Ransomware, 10 mosse per proteggersi

[AUTOMAN]

Confermo che anche io su un notebook nuovo appena consegnato di un cliente (con Win 8.1)presi il cryptolocker solo visitando due siti tecnici per cercare info su un batch sql. Il pc era nuovo appena configurato e l'antivirus era il defender integrato, ma vi assicuro che non ho lanciato nessun eseguibile e per la cronaca mi ha sfagianato i preziosi dati che avevo dentro la chiavetta usb che avevo lasciato collegata...

[Cooperdale]

Una delle strategie migliori è usare un Nas (o altro dispositivo in rete) con cartelle condivise protette da password e accessibili solo dal software di backup. In questo modo Windows non ha accesso alle cartelle di backup e il ransomware non ha alcuna via per raggiungerle. Allo stesso tempo questo approccio diminuisce la necessità di intervento umano (ovvero, non serve un essere umano che colleghi e scolleghi l'unità di backup).

Altra possibilità è usare uno script che colleghi e scolleghi l'unità di backup (connessa via USB). Meno sicuro, comunque.

In ogni caso la cosa da evitare per chi lavora nell'IT è lasciare al cliente l'incombenza di collegare e scollegare l'unità di backup, perché nel 99% dei casi non lo farà, per poi incolpare il tecnico a frittata servita.

[giovanni69]

Quote:

Originariamente inviato da Cooperdale

Una delle strategie migliori è usare un Nas (o altro dispositivo in rete) con cartelle condivise protette da password e accessibili solo dal software di backup. In questo modo Windows non ha accesso alle cartelle di backup e il ransomware non ha alcuna via per raggiungerle. ...cut..

Quello che scrivi non è simile ad affermare che il ransomware non sarebbe in grado di accedere a volumi non mappati quando invece potrebbero essere in grado di scrivere un giorno anche senza mappatura?

[adapter]

Quote:

Originariamente inviato da AUTOMAN

Confermo che anche io su un notebook nuovo appena consegnato di un cliente (con Win 8.1)presi il cryptolocker solo visitando due siti tecnici per cercare info su un batch sql. Il pc era nuovo appena configurato e l'antivirus era il defender integrato, ma vi assicuro che non ho lanciato nessun eseguibile e per la cronaca mi ha sfagianato i preziosi dati che avevo dentro la chiavetta usb che avevo lasciato collegata...

Urka..Poi tu sei iscritto dal 1999 quindi non sei certamente un pivellino alle prime armi.
Speriamo che non ti legge il Pier, l'unico convinto che "basta windows defender"..

Quote:

Originariamente inviato da Cooperdale

Una delle strategie migliori è usare un Nas (o altro dispositivo in rete) con cartelle condivise protette da password e accessibili solo dal software di backup. In questo modo Windows non ha accesso alle cartelle di backup e il ransomware non ha alcuna via per raggiungerle. Allo stesso tempo questo approccio diminuisce la necessità di intervento umano (ovvero, non serve un essere umano che colleghi e scolleghi l'unità di backup).

Altra possibilità è usare uno script che colleghi e scolleghi l'unità di backup (connessa via USB). Meno sicuro, comunque.

In ogni caso la cosa da evitare per chi lavora nell'IT è lasciare al cliente l'incombenza di collegare e scollegare l'unità di backup, perché nel 99% dei casi non lo farà, per poi incolpare il tecnico a frittata servita.

QUOTO!

[Cooperdale]

Quote:

Originariamente inviato da giovanni69

Quello che scrivi non è simile ad affermare che il ransomware non sarebbe in grado di accedere a volumi non mappati quando invece potrebbero essere in grado di scrivere un giorno anche senza mappatura?

Se per volumi non mappati intendi risorse di rete alle quali non è associata una lettera, se il sistema operativo ha accesso a una cartella condivisa lo avrà comunque anche il virus, che la cartella sia mappata o no. Un disco non mappato non è facilmente accessibile, ma esistono modi per accedere ai file, alcune utility lo fanno quindi potrebbe farlo anche un ransomware.

Invece se il sistema operativo non ha accesso a una risorsa (per esempio una cartella condivisa ma protetta da password NON memorizzata dal sistema operativo e non immessa dall'utente nella sessione in corso) non potrà averlo neanche il ransomware.

Quindi se tu dai la password ad un software di backup (che ovviamente, lo fanno tutti, la conserverà in versione criptata) e non accedi mai alla risorsa di rete da sistema operativo, né mai memorizzi le credenziali di accesso, un ransomware non avrà alcuna possibilità di infettare il backup.

Diverso è il discorso dei file, chiaramente se non ci si accorge dell'infezione i file criptati potrebbero essere copiati nel dispositivo di backup. È buona norma avere più dispositivi di backup, con backup giornalieri distinti, e non effettuare sincronizzazioni.

La sincronizzazione e il backup sono due cose diverse. Un backup non cancella subito i file che sono spariti dalla sorgente. Una possibilità per non sovraccaricare la destinazione è configurare il backup in modo che i file cancellati dalla sorgente vengano eliminati dalla destinazione solo dopo una settimana o un mese.

[maldepanza]

Quote:

Originariamente inviato da adapter

Speriamo che non ti legge il Pier, l'unico convinto che "basta windows defender"..

Non so chi sia Pier ma cmq ha ragione da vendere visto che te la cavi pure senza windows defender usando accorgimenti non nuovi e consigliati da tanto tempo.

Ovviamente, cosa che I principianti ancora non capiscono è che la prima cosa da fare su un PC per la produttività quotidiana è quella di usare un account standard e non admin. Fatto questo tassello basilare, si passa ai tradizionali:
1- Usare windows con visualizzazione delle estensioni dei file e dei file nascosti.
2- Non aprire/eseguire allegati di posta sconosciuti, soprattutto se si tratta di file di scripting o eseguibili. Abituarsi ad avere disabilitata l'anteprima AUTOMATICA dei file html tramite posta (di default meglio avere la plain text o anche rich text, ma non html a tutti I costi), poi per quelli che usano il file manager di windows sarebbe cosa valida cambiare alcune associazioni interne di file (per esempio associare le estensioni di certi file di script con un editor testo tipo notepad o simili), ovviamente non necessario se si usano file manager (tc e simili) che hanno proprie/interne associazioni file.
3- Quanto detto sopra ovviamente si applica a qualsiasi programma che si usa per visualizzare un qualsiasi documento che preveda internamente l'esecuzione di codice, cioè ravanare nelle preferenze di quei programmi (suite office, visualizzatori/editor pdf, ecc.) e levare la spunta all'opzione di esecuzione automatica di script/macro.
4- Browser: basta un chromium (e derivati) recente e sei a posto; usa plugin sandboxati (che usano l'api ppapi e non la vecchia npapi usata da firefox e altri, men che meno usa gli activex di IE) e che possono essere usati in locale senza bisogno di installarli a livello di sistema, ha processi separati in memoria per ogni tab (ma per risparmiare memoria si può riunire in un unico processo tab/pagine di un medesimo sito/dominio), puoi collocare il profile utente dove ti pare (quindi in tal senso può diventare portabile senza usare wrapper alternativi), ecc..

Onestamente, non mi pare difficile, io non ho mai preso alcun ransom e virus/malware vari (non avendo alcuna protezione attiva su Windows) seguendo semplicemente alcuni accorgimenti che sono pure datati.

Sono misure di buon comportamento che diventano precauzionali di default (quindi si agisce a priori, prima che venga ESEGUITO il codice che porta alla vera infezione).
Sono perfino solo basilari visto che se uno è puntiglioso windows mette a disposizione tante cosette interessanti che replicano un po' quanto avviene negli unix sul controllo dei file/directory.

[rockroll]

Quote:

Originariamente inviato da ilario3

Sono d'accordo con voi, ma poi succede questo, viene rilasciato un update, tutti i browser installati hanno privilegi bassi, metà dei siti non sarà + visitabile per intero e ti appare un messaggine che dice che devi abilitare questa funzionalità a tuoi rischio e pericolo, tu lo fai, ti acchiappi un virus e sempre caxxi tuoi restano, con la differenza che la software house OS o browser ha fatto il suo compitino.......

Difatti, i bassi privilegi e UAC che si voglia sono solo un palliativo talmente scomodo che si finisce per bipassarlo, anche perchè non si andrebbe più avanti.

Dice bene travelmatto: "un browser deve fare soltanto il browser, quindi leggere ipertesti, immagini e riprodurre elementi multimediali. Deve essere eseguito con privilegi bassi (da utente) e non deve assolutamente permettere, invece, l'esecuzione di programmi esterni o contenuti negli ipertesti".
In conseguenza non dovrebbero esistere siti che pretendono di fare azioni richiedenti privilegi elevati; i privilegi bassi deve averli il browser, praticamente l'untore unica fonte di infezione a tradimento, non l'intero computer, altrimenti non ci si muove più.

Il sottoscritto viaggia sempre con privilegi da admin (anzi superadmin in Wiin7) e di porcherie non ne ha mai preso, semplicemete perchè ha sempre a portata di mano sempre acceso (stand-by) un modesto laptop con sys minimale con funzione di monitoraggio di siti ancora non conosciuti... (ovviamente ne ho immagine Acronis, e qualche volta ho dovuto ripristinarlo, 10 minuti et voilà...).

[AUTOMAN]

Quote:

Originariamente inviato da adapter

Urka..Poi tu sei iscritto dal 1999 quindi non sei certamente un pivellino alle prime armi.
Speriamo che non ti legge il Pier, l'unico convinto che "basta windows defender"..

QUOTO!

In effetti ci rimasi alquanto di cacca... Ho dovuto ripristinare Windows al volo e ricominciare. Posso capire che il sistema era nudo e crudo senza aver scaricato ancora gli aggiornamenti, ma prenderlo così sfacciatamente non me l'aspettavo, non sono alle prime armi ovviamente, probabilmente è stato un qualche javascript malevolo dei siti che ho visitato, ma questa è la conferma che non basta solo non aprire gli allegati delle mail per stare tranquilli.

Ho fatto caso però che ultimamente i vari antivirus rilevano i cryptolocker nelle mail, fino a poco tempo fa non c'era Kaspersky o compagnia bella che teneva, ho avuto clienti infettati con i più disparati antivirus, normali e aziendali client/server. Questa settimana mi sono capitati due clienti (diversi ovviamente, per dire che la stupidità regna sovrana) che hanno fatto di tutto per aprire l'allegato con il cryptolocker e per fortuna l'antivirus gliel'ha negato in tutti i modi, il primo aveva la mail del pacco SDA non consegnato ed ha anche chiamato la SDA per dirgli che non gli si apriva il file (e gli hanno ovviamente detto che era un virus) e il secondo non è riuscito ad apire la finta fattura della Telecom!!!

[AUTOMAN]

Quote:

Originariamente inviato da Cooperdale

Se per volumi non mappati intendi risorse di rete alle quali non è associata una lettera, se il sistema operativo ha accesso a una cartella condivisa lo avrà comunque anche il virus, che la cartella sia mappata o no. Un disco non mappato non è facilmente accessibile, ma esistono modi per accedere ai file, alcune utility lo fanno quindi potrebbe farlo anche un ransomware.

Invece se il sistema operativo non ha accesso a una risorsa (per esempio una cartella condivisa ma protetta da password NON memorizzata dal sistema operativo e non immessa dall'utente nella sessione in corso) non potrà averlo neanche il ransomware.

Quindi se tu dai la password ad un software di backup (che ovviamente, lo fanno tutti, la conserverà in versione criptata) e non accedi mai alla risorsa di rete da sistema operativo, né mai memorizzi le credenziali di accesso, un ransomware non avrà alcuna possibilità di infettare il backup.

Diverso è il discorso dei file, chiaramente se non ci si accorge dell'infezione i file criptati potrebbero essere copiati nel dispositivo di backup. È buona norma avere più dispositivi di backup, con backup giornalieri distinti, e non effettuare sincronizzazioni.

La sincronizzazione e il backup sono due cose diverse. Un backup non cancella subito i file che sono spariti dalla sorgente. Una possibilità per non sovraccaricare la destinazione è configurare il backup in modo che i file cancellati dalla sorgente vengano eliminati dalla destinazione solo dopo una settimana o un mese.

Quoto, anche io procedo in questo modo, NAS di rete con password e backup divisi per giorno, in modo che se il cliente si accorge in ritardo puoi risalire a qualche giorno prima e salvarti, non saranno i più aggiornati ma almeno non hai perso tutto.
Ho un amico che fa anche lui il tecnico e gli sono capitati clienti che hanno preferito pagare e riavere i dati perchè altrimenti avrebbero perso tutto gli archivi, nei suoi casi le chiavi gli sono state mandate regolarmente (ma anche questo è un terno al lotto, possono benissimo intascarsi i soldi e non darteli). Questi farabutti comunque le mandano anche mirate le mail perchè guardacaso ai commercialisti le mandano prima delle scadenze, così tremano in caso di perdita dati. All'ultimo mio cliente gli hanno chiesto la bellezza di 4 bitcoin, cioè oltre 1800 euro!!! Ad un altro cliente gli hanno addirittura telefonato in ufficio per dirgli che se pagava 300 euro gli ridava i dati , il tutto ovviamente con accento italo-rumeno e da verifica del numero di cellulare, da parte della Postale, con la scheda sim intestata a Babbo Natale in Romania...

[battilei]

Quote:

Originariamente inviato da AUTOMAN

All'ultimo mio cliente gli hanno chiesto la bellezza di 4 bitcoin, cioè oltre 1800 euro!!! Ad un altro cliente gli hanno addirittura telefonato in ufficio per dirgli che se pagava 300 euro gli ridava i dati , il tutto ovviamente con accento italo-rumeno e da verifica del numero di cellulare, da parte della Postale, con la scheda sim intestata a Babbo Natale in Romania...

mi chiedo se nel TCO di Winzozz ci sono anche questi costi (non mi rifersco a te, è un vecchio discorso sul forum)

ma dai che fa girare l'economia ! e le aziendine che vendono accrocchi per la sicurezza su queste grane ci prosperano

[battilei]

Quote:

Originariamente inviato da AUTOMAN

Questi farabutti comunque le mandano anche mirate le mail perchè guardacaso ai commercialisti le mandano prima delle scadenze
...

ora che mi ci fai pensare... anche io ricordo una mail del tipo "Per il sig. Maurizio, il pacco non consegnata arrumena clicca qui per scaricarla"

Il nome era precisamente il nome di uno che ci lavora.
E io mi sono chiesto: come hanno indovinato un nome poco diffuso, questi che spammano dall'ucraina o dalla romania ?
E allora abbiamo capito che c'è un giro di basisti anche per questi furti che vendono email con la conoscenza del territorio

Per i farabutti:
cari hacker sfigati che campate con i malware, datevi da fare e bucatemi Ubuntu se ci riuscite Se ci riuscite prometto che lo scrivo sul forum. Nel frattempo: ciuccia

[GTKM]

Anche se visito un sito usando Lynx come browser sono a rischio?

[Lithium_2.0]

Quote:

Originariamente inviato da maldepanza

1- Usare windows con visualizzazione delle estensioni dei file e dei file nascosti.

il fatto che Win di default nasconda le estensioni è davvero odioso, ogni volta che c'è da intervenire su un pc che non è il mio è la prima cosa da cambiare al volo... non ho mai concepito questa scelta

[MannaggialaPupazza]

Quote:

Originariamente inviato da GTKM

Anche se visito un sito usando Lynx come browser sono a rischio?

Voglio sperare di no

[Zenida]

Per quanto io sia un estimatore di Linux, il fatto che sia meno soggetto a ransomware dipende, principalmente, da due fattori:
1) la diffusione di Linux riduce i casi riscontrati quasi a zero
2) il codice è compilato per essere eseguito su Windows, che gode di maggior diffusione.
Se questi farabutti volessero attaccare Linux, incontrerebbero, più o meno, le stesse difficoltà che incontrano su Windows.

Inoltre, non tutti possono usare Linux. Molti software per professionisti esistono solo per Windows. Che la segretaria usi Linux, poi, è un altro discorso.

[buzzard]

Quote:

Originariamente inviato da Zenida

Per quanto io sia un estimatore di Linux, il fatto che sia meno soggetto a ransomware dipende, principalmente, da due fattori:
1) la diffusione di Linux riduce i casi riscontrati quasi a zero
2) il codice è compilato per essere eseguito su Windows, che gode di maggior diffusione.
Se questi farabutti volessero attaccare Linux, incontrerebbero, più o meno, le stesse difficoltà che incontrano su Windows.

Inoltre, non tutti possono usare Linux. Molti software per professionisti esistono solo per Windows. Che la segretaria usi Linux, poi, è un altro discorso.

Concordo con te.
Ora però vado a prendere i popcorn

[battilei]

Quote:

Originariamente inviato da Zenida

Se questi farabutti volessero attaccare Linux, incontrerebbero, più o meno, le stesse difficoltà che incontrano su Windows.

una chiacchera, ripetuta 100 volte, diventa vera

[maldepanza]

Quote:

Originariamente inviato da AUTOMAN

probabilmente è stato un qualche javascript malevolo dei siti che ho visitato, ma questa è la conferma che non basta solo non aprire gli allegati delle mail per stare tranquilli.

Se fai quanto ho detto nel precedente post, nessun javascript di un sito malevolo ti può scaricare un payload malevolo ed eseguirlo automaticamente (così da inserire codice malevolo nel registro dello user space utente).

[maldepanza]

Quote:

Originariamente inviato da rockroll

Difatti, i bassi privilegi e UAC che si voglia sono solo un palliativo talmente scomodo che si finisce per bipassarlo, anche perchè non si andrebbe più avanti.

Mi sa che questo è un problema delle impostazioni di default di IE perché io è una vita che navigo con UAC e attivo perfino su account standard e non c'è mai stato alcun sito che abbia fatto scattare un qualche alert fastidioso, un buon browser non fa scattare alcun alert UAC nel visitare anche siti stra-malevoli, almeno I chromium che uso da anni non l'hanno mai fatto (pur esercitando tutta la loro potenzialità protettiva), lo UAC solitamente fa scattare alert quando si cerca di scrivere in aree protette del filesystem del pc, quando un qualche eseguibile tenta di avviarsi in zone e destinazioni non consentite, ecc..

Lo UAC è tutt'altro che un palliativo, è l'esatto opposto, è in qualche modo la risposta di MS al sudo di unix (pur avendo una differenza di fondo).

[Amph]

pure se per sbaglio aprissi un file a caxxo come è stato detto, con i backup che ho ci metto un ora a fare secure erase a installare tutto nuovamente, quindi non mi tocca minimamente