Petya, nuovo ransomware si installa nel boot record e blocca l'hard-disk

[fraussantin]

Quote:

Originariamente inviato da EmBo2

Certo. Per scrivere sull'MBR servono i permessi di amministratore.
Il che significa che, a differenza di molti altri ransomware che cifrano solo le cartelle utente, questo è facilmente arrestabile se si adotta una politica decente di gestione dei permessi.

Io ancora non riesco a capire perché Windows, nel suo UAC, non richieda la password utente come fanno tutti gli altri sistemi operativi (sia osx che linux).

perchè operi già da admin.

se ai tuoi dipendenti crei un account non admin , serve la pw ogni santa volta che parte.( o almeno su vista era così)

[Kri3g]

Almeno chiedono un prezzo onesto...

[SpyroTSK]

Quote:

Originariamente inviato da TheMonzOne

I programmi di recupero dati si appoggiano sulla MFT per recuperare i dati. Quando un file viene cancellato non viene "fisicamente" rimosso dal disco, ma viene rimosso il suo riferimento dalla MFT. I programmi di recupero scandagliano il disco appoggiandosi ad essa e ripristinando il riferimento. Se la MFT è illeggibile (perchè criptata) non recuperi un bel niente... altrimenti questo ransomware avrebbe ben poca vita e possibilità di far guadagnare il suo creatore.

Falso,
la MFT indica dove inizia e dove finisce una partizione, in più contiene un'indice di file e cartelle.
Se tu con testdisk gli dici: Analizza /dev/hda (ovvero TUTTO il disco compresa MFT) lui con una scansione rapida controlla la MFT e ti dice: "ho trovato /dev/sda1 dal settore X al settore Y e /dev/sda2 da settore W al settore Z" ma se tu gli dici di effettuare una scansione completa (deeper search) lui analizza bit per bit e ti riesce a dire "da X a Y c'era una volta una partizione, i file erano questi...." così facendo riesci a ricostruire e riscrivere l'MFT.

[EmBo2]

Quote:

Originariamente inviato da fraussantin

perchè operi già da admin.

se ai tuoi dipendenti crei un account non admin , serve la pw ogni santa volta che parte.( o almeno su vista era così)

Beh non vedo perché non debba richiederla comunque. Su altri sistemi si può fare.

[ivanomatteo]

MBR è il primo settore del disco 512byte suddiviso in:
MBP = 446byte che è il programma di avvio(lilo,grub,win bootloader..)
MBT = 64byte la tabella delle partizioni

La MFT invece è una struttura NTFS l'analogo della File Allocation Table in FAT-FAT32,cioè un' area del disco che contiene i metadati,(nome file,cartella,data di modifica,permessi ecc).

Ora, anche se si cancella o si cifra tutto l'MBR, non è un gran problema, i dati si recuperano tutti.

Se invece si cancella o si cifra l'MFT/FAT i dati si recuperano comunque ma risulteranno mescolati, perdendo i metadati appunto.

Da quello che leggo, questo virus per agire deve prima essere eseguito con privilegi amministrativi, poi deve riavviarsi ed effettuare la cifratura mentre finge uno scandisk ed inoltre su sistemi con il secure boot, siccome altera i file di avvio il pc non parte e non cifra nulla...

Sinceramente ci sono ransomware molto peggiori... tipo cbtlocker per dirne uno...

[X-ray guru]

Io dall'articolo ho capito che alla prima esecuzione si appropria della MBR e ci scrive un pezzo di codice che al primo riavvio, mascherato da falso scandisk, cripta tutti i dati del disco.

E' quindi evidente che se hai il sentore di avere fatto una cavolata, dando il permesso di eseguire il codice malevolo, puoi ancora salvarti, perché hai "solo" danneggiato il MBR e forse la MFT.

Se invece esegui un riavvio, come probabilmente ti viene chiesto, durante il falso scandisk ti viene criptato tutto l'HD e sei "fatto".

[fraussantin]

Quote:

Originariamente inviato da X-ray guru

Io dall'articolo ho capito che alla prima esecuzione si appropria della MBR e ci scrive un pezzo di codice che al primo riavvio, mascherato da falso scandisk, cripta tutti i dati del disco.

E' quindi evidente che se hai il sentore di avere fatto una cavolata, dando il permesso di eseguire il codice malevolo, puoi ancora salvarti, perché hai "solo" danneggiato il MBR e forse la MFT.

Se invece esegui un riavvio, come probabilmente ti viene chiesto, durante il falso scandisk ti viene criptato tutto l'HD e sei "fatto".

esatto. per quello che ho capito io pare così.

cmq almeno da boot non credo possa accedere alla rete aziendale o domestica.


chissà quanto ci metteranno a inventarne uno che entra nell'uefi?

[X-ray guru]

Quote:

Originariamente inviato da fraussantin

chissà quanto ci metteranno a inventarne uno che entra nell'uefi?

Pare già questo entri nel UEFI ma con un attacco "brute force", cancellando o corrompendo i moduli UEFI di boot delle periferiche di memorizzazione (HD e SSD).

[iron84]

Su linux questi ransomwere sono pericolosi?

[zappy]

Quote:

Originariamente inviato da LordPBA

Se il BIOS lo permette, basta attivare la protezione dell'HD (che blocca la modifica del MBR dell'HD), questo almeno c'era nei vecchi computer... adesso?

appunto, c'era.
saranno almeno 15 anni che non lo vedo più

[zappy]

Quote:

Originariamente inviato da ivanomatteo

MBR è il primo settore del disco 512byte suddiviso in:
MBP = 446byte che è il programma di avvio(lilo,grub,win bootloader..)
MBT = 64byte la tabella delle partizioni

La MFT invece è una struttura NTFS l'analogo della File Allocation Table in FAT-FAT32,cioè un' area del disco che contiene i metadati,(nome file,cartella,data di modifica,permessi ecc).

Ora, anche se si cancella o si cifra tutto l'MBR, non è un gran problema, i dati si recuperano tutti.

Se invece si cancella o si cifra l'MFT/FAT i dati si recuperano comunque ma risulteranno mescolati, perdendo i metadati appunto.

quoto.
a parte il dettaglio che MFT contiene non solo nome file,cartella,data di modifica,permessi, ma anche la posizione vera e propria dei file nell'hd (compresi quali, quanti e dove sono i vari frammenti di cui è composto ciascuno).

[Controvento]

Io non ho ancora ben capito come si prendano questi ransomware, arrivano per email ma per essere infetti bisogna scaricare l'allegato e lanciarlo oppure basta aprire le email? Usando un client come Thunderbird si è più o meno a rischio?

[thewebsurfer]

ragazzi fate i backup e non fate affidamento esclusivamente sull'antivirus per i ransomware.
Pensate in linea generale cosa fa un ransomware: syscall read e write sul filesystem sui file con estensioni specifiche (variano a seconda del ransomware).
Volendo si potrebbe scrivere un ransomware con 20 linee di C e conoscenza da scuola elementare delle winapi.
Non è impossibile, ma è difficile che un antivirus individui un comportamento che può venire da un normale programma come un virus

[rockroll]

Quote:

Originariamente inviato da demon77

Io uso Avira Free, è il migliore tra leggerezza ed efficacia.. almeno da comparazioni dello scorso anno.
Resta il fatto che nessun antivirus fa miracoli. Quello che non deve cascarci sei tu.

E se ci caschi è tassativo avere un buon backup su disco esterno aggiornato regolarmente.

Io uso AVG free, perfettemento manutenuto anche sotto WinXP, sopratutto perchè, come free, mi sembra la protezione generale più completa, e come peso non mi posso lamentare, anche se pago rallentamenti nei frequenti updates (anche più volte al giorno).
Tra l'altro AVG ha preso con maggior frequenza a segnalarmi, oltre a siti contraffatti o sconsigliati, e-mail di dubbia provenienza e sopratutto allegati di posta contenenti virus accertati o per lo meno sospetti, e non se ne perde uno, almeno giudicando ad occhio (non vado certo ad aprirli).

[rockroll]

Quote:

Originariamente inviato da Controvento

Io non ho ancora ben capito come si prendano questi ransomware, arrivano per email ma per essere infetti bisogna scaricare l'allegato e lanciarlo oppure basta aprire le email? Usando un client come Thunderbird si è più o meno a rischio?

Purtroppo non arrivano solo per e-mail (allegati), ma anche da navigazioni e pratiche online pericolose (essenzialmente D.L. di dubbia provenienza e successive esecuzioni fatte con leggerezza, e cliccate su siti contraffatti che fanno azioni ben diverse da quelle credute).
Guardare una e-Mail da CLient, Outlook o Thunderbird che sia, non provoca danno, aprire (doppio click sx) un allegato travestito da doc o pdf o avi o mp3 ma in realtà contenente comandi esecutivi provoca il disastro!
Quella che conta è l'extention, normalmente un .exe, che non vedi se hai lasciato il mascheramento di estensione di default, e ancor meno la vedi se il file (spesso) è zippato (.zip, .rar ...), e tu ingenuamente unzippi e lanci di brutto...
Per inciso, utilizzando un client di posta, l'allegato, buono o cattivo che sia, non lo "scarichi" tu, ma arriva in automatico e resta sul tuo PC dal momento in cui ricevi posta, infatti lo puoi consultare, e purtroppo lanciare nel nostro caso, quando vuoi anche se sei disconnesso (se poi il virus/ransomware per lavorare richiede collegamento a server malevoli, se sei disconnesso sei fortunato) .

[Pier2204]

Quote:

Originariamente inviato da demon77

Io uso Avira Free, è il migliore tra leggerezza ed efficacia.. almeno da comparazioni dello scorso anno.
Resta il fatto che nessun antivirus fa miracoli. Quello che non deve cascarci sei tu.

E se ci caschi è tassativo avere un buon backup su disco esterno aggiornato regolarmente.

Parole sante, che poi, tra l'altro, windows 10 come i precedenti 8.1 e 8 ha un sistema automatico di salvataggi incrementale, settabile a piacimento dove ogni tanto ti ricorda di ricollegare il disco esterno per salvare gli ultimi dati, una cosa che ci riesce anche un bambino...

Quote:

Originariamente inviato da Blake86

l'utente

Altra verità...

[Pier2204]

Quote:

Originariamente inviato da EmBo2

Certo. Per scrivere sull'MBR servono i permessi di amministratore.
Il che significa che, a differenza di molti altri ransomware che cifrano solo le cartelle utente, questo è facilmente arrestabile se si adotta una politica decente di gestione dei permessi.

Io ancora non riesco a capire perché Windows, nel suo UAC, non richieda la password utente come fanno tutti gli altri sistemi operativi (sia osx che linux).

Perchè se invece di loggarci come amministratore creiamo un account "Utente" ad ogni richiesta di accesso al SO ti chiede la password con tanto di preavviso.
E' sempre quello che cerco di fare a chi conosco, oltre all'account amministratore da accedere solo in caso di interventi pesanti dal legittimo "proprietario" del PC, usare tutti un account Utente, casini se ne fanno molto pochi.
Purtroppo qualcuno che gli proponi una cosa del genere ti mangia la faccia, non vuole perdere tempo, poi quando combina casini la colpa è di windows

[rockroll]

Quote:

Originariamente inviato da thewebsurfer

ragazzi fate i backup e non fate affidamento esclusivamente sull'antivirus per i ransomware.
Pensate in linea generale cosa fa un ransomware: syscall read e write sul filesystem sui file con estensioni specifiche (variano a seconda del ransomware).
Volendo si potrebbe scrivere un ransomware con 20 linee di C e conoscenza da scuola elementare delle winapi.
Non è impossibile, ma è difficile che un antivirus individui un comportamento che può venire da un normale programma come un virus

Giustissimo, ma aggiungerei qualcosa.

La partizione di sistema va ottimizzata e non destinata a contenere dati utente. I dati vanno su altra partizione, o meglio su altro volume, ed i back-up, indispensabili non solo per i ransomware oggi di moda ma per pararsi i sedere da qualunque disastro, vanno fatti su HD esterno sia come immagine di sistema che come volgare salvataggio della parte dati utile ovvero "sensibile", conservando qualche versione precedente nel caso ci si accorgesse in ritardo del disastro.

L'antivirus (e magari antitutto) aggiornato + firewall correttamente gestito è la regola, come la regola dovrebbe essere non avere connessione attiva se non per lo stretto necessario, ma il vero antivirus è l'utente, il cui comportamento è fondamentale. Non c'è protezione che tenga contro un utente che naviga, scarica, clicca all'impazzata senza rendersi conto della gravità dei rischi connessi con tale condotta sconsiderata,
Andreste ogni notte a donnine nelle zone più malfamate senza alcuna forma di protezione?

[Uakko]

Convertite le vostre partizioni con GPT.

[fraussantin]

Quote:

Originariamente inviato da Pier2204

Perchè se invece di loggarci come amministratore creiamo un account "Utente" ad ogni richiesta di accesso al SO ti chiede la password con tanto di preavviso.
E' sempre quello che cerco di fare a chi conosco, oltre all'account amministratore da accedere solo in caso di interventi pesanti dal legittimo "proprietario" del PC, usare tutti un account Utente, casini se ne fanno molto pochi.
Purtroppo qualcuno che gli proponi una cosa del genere ti mangia la faccia, non vuole perdere tempo, poi quando combina casini la colpa è di windows

Esatto .

Quando lo feci a lavoro , tutti a dire che palle l'uac, vista è lento , meglio xp ....

Sul pc nuovo manco volevano che ci mettessi la pw ma se prendono un virus son buoni di dire è colpa degli hacker...


Mi domando ma escono di casa senza girare la chiave loro?