|
|
|
|
Strumenti |
29-03-2016, 15:12 | #1 | |||
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Ransomware: Prevenzione e Soluzioni
Ransomware: Prevenzione e Soluzioni Premessa Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta Cosa sono i ransomware? Una nuova tipologia di trojan\worm che si sta diffondendo nel mondo a macchia d'olio. Anche se l'archetipo è dell'inizio degli anni '90 non voglio tediare con una inutile storia sull'evoluzione dell'infezione e scrivo direttamente cosa sono e come operano al giorno d'oggi. Il nome dice tutto, il ransomware cripta i dati dell'utente con un forte algoritmo e chiede un riscatto ( ransom ) per la chiave di decriptazione Come operano i ransomware? Di ransomware ne esistono centinaia di versioni, da questo momento in poi chiamate "varianti" e non seguono una procedura definita. Di solito hanno una lista di file da colpire ( txt, doc, jpeg etc. ) per evitare di compromettere l'operatività del sistema operativo, evitano le cartelle dei Programmi e di Windows, usano un algoritmo sicuro come RSA o AES con chiavi a 4096-2048-256 bit che hanno come unico punto debole la sicurezza\lunghezza della chiave stessa. Il bruteforce, unico metodo possibile in caso l'algoritmo sia stato implementato correttamente e non ci siano falle nel codice, non è nemmeno considerabile visto che vengono utilizzate chiavi molto lunghe, sicure e generate casualmente a volte base all'hardware del PC, conservate solo sui server degli autori-diffusori del malware. Il ransomware può accedere solo a directory a cui ha l'accesso l'utente in scrittura, compresi percorsi di rete ed unità non mappate. Come faccio a sapere se sono infetto da un ransomware? L'utente non riesce ad accedere i file, nella maggior parte dei casi li trova rinominati con una doppia estensione, nelle cartelle trova dei file di testo-html-immagini con le istruzioni per il pagamento tramite bitcoin con dei nomi esplicativi, ad esempio i file contengono la parola "decrypt", "recover", "help", "unlock" o simili. Quindi se rinominare il file criptato non ha effetto ( esistono anche i finti ransomware quindi è giusto fare un tentativo del genere ) e la situazione ti sembra familiare, il tuo PC è stato infettato da un ransomware. Sono stato infettato da un ransomware, cosa devo fare? In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze del'esatto contrario. La seconda è che qui non riceverai supporto, puoi chiudere tranquillamente questa pagina e non proseguire con la lettura. Bisogna individuare come primo punto qual'è la variante che ti ha colpito. Se il file è stato rinominato controllare l'estensione, ad esempio file.txt.vvv Con una semplice verifica su un motore di ricerca puoi scoprire a quale variante corrisponde, nel caso di .vvv è TeslaCrypt 2.0. Come alternativa al motore di ricerca c'è il sito ID Ransomware. Se non riesci a trovare informazioni sull'estensione i casi sono due:
Una lista incompleta delle possibili varianti presa da un software ad uso strettamente privato si trova alla fine di questo thread Ora che sì è a conoscenza della variante, bisogna capire se è stata sconfitta e se per procedere alla decriptazione dei file è necessaria la presenza di determinati file/chiavi di registro sul PC. Anche in questo caso si può ricorrere ad un motore di ricerca oppure si può chiedere in questo thread. Cortesemente cercare nella discussione se è stata postata in precedenza una domanda simile e seguire le regole della discussione che si trovano alla fine di questo post. Nell'eventualità dovessi accorgerti dell'infezione mentre il malware ancora deve terminare la routine spegnere-riavviare immediatamente il PC per cercare di salvare più file possibile. A quel punto avviare il PC in modalità provvisoria ( i programmi in avvio, tramite chiave Run o Attività pianificata, sono inabilitati e quindi l'infezione non può auto-eseguirsi e peggiorare la condizione dei file ) oppure se preferite tentare di accedere con un live cd di Linux per verificare la situazione. Se è il ransomware stesso a forzare una BSOD in tal caso NON riavviare ma spegnere direttamente il PC. Lo stesso discorso vale in caso il ransoware cerchi di riavviare il PC, non lasciare che completi l'operazione ma spegnere il PC in modo forzato ad esempio staccando l'alimentazione. Quali varianti è possibile decriptare? Alcune varianti sconfitte, almeno le più famose, sono:
In caso la variante non sia stata sconfitta si può procedere in due modi:
Quote:
Quote:
Cosa posso tentare per recuperare i file? I tentativi che si posso fare sono:
Come rimuovere il ransomware? Dipende dalle varianti ma software come HitmanPro, Malwarebytes Anti-Malware e Online Scanner come ESET\Kaspersky sono un buon inizio. Una soluzione drastica ma sicura al 100% è una formattazione completa del PC, vi ricordo che i ransomware sono sempre un passo avanti rispetto ai produttori di AV. Ho rimosso il ransomware ma sul PC ho ancora dei file correlati, come precedere? Se l'infezione è stata rimossa ma sul PC sono ancora presenti i vari file di testo-html-immagini nelle cartelle relative al virus procedere in questo modo: Scaricare ed eseguire Old Files Manager. Come impostazioni selezionare il disco da scansionare, ad esempio C:\ con opzione "Includi sottocartelle", togliere le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca, aggiungere la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivere: Codice:
*nome_file*.html;*nome_file*.txt;*nome_file*.png N.B. In caso OFM non riesca a cancellare\spostare i file non è un problema del programma ma dipende dalla configurazione del vostro account, ad esempio dai permessi di scrittura della directory ( tasto destro --> Proprietà --> Sicurezza --> Avanzate ) Quali sono i principali veicoli di infezione? Sono principalmente due, email con phishing o finti allegati ( ad esempio fatture o rimborsi ) e exploit da siti compromessi, compresi ADS e banner, e nell'ultimo periodo anche il circuito .torrent soprattutto per il materiale illegale vedi RAUM . Considerati questi due fattori per prima cosa abilitare la visualizzazione delle estensioni ( Opzioni cartella --> Visualizzazione --> Nascondi le estensioni per i tipi di file conosciuti ) proprio perché i ransomware sono camuffati in allegato da altri file come i PDF. Quindi non aprire allegati sospetti, anche se il mittente sembra conosciuto, se si hanno delle incertezze leggere attentamente l'email che spesso ha errori ortografici. Aggiungere dei filtri al proprio software di gestione della posta per evitare allegati pericolosi come .exe .vbs .bat .js ( per quest'ultimo si può utilizzare NoScript della Symantec ) ad esempio alcuni provider come GMail hanno questa protezione già inclusa. In secondo luogo evitare siti "particolari" e se proprio si ha questa necessità utilizzare ambienti virtuali senza collegamento tra Host, il tuo PC, e Guest cioè l'ambiente virtualizzato ( Virtualbox, VMWare ) o sandbox ( ToolWiz TimeFreeze, Sandboxie ) in modo che anche in caso di infezione l'Host non verrà colpito. Un'alternativa può essere una qualsivoglia live di Linux. Come configurare il PC per evitare infezioni da ransomware? Scriverò un elenco di tutte le principali configurazioni da attuare:
¹AppLocker non è disponibile per tutte le edizioni di Windows. Se si possiede Windows 10 Enterprise o Education in aggiunta si consiglia Device Guard ² Flash e Java hanno spesso 0-day e falle quindi vi consiglio la rimozione. Per Flash in caso serva come alternativa c'è il plugin PepperFlash integrato in Chrome, per Java se si hanno particolari necessità ad esempio per l'esecuzione di un programma si può usare la versione portable. Una spiegazione d'uso corredata di esempio si trova a questo indirizzo ³ EMET al momento non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy vedi Application Lockdown with Software Restriction Policies. Inoltre viene dichiarato, per le versioni di Windows 10 Enterprise o Education, che: Quote:
Quali software utilizzare per evitare infezioni da ransomware? Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:
Vi consiglio di guardare le caratteristiche e decidere in piena autonomia Come configurare l'account standard? Un account standard non evita l'infezione quindi si può considerare "facoltativo" però è possibile agire sui permessi delle directory in modo che il virus non infetti cartelle a cui non ha accesso in scrittura. Dall'account amministratore tasto destro sulla directory --> Proprietà --> Sicurezza --> Avanzate. Se l'account amministratore non è proprietario della cartella cliccare su Cambia --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Applica --> OK Rietrare nella schermata tramite il pulsante Avanzate --> Cambia autorizzazioni ( se presente ). A questo punto se vogliamo agire per il singolo utente cliccare su Aggiungi --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Consenti\Nega in base alle proprie necessità ( ad esempio negare i soli permessi in scrittura ) così come per la voce "Applica a: La cartella selezionata, le sottocartelle e i file". Se invece volessimo applicare al gruppo e non al singolo utente la voce da modificare è "Users (NOME_ADMIN\Users)" --> Consenti\Nega in base alle proprie necessità. Vi ricordo che le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. Se non si vuole usare l'interfaccia grafica per evitare tutti i passaggi si può usare, tramite CMD elevato come amministratore, l'utility ICACLS Alcuni esempi: Codice:
ICACLS "X:\Cartella" /grant "NOME_UTENTE":(CI)(OI)RX ICACLS "X:\Cartella" /deny "NOME_UTENTE":(CI)(OI)W ICACLS "X:\Cartella" /deny Users:(CI)(OI)W (IO): inherit only RX (read and execute access) W (write-only access) La prima stringa autorizza ( /grant ) l'utente ad avere solo accesso di lettura ed esecuzione alla cartella La seconda stringa nega ( /deny ) l'utente i permessi di scrittura La terza stringa nega ( /deny ) a tutti gli utenti standard che fanno parte del gruppo "Users" i permessi di scrittura Anche in questo caso le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. La guida all'uso di Icacls per ogni informazione Perché il backup dei dati è così importante? Perché il ransomware non è l'unica minaccia ai tuoi preziosi file, sono tante le cause che possono farti perdere i dati. Un altro tipo di virus, un danno hardware all'HDD, uno sbalzo di corrente durante le fasi di copia sono sono alcune possibilità. Se ci tieni alle foto di famiglia, ai tuoi documenti, ai tuoi ricordi fai una o più copie di backup su HDD esterni Come posso scrivere\contribuire alla discussione? Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte: Variante: Sistema Operativo: Antivirus: Livello UAC: Anti-Ransomware e/o Criteri di gruppo: Veicolo di infezione: Provider di posta: Macro di Office: Ad-Block: Flash: Java: Esempio: Codice:
Variante: .vvv - Teslacrypt 2.0 Sistema Operativo: Windows 7 Professional 64 Bit Antivirus: Microsoft Security Essential Livello UAC: Attivo - Standard Anti-Ransomware e/o Criteri di gruppo: No Veicolo di infezione: Allegato infetto Provider di posta: Libero Macro di Office: Si Ad-Block: Si Flash: Si Java: No Se non usi il modello non riceverai supporto per le tue domande, è necessario per capire la situazione di base del tuo PC al momento dell'infezione. Esempi di estensioni utilizzate dai Ransomware Codice:
[CryptoSaver] Date=29/03/2016 Ext=UNDETECTED Path=C:\ [UnkwnowExts] 001=.1999 002=.33t 003=.0x0 004=.aaa 005=.abc 006=.biz 007=.cry 008=.ccc 009=.ecc 010=.enc 011=.etc 012=.exx 013=.ezz 014=.fff 015=.ha3 016=.net 017=.org 018=.r5a 019=.rdm 020=.rrk 021=.ttt 022=.vvv 023=.k2v 024=.xxx 025=.xyz 026=.zzz 027=.me 028=.it 029=.lv 030=.ctbl 031=.ctb2 032=.cpyt 033=.crinf 034=.crypt 035=.crypto 036=.eclr 037=.fuck 038=.good 039=.guru 040=.hb15 041=.locky 042=.micro 043=.magic 044=.pzdc 045=.rack 046=.trun 047=.sport 048=.vault 049=.xtbl 050=.ytbl 051=.xrnt 052=.amba 053=.aes256 054=.bleep 055=.bloked 056=.bitcryp1 057=.bitcryp2 058=.crypted 059=.crjoker 060=.cerber 061=.coverton 062=.cryptolocker 063=.darkness 064=.decbak 065=.encedrsa 066=.encrypted 067=.enciphered 068=.frtrss 069=.rokku 070=.him0m 071=.omg! 072=.lol! 073=.kraken 074=.locked 075=.lechiffre 076=.nochance 077=.73i87a 078=.oshit 079=.obleep 080=.poAr2w 081=.p5tkjw 082=.plague17 083=.sshxkej 084=.sanction 085=.surprise 086=.supercrypt 087=.toxcrypt 088=.keybtc* 089=.r16m01d05 090=.encryptedrsa 091=.better_call_saul 092=.hydracrypt_ID_* 093=.umbrecrypt_ID_* 094=.{cryptendblackdc} [DoubleExts] 001=.mp3 002=.com [Filename] 001=_crypt 002=.id- [Header] 001=0:8:0x21444D414C4F434B 002=0:8:0x41424358595A3131
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 05-02-2022 alle 10:48. |
|||
30-03-2016, 09:25 | #2 |
Senior Member
Iscritto dal: Oct 2003
Città: TV
Messaggi: 10641
|
grazie, qualche news ransomware-as-a-service...
http://www.lastampa.it/2016/03/30/it...CJ/pagina.html
__________________
cagnaluia MTB|DH|Running|Diving Eos1DX|16-35f4Lis|35f1.4L|100f2|300F4LIS |
30-03-2016, 10:14 | #3 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.
Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table ) infettando l'MBR Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 30-03-2016 alle 10:20. |
30-03-2016, 10:38 | #4 |
Senior Member
Iscritto dal: Feb 2003
Città: Mo<->Bo
Messaggi: 41822
|
Ringrazio delle preziose informazioni fornite !
|
30-03-2016, 10:47 | #5 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
La tecnologia 'reputazionale' messa in campo da Windows 10 per arginare il problema relativo all'incauta esecuzione di un file:
Il problema, anche in questo caso, è che il blocco è facilmente aggirabile per cui se si è 'ostinati' si riuscirà ad eseguire il file a dispetto di qualsiasi allarme... |
30-03-2016, 11:31 | #6 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
Quote:
bon a parte che se hai un backup dei file sei a cavallo a priori |
|
30-03-2016, 11:38 | #7 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
Quote:
|
|
30-03-2016, 12:34 | #8 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Chi è che ha un backup completo della Master File Table? Considera pure che in una situazione standard esiste già un backup ma solo parziale della tabella ( MFTMirr ) che immagino venga comunque eliminata dal ransomware.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
30-03-2016, 13:10 | #9 |
Senior Member
Iscritto dal: Oct 2007
Città: Montecchio Emilia - MASSA
Messaggi: 300
|
Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux
Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati? Ho tutti i file con estensione .locky Se riuscite a darmi una mano/consiglio etc..anche in pm.. Grazie in anticipo
__________________
Ho concluso positivamente con: Cesare Renzi , sbronf , Lupin XXVII , spapparo82 , battalion75 , alemax505 , CaccamoJ, imperiial,JakobDylan Ultima modifica di marco0209 : 30-03-2016 alle 13:13. |
30-03-2016, 13:58 | #10 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
Quote:
https://www.qnap.com/i/it/product/mo...II=131&event=3 non vorrei dire una castronata (forse la dirò) ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy? |
|
30-03-2016, 14:06 | #11 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
Quote:
comunque ho visto in giro un programma che permette un backup del mft Handy Backup is capable of performing MFT backup separately. This approach greatly saves time, if dealing with the case of only Master File Table being damaged (and not the whole disk). LO UAC al massimo impedisce modifiche al MBR?
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 30-03-2016 alle 14:32. |
|
30-03-2016, 15:06 | #12 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Le modifiche all'MBR richiedono diritti amministrativi quindi sì il prompt UAC appare e se è al massimo come consigliato non può essere bypassato da particolari procedure.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
30-03-2016, 16:01 | #13 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
Quote:
rilasciato Bitdefender Anti-Ransomware http://www.ghacks.net/2016/03/29/bit...ti-ransomware/ però non spiegano bene con quale meccanismo blocchino i vari ransomware |
|
30-03-2016, 16:19 | #14 |
Senior Member
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22136
|
iscritto
tnx x_Master_x per il 3D subito una domanda condividi con noi questo? http://www.hwupgrade.it/forum/showpo...&postcount=779 Ultima modifica di Paky : 30-03-2016 alle 16:34. |
30-03-2016, 16:36 | #15 | |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 22093
|
Iscritto!
Quote:
Mi accodo a Paky e la sua richiesta! Grazie per le informazioni che vorrai condividere, x_Master_x Ultima modifica di giovanni69 : 30-03-2016 alle 16:39. |
|
30-03-2016, 16:55 | #16 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
Quote:
bisogna lanciarlo a mano e richiede i permessi di amministratore il che francamente è assurdo, se devi far usare account standard per evitare manomissioni del sistema che fai? dai a tizio e caio la password di un amministratore per farlo partire?
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 30-03-2016 alle 16:59. |
|
30-03-2016, 17:08 | #17 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Unax,
Bitdefender Anti-Ransomware era già presente nella lista dei software. Almeno voi "frequentatori" leggetelo il primo post nella sua interezza Paky e giovanni69, Non riesco a stare dietro ad una release pubblica di un QUARTO programma, soprattutto di uno che deve essere aggiornato costantemente vista l'evoluzione continua dei ransomware. Mi dispiace ma devo rifiutare, di alternative gratuite ne esistono e ne esisteranno in ogni caso quindi non è in fondo una grande perdita.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
30-03-2016, 17:18 | #18 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6040
|
quando io ho letto la lista ce ne erano 3
|
30-03-2016, 17:22 | #19 |
Senior Member
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22136
|
|
30-03-2016, 17:37 | #20 | |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 22093
|
Quote:
Che alternative gratuite esistono in grado di verificare se esistono file criptati? Il tuo programma sembrava in grado di lavorare anche in questo senso con la lista estensioni. E non trovo nulla in tal senso in giro. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:06.