriva come allegato ?... troppo difficile ?

E poi arriva sempre il linuxiano a fare proselitismo e mostrare quanto è verde il suo orticello e godere delle disgrazie altrui (in modo velato però) :asd:

Cmq io uso OS/2, è da 15 anni che non faccio aggiornamenti di sicurezza, non ho un AV e zero virus presi :sofico: se tutto il mondo usasse OS/2 non ci sarebbe più il problema dei virus :D





P.s.
Post sarcastico, interpretare con una vena di ironia.

tralascio il tono/contenuto del tuo post perché mi sembra decisamente "emotivo", manco avessi offeso la tua squadra del cuore.

mah se c'è una cosa che dà fastidio, è che sto leggendo troppe volte sui forum un atteggiamento offensivo verso delle persone, che, secondo i "tennici", hanno il torto di non avere una preparazione specifica, persone che potrebbero benissimo essere mio fratello o il mio compagno o mia moglie

nel 99% dei casi di sicurezza informatica, il problema non si trova tra il monitor e la sedia, ma nel reparto IT

E poi arriva sempre il linuxiano a fare proselitismo e mostrare quanto è verde il suo orticello e godere delle disgrazie altrui (in modo velato però) :asd:

Cmq io uso OS/2, è da 15 anni che non faccio aggiornamenti di sicurezza, non ho un AV e zero virus presi :sofico: se tutto il mondo usasse OS/2 non ci sarebbe più il problema dei virus :D

P.s.
Post sarcastico, interpretare con una vena di ironia.
post sarcastico, certo
Però 6 pagine di thread e ancora non ho letto uno straccio di soluzione preventiva :rolleyes: (a parte qualcosa di accennato a pag.2)

...
post sarcastico, certo
Però 6 pagine di thread e ancora non ho letto uno straccio di soluzione preventiva :rolleyes:


Hai letto male e in fretta infatti hai dovuto modificare il tuo post (sì onesto e non negarlo) :D

Dunque l'impiegato della contabilità o la segretaria che riceve le telefonate e prepara dei preventivi, avrebbe poi la responsabilità di capire che un file allegato nella mail è un eseguibile potenzialmente pericoloso ? :rolleyes:

E invece se il reparto IT facesse il suo lavoro, e desse uno strumento che impedisce alla segretaria di lanciare un eseguibile che arriva come allegato ?... troppo difficile ?

1- la prossima volta leggi per intero tutto il mio post
2- se la segretaria prova a fotocopiare un malloppo pinzato di 50 fogli e la fotocopiatrice si incastra di chi è la colpa?
Solo perchè le conseguenze in un caso sono gravi e nell'altro sono "ritenta sarai più fortunato" non vuol dire che cambino le responsabilità oggettive.
IT deve fare quello, ma ci sono MOLTISSIMI casi dove IT non può fare altro che educare.

Potrei farti moltissimi esempi dove chi predica "linux è la soluzione" risolve banalmente con: questo PC non verrà connesso alla rete esterna. Punto. Problema risolto a monte.
Per i PC con necessità di connessione internet, non è vero che l'unica soluzione sia linux.

No, alcune varianti criptano anche i dischi di rete non mappati (es. Locky (http://arstechnica.com/security/2016/02/locky-crypto-ransomware-rides-in-on-malicious-word-document-macro/)).

già, ho visto.
infatti ora ho messo in piedi un backup sul NAS via FTP. nessun accesso alle share del suddetto NAS, né mappato né "diretto".

Montare un secondo volume sul nas per i backup del volume condiso da fare dalle impostazioni del nas ed inaccessibile dalla rete.

quindi se sul nas si ha un singolo volume bisogna riconfigurare tutto?

dopo che ho letto che ci sono di questi virus che criptano anche le unità non mappate di rete a sto punto vien difficile pensare ad una soluzione tranquilla che non sia quella di fare un backup su un disco usb e scollegarlo/spegnerlo una volta finito.

la soluzione può benissimo essere Linux ovviamente in campo aziendale, perché a casa ognuno si deve arrangiare con le conoscenze che ha oppure pagare qualcuno che gli spiega cosa fare e come fare.
dicevo in ambito aziendale la soluzione può essere Linux usato come file server e va bene anche mappato (tanto pare sia indifferente con le ultime varianti di crypto) ma che faccia backup completo tutti i giorni in directory datate.
in questo caso tutti i file del server saranno sicuramente cryptati essendo mappato, ma il backup eseguito tramite software gestito dal server non sarà sicuramente intaccato e nel caso vengano backuppati i file già cryptati ci saranno sicuramente quelli del giorno prima disponibili e recuperabili.
qualcuno più esperto conferma che questa è un'ottima soluzione o ci sono controindicazioni anche in questo caso? :confused:

ma invece degli antivirus, non sarebbe meglio usare l'auto-sandbox ? (tipo Comodo)

gli antivirus mi hanno sempre dato l'idea di essere abbastanza inutili.

ma invece degli antivirus, non sarebbe meglio usare l'auto-sandbox ? (tipo Comodo)

gli antivirus mi hanno sempre dato l'idea di essere abbastanza inutili.

infatti io in futuro spero che i programmatori capiscano l'importanza di Windows 10 e le sue app che funzionano tutte in sandbox. immagina un OS le cui app sono installabili tutte da uno store controllato e certificato e funzionanti tutte in sandbox, sarebbe l'addio instantaneo a tutti i virus. per quello Windows 10 mobile è il sistema più sicuro al momento :)

infatti io in futuro spero che i programmatori capiscano l'importanza di Windows 10 e le sue app che funzionano tutte in sandbox. immagina un OS le cui app sono installabili tutte da uno store controllato e certificato e funzionanti tutte in sandbox, sarebbe l'addio instantaneo a tutti i virus. per quello Windows 10 mobile è il sistema più sicuro al momento :)

Non esiste uno store controllato e sicuro .


È impossibile e antieconomico controllare milioni di app che si aggiornano su una piattaforma. Android e il play store pieno zeppo di malwere sono il primo esempio.

quindi se sul nas si ha un singolo volume bisogna riconfigurare tutto?

dopo che ho letto che ci sono di questi virus che criptano anche le unità non mappate di rete a sto punto vien difficile pensare ad una soluzione tranquilla che non sia quella di fare un backup su un disco usb e scollegarlo/spegnerlo una volta finito.

Molti nas ti permettono di configurare un nuovo volume aggiungendo dischi, o con dischi esterni usb.

la soluzione può benissimo essere Linux ovviamente in campo aziendale, perché a casa ognuno si deve arrangiare con le conoscenze che ha oppure pagare qualcuno che gli spiega cosa fare e come fare.
dicevo in ambito aziendale la soluzione può essere Linux usato come file server e va bene anche mappato (tanto pare sia indifferente con le ultime varianti di crypto) ma che faccia backup completo tutti i giorni in directory datate.
in questo caso tutti i file del server saranno sicuramente cryptati essendo mappato, ma il backup eseguito tramite software gestito dal server non sarà sicuramente intaccato e nel caso vengano backuppati i file già cryptati ci saranno sicuramente quelli del giorno prima disponibili e recuperabili.
qualcuno più esperto conferma che questa è un'ottima soluzione o ci sono controindicazioni anche in questo caso? :confused:

Questo funziona anche per Windows Server, basta avere i backup.

Se usi synckback per esempio, configuri correttamente gli accessi al nas con utente diverso da quello di windows, nessun virus sarà in grado di accedere alla cartella di backup.
finorà non c'è stato nemmeno il problema di sovrascrivere con file criptati dato che cambiano il nome e l'estensione, quindi per il programma sono file diversi.

è quello che pensavo di fare..praticamente il pc non è al corrente dell'esistenza del nas.

Non avevo mai subito un'infezione da virus in tanti anni e ho sempre pensato di essere al sicuro in quanto faccio abitualmente backup dei dati su un secondo hard disk interno. L'infezione è avvenuta in dicembre con la sola navigazione su browser internet (mentre lo usava mia moglie). Nel mio caso l'antivirus è stato superato da un trojan, che a sua volta ha scaricato il CryptoLocker, il quale si è attivato solo tre giorni dopo, alla prima apertura di un browser internet. Una volta intallato, l'antivirus non è stato in grado di individuarlo. Ho dovuto utilizzare Malware Bytes per trovarlo e rimuoverlo. In 30 minuti ha criptato circa 300 GB di file, facendo pochissime eccezioni (file .txt e .png). Sono stato fortunato, poiché avevo copia di tutto sul mio precedente computer. Il virus è stato in grado di compromettere anche programmi installati e copie di file necessari ad una nuova installazione. Nel mio caso non ha criptato i punti di ripristino di Windows, ma in compenso ha eliminato tutte le copie shadow disponibili. Ora continuo ad utilizzare i backup interni, ma ho aggiunto un secondo backup manuale su hard disk esterno USB 3.0 con SynBack.

Non è possibile, ma ancora questi virus girano? :asd:

lo sanno pure le pietre che bisogna disabilitare lo Scripting Host
c'è l'ho OFF dai tempi di XP


e poi basterebbe un minimo di buon senso per evitare queste infezioni

il problema è che la stragrande maggioranza degli utenti non controlla neanche l'indirizzo di chi cavolo gli manda le mail :rolleyes:

non sanno cos'è un'estensione (Windows poi di default gliela nasconde anche :asd: )

dulcis in fundo mi apri un allegato zippato con dentro un file che si chiama EttrvYBTtyBrt.JS

MA DAIIIIIII :D

Non è possibile, ma ancora questi virus girano? :asd:

lo sanno pure le pietre che bisogna disabilitare lo Scripting Host
c'è l'ho OFF dai tempi di XP


e poi basterebbe un minimo di buon senso per evitare queste infezioni

il problema è che la stragrande maggioranza degli utenti non controlla neanche l'indirizzo di chi cavolo gli manda le mail :rolleyes:

non sanno cos'è un'estensione (Windows poi di default gliela nasconde anche :asd: )

dulcis in fundo mi apri un allegato zippato con dentro un file che si chiama EttrvYBTtyBrt.JS

MA DAIIIIIII :D

Pure io presi un virus anni fa con chrome e il java. ( risolto indolore , e il pc ancora oggi è attivo e funzionante senza format)

Ma come si staccano gli script host?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

poi per vedere se funziona , crea un file di testo vuoto

rinominalo .JS (o VBS) e prova a cliccarlo


così l'utente inetto è neutralizzato
anche volendo suicidarsi non può

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

poi per vedere se funziona , crea un file di testo vuoto

rinominalo .JS (o VBS) e prova a cliccarlo


così l'utente inetto è neutralizzato
anche volendo suicidarsi non può

Ma poi ci sono controindicazioni?

Se qualche app lo usa ?

molto raramente
chi fa un programma non lancia uno script in background in quel modo

è più roba da smanettoni

poi se proprio ti serve lanciare uno script lo riattivi per il tempo necessario

domanda da nabbo...e se di tutti i miei file di archivio che so già che non devono essere modificati vado su proprietà e imposto il flag di sola lettura?
potrei farlo anche di tutta la cartella magari per fare prima...
funzionerebbe per contrastare il problema pur usando il pc come admin?

domanda da nabbo...e se di tutti i miei file di archivio che so già che non devono essere modificati vado su proprietà e imposto il flag di sola lettura?
potrei farlo anche di tutta la cartella magari per fare prima...
funzionerebbe per contrastare il problema pur usando il pc come admin?
In teoria il programma te li potrebbe deflaggare e poi criptare. Cioè magari funziona , ma non è sicuro.

Meglio imho un Backup sopra a un disco usb , oppure da nas in una partizione estranea alla rete domestica.

non ho indagato sul metodo di trasmissione via LAN

ma ipotizzo che usando una condivisione protetta da password
ed evitando di memorizzare le credenziali di rete il contagio possa essere difficile

non ho indagato sul metodo di trasmissione via LAN

ma ipotizzo che usando una condivisione protetta da password
ed evitando di memorizzare le credenziali di rete il contagio possa essere difficile

No ci riescono .

È pieno di aziende , comuni e affini che han i server ko.

Il ramsom non può accedere ai file finché non metti la pw , ma per lavorare in remoto la devi mettere ( in automatico o manuale che sia ) e a quel punto sei nella cacca.

se io non mappo con una lettera l'hard disk ma uso il link diretto che ci sia qualche possibilità di sfuggire? che ne pensate?

se io non mappo con una lettera l'hard disk ma uso il link diretto che ci sia qualche possibilità di sfuggire? che ne pensate?

non lo so' ma credo che non sia poi così difficile recuperare un dispositivo accessibile nella rete, io non rischierei

Spiace vedere come Bitcoin venga usato per questi scopi... a questo punto mi aspetto che i governi comincino a dichiararlo illegale come si ipotizza già da tempo. Probabilmente con i consueti metodi di pagamento (tracciabili) questi ransomware non avrebbero motivo di esistere

Ma se uno invece controlla costantemente la posta solo tramite sito (come faccio io), sta sicuro ? Ogni tanto mi faccio delle immagini di sistema

Ma se uno invece controlla costantemente la posta solo tramite sito (come faccio io), sta sicuro ? Ogni tanto mi faccio delle immagini di sistema

io me lo sono beccato sul PC del lavoro semplicemente navigando (non ho aperto nessuna mail, né allegati o altra azione "diretta").
il buon antivirus aziendale "Symantec Endpoint Protection" non s'è accorto di nulla... :muro: :muro: :muro:

ma il browser era aggiornato?
usavi un noscipt / adblock?

semplicemente navigando su siti "tranquilli" l'infezione è davvero improbabile

Da quando questi ransomware hanno fatto capolino, ho smesso di fare il backup automatico con FreeFileSync. Meglio tenere un paio di hard drives, da usare esclusivamente per il backup in modo alternato, ed una volta terminata la copia, spegnerlo.

ma il browser era aggiornato?
usavi un noscipt / adblock?

semplicemente navigando su siti "tranquilli" l'infezione è davvero improbabile

Effettivamente: adblock plus ed un pò di attenzione a ciò che si clicca / apre, dovrebbe essere piu che sufficiente. Sul pc con win10 uso solo Defender di Windows e mai avuto problemi (ancora)

quindi è un pdf pieno di caratteri strani che "costringono" adobe reader a collegarsi?
e a collegarsi a dei server sbagliati?
strano cmq...
cmq configurando adobe per non effettuare nessuna connessione non si risolve?
o meglio ancora lo si blocca da firewall.

a me fa anche impressione che abbiano mandato il file riuscendo ad usare la posta del commercialista, e lo abbiano chiamato apposta F24.
sembra una cosa fatta ad-hoc per far danni ad un dato soggetto, come se sapessero che stava aspettando un F24.

non credo facciano social eng, xò ti vien da pensarlo.
io sono convinto che in qualche modo analizzino le email in uscita di una azienda.

si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

non si limitano alle sole unità di rete.
Beccano TUTTE le share di rete ove possono scrivere.
Si fermano invece coi DFS e NFS, non riescono a scriverci o cmq a manovrarci sopra, ovviamente X ORA.

ma il browser era aggiornato?
usavi un noscipt / adblock?

semplicemente navigando su siti "tranquilli" l'infezione è davvero improbabile

guarda, non ricordo quale browser di preciso stavo usando, perché oltre al PC "fisico" (con win 7) uso contemporaneamente due VM (con win xp).
non so da dove è "partita", fatto sta che non è stata "intercettata" e il bastardello mi ha criptato sia il disco fisico, che una delle due VM (l'altra fortunatamente non aveva il disco "sharato", che tutte le unità di rete mappate.
la roba mia ovviamente l'ho persa, mentre quello che c'era sulle unità di rete l'hanno recuperato dai backup.
poi i responsabili IT hanno impiegato mezza giornata (e 5 diversi tool, non so quali) per sgamare l'infame e sradicarlo (a quanto pare era finito dentro la VM).

vabbè, fortuna che non è stato un gran danno. :rolleyes:

Alla fine l'UAC non fa quello? poi non so se funziona anche con un .bat

no ci vuole un software di app. execution.
tipo kaspersky ha il suo modulo che controlla gli eseguibili permessi e non (controllo tramite md5).
ma non puoi creare regole simili...almeno che non siano thinclient o poco +

Grazie dell'illuminante articolo, ma ci sono tante domande però sull'argomento.

Facciamo una premessa:
Ho windows 7 aggiornato con : antivirus free aggiornato, con un programma che fa da firewall, con l'UAC al massimo, vari programm installati (Adobe, office, ecc), connessione a internet sempre presente, un hard disk che collego ogni tanto ecc. Credo di essere nella media degli utenti, e NON APRO EMAIL STRANE :D :stordita: .

Tramite email ormai è risaputo che si può prendere un virus.
Aprendo un allegato di un contatto noto, ( cito il caso detto a pagina 4 del file pdf) e il file pdf è infetto, si prende un virus senza poterci fare nulla, giusto?
Si possono trasportare tramite pen drive usb questi cryptolocker? mi riferisco all' amico che ti passa il video del compleanno, appunti di scuola, una presentazione ppt o un pdf.

Da google tramite ricerca, clicco sulla pagina di FB e entro nella pagina iniziale quella per il login. Se il sito è stato infettato, il fatto di aver aperto la pagina mi espione automaticamente a rischio anche se non ho cliccato su nulla all'interno della pagina?

Utilizzare l'tente GUEST su windows 7 serve veramente a qualcosa? Se mi passano un virus qualsiasi, anche un cryptolocker, tramite pennina o la becco su un sito, che mi può succedere.

Dubbi banali i miei, ma vorrei sapere cosa ne pensate.

che io sappia alcuni di loro si propagano via usb.
TI posso dire che è successo nella mia azienda.
MAil dall' "ENEL" , fatta veramente veramente bene, con link esterno
seguendo il link, la ovvia pagina di pishing, fatta anche lei benissimo, con l'eseguibile in download (previo chaptca).
Innanzi tutto , anche se ti fossi fermato, intanto anche solo cliccando sul link (che ovviamente non portava ad enel.it) confermi la tua mail, in quanto c'è l'indirizzo in coda tipo

http://brestenberger-fafafa.ch/1F7sBP/zJPLirM2W8Hd.php?id=amministrazione@tuaazienda.it

(tranquillo, è un link morto)
in pratica anche solo cliccando, confermi l'esistenza del dominio (e difatti lo spam MIRATO è aumentato tantissimo).
dopo di che ti scarica il tuo buon "fattura_enel_.pdf.exe", con tanto di icona pdf ecc.
doppio clic, UAC subentra e chiede una EOP (che serve soltanto x farlo lavorare con privilegi diversi o per farlo arrivare in cartelle protette dall'uac stesso).
ma il succo non cambia.
perchè fa un qualcosa che alla fin fine è lecito, e l'antivirus è "vecchio" da sto punto di vista xkè non riconosce il fingerprint del file, ma soprattutto , ancora + grave, non riconosce le attività illecite (euristica).
insomma questo virus fondamentalmente è come se tu avessi truecrypt e lo applicassi ai tuoi file.
Agisce su TUTTE le connessioni di rete, unità di rete mappate, dischi remoti e share.
dove ovviamente ha diritti di scrittura, ma in pratica fa un "net view" di tutta la rete.
per mia grazia ha risparmiato le cartelle DFS (mappate su un disco di rete), qui non è riuscito ad interagire.
avevo il terrore che si riuscisse ad inoculare ed eseguire sui server, e qui sarebbe stato game over.
invece alla fine ha toccato solo gli share con *everyone* oppure con l'utente in questione come privilegi.
Insomma 15gb di backup ripristinati e via.
il discorso backup è lo stesso, se la share (o l'unità mappata) è in accesso DIRETTO con le stesse credenziali degli utenti (e non un utente BACKUP x esempio), siete fregati.
Credo che lavorare sui backup ed i metodi di backup sia la via + sicura e veloce per pararsi le chiappe in caso di infezione.

caro, non mettermi in bocca cose che non ho detto.
Tu hai risolto brillantemente un potenziale problema grave perchè ne avevi la possibilità e lo sai fare.
Ci sono ALTRE REALTA' che usano applicativi che per linux non esistono e quindi le macchine si interfacciano ESCLUSIVAMENTE tramite Windows, in particolare sono macchine talmente antiche da un punto di vista digitale che hanno driver solo per XP.
Quindi cosa facciamo? Installiamo linux e buttiamo via 20k€ di strumento o teniamo WinXP e insegnamo alle persone cosa NON devono fare?
In molti casi è necessario seguire questa strada. Educazione informatica, chi deve essere responsabile di questa formazione è probabilmente il reparto IT, ma se dopo una corretta formazione l'utente continua a sbagliare la palla passa a lui :rolleyes:

sottoscrivo l'educazione informatica e la presa di coscienza di una sorta di responsabilità d'utilizzo.
con gli ovvi limiti di un utente office, ma intanto diamogliela sta minima conoscenza
mi fanno incazzare quando invece NON NE VOGLIONO sapere, ti ridono in faccia con i vari "e ma ci sei tu per queste cose"..

grrrr

adesso stanno uscendo pure gli allegati

.docm

Macro di word...che in automatico scaricano ed installano quel che dicono loro.
evviva ...:D

se io non mappo con una lettera l'hard disk ma uso il link diretto che ci sia qualche possibilità di sfuggire? che ne pensate?

no, anche i vari share


\\mioserver\condivisa1

vengono spalmati senza nessun problema.

dopo di che ti scarica il tuo buon "fattura_enel_.pdf.exe", con tanto di icona pdf ecc.

l'anello debole rimane sempre l'utente
basterebbe fare brevi e semplici corsi per spiegare queste cose basilari

adesso stanno uscendo pure gli allegati

.docm

Macro di word...che in automatico scaricano ed installano quel che dicono loro.
evviva ...:D

si ma le macro sono disattivate di default
quindi il problema è sempre l'utente :D

ho visto su un pc di un cliente che ha preso un cryptovirus che gli ha criptato tutti i documenti aggiungendo l'estensione .mp3 ma ha lasciato intatti i file avi che funzionano ancora.
quindi immagino che in quel caso se lui avesse avuto un file di backup zippato con estensione modificata a .avi non avrebbe avuto problemi a recuperarlo mentre lasciando .zip se lo sarebbe comunque trovato criptato.
con questo voglio dire che i cryptovirus non criptano tutti i file ma solo quelli con le estensioni più famose e usate per i documenti, quindi facendosi un backup zippato in locale con estensione .123 ad esempio non dovrebbero esserci rischi di perderlo :mbe:

il concetto fondamentale è
questi dati sono importanti per me?

se si non vanno tenuti SOLO sul PC

l'Hd che crepa è molto più temibile del Cryptovirus , te lo posso garantire

il concetto fondamentale è
questi dati sono importanti per me?

se si non vanno tenuti SOLO sul PC

l'Hd che crepa è molto più temibile del Cryptovirus , te lo posso garantire

l'hd che crepa , non distrugge tutti gli altri nella rete aziendale.


io fino ad oggi facevo backup in una cartella gdrive e in un disco interno al pc.


ora ho rimosso google drive, e lo uso da browser , e mi sono accattato un disco esterno ( per il mio piccolo lavoro).

l'hd che crepa , non distrugge tutti gli altri nella rete aziendale.

ovviamente mi riferivo al caso home


io fino ad oggi facevo backup in una cartella gdrive e in un disco interno al pc.


ora ho rimosso google drive, e lo uso da browser , e mi sono accattato un disco esterno ( per il mio piccolo lavoro).

il google drive lo faccio sincronizzare quando dico io
così evito che in caso di infezione anche il contenuto remote venga alterato

ovviamente mi riferivo al caso home




il google drive lo faccio sincronizzare quando dico io
così evito che in caso di infezione anche il contenuto remote venga alterato

in un primo tempo ieri l'ho messo sotto firewall in modo che non synki niente .

poi pero mi son detto certo che se inviano la key( di decriptazione) online hanno anche un sistema per eludere i firewall , e non mi son fidato.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

poi per vedere se funziona , crea un file di testo vuoto

rinominalo .JS (o VBS) e prova a cliccarlo


così l'utente inetto è neutralizzato
anche volendo suicidarsi non può

Alternativa GUI per creare un'opzione attiva/disattiva Windows Script Host nel controllo Opzioni Cartella:

http://forum.thewindowsclub.com/windows-tips-tutorials-articles/29449-adding-windows-script-host-switch-folder-options.html

Grazie a Paky per l'ispirazione.

ho visto su un pc di un cliente che ha preso un cryptovirus che gli ha criptato tutti i documenti aggiungendo l'estensione .mp3 ma ha lasciato intatti i file avi che funzionano ancora.
quindi immagino che in quel caso se lui avesse avuto un file di backup zippato con estensione modificata a .avi non avrebbe avuto problemi a recuperarlo mentre lasciando .zip se lo sarebbe comunque trovato criptato.
con questo voglio dire che i cryptovirus non criptano tutti i file ma solo quelli con le estensioni più famose e usate per i documenti, quindi facendosi un backup zippato in locale con estensione .123 ad esempio non dovrebbero esserci rischi di perderlo :mbe:

Ho gia scritto:
I cryptovirus criptano tutti i file documenti (odt, office, pdf ecc), tutti i file audio (mp3 wav ecc) tutti i file video (avi inclusi).
Criptano anche i file .ini.
Fin'ora dalla mia esperienza, non vengono criptati i file nelle directory c:windows, c:programmi, c:programmix86.
Una copia in queste cartelle per il momento mette a riparo i file.
Quindi se non si hanno necessità particolari e non si voglia spendere soldi per nas o altro consiglio di fare un backup in c:windows.

Sarebbe pazzesco scoprire che l'unico posto sicuro è c:\windows :D

Sarebbe pazzesco scoprire che l'unico posto sicuro è c:\windows :D

È naturale con l'avvento di vista c:programmi e c: windows sono bloccate dall'uac.

Quindi a meno che non sfruttino una falla.di windows sono inattaccabili.

UAC...ho trascinato un file zippato dentro C:\windows e non mi ha chiesto niente; idem per un file .js vuoto ed idem per un file .reg. Quindi dovrebbe essere sicuro... :rolleyes: :eek:

È naturale con l'avvento di vista c:programmi e c: windows sono bloccate dall'uac.

Quindi a meno che non sfruttino una falla.di windows sono inattaccabili.

è molto più semplice (non vengono criptati nemmeno in xp):
Prova a cancellare un file che ti impedisce l'avvio corretto del pc, come chiedi il riscatto?

Alternativa GUI per creare un'opzione attiva/disattiva Windows Script Host nel controllo Opzioni Cartella:

http://forum.thewindowsclub.com/windows-tips-tutorials-articles/29449-adding-windows-script-host-switch-folder-options.html

Grazie a Paky per l'ispirazione.

grazie a te per la segnalazione
molto utile poterlo inserire nelle opzioni cartella

solo una precisazione

in quel modo lo scripting host viene disabilitato solo per l'utente corrente [Hkey_Current_User] e non per tutta la macchina [Hkey_Local_machine]

Potrebbe dunque dare un falso senso di relativa sicurezza se non fatto girare per tutti gli account. E così?

grazie a te per la segnalazione
molto utile poterlo inserire nelle opzioni cartella

solo una precisazione

in quel modo lo scripting host viene disabilitato solo per l'utente corrente [Hkey_Current_User] e non per tutta la macchina [Hkey_Local_machine]

difatti ne stavo modificando il contenuto x renderlo universale x la macchina.
anzi lo sto linkando alle gpo
anzi l'ho già fatto.
maledetti virus del menga...:D

UAC...ho trascinato un file zippato dentro C:\windows e non mi ha chiesto niente; idem per un file .js vuoto ed idem per un file .reg. Quindi dovrebbe essere sicuro... :rolleyes: :eek:

Spero che questo sia file legittimo di Windows :rolleyes:
http://i.imgur.com/dpVgxGH.png

difatti ne stavo modificando il contenuto x renderlo universale x la macchina.
anzi lo sto linkando alle gpo
anzi l'ho già fatto.
maledetti virus del menga...:D

Ovvero quale è la versione universale per favore?

se io non mappo con una lettera l'hard disk ma uso il link diretto che ci sia qualche possibilità di sfuggire? che ne pensate?

se nella share ci vai dentro con il tuo utente, ci va anche il ransomware.
dipende dalle varianti ma non avere unità di rete serve a poco ormai.

Parecchie di queste varianti ti rasano pure le shadowcopy. Per rasarle su windows server non servono i diritti amministrativi :rolleyes: : l'unica cosa che può salvare è l'uac.

io sto approntando a destra e a manca (putroppo filtro email avanzato a livello di isp e antivirus non bastano più) policy locali o AD per bloccare l'esecuzione di eseguibili all'interno della cartella utente (%userprofile%) o Appdata

Voglio vedere poi come fa a partire l'eseguibile malevolo :mc:

Spero che questo sia file legittimo di Windows :rolleyes:
http://i.imgur.com/dpVgxGH.png



Ovvero quale è la versione universale per favore?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"DisplayLogo"="1"
"ActiveDebugging"="1"
"SilentTerminate"="0"
"UseWINSAFER"="1"
"Enabled"=dword:00000000

se nella share ci vai dentro con il tuo utente, ci va anche il ransomware.
dipende dalle varianti ma non avere unità di rete serve a poco ormai.

Parecchie di queste varianti ti rasano pure le shadowcopy. Per rasarle su windows server non servono i diritti amministrativi :rolleyes: : l'unica cosa che può salvare è l'uac.

io sto approntando a destra e a manca (putroppo filtro email avanzato a livello di isp e antivirus non bastano più) policy locali o AD per bloccare l'esecuzione di eseguibili all'interno della cartella utente (%userprofile%) o Appdata

Voglio vedere poi come fa a partire l'eseguibile malevolo :mc:
il "mio" crypto invece partiva da


%programdata%

...simpaticone...

il "mio" crypto invece partiva da


%programdata%

...simpaticone...

fortunatamente di pc da gestire ne ho pochi: tutti terminal server/citrix dove gli utenti i privilegi amministrativi se li sognano di notte :read:

quindi li non ci vanno

fortunatamente di pc da gestire ne ho pochi: tutti terminal server/citrix dove gli utenti i privilegi amministrativi se li sognano di notte :read:

quindi li non ci vanno

ribadisco...non sono i privilegi il problema, o meglio, se hai una rete ben fatta non ci sono problemi (ovvio che se hai le share in 777 su everyone :( )
il punto è che dove può arrivare l'utente, lui cripta (ovvio che il client attaccato deve essere un winclient).
per fortuna non usano exploit di windows o simili per fare EOP locale o di rete, sennò davvero sarebbe il devasto...alla fine secondo me ottengono già ottimi risultati così come sono configurati ora.

ribadisco...non sono i privilegi il problema, o meglio, se hai una rete ben fatta non ci sono problemi (ovvio che se hai le share in 777 su everyone :( )
il punto è che dove può arrivare l'utente, lui cripta (ovvio che il client attaccato deve essere un winclient).
per fortuna non usano exploit di windows o simili per fare EOP locale o di rete, sennò davvero sarebbe il devasto...alla fine secondo me ottengono già ottimi risultati così come sono configurati ora.

già, il problema fondamentalmente è questo ma non ne sarei sicuro sugli exploit: sono testimone di un'infezione beccata tramite flashplayer. Un utente di un cliente con un server con un mese di vita ultraprotetto con i nuovi standard è riuscito ad infettare la sua areautente e una piccola parte delle shares navigando con ie in una pagina con un video flash compromesso :eek:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"DisplayLogo"="1"
"ActiveDebugging"="1"
"SilentTerminate"="0"
"UseWINSAFER"="1"
"Enabled"=dword:00000000

si ma questa è la chiave che ho postato pagine dietro (le altre ci sono di default)

giovanni chiedeva una versione modificata dell'altro REG

se io non mappo con una lettera l'hard disk ma uso il link diretto che ci sia qualche possibilità di sfuggire? che ne pensate?

cbtlocker non funziona su share di rete non mappati ma cryptoLocky una nuova versione si

io ho messo qualche pezza in maniera caserecca ma dovrebbero garantire una protezione più che adeguata

utente NAS dedicato per i backup diverso dall'utente classico le cui credenziali sono solo nel sw di backup
nessuna credenziale salvato in windows
un simpatico bat (Net use * /delete /y) che cancella le sessioni aperte sul nas messo sul desktop e da lanciare dopo aver finito di utilizzare lo share condiviso

Ma l'accopiata ANTIVIRUS + WIN DEFENDER com'è? Si deve usare o basta solo antivirus?

Perchè alcuni antivirus disabilitano in automatico DEFENDER :read:

gli antiv non vanno mai usati uno sull'altro
impallano sollo il sistema

si ma questa è la chiave che ho postato pagine dietro (le altre ci sono di default)

giovanni chiedeva una versione modificata dell'altro REG

Esatto, mi riferivo a questo post di igiolo:


difatti ne stavo modificando il contenuto x renderlo universale x la macchina.
anzi lo sto linkando alle gpo
anzi l'ho già fatto.
maledetti virus del menga...

in relazione a http://forum.thewindowsclub.com/windows-tips-tutorials-articles/29449-adding-windows-script-host-switch-folder-options.html

:rolleyes:

Ma se si fa una copia di backup dati su nuovo HDD e lo si protegge con BitLocker.... si può lasciarlo collegato oppure può venire aggirato ugualmente?

Che bello .... Windows mail o il defender mi scancella pdf a caso in posta in arrivo ... ( su windows 10 )
Eccesso di zelo? O bug

Meno male li posso recuperare da gmail..

Si, eviteresti l'infezione perché, alla fin fine, il nas connesso come unità di rete è equivalente ad un HD esterno agli occhi del ramsonware che quindi procede all'infezione. E' lo stesso principio per cui se hai account dropbox o google drive loginati, vengono criptati anche i documenti nel cloud (o più correttamente cripta quelli presenti sul tuo pc che vengono immediatamente sincronizzati).

Ma nel caso di servizi cloud è possibile ristabilire le versioni precedenti (dropbox se non erro fino a 4 settimane prima). In questo caso immagino basti staccare da internet il pc infetto e procedere online al ripristino dei file non criptati, giusto?

Che bello .... Windows mail o il defender mi scancella pdf a caso in posta in arrivo ... ( su windows 10 )
Eccesso di zelo? O bug

Meno male li posso recuperare da gmail..

In che senso li cancella a caso?

In che senso li cancella a caso?che mi arrivano a lavoro delle mail con allegati cataloghi o listini e mi da su alcune allegato non scaricato. E non lo scarica in nessun modo.
Ma sul web di gmail c'è.

se invece di un nas ho un server windows, sono "relativamente" al sicuro con (è una domanda per gli esperti):

- utente client diverso da utente server
- utente client che può leggere file ma non scrivere su cartella server
- utente server che può leggere ma non scrivere su cartella client

A quel punto, impostando un backup sul server (backup dei dati del server su altro hd del server), tendenzialmente il rischio dovrebbe esser minimo: se beccassi un ransomware lo farei sul client, sul server non apro programmi se non quelli che devono girare come servizi, no?

Ma nel caso di servizi cloud è possibile ristabilire le versioni precedenti (dropbox se non erro fino a 4 settimane prima). In questo caso immagino basti staccare da internet il pc infetto e procedere online al ripristino dei file non criptati, giusto?

non è così semplice, il fatto è che non c'è l'opzione "versioni precedenti" per le cartelle, quindi dovresti passarti a mano file per file

che mi arrivano a lavoro delle mail con allegati cataloghi o listini e mi da su alcune allegato non scaricato. E non lo scarica in nessun modo.
Ma sul web di gmail c'è.

Mmm...più che defender mi sa di un qualche problema di WLM.
Prova con Thunderbird

@nn020

>>ormai le cpu moderne hanno istruzioni dedicate per criptare con AES

Ah, ora capisco a cosa servono i processori quad-core :P

@Piedone1113

>>...pena l'estinzione del tutto, o quasi, del settore della sicurezza informatica (anti-malware/virus residenti)

Titolo: "La verità dura e cruda"
Non è che ci mancherà questo settore eh

@Marcoesse

>>ho letto varie info a riguardo e la cosa più semplice da fare a riguardo sarebbe di togliere l'opzione di default di Win "nascondi le estensioni per i tipi di file conosciuti"

Ammetto che all'inizio le estensioni mi infastidivano, ma poi mi ci sono abituato.

Nonostante il tanto allarmismo scritto nell'articolo, non sono mai stato infettato da un Ramsomware.

Ultimamente anch'io ho ricevuto mail sospette che invitavano ad aprire un allegato in ZIP nella quale era contenuto un file .js (estensione MAI usata fra l'altro xD)

Le mie precauzioni:
1) Ho levato totalmente Java
2) Ho disattivato _per sempre_ la visualizzazione dei frame nelle pagine web (uno dei vettori d'infezione preferiti dai pirati imo*), sia su Firefox 30, Opera 10.10 (2009) e Opera 6.02 (2002).
3) In Firefox 30 ho disattivato i da me tanto odiati WebFonts, per me un altro vettore d'infezione; compromettere la sicurezza del pc in nome dell'estetica... wtf?
P.S.: Come plugin uso Flash 11 e Firefox funziona benissimo su Youtube :P

Ma poi vogliamo ricordare una cosa (sempre imo): i nuovi sistemi operativi in qualche modo sono creati ad arte per agevolare sti crimini, distraendo l'utente con effetti visivi futuristici, un aspetto colorato con gradienti qua e la. Ricordo inoltre l'utilizzo di un SO a 64bit (ho Win7 64bit al momento), che aumenta a dismisura il numero di file e directory (molte delle quali _vuote_) presenti sul disco fisso (e conseguentemente il numero di posti nella quale il virus si può nascondere)

Pensavo fosse una domanda interessante...

Ma se si fa una copia di backup dati su nuovo HDD e lo si protegge con BitLocker.... si può lasciarlo collegato oppure può venire aggirato ugualmente?

:read:

Pensavo fosse una domanda interessante...



:read:
Penso proprio di no, i file anche se criptati sono in chiaro nella modalità utente.
Bitlocker poi funziona a livello di disco, non dei singoli file.

Penso proprio di no, i file anche se criptati sono in chiaro nella modalità utente.
Bitlocker poi funziona a livello di disco, non dei singoli file.

Però se non sbloccato tramite password, il disco con bitlocker inserito è bloccato!

una domanda (da pirla?): si legge che questi ramsonware sono in grado di crittografare anche i file sui dischi di rete mappati.
questo significa che se non mappo un'unità di rete ma accedo tramite \\indirizzoIP\nomeshare\ tutto quello che c'è in quella share è "intoccabile" per questo tipo di virus?

lo domando perché io farei il backup del PC su un NAS, senza mappare la share del NAS in cui salvare i file in un'unità di Windows, e facendo puntare il programma di backup ("O&O AutoBackup" nel mio caso) direttamente al percorso di rete (in più farei il backup una volta alla settimana, lasciando spento il NAS e facendolo accendere in automatico solo prima del job di backup).

in questo modo dovrei essere sicuro che questi infami non siano in grado di accedere anche ai file sul NAS, giusto?

PS: da qualche settimana sto provando sul PC di casa (dopo essermi beccato un cryptolocker sul pc dell'ufficio... grazie Norton Endpoint Protection, funzioni benissimo!) Malwarebytes Anti-Ramsonware, e ieri mi ha "bloccato" l'aggiornamento di JDownloader 2 in quanto conteneva un ramsonware. io nel dubbio ho ovviamente evitato di aggiornare il programma.

le ultime versioni del virus criptano anche cartelle NON mappate, ma semplicemente condivise. Un'idea è quella di condividere la cartella su cui eseguire il back up e abilitarne il diritto di scrittura per un utente con credenziali non salvate sui PC ma specificate solo all'interno del software che si utilizza per il backup (ad es. Acronis)

se invece di un nas ho un server windows, sono "relativamente" al sicuro con (è una domanda per gli esperti):

- utente client diverso da utente server
- utente client che può leggere file ma non scrivere su cartella server
- utente server che può leggere ma non scrivere su cartella client

A quel punto, impostando un backup sul server (backup dei dati del server su altro hd del server), tendenzialmente il rischio dovrebbe esser minimo: se beccassi un ransomware lo farei sul client, sul server non apro programmi se non quelli che devono girare come servizi, no?

La domanda è: come lo fai il backup del client sul server se non lasci al client il diritto di scrivere su cartella server di destinazione?

La risposta è come ho già detto di impostare le credenziali all'interno del software che utilizzi per il backup.

In questo modo se il client si infetta non potrà criptare il contenuto della cartella di backup sul server.

Ad ogni modo un consiglio sempre valido quando si parla di backup è la regola del 3-2-1:
3 COPIE DEI DATI: Una primaria (quella sul pc client per intenderci) e due di backup -> archiviazione dei backup su 2 TIPI DI SUPPORTI (ad es. cartella su server/NAS e hard disk usb) ->1 COPIA OFF-SITE (ad es. hard disk usb che si tiene staccato e si collega solo per backup)

ok con la mia attuale configurazione di rete e backup sono potenzialmente nel liquame.
devo rivedere il tutto. Il problema sono le dimensioni dei file, troppa roba per i Blu-ray

non ho capito come qualcuno sia arrivato a parlare della disabilitazione di Windows Script Host come possibile soluzione contro i Ransomware, ad ogni modo il ricorso alla procedura indicata non copre contro un uso improprio della risorsa come dimostrato nel video sotto:
Windows Script Host, PowerShell, and Scriptors
(https://www.youtube.com/watch?v=_J4PVuYixmk)

La domanda è: come lo fai il backup del client sul server se non lasci al client il diritto di scrivere su cartella server di destinazione?


non puoi farlo al contrario? non è il client che si fa il backup sul server, è il server che si prende i dati dal client e li backuppa.
In questo modo, il client non ha le credenziali del server, no?

la cosa più ridicola sono gli utenti che chiedono info sugli antivirus...
ma davvero ci sta qualcuno che crede sull'efficiacia degli stessi?
quante infezioni dovrete beccare prima di disinstallarlo senza sentirvi in mutande?? :sofico:
tanto in mutande ci state lo stesso, inutile insistere...
le soluzioni sono:
1) windows sandboxato o virtualizzato senza net share attive, possibilmente isolato dalla rete
oppure
2) linux (unix) con permessi user (e senza il supporto ad SSLv2 :sofico: )

non ho capito come qualcuno sia arrivato a parlare della disabilitazione di Windows Script Host come possibile soluzione contro i Ransomware, ad ogni modo il ricorso alla procedura indicata non copre contro un uso improprio della risorsa come dimostrato nel video sotto:
Windows Script Host, PowerShell, and Scriptors
(https://www.youtube.com/watch?v=_J4PVuYixmk)
E' ovvio, ma l'importante sembra che sia dare la colpa agli "utenti idioti".
Il che conferma la mia tesi: nel 99% dei casi di sicurezza informatica, il problema sono gli espertoni nel reparto IT.


2) linux (unix) con permessi user (e senza il supporto ad SSLv2 :sofico: )
Proprio oggi in una mailbox del lavoro è arrivata una mail "invoice" con allegato un .zip, con dentro un ransomware. Avendo dei client Thunderbird+Ubuntu ho accennato un sorriso e non mi sono neanche scomodato ad alzare il telefono per avvisare la persona interessata :asd:

nel 99% dei casi di sicurezza informatica, il problema sono gli espertoni nel reparto IT

mi permetto di difendere, almeno in parte, la categoria, di cui faccio parte. spesso e volentieri il cliente non capisce un c...o e non vuole spendere un euro, ogni tanto fa' pure da solo (facendo ancora più danni), salvo poi spendere migliaia di euro per gadget inutili. con questi personaggi è difficile lavorare con scrupolo ed evitare casini.

Tutto il mio rispetto per chi lavora bene ma ci sono IT da galera come quella di non consigliare alcune copertura realtime.
Vedi QUI (http://www.hwupgrade.it/forum/showpost.php?p=43420934&postcount=3819).

Per esempio sul PC di mio padre l`Avira gratuito aveva il Cryptolocker messo in quarantena, lui non sapeva dove lo aveva preso, mi sarebbe interessato saperlo, comunque non ci sono stati danni grazie ad Avira che é intervenuto.

Tutto il mio rispetto per chi lavora bene ma ci sono IT da galera come quella di non consigliare alcune copertura realtime.
Vedi QUI (http://www.hwupgrade.it/forum/showpost.php?p=43420934&postcount=3819).

non conosco Windows Defender, ma tra Essential e Defender, che sono cambiati più volte nel corso degli anni tra XP, W7, W8 e W10, non si capisce se servono o meno, se sono antivirus o antimalware, e generano solo altra confusione negli utenti.

non ho capito come qualcuno sia arrivato a parlare della disabilitazione di Windows Script Host come possibile soluzione contro i Ransomware,

Everell puoi fare nome e cognome , sono qui , non c'è bisogno di fare i vaghi

ad ogni modo il ricorso alla procedura indicata non copre contro un uso improprio della risorsa come dimostrato nel video sotto:
Windows Script Host, PowerShell, and Scriptors
(https://www.youtube.com/watch?v=_J4PVuYixmk)

e cosa dimostrerebbe fammi capire
il tizio una volta disabilitato lo script host e il powershell , gli script VBS e JS non li esegue più

e il teslacrypt 3 che gira in questo momento è un javascipt

poi è ovvio che se mi compili 2 exe che al loro interno hanno un interprete per gli script o puntano a quello di windows il codice lo esegui lo stesso

ma torniamo sempre a bomba , se l'utente demente mi clicca su un .EXE che gli arriva zippato per posta da non si sa chi ,sono cavoli suoi.

che poi.... al giorno d'oggi voglio proprio vedere quanti server di posta ti fanno passare o buttano nello spam uno zip con dentro un exe


Io non uso un antivirus dal 2000 e vivo sereno lo stresso

non mi ritengo un esperto , ma solo uno che ha imparato a muoversi
e non clicca a ca@@o dove capita

non conosco Windows Defender, ma tra Essential e Defender, che sono cambiati più volte nel corso degli anni tra XP, W7, W8 e W10, non si capisce se servono o meno, se sono antivirus o antimalware, e generano solo altra confusione negli utenti.

Non mi risulta che Windows Defender di suo abbia capacità euristiche avanzate.
Nell'articolo oggetto di questo thread si cita:
"Abbiamo procurato un eseguibile contenente il cryptovirus e abbiamo provato a lanciarlo in presenza di Avira Antivirus e Windows Defender. In queste condizioni l'antivirus ha subito rilevato la presenza del cryptovirus e bloccato l'esecuzione, per cui, in modo da infettare il computer, abbiamo dovuto provvedere a rimuovere la protezione Real-Time di Avira e disabilitare Windows Defender."

E non è chiaro cosa sarebbe successo se ci fosse stato solo Windows Defender.
Circa Microsoft Essentials si possono vedere i risultati su AV comparatives e fare le proprie valutazioni vs altri AV.

Utlizzare un proprio AV che abbia esplicite funzioni anti-exploit (così' almeno la software house ci mette la faccia) ed abbinarlo ad un Malwarebytes Anti-Exploit (http://www.hwupgrade.it/forum/showpost.php?p=43365713&postcount=1539)(gratis / pagamento) in attesa che la versione anti Ransomware esca dalla fase beta, non sarebbe una cattiva idea. Ed i costi sono davvero irrisori rispetto ai rischi. Inoltre di tanto in tanto effettuare scansione trasversale con altro AV in modalità on-demand che non interferisce con l'AV esistente, è altra buona cosa. Ad esempio con EEK (http://www.hwupgrade.it/forum/showpost.php?p=43418865&postcount=1549).

mi permetto di difendere, almeno in parte, la categoria, di cui faccio parte. spesso e volentieri il cliente non capisce un c...o e non vuole spendere un euro, ogni tanto fa' pure da solo (facendo ancora più danni), salvo poi spendere migliaia di euro per gadget inutili. con questi personaggi è difficile lavorare con scrupolo ed evitare casini.
Ma sai, se un cliente tuo è un idiota, parla per lui, e non per tutti gli utenti, perchè capisci che se ad esempio mia madre clicca un invoice.exe, non le dico "mamma sei un idiota". :O
Poi se un cliente vuole fare da solo, siamo sicuri che ha sempre torto ?
Non sarà il tuo caso, ma a volte dipenderà anche dal "tennico", perchè mi vengono in mente certi personaggi che pensano solo a spillare soldi ai clienti, e allora forse forse, se il cliente preferisce comprare un BMW piuttosto che cambiare i server, potrei anche dare ragione al cliente.

Everell puoi fare nome e cognome , sono qui , non c'è bisogno di fare i vaghi

Averell, please...e ad ogni modo seguo distrattamente il thread e non avevo interesse a mettermi li' a ricostruire chi avesse citato per primo WSH quindi come vedi nulla di personale anche perchè non mi farei certo problemi a citare Tizio, Caio o Sempronio, figuriamoci...

Se credi pertanto alla mia buona fede -e cioè che mi sia soffermato esclusivamente sul 'concetto' invece che sul 'soggetto' [notare anche la rima]- bene...in caso contrario vivrò felice ugualmente
e cosa dimostrerebbe fammi capire
tante cose a partire dal fatto che non si affronta certamente il problema dei Ransomware con quel suggerimento....

allora non essere criptico , spiegacelo tu come risolverlo

Ma sai, se un cliente tuo è un idiota, parla per lui, e non per tutti gli utenti, perchè capisci che se ad esempio mia madre clicca un invoice.exe, non le dico "mamma sei un idiota". :O
Poi se un cliente vuole fare da solo, siamo sicuri che ha sempre torto ?
Non sarà il tuo caso, ma a volte dipenderà anche dal "tennico", perchè mi vengono in mente certi personaggi che pensano solo a spillare soldi ai clienti, e allora forse forse, se il cliente preferisce comprare un BMW piuttosto che cambiare i server, potrei anche dare ragione al cliente.

infatti ho specificato "almeno in parte": la regola non vale sempre, ma nella mia esperienza vale spesso. poi magari sono stato sfortunato io che ho trovato tutti i peggiori...

allora non essere criptico , spiegacelo tu come risolverlo

ignore list da adesso...

sei semplicemente ridicolo :rolleyes:
e non è la prima volta che mi rompi le scatole con le tue entrate a gamba tesa che poi non dicono e risolvono nulla

chiusa qui , non amo i flame

spesso e volentieri il cliente non capisce un c...o e non vuole spendere un euro, ogni tanto fa' pure da solo (facendo ancora più danni), salvo poi spendere migliaia di euro per gadget inutili.This. Cento volte THIS.

A volte la gente non sa neanche a cosa serva un backup, per dire.
Nessuno s'è mai sentito domandare da un cliente (o da un conoscente) "eh ma c'ho il RAID UNO, che me ne faccio del backup?" o cose simili? Ecco.

Ho letto tutte le pagine e non ho trovato una soluzione (magari mi sarà sfuggita).
Morale: Come combattere questo nuovo tipo di tipo virus ransomware/crypto ?!

Domandine:
1) MBAE e HitManPro Alert sono programmi che svolgono la stessa funzione?
"Alert" nella versione gratuita non offre quasi nulla e sinceramente non ho capito a cosa serva ... Mi sono limitato a fargli fare una scansione ed ha trovato dei files sospetti ed altro che ho provveduto ad eliminare.

2) MalwareBytes Ransomware (BETA) conviene installarlo? Se non questi quale? Verrà integrato in MBAM?

3) Occorre anche metter mano al registro di Windows o ai privilegi dei diversi utenti del PC (standard/admin) ?

ecc ...

Date delle risposte secche e certe perché altrimenti - oltre alla buona pratica del backup ed al solito buon senso del "no click" a occhi bendati - all'utente comune non resta altro che incrociare le dita per ogni accesso al web :O

Ne ho lette di cotte e di crude ma i pareri personali - per quanto utili ed empirici - se non hanno fondamenta valide e provate nella protezione a questa nuova ondata virale, rimangono solo consigli spiccioli che alimentano incertezze

Grazie

qui non c'è da combattere , ma prevenire nel limite del possibile

-tenere aggiornati browser , plugin e antiv
-mettere al sicuro i dati importanti

nell'articolo stesso ci sono ottimi spunti

Per quanto riguarda le modalità e i veicoli di infezione anche Giuliani sottolinea quanto queste minacce facciano leva sulle naturali debolezze dell'essere umano: "I principali veicoli di infezione rimangono quelli di sempre: social engineering attraverso e-mail finte e siti web apparentemente leciti ma compromessi con codici exploit capaci di sfruttare vulnerabilità di browser e software non aggiornati per installarsi automaticamente all'interno del PC della vittima. Nella maggior parte dei casi gioca un ruolo critico l'esperienza dell'utente, che spesso deve capire quando un'e-mail è finta e quando no. Per fare un esempio, molte aziende usano quotidianamente corrieri espresso: quando la segretaria riceve una finta e-mail del corriere espresso con link ad una fattura è molto facile che venga tratta in inganno e vada ad aprire il finto documento presente al link della pagina web fittizia. Nei restanti casi si tratta invece di una azione involontaria, dove l'utente - che, anche qui, tuttavia, ha un ruolo fondamentale perché ha il dovere di tenere aggiornati i programmi che utilizza nel proprio PC - si trova a navigare su siti web apparentemente leciti ma che sono stati compromessi da pirati informatici con dei codici capaci di sfruttare le falle dei programmi non aggiornati (Java, Flash, Adobe Acrobat per citarne alcuni). Nel tal caso effettivamente l'utente non ha cliccato su nulla in particolare, ma è rimasto comunque infetto".

beh, poi trovare una soluzione per qualcosa che sta creando guai in mezzo mondo in pochi giorni, poche pagine e poche persone credo sia un po' improbabile, vabbé che gli utenti di hwup son bravi, ma...
piuttosto, c'è da ricordare che anche foolishit.com ha un "cryptoprevent" con versione free, e che fra i sw del genere non possiamo dimenticare quello di tgsoft.it, "intelligente" e italiano perdinci, e poi fatto in una cittadina dove se ne intendono, almeno dal nome... :D

qui la discussione attuale più corposa sull'argomento è questa:
http://www.hwupgrade.it/forum/showthread.php?t=2697349

x_Master_x ha sempre delle idee semplici ma geniali :D

http://www.hwupgrade.it/forum/showpost.php?p=43349802&postcount=779

Facendo una scansione rapida con SUMo molti dei programmi che utilizzo non sono aggiornati ... soltanto che i più sono portable, quindi:
I programmi portable possono venir colpiti o vale solo per gli installer?

D'accordo sul fatto che i lavori sono in corso d'opera, ma visto che ha già mietuto vittime anche non proprio alle prime armi, si rimane un po' attoniti davanti a questa vulnerabilità :O

L'AV si aggiorna costantemente, ma il browser no perché esce una nuova versione la settimana (preferisco aggiornarlo ogni tot. mesi sinceramente)
Per i plugin - in primis Flash - l'aggiornamento è indispensabile.

CryptoPrevent l'ho conosciuto leggendo un articolo ma non penso di scaricarlo ed utilizzarlo.
Comunque HitManPro Alert - anche se le più sono attivabili dietro licenza - copre più funzioni rispetto a Mbae.

Sì, questa discussione la devo seguire anche
http://www.hwupgrade.it/forum/showthread.php?t=2697349

Sfogliando l'Avira Virus Lab trovo diversi riferimenti a questi TR/Ransom e TR/AD Cryptowall (rilevati nei mesi precedenti)

x_Master_x ha sempre delle idee semplici ma geniali :D

http://www.hwupgrade.it/forum/showpost.php?p=43349802&postcount=779

Non ho capito cosa intende x_Master_x :mbe:
Abbastanza semplice visualizzare le estensioni in Windows e dubitare delle doppie estensioni, ma come eseguire il monitoraggio ?

Non ho capito cosa intende x_Master_x :mbe:
Abbastanza semplice visualizzare le estensioni in Windows e dubitare delle doppie estensioni, ma come eseguire il monitoraggio ?

Immagino con uno script che monitori il registro. Mi pare che le estensioni siano tutte sotto HKEY/Classes. Anche a me piacerebbe conoscere un po' più dettagli.

Ho letto tutte le pagine e non ho trovato una soluzione (magari mi sarà sfuggita).
Morale: Come combattere questo nuovo tipo di tipo virus ransomware/crypto ?!

Invece che "Come combattere", meglio chiedersi "come vincere".
La risposta non è arrivata in giorni e mesi, quindi purtroppo la conclusione è questa: "su Windows non si può"
Non resta che faresene una ragione.

Invece che "Come combattere", meglio chiedersi "come vincere".
La risposta non è arrivata in giorni e mesi, quindi purtroppo la conclusione è questa: "su Windows non si può"
Non resta che faresene una ragione.

basterebbe che i provider bloccassero un po' di schifo nelle caselle di posta dei proprio utenti e già il 99% delle infezioni sarebbero evitabili

La miglior risposta è un HDD di backup, fatto mensilmente, e scollegato dal computer.

E quindi... saluti randomware :fiufiu:

perchè mi vengono in mente certi personaggi che pensano solo a spillare soldi ai clienti, e allora forse forse, se il cliente preferisce comprare un BMW piuttosto che cambiare i server, potrei anche dare ragione al cliente.

OT
giusto ieri un cliente mi ha chiamato: deve installare un nuovo gestionale su un microserver dell'HP che ha 5 anni, quando gli ho consigliato di cambiarlo e prendere qualcosa di più serio mi ha risposto che 2.000€ sono troppi. però poi mi ha detto che è stato all'apple store e se prende i pc nuovi glieli scontano del 20%, e con solo 7.000€ cambia tutte le macchine e mette Mac Pro. :muro: :muro: :muro:
/OT

OT
giusto ieri un cliente mi ha chiamato: deve installare un nuovo gestionale su un microserver dell'HP che ha 5 anni, quando gli ho consigliato di cambiarlo e prendere qualcosa di più serio mi ha risposto che 2.000€ sono troppi. però poi mi ha detto che è stato all'apple store e se prende i pc nuovi glieli scontano del 20%, e con solo 7.000€ cambia tutte le macchine e mette Mac Pro. :muro: :muro: :muro:
/OT

non è MAI una questione economica in senso assoluto.
Purtroppo, è sempre una questione economica rapportata alla percezione che ha la persona rispetto al bene/servizio in oggetto. :muro:

Sto pensando a una piccola azienda con circa 10 PC usati per fare contabilità. Per evitare problemi non conviene a questo punto virtualizzare tutte le sessioni? Poi si effettuano backup incrementali giornalieri e ogni problema di cryptovirus viene risolto. Inoltre forse conviene affidarsi a un mail server con le protezioni integrate che faccia da filtro in entrata e in uscita. Non l'ho mai fatto e quindi mi stavo documentando.

Basta che installi una suite antivirus aziendale valida come il symantec endpoint. Mon è per menarla con norton ma con questo tipo di virus è efficace. Avete mai pensato a dei firewall? Anche lo fanno un ottimo lavoro eliminando gli allegati malevoli ( modelli più evoluti).
Poi backup sempre

Basta che installi una suite antivirus aziendale valida come il symantec endpoint. Mon è per menarla con norton ma con questo tipo di virus è efficace. Avete mai pensato a dei firewall? Anche lo fanno un ottimo lavoro eliminando gli allegati malevoli ( modelli più evoluti).
Poi backup sempre

mi pare che un paio di post fa' qualcuno si lamentasse del fatto che Norton non aveva rilevato nulla. a me 2 clienti sono rimasti fregati uno con F-Secure e uno con Trend Micro + Fortigate

Basta che installi una suite antivirus aziendale valida come il symantec endpoint. Mon è per menarla con norton ma con questo tipo di virus è efficace. Avete mai pensato a dei firewall? Anche lo fanno un ottimo lavoro eliminando gli allegati malevoli ( modelli più evoluti).
Poi backup sempre

outlook e gmail filtrano già in automatico il 99% di questi ransomware.
Se poi gli utenti a casa e al lavoro continuano a usare in maniera passiva client di posta improbabili e non protetti, la frittata è servita.

Come diavolo si fa a pensare di aver vinto 500€ di buono acquisto SENZA AVER FATTO NULLA. :muro:

non ti deve meravigliare, Einstein che diceva?......

outlook e gmail filtrano già in automatico il 99% di questi ransomware

non uso outlook, ma non mi risulta abbia un filtro antivirus. o nelle ultime versioni lo hanno aggiunto?

non uso outlook, ma non mi risulta abbia un filtro antivirus. o nelle ultime versioni lo hanno aggiunto?

non ho mai ricevuto una mail che fosse palesemente un fake nella "posta in arrivo", sono state tutte indirizzate in automatico verso "posta indesiderata"/"spam"

Quindi anche volendo, un utente non smaliziato, avrà molta difficoltà a causare danni al proprio pc. Se invece uno se le va a cercare, è un altro discorso.

eppure ho visto anche quello , farsi del male con la cartella SPAM

ormai quando configuro a qualcuno l'IMAP , non la metto tra le sottoscrizioni , così non si possono suicidare :asd:

non ho mai ricevuto una mail che fosse palesemente un fake nella "posta in arrivo", sono state tutte indirizzate in automatico verso "posta indesiderata"/"spam"

Quindi anche volendo, un utente non smaliziato, avrà molta difficoltà a causare danni al proprio pc. Se invece uno se le va a cercare, è un altro discorso.

ah vabbé, anche thunderbird ha la casella spam e filtra in automatico le mail, ma non è che le blocca esplicitamente

non ho mai ricevuto una mail che fosse palesemente un fake nella "posta in arrivo", sono state tutte indirizzate in automatico verso "posta indesiderata"/"spam"

Quindi anche volendo, un utente non smaliziato, avrà molta difficoltà a causare danni al proprio pc. Se invece uno se le va a cercare, è un altro discorso.
Mica thunderbird li filtra
Dipende dal gestore di mail. Gmail filtra bene , anche troppo ed elimina ogni allegato exe(anche quelli buoni)ma restano i link . Ma per dire alice no, manco virgilio su quelle caselle passa di tutto.

Le aziende poi che usano posta con dominio proprietario vai a pesca a chi si affidano per i filtri ...

Mica thunderbird li filtra...

e il filtro bayesiano e lo spam assassin allora che ci stanno a fare? :)


poi attualmente è veramente difficile far passare un exe , neanche zippato
i server di posta te lo buttano indietro

ed è bene così

e il filtro bayesiano e lo spam assassin allora che ci stanno a fare? :)


poi attualmente è veramente difficile far passare un exe , neanche zippato
i server di posta te lo buttano indietro

ed è bene così
Non ti so dire si vede che io li avevo disattivi . (sono 6 mesi che ho tolto thunderbird) ma su alice e virgilio mi arrivava lo spam con tutti gli allegati abbinati. Invece gmail no.

Cmq se fosse così facile , non penso che comuni , ospedali aziende e utenti qui sul forum sarebbeo stati contagiati con sto virus.

ma infatti il virus non è un EXE
arrivano script VBS o JS zippati ,che su mail serie non passano lo stesso te lo assicuro, poi se uno si ostina ad andare avanti con email.it...

se uno szippa e clicca, con chi se la deve prendere se non con se stesso e la sua ignoranza in materia?
e non ditemi che un utente medio non riesce distinguere un'estensione da un'altra

pare che il tempo per scrivere stronzate sui social , inviare foto , giochini e compagnia bella l'hanno imparato a fare anche gli over 60...

Questa mattina all'avvio di una VM con Win 7 x64 + MSE + Malwarebytes AntiRansomware beta 0.9.14.361 mi è apparso il seguente avviso:

http://i.imgur.com/NGCX6rZ.png

Messo in quarantena...in realtà poi aperta la consolle principale non c'è nulla.

Mah! :rolleyes:

anche perché quello è il processo di ottimizzazione del framework
ce lo abbiamo tutti

la polizia di stato dovrebbe aiutare i cittadini al recupero dei dati come se fosse un qualsiasi furto in proprieta privata, in questo caso si tratta difatti niente di diverso ossia di furto di beni digitali (sequestrati con ricatto)!!!!


ciao anch’io sono stato attaccato all’improvviso l’11 febbraio 2016 non so come, e gran parte dei files jpg-xls-odt-txt del pc (windows xp) sono stati bloccti con estensione mp3. ho tolto l’eseguibile-virus e tutti i file di istruzioni-ricatto, e ripristinato gran parte di tali file, tranne un un circa dieci per cento che ho messo da parte, per cui non ho piu un file originale e quello relativo criptato (in mp3) per fare il confronto euristico. spero che ci sia una soluzione per il recupero, ma le grandi aziende informatiche e lo stesso stato (polizia postale) dovrebbero aiutare i cittadini nel risolvere questi problemi che rappresentano una incursione penale e fornire strumenti per il reupero delle refurtiva (beni digitali rubati). ciao enzo

ho messo da parte tre file txt creati dal virus che contengono una serie di numeri forse la chiave pubblica sul mio sistema?

Ciao a tutti

Ho letto il thread e l'ho trovato molto interessante e soprattutto preoccupante.

Sicuramente ci sono comportamenti corretti da tenere per evitare le infezioni (non aprire certi allegati, tenere tutto aggiornato, ecc. ecc. come già ampiamente scritto).
Però anche così facendo non si è immuni dai rischi, tanto è vero che l'unico sistema veramente sicuro è quello spento...

Detto questo, mi sembra che anche gli stessi backup non siano esenti da possibili infezioni.
Io generalmente copio i miei dati su un hard disk esterno, che quindi risulta collegato solamente durante la copia.
Ma se il virus si attivasse proprio mentre sto facendo il backup?
Credo ahimé che anche i file sul disco esterno verrebbero cifrati.

Quindi come già scritto da qualcuno forse l'unica strada efficace è quella di usare due dischi esterni per il backup, in modo alternato.
Magari nei giorni dispari (o settimane, o mesi, a ciascuno la sua frequenza) si usa il disco 1, nei giorni pari il disco 2.

Cosa ne pensate?

Mi piacerebbe anche che i super esperti che hanno partecipato finora alla discussione postassero le operazioni da farsi sul proprio PC per renderlo il più sicuro possibile, in maniera semplice e concisa.

Grazie mille e buona giornata

l'infezione non è a timer

apri allegato ..BANG
visiti sito malevolo (e non hai plugin e browser aggiornati)... BANG

le infezioni che avvengono in modo indipendente dal nostro operato sono quelle che riguardano i problemi di sicurezza del sistema (ecco perchè le patch di protezione sono indispensabili)

ricordi il Sasser?

Quindi in teoria è sufficiente:
1) accendere il PC
2) verificare di non aver preso il virus e che i file non sono cifrati
3) collegare il disco esterno
4) eseguire il backup senza fare nient'altro (prima di prendere il virus proprio in quel momento!)
5) scollegare il disco

Speriamo solo che non facciano nascere versioni con il timer!

mi pare che il ransomware in questione non cifri subito tutto o almeno ci sono alcune versioni che si mettono in avvio automatico e lavorano nel momenti che si riaccende o riavvia il pc

se uno vuole essere sicuro al 100% di non corrompere i back-up dovrebbe fare:

- disconnessione da rete internet (cavo staccato o wifi disattivato)
- riavvio
- verifica che i file non siano criptati
- copia dei file su HDD esterno
- disconnessione dell'HDD esterno
- riavvio
- riconnessione

Ma mi sembra una procedura un po' paranoica... :mbe:

se uno vuole essere sicuro al 100% di non corrompere i back-up dovrebbe fare:

- disconnessione da rete internet (cavo staccato o wifi disattivato)
- riavvio
- verifica che i file non siano criptati
- copia dei file su HDD esterno
- disconnessione dell'HDD esterno
- riavvio
- riconnessione

Ma mi sembra una procedura un po' paranoica... :mbe:

Per i pc"normali " basta

1 o fare un backup su google drive da browser ( o dropbox) senza app installata.

2 usare 2 dischi usb spenti uno oggi uno domani ...

Per le reti si deve fare in modo che sia il server ad accedere ai dati dei client e non viceversa e salvarli conservando il lavoro degli ultimi gg.

Speriamo solo che non facciano nascere versioni con il timer!

La prima versione di cryptovirus da poco rilasciata "in the wild" per Mac OS X, denominata KeRanger, funziona esattamente così: il payload malevolo si attiva tre giorni dopo avere avviato per la prima volta il virus.

La prima versione di cryptovirus da poco rilasciata "in the wild" per Mac OS X, denominata KeRanger, funziona esattamente così: il payload malevolo si attiva tre giorni dopo avere attivato il virus.

Come volevasi dimostrare...

Ciao a tutti,

ho letto con attenzione questo thread perche' e' rilevante per me.
Ho un NAS casalingo per il backup di tutti i miei dati e qualcuno qui sopra scriveva che, se si monta l'unita' esterna tramite un account non amministratore, questi tipi di virus non sono efficaci.
1. E' vero? Vale la pena correre il rischio?
2. Se effettuo i backup tramite FTP sono al riparo da queste problematiche? Potrei montare la share del NAS in sola lettura in Windows e muovere i dati verso il NAS con un client come FileZilla. (e' veloce come un normale trasferimento via Windows o piu' lento per inefficienze del protocollo di rete?)
3. Devo adottare altri accorgimenti?

Grazie
Ciao