Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/fantom-il-ransomware-si-traveste-da-windows-update-e-cripta-i-file_64206.html

Fantom è il nome del cryptovirus che si mimetizza sotto una falsa schermata di Windows Update: mentre l'utente crede che il servizio di Microsoft stia aggiornando il sistema, il ransomware cripta i file chiedendo un riscatto per renderli nuovamente accessibili.

Click sul link per visualizzare la notizia.

Schermate verosimili, nomi un minimo azzeccati e si va a truffare l'utente sprovveduto.

Finche non si installerà automaticamente solo aprendo un'e-mail(senza cliccare nulla) o solo visualizzando un sito internet, verrà eseguito dalle stesse persone che cliccano su "sei il milionesimo visitatore".
Sempre più convinto che un corso di internet sia da inserire tra le materie scolastiche di base

ma per difendersi da 'sta roba?
basta non scaricare da siti strani oppure sfrutta un exploit in remoto?
se ho il windows defender aggiornato è sufficiente?

Gli antivirus non possono nulla contro un esplicito consenso da parte dell'utente.

L'unico modo per difendersi è collegare il cervello prima di dire "ok esegui" a qualunque cosa venga fuori a video.

Ho personalmente subito infezione da cryptolocker e posso affermare che non sono necessariamente semplici da intercettare. Il virus è stato scaricato e installato da un altro malware, a sua volta acquisito con la semplice navigazione su browser, per poi installarsi al primo riavvio del PC il giorno successivo. La vera novità è che questi malware sono in grado di rendere inaccessibili dati su dischi perfettamente integri, indipendentemente dal buon funzionamento del sistema operativo. La prima contromisura è una copia/immagine di backup su disco esterno scollegato dal PC. La seconda contromisura é l'installazione della beta di Malwarebytes-Antiransonware, che blocca direttamente il codice del ransomware in fase di criptaggio.

C'è da aggiungere che questi malware sono perfettamente in grado di far danni su computer non infetti dal momento in cui i propri dati sono condivisi su una rete locale o su un server. Purtroppo ha già sentito di 3 casi di infezione tra amici e conoscenti. La consapevolezza dell'esistenza di questo virus è servita a prevenire danni nell'ultimo caso (arrestando tutti i PC della rete e procedendo alla verifica di ogni singolo PC, contenendo così l'infezione ad un solo PC, ripulito e ripristinato in breve termine).

Ovviamente proprio come gli aggiornamenti di Windows 10 si installa automaticamente all'insaputa dell'utente senza che l'utente faccia niente :D

Se avessi disattivato gli aggiornamenti e poi vedrei una schermata di aggiornamento qualche sospetto mi verrebbe.. Ma comunque ormai sarebbe troppo tardi.

Meno male che ho windows7 e l'aggiornamento COMPLETAMENTE automatico disabilitato: me lo scelgo io cosa aggiornare e quando farlo..

Di certo se mi si aprisse la schermata di aggiornamento di Windows 10.. qualche sospetto che qualcosa non va mi verrebbe :D

oggi una mia collega sprovveduta ha ricevuto una mail proveniente da comunicazioni@ staff.aruba.it di una presunta fattura, c'era un allegato .zip contenente un file fatturaXXX.pdf.exe che ovviamente ha lanciato :muro: Si è aperta una finestra che sembrava quella di Windows update (le pop up che chiede di lanciare l'aggiornamento per intenderci) ma vedendo che l'allegato non si apriva mi ha chiamato, ho subito chiuso sta finestra, guardato che l'allegato era "zaffo" e li via a cagarmi in mano...
Fortunatamente sembra che non sia partito il criptaggio, questa stessa collega si è beccata nello stesso identico modo a LUGLIO un ramsonware perdendo 1 anno di lavoro, purtroppo contro l'ignoranza informatica non c'è rimedio...

questa stessa collega si è beccata nello stesso identico modo a LUGLIO un ramsonware perdendo 1 anno di lavoro, purtroppo contro l'ignoranza informatica non c'è rimedio...

io l'ho sempre detto che perseverare non è diabolico...
è semplicemente da idioti :asd:

Non ci sono cazzi....I backup, possibilmente incrementali e su dischi esterni che vengono poi scollegati, diventano sempre più importanti da fare.

io l'ho sempre detto che perseverare non è diabolico...
è semplicemente da idioti :asd:
guarda non mi sono incazzato più di tanto, la collega in questione è un'animella classe '50 che ha scoperto che le finestre di windows (LE FINESTRE) si possono spostare grazie a me, prima o le chiudeva o le riduceva a icona...e ho detto tutto :(
Non ci sono cazzi....I backup, possibilmente incrementali e su dischi esterni che vengono poi scollegati, diventano sempre più importanti da fare.

assolutamente, difatti dopo il cryptolocker preso a luglio abbiamo attrezzato copie di backup giornaliere per i pc (con operatori) a rischio via ftp su NAS con COBIAN (ottimo software che consiglio).

spero che qualcuno faccia soffrire questi omuncoli.

Il virus è stato scaricato e installato da un altro malware, a sua volta acquisito con la semplice navigazione su browser
Per questo è importante impostare UAC al massimo livello, non a default, e usare browser che hanno una sandbox come Edge, IE11, Chrome che impediscono a un eventuale exe di poter essere eseguito automaticamente con privilegi uguali o maggiori dell'utente connesso. Firefox ad esempio NON ha ancora una modalità protetta ed è sconsigliabile perché i frequenti update non sono sufficienti a garantire copertura contro malware sconosciuto che potrebbe essere lanciato con gli stessi privilegi dell'utente collegato.
Oltre a questa difesa c'è solo l'utente e il buon senso.

-

Il virus è stato scaricato e installato da un altro malware, a sua volta acquisito con la semplice navigazione su browser, per poi installarsi al primo riavvio del PC il giorno successivo.

Se questo è vero, e io non ne dubito, non basta più limitarsi al solito, vecchio consiglio: "NON CLICCATE A VANVERA SU TUTTO". L'unica difesa, come ha detto qualcun altro, è fare abitualmente il backup, o un'immagine del disco, su un disco esterno da collegare solo al momento del backup. Seconda cosa: poiché non sono un super-esperto, mi piacerebbe sapere se esistono virus o simili che si installano aprendo semplicemente una mail, cioè SENZA APRIRE EVENTUALI ALLEGATI. Credo di no, ma mi piacerebbe avere una conferma da chi se ne intende più di me. Grazie.

ho windows update disattivato da anni, gli update li faccio solo con software esterni manualmenteHo personalmente subito infezione da cryptolocker e posso affermare che non sono necessariamente semplici da intercettare. Il virus è stato scaricato e installato da un altro malware, a sua volta acquisito con la semplice navigazione su browser, per poi installarsi al primo riavvio del PC il giorno successivo.non hai dovuto cliccare su niente?
com'era settato il browser?
e l'UAC?

Perlomeno mi sarebbe sembrato parecchio strano che all`improvviso appaia una schermata con l`invito ad attualizzare e se questo invito viene dal browser allora é un evidente falso.

Il problema è anche l'enorme ignoranza di certi utenti. Già impostate su Windows 'mostra l'estensione dei file' e distinguere un documento da un eseguibile è qualcosa, ma c'è gente che neanche prova a capire ed è allucinante che questo livello di ignoranza sia accettato.

Come se fosse normale guidare l'auto o il camion senza avere cognizione del codice della strada e ogni tanto guida sulla sinistra o passare col rosso, così, tanto per cambiare. Ma un camionista tuo sottoposto che guida contromano lo tieni o lo licenzi? Se non lo licenzi è perché il tuo livello di ritardo mentale è pari o superiore al suo e tu per primo dovresti essere eliminato.

Del resto se c'è riuscita MS a fregarli con il pulsante x, vuoi che non ci riescano questi cyber criminali? :D

aggirare il pulsante X è stata una discreta impresa :O :sofico:

Del resto se c'è riuscita MS a fregarli con il pulsante x, vuoi che non ci riescano questi cyber criminali? :D

Sono entrato qui solo per leggere la stronzata che scrivevi, non mi hai deluso..questa è persino più divertente di quelle che dici di solito.

I travasi di bile, anche quando di di mezzo ci sono solo semplici battute, a quanto pare non mancano mai....:asd:

:cool:

Così come c'è l'opzione "Esegui come Amministratore" basterebbe che ci fosse anche "Esegui come file non sicuro".

Il problema è anche l'enorme ignoranza di certi utenti. Già impostate su Windows 'mostra l'estensione dei file' e distinguere un documento da un eseguibile è qualcosa, ma c'è gente che neanche prova a capire ed è allucinante che questo livello di ignoranza sia accettato.

Come se fosse normale guidare l'auto o il camion senza avere cognizione del codice della strada e ogni tanto guida sulla sinistra o passare col rosso, così, tanto per cambiare. Ma un camionista tuo sottoposto che guida contromano lo tieni o lo licenzi? Se non lo licenzi è perché il tuo livello di ritardo mentale è pari o superiore al suo e tu per primo dovresti essere eliminato.

Quoto al 100% :D

Sono entrato qui solo per leggere la stronzata che scrivevi, non mi hai deluso..questa è persino più divertente di quelle che dici di solito.
Ma si, si scherza, e poi è sempre divertente sfottere i sacerdoti di MS Windows :D :Prrr: sarai mica tra quelli fregati... :rotfl: :rotfl:

:asd: :asd:

Ma si, si scherza, e poi è sempre divertente sfottere i sacerdoti di MS Windows :D :Prrr: sarai mica tra quelli fregati... :rotfl: :rotfl:

Ma figurati, ormai gli sfottò viaggiano alla velocità della luce....

Una sola cosa, te la pago a peso d'oro, hai mica un insetticida per un insetto fastidiosissimo che si aggira su sto forum? ...hanno provato a schiacciarlo varie volte in tutti i modi, ma torna sempre :asd:

Sempre riguardo ai browser sottolineo che purtroppo molte applicazioni (una a caso: GPUz, ma è solo un esempio valido per tante altre) essendo eseguite con diritti da admin rischiano di aprire link (se il browser non era stato già avviato) con diritti da admin. Questo significa che il malcapitato e distratto utente, ignaro, magari continuerà a navigare con quel browser aperto da GPUz con diritti elevati... vi lascio immaginare le nefaste conseguenze.

Purtroppo è un prob di design di Windows stesso, e una mancanza di accortezza dei programmatori delle applicazioni, ma che può portare a ENORMI disastri, anche per utenti più esperti, solo leggermente distratti....

EDIT: non sono il solo ad aver notato il rischio: http://superuser.com/questions/472082/prevent-specific-applications-from-being-run-as-administrator

Terminata la fase della crittografia, Fantom genera una chiave AES-128
Penso che la chiave venga generata PRIMA, e poi usata per crittografare il disco.

Scusate l'ignoranza, giusto per chiarirmi una cosa.
Questo malware è in grado di autolanciarsi su una macchina settata per gli aggiornamenti automatici oppure deve comunque essere l'utente a dare l'ok per l'update e così facendo avviare l'installazione del virus?
E a questo dubbio ne segue ovviamente un altro: posto che si cambi il settaggio per gli aggiornamenti di sistema, un normale "utente finale" da cosa può capire di non avere davanti una reale schermata di proposta aggiornamenti ma piuttosto quella simulata dal malware?
Grazie mille a chiunque vorrà aiutarmi

Penso proprio che il problema non sia di windows che scambia il malware per un update di windows stesso, ma il malware che inganna l'utente per farsi passare come un update di windows (tipo i più classici: il tuo pc è infetto, fai iniziare la scansione presso il sito malwarepertuttiigusti.com).
Solitamente leggendo bene ci sono traduzioni errate (soprattutto in lingue "minori" come la nostra) o un update in inglese su un os in italiano. Generalmente un utente che sa che windows ha una certa interfaccia e un certo modus operandi per gli aggiornamenti non ci crede. Un utente meno esperto può cadere in trappola.
Non è una falla di sicurezza, è ingegneria sociale

una volta ho preso un cryptolocker su android, stavo usando chrome semplicemente navigando, sono riuscito a batterlo di 3-4 secondi prima che si caricava , andando nelle impostazioni di ripristino fabbrica

avevo solo i numeri da ricaricare dalla sim fortunatamente