Ransom32, il ransomware che si finge Chrome, chiede soldi e spaventa l'Italia

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...lia_60314.html

Gli italiani si sono mostrati fra i più sensibili e i più colpiti dal nuovo ransomware che prende in ostaggio tutti i file sensibili di un sistema richiedendo un riscatto

Click sul link per visualizzare la notizia.

[TheMonzOne]

In azienda stiamo ricevendo molte mail contraffatte ed infette e, purtroppo, nonostante i nostri ripetuti avvisi, due dipendenti ci sono anche cascati e si sono beccati Cryptoloker (o magari era già questo). Fortunatamente sono stati infettati due portatili e l'attacco è avvenuto mentre erano fuori dall'azienda, quindi ci siamo salvati. Il fenomeno effettivamente si è molto accentuato a partire dallo scorso periodo natalizio.
Continuano ad arrivare mail con allegati Word con scritto che si tratta di fatture per alcuni pagamenti effettuati, ovviamente finti. Il solo fatto che ti venga mandata una fattura in formato word dovrebbe un minimo farti pensare ma di utonti, si sa, è pieno il mondo.
Per non parlare di quante mail con allegati eseguibili arrivano, quelle vengono tutte bloccate dal sistema anti-spam, ma si parla di decine e decine di mail al giorno.

[Notturnia]

confermo quanto detto da TheMonzOne .. lunedì ne sono arrivate 8 una in fila all'altra.. fortunatamente tutte segnalate come spam e con allegato rimosso..
la cosa inizia ad assumere dimensioni preoccupanti..

[Er Monnezza]

ce n'è sempre una nuova

ultimamente vedo che circolano parecchio anche delle finte mail di Equitalia scritte in un Italiano sgrammaticato e con allegati sospetti

occhio

[HSH]

se non ricordo male colpisce anche i files nelle unità di rete mappate?
devo ricordarmi di smappare l'unità di bkp del nas a casa che non si sa mai

[Frinck]

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..

[PsychoWood]

Quote:

Originariamente inviato da Er Monnezza

circolano parecchio anche delle finte mail di Equitalia scritte in un Italiano sgrammaticato e con allegati sospetti

Pensavo fosse la prova che sono autentiche...

[themac]

Quasi tutti i contagiati che ho visto non usavano Gmail.
E poi c'e' il problema dei filtri delle caselle postali corporate. Alcuni sono molto carenti (sopratutto per le piccole e medie aziende).

Le vostre esperienze sono concordi alle mie ?

TheMac

[LASCO]

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

[Frate]

Quote:

Originariamente inviato da Frinck

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..

lavoro in azienda con altre 10 persone, è un lavoro amministrativo con utilizzo massico del pc; sono quello che di gran lunga ne sa di più in ambito informatico, ma ti garantisco che i miei colleghi e colleghe non sono ritardati, anzi lavoro con gente veramente in gamba e potrei essere considerato tranquillamente l'ultima ruota del carro

[Er Monnezza]

Quote:

Originariamente inviato da PsychoWood

Pensavo fosse la prova che sono autentiche...

potrebbe essere

[Er Monnezza]

Quote:

Originariamente inviato da LASCO

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

immagino che succeda aprendo l'allegato (se è un EXE) o se si tratta di un file compresso, estraendo ed eseguendo il contenuto

[TheMonzOne]

Devo correggermi, anche un altro dei nostri dipendenti si era preso il cryptoloker, però sul desktop personale a casa. E' stato il precursore qualche mese fa .

Esterni all'azienda ho visto solo altri due casi, uno l'anno scorso e uno un paio di anni fa, se non 3, quindi una delle prime versioni di Cryptoloker.
Ai tempi poi era ancora "aggirabile" tramite le shadow copy di windows, ora non ce la si fa più.

Quote:

Originariamente inviato da LASCO

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

Quote:

Originariamente inviato da Er Monnezza

immagino che succeda aprendo l'allegato (se è un EXE) o se si tratta di un file compresso, estraendo ed eseguendo il contenuto

C'è scritto nell'articolo:
"Un'altra delle peculiarità del malware è che si traveste da Chrome per passare inosservato agli occhi degli utenti. Ransom32 viene consegnato sotto forma di un file compresso con estensione RAR che si auto-estrae creando un collegamento nella cartella di Avvio automatico con il nome "ChromeService". In questo modo Ransom32 viene eseguito ad ogni avvio, chiedendo un riscatto in Bitcoin per riottenere l'uso di tutti i file, i quali vengono protetti con una chiave crittografica che l'utente non può sapere."

[Cooperdale]

Quote:

Originariamente inviato da HSH

se non ricordo male colpisce anche i files nelle unità di rete mappate?
devo ricordarmi di smappare l'unità di bkp del nas a casa che non si sa mai

Attenzione perché alcune varianti vanno anche a cercare le condivisioni di rete e se sono "aperte" cercano di infettare anche quelle non mappate.

Io ho smesso di memorizzare le credenziali di rete per le cartelle su cui eseguo i backup, le faccio memorizzare solo ai software di backup. In questo modo il sistema operativo non ha accesso diretto alle cartelle e il ransomware non le può "visitare".

Comunque effettivamente ho visto un'impennata, nel 2016 già 3 clienti infettati.

[maxsy]

Quote:

Originariamente inviato da Cooperdale

Attenzione perché alcune varianti vanno anche a cercare le condivisioni di rete e se sono "aperte" cercano di infettare anche quelle non mappate.

Io ho smesso di memorizzare le credenziali di rete per le cartelle su cui eseguo i backup, le faccio memorizzare solo ai software di backup. In questo modo il sistema operativo non ha accesso diretto alle cartelle e il ransomware non le può "visitare".

Comunque effettivamente ho visto un'impennata, nel 2016 già 3 clienti infettati.

già, come previsto nel 2016 il fenomeno crescerà.


https://www.achab.it/achab.cfm/it/bl...e-per-fermarli

[Er Monnezza]

queste cose però succedono se si va a navigare senza criterio in chissà quali siti e usando un browser privo di Adblock, Ublock e simili

[Cloud76]

Quote:

Il malware viene offerto ... in qualità di "ransomware-as-a-service"

mi sembra di aver già sentito una frase del genere....

Confermo anche per quanto mi riguarda, a livello personale, un aumento esponenziale delle mail che arrivano oltre che dalle solite finte banche o gestori di servizi che richiedono l'accesso con le credenziali ad un link in allegato, ultimamente invece anche molte mail con fantomatiche fatture o documenti importanti che avrei richiesto ecc ecc.
Ormai è un supplizio.

Quote:

Originariamente inviato da Er Monnezza

queste cose però succedono se si va a navigare senza criterio in chissà quali siti e usando un browser privo di Adblock, Ublock e simili

Fosse solo quello, il problema più grave è proprio lo spam secondo me... a cui molti ci cascano. E ublock e simili non fermano i ransomware durante la navigazione.

[battilei]

Quote:

Originariamente inviato da Frinck

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..

LOL
Poi capita che in qualche posto c'è uno capace, e invece del sistema operativo più famoso del mondo, ci installa un altro sistema operativo degno di questo nome, che non nomino per non scatenare gli squadristi della sezione
E così i "ritardati" che lavorano in azienda, possono cliccare dove caxxo vogliono, che non possono fare danni
E io mi faccio delle risate quando leggo queste news

Quote:

Il malware viene offerto ... in qualità di "ransomware-as-a-service"

e il sistema operativo viene offerto... in qualità di "colabrodo-as-a-service"

[fracama87]

Confermo che con gmail non arriva quasi niente... 2-3 mail in tutto sono passate (poste italiane o roba simile) è vero che ogni tanto capita che qualche mail finisca nello spam quando non dovrebbe.

Quote:

Originariamente inviato da TheMonzOne

In azienda stiamo ricevendo molte mail contraffatte ed infette e, purtroppo, nonostante i nostri ripetuti avvisi, due dipendenti ci sono anche cascati e si sono beccati Cryptoloker (o magari era già questo). Fortunatamente sono stati infettati due portatili e l'attacco è avvenuto mentre erano fuori dall'azienda, quindi ci siamo salvati. Il fenomeno effettivamente si è molto accentuato a partire dallo scorso periodo natalizio.
Continuano ad arrivare mail con allegati Word con scritto che si tratta di fatture per alcuni pagamenti effettuati, ovviamente finti. Il solo fatto che ti venga mandata una fattura in formato word dovrebbe un minimo farti pensare ma di utonti, si sa, è pieno il mondo.
Per non parlare di quante mail con allegati eseguibili arrivano, quelle vengono tutte bloccate dal sistema anti-spam, ma si parla di decine e decine di mail al giorno.

Non utilizzando outlook ma client web mi chiedo: è possibile visualizzare l'estensione prima di scaricare l'allegato?
Inoltre non dovrebbe bastare che i dipendenti non usino un utente admin (o su w7 o più recenti abilitare lo uac)? lo so che in molte aziende sono restii a queste politiche ma visto il crescere di questi casi...
Comunque forse dovrebbe essere necessario istruire i dipendenti a determinate best pratices di sicurezza...

Lo chiedo per capire in quanto sono molto interessato al tema (mi sono anche guardato il webinar achab )

Infine mi chiedo: come mai, visti i noti casi (da sempre...) di virus .exe che si mascherano da .doc o .pdf, Microsoft continui a impostare come predefinito che le estensioni conosciute sono note.... Io lo so ed è la prima cosa che modifico ogni volta su un mio pc o di qualche amico, ma non sono in molti a farlo...

[HSH]

chissà se aver tolto i diritti di amministrazione ai miei utenti è servito a qualcosa....