Ransom32, il ransomware che si finge Chrome, chiede soldi e spaventa l'Italia

[fracama87]

Quote:

Originariamente inviato da HSH

chissà se aver tolto i diritti di amministrazione ai miei utenti è servito a qualcosa....

sei riuscito a farlo anche con il capo? negli anni leggevo che di solito sono piuttosto restii

[nirvanastarr]

Purtroppo, a mio avviso, il problema principale è che la stragrande maggioranza degli italiani non ha una cultura di internet. Basta pensare alle connessioni mobile e fisso: siamo ultimi in Europa per quanto riguarda la velocità delle connessioni fisse ma siamo i primi per quelle mobile. Perchè? perchè alla maggior parte degli italiani internet serve solo per usare Facebook, WhatsApp e Youtube dal telefonino (tra l'altro siamo uno dei paesi al mondo con il maggior rapporto abitanti/numero telefonini). Gli italiani ancora non hanno alba delle VERE potenzialità di internet: altri paesi hanno letteralmente fondato la loro economia sulle nuove tecnologie e l'informatica. I paesi del nord europa, per esempio, hanno una percentuale altissima (70%-90%) di popolazione che fa acquisti su internet. Qua da noi invece (dove solo il 20-30% acquista su internet) i nostri commercianti magari chiudono perchè non possono (e molti anche non vogliono) sfruttare le potenzialità del mercato via internet. Questo per dire, appunto, che gli italiani di internet non ne sanno nulla (e purtroppo, mi duole dirlo, non vogliono sapere nulla se non le cose che ho accennato sopra) e cadono facilissimamente vittima dei criminali informatici, che per l'appunto, scelgono il nostro paese non a caso. Avendo un minimo di intelligenza e conoscenze non è difficile capire se la mail arrivata sia falsa o vera.

[AlexBesson]

Quote:

Originariamente inviato da LASCO

quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..

Il fatto è che nn scrivono mai niente su come il malware arriva e si piazza/esegue sulla macchina per capire come prevenire la cosa e di chi/cosa è la colpa ... ma solo cosa fa.Indovinate perchè

Quote:

Originariamente inviato da TheMonzOne

Devo correggermi, anche un altro dei nostri dipendenti si era preso il cryptoloker, però sul desktop personale a casa. E' stato il precursore qualche mese fa

Ma avete visto come arrivara Cryptoloker? Arrivava una mail da solito mittente inquietante sconosciuto con la solita scusa della fattura con tanto di file .zip che l'utente scaricava ( moltissimi oramai usano la WebMail di Outlook, Gmail etc e nn piu' il client per aver sempre le email a disposizione su tutti i dispositivi al volo senza configurare server IMAP etc ) poi apriva e lanciava/eseguiva pure l'.exe con tanto di solito account Amministratore ...oppure file .mp3 come exploit+shellcode ad eseguirsi per sfruttare falla sul Player Audio di default non aggiornato ( per mancanza ultimi aggiornamenti sicurezza di sistema)

Quote:

Originariamente inviato da TheMonzOne

C'è scritto nell'articolo:
"Un'altra delle peculiarità del malware è che si traveste da Chrome per passare inosservato agli occhi degli utenti. Ransom32 viene consegnato sotto forma di un file compresso con estensione RAR che si auto-estrae creando un collegamento nella cartella di Avvio automatico con il nome "ChromeService". In questo modo Ransom32 viene eseguito ad ogni avvio, chiedendo un riscatto in Bitcoin per riottenere l'uso di tutti i file, i quali vengono protetti con una chiave crittografica che l'utente non può sapere."

Scusate, avete capito cosa vuol dire: il Ransomware viene consegnato?
Su queste "descrizioni tecniche" nulle sembra di stare a Zelig.

[X-ray guru]

Quote:

Originariamente inviato da AlexBesson

Il fatto è che nn scrivono mai niente su come il malware arriva e si piazza/esegue sulla macchina per capire come prevenire la cosa e di chi/cosa è la colpa ... ma solo cosa fa.Indovinate perchè







Ma avete visto come arrivara Cryptoloker? Arrivava una mail da solito mittente inquietante sconosciuto con la solita scusa della fattura con tanto di file .zip che l'utente scaricava ( moltissimi oramai usano la WebMail di Outlook, Gmail etc e nn piu' il client per aver sempre le email a disposizione su tutti i dispositivi al volo senza configurare server IMAP etc ) poi apriva e lanciava/eseguiva pure l'.exe con tanto di solito account Amministratore ...oppure file .mp3 come exploit+shellcode ad eseguirsi per sfruttare falla sul Player Audio di default non aggiornato ( per mancanza ultimi aggiornamenti sicurezza di sistema)





Scusate, avete capito cosa vuol dire: il Ransomware viene consegnato?
Su queste "descrizioni tecniche" nulle sembra di stare a Zelig.

Scusa, la posta cartacea non viene "consegnata"?

Suppongo quindi si possa dire che anche la posta elettronica venga "consegnata", anche se è un termine un po' arcaico.

[X-ray guru]

Quote:

Originariamente inviato da fracama87

sei riuscito a farlo anche con il capo? negli anni leggevo che di solito sono piuttosto restii

I capi sono SEMPRE restii, ma nelle PMI italiane è praticamente impossibile adottare una politica di sicurezza a livello di account, vista l'italica propensione a non seguire le regole e ad usare i programmi più disparati, giusto per il gusto di differenziarsi dagli altri.

Se io dovessi permettere l'uso solo di quei 5-10 eseguibili veramente necessari ai miei colleghi, starei tutto il giorno al telefono a sentire le lamentele e a subire pressioni da tutti i livelli aziendali.

Anche se partisse una sirena a 130 dBa e lampeggiasse il video con una immagine raccapricciante, dicendo che vi verrà all'istante la morte nera se eseguite quel programma, ci sarebbe sempre qualcuno che tenterebbe di farlo partire.

[AlexBesson]

Quote:

Originariamente inviato da X-ray guru

Scusa, la posta cartacea non viene "consegnata"?

Suppongo quindi si possa dire che anche la posta elettronica venga "consegnata", anche se è un termine un po' arcaico.

Invece di scrivere che l'Italia trema per questo Ransom , non si faceva prima a scrivere che arriva una email col solito allegato tarocco .zip o .rar che l'utente non dovrebbe nè scaricare nè poi aprire eseguendo a sua volta il file ivi compresso spiegando il perchè accade tutto questo e come prevenire?
E' come dire che è bruttissimo andare in giro in macchina perchè ci sono un sacco di pedoni che potrebbero essere investiti facendo una strage dietro l'altra invece di spiegare come fare per non investirli.

[ferro75]

anche con Hotmail passa quasi nulla.
Le uniche che arrivano sono spedite da computer infetti di contatti della rubrica

[battilei]

Quote:

Originariamente inviato da AlexBesson

Scusate, avete capito cosa vuol dire: il Ransomware viene consegnato?

ma chissaaaa cosa vorrààà mai direeee ohhhhhh
http://www.google.it/search?q=malware+delivery

Quote:

Originariamente inviato da AlexBesson

Su queste "descrizioni tecniche" nulle sembra di stare a Zelig.

disse quello che si fa un nickname nuovo ogni settimana

prendi una zappa e vai nell'orto che sta per arrivare la primavera

[AlexBesson]

Quote:

Originariamente inviato da battilei

ma chissaaaa cosa vorrààà mai direeee ohhhhhh
http://www.google.it/search?q=malware+delivery


disse quello che si fa un nickname nuovo ogni settimana

prendi una zappa e vai nell'orto che sta per arrivare la primavera

Quindi, stando a quello che ho letto, la "consegna" e la conseguente esecuzione di quel codice in questo caso non è dovuta a falle di sistema.Penso lo avrai capito invece di linkarmi Google a vuoto

[battilei]

Quote:

Originariamente inviato da AlexBesson

Quindi, stando a quello che ho letto, la "consegna" e la conseguente esecuzione di quel codice in questo caso non è dovuta a falle di sistema.Penso lo avrai capito invece di linkarmi Google a vuoto

prova questo
http://www.google.it/search?q=prepar...na+primaverile

[AlexBesson]

Quote:

Originariamente inviato da battilei

prova questo
http://www.google.it/search?q=prepar...na+primaverile

Non sai come ti capisco.

[battilei]

Quote:

Originariamente inviato da X-ray guru

Anche se partisse una sirena a 130 dBa e lampeggiasse il video con una immagine raccapricciante, dicendo che vi verrà all'istante la morte nera se eseguite quel programma, ci sarebbe sempre qualcuno che tenterebbe di farlo partire.

Basterebbe il bit di execute non settato.
Pensa un po' che sugli altri OS c'è dagli anni '70.

[X-ray guru]

Quote:

Originariamente inviato da battilei

Basterebbe il bit di execute non settato.
Pensa un po' che sugli altri OS c'è dagli anni '70.

Volendo si può fare abbastanza facilmente anche con Windows, sia sul singolo PC, che tramite GPO su un dominio.

Solo che si ritorna al discorso di prima: o sei in una grande azienda dove c'è una struttura addetta alla sicurezza in generale, per cui quando ti assumono ti fanno "'na capa tanta" su quello che puoi fare e quello che non, con tanto di documento a prova di avvocati che ti fanno sottoscrivere "col sangue"; oppure sei in una PMI in cui il 50enne responsabile di turno ti rompe le scatole 20 volte al giorno perché non riesce a vedersi i siti porno durante la pausa o non riesce a guardare quanto gli rimane sul conto in banca o a puntare qualche soldo al poker online o sui cavalli...

[telumehtar]

così se parte qualcosa riprendi la precedente immagine della macchina e vai avanti, altrimenti ti copi il file in una partizione condivisa e continui a lavorare

[zappy]

non ho capito qual'è il vettore d'infezione.
un file javascript? un exe? un sito infetto?

[rockroll]

Quote:

Originariamente inviato da Er Monnezza

immagino che succeda aprendo l'allegato (se è un EXE) o se si tratta di un file compresso, estraendo ed eseguendo il contenuto

E pensi bene.

Logica vuole che qualunque situazione infetta su un PC non può generarsi dal nulla, ma che qualche processo esecutivo malevolo la crei.
Chi (o cosa) è che manda in esecuzione un processo malevolo su un PC ancora non infettato?

Chi sa rispondere a questa domanda sa benissimo come premunirsi.

PS: Qualunque AV passivo e qualunque SO aggiornatissimo o per assurdo perfetto nulla possono contro un comportamento dell'utente/onto che ai loro occhi è visto come azione legittima esplicitamente richiesta.

[fracama87]

Quote:

Originariamente inviato da rockroll

E pensi bene.

Logica vuole che qualunque situazione infetta su un PC non può generarsi dal nulla, ma che qualche processo esecutivo malevolo la crei.
Chi (o cosa) è che manda in esecuzione un processo malevolo su un PC ancora non infettato?

Chi sa rispondere a questa domanda sa benissimo come premunirsi.

PS: Qualunque AV passivo e qualunque SO aggiornatissimo o per assurdo perfetto nulla possono contro un comportamento dell'utente/onto che ai loro occhi è visto come azione legittima esplicitamente richiesta.

L'utente (utonto)? Se però la soluzione è che non abbia i diritti di admin e di compiere determinate azioni ma come riportato da un altro utente (ma è cosa nota l'ho letto molte volte) non è praticabile in azienda per volontà della stessa?

[rattopazzo]

Personalmente in pasato mi è capitato di prendere dei malware semplicemente navigando, proprio attraverso java script.
Ho risolto almeno parzialmente con no script, almeno sono io di volta in volta a dare i permessi di usare script solo ai siti che ritengo affidabili, può sembrare qualcosa di estremo e che mina la fluidità della navigazione, ma mi sento molto più sicuro.
In ogni caso il backup periodico su supporti esterni non deve mancare mai.

[AlexBesson]

Quote:

Originariamente inviato da rattopazzo

Personalmente in pasato mi è capitato di prendere dei malware semplicemente navigando, proprio attraverso java script.
Ho risolto almeno parzialmente con no script, almeno sono io di volta in volta a dare i permessi di usare script solo ai siti che ritengo affidabili, può sembrare qualcosa di estremo e che mina la fluidità della navigazione, ma mi sento molto più sicuro.
In ogni caso il backup periodico su supporti esterni non deve mancare mai.

Se ti si è autoinstallato del malware navigando su sito corrotto con exploit+shellcode dedicato per Javascript di quel tal Browser X che usavi per navigare sul web, deve poi essere uscito un aggiornamento di sicurezza del browser che usavi e su cui è andato in porto l'exploit, altrimenti si impesterebbero 1 miliardo di computer ogni giorno.
Ps: usavi account Admin o avevi UAC al minimo.
PPS: che browser era?

[necride]

uuuh allora era questo il virus che mi e entrato,ma era prima di dicembre credo. non era completo ancora, anche perchè io chrome non lo uso..
Questo è stato il primo che non sono riuscito a rimuovere manualmente,non mi andava di perdere tempo a provare complimenti. La soluzione e usare un hard disk solo per il sistema operativo,e se succedere provvedere subito a formattare.

complimenti al team