Ransomware: Prevenzione e soluzioni

[ecro]

Quote:

Originariamente inviato da Averell

tra le tante cose che mi mancano vi rientra di sicuro anche il significato dell'acronimo di cui sopra...

vuole dire come volevasi dimostrare in latino.
cmq usi Hitman Pro alert?

[giancai]

Salve a tutti,.... anche io entro a far parte dei colpiti dai virus e non mi ha fatto un solo pc ma due. Uno porta estensione .9560 e l'altro .vilkzgdg....
potreste darmi qualche soluzione?

[x_Master_x]

giancai,
Inizia a capire la variante seguendo le indicazioni in prima pagina, se sei stato "fortunato" e la variante è stata sconfitta allora puoi recuperare tutti i dati, altrimenti hai dei tentativi da fare tra copie shadow, software di recupero etc. comunque è tutto scritto al primo post.

[Averell]

Ragazzi, io vorrei insistere su un punto anche se solo indirettamente legato all'oggetto del thread:
perchè è importante dotarsi di un sistema operativo recente e aggiornato (più che uno obsoleto se pur aggiornato) e perchè trovo di conseguenza ridicolo che una persona sensibile al problema-sicurezza si affidi a tanti castelli fondati però su un terreno instabile.

Ecco, la risposta ci viene dal Malware Protection Center di MS:
Hardening Windows 10 with zero-day exploit mitigations

Cosa ci dice ancora una volta?
Che tutti i sistemi (pur della stessa casa) NON sono evidentemente uguali e dunque reagiscono in modo diverso se sottoposti alla stessa pressione...

E questa cosa evidente come la dimostra?
Portando in dote due casi REALI che hanno permesso a gruppi mossi da interessi poco trasparenti di condurre indisturbati le loro azioni...

Certo, l'utente comune non è sottoposto al solito rischio di un'istituzione governativa ma i soliti meccanismi, magari solo un filo meno sofisticati, si rilevano con una certa frequenza anche negli attacchi portati alle masse (cioè noi) per la sottrazione di dati sensibili (penso ai codici delle carte di credito) e quant'altro.


Quindi:
10 AU (la versione insomma rilasciata in Agosto) è l'unica che, allo stato, dovrebbe essere presa in considerazione.





Mi sono peraltro sempre chiesto una cosa (prendiamo il caso del CVE-2016-7255 discusso nell'articolo e risolto successivamente con la patch MS16-135):
perchè, se 10 AU è immune, rilasciano comunque una patch ANCHE per quel sistema?

E la risposta che mi sono dato (gradirei peraltro conferma anche da altri):
perchè il sottostante [tale tagWND.strName, vedi anche il paragrafo Mitigating tagWND exploits with stronger validation] presenta effettivamente quel limite ma, grazie alle nuove tecnologie su cui può contare (stronger validation che esercita additional checks su...), impedisce...(e infatti affermano che These exploits instead cause exceptions and subsequent BSoD).


(il BSoD che, una volta tanto, ha accezione positiva dovrebbe essere questo: cucù)

[x_Master_x]

Come principio di base sono d'accordo che l'utilizzo di un sistema operativo più aggiornato, a prescindere da opinioni personali, sia sul fronte della sicurezza migliore di uno con svariati anni sulle spalle visto che bisogna considerarlo una evoluzione del precedente.

Ma credo anche sia ora che Microsoft riveda la gestione dell'UAC, rimasto praticamente uguale dai tempi di Vista quindi 9 anni fa, a fronte anche di nuove minacce come ransomware ed exploit vari. Ad esempio:

1) Due soli livelli di UAC, attivo ( che sarebbe il livello massimo attuale ) e disattivo. Non lasciare la possibilità all'utente di disattivare l'UAC tramite interfaccia ma solo via policy
2) Il semplice consent Si/No ha fatto il suo tempo. Oltre a chiedere l'esecuzione in base ai privilegi semplici/amministrativi ci vorrebbero delle informative su cosa effettivamente fa quell'eseguibile. Esempio vuole scrivere nella cartella Documenti? Vuole controllare i contatti? Vuole eliminare i file? Insomma quattro righe che permettano all'utente di avere dei dubbi sull'eseguibile che sta per lanciare a prescindere dal tipo di privilegi, tanto le API sono sempre quelle. Anche un .exe senza privilegi di amministratore può eliminare tutti i file personali...
3) Sandbox e/o disabilitazione degli eseguibili da percorsi non standard come Temp e AppData
4) Disabilitazione di default di file con doppie estensioni associate ad eseguibili ed avviso relativo

Ci sarebbe dell'altro ma come base pochi semplici modifiche che renderebbero i ransomware "inefficaci" di default.

[Averell]

Le idee che proponi a proposito degli scarni avvisi dell'UAC (N°2) sarebbero francamente SUPER gradite ma, per quanto qualcosa sia stato fatto nel corso del tempo per superare certe situazioni che si facevano beffa dell'impostazione di default, sembra di capire che chi è preposto a curarlo non abbia le idee troppo chiare per cui se già in partenza la situazione è questa...

Sull'altro campo che ho brevemente illustrato poc'anzi, invece, MS ha schierato le sue 'teste migliori' (molti peraltro di derivazione EMET come ad es Matt Miller)...e infatti si vedono i risultati.

[x_Master_x]

Microsoft si perde sempre in un bicchiere d'acqua. Insomma le "doppie estensioni" sono secoli che celano dietro solo e soltanto i malware, lo sanno tutti sassi compresi eppure la scelta di NON mostrare le estensioni rimane quella di default. Ora non vuoi mostrare le estensioni perché è brutto visivamente*? Benissimo ma almeno blocca i file che hanno due o più punti ed exe\com\vbs\bat\ps1 nel nome ( inteso come *.*.exe ) o metti un bel messaggio di avviso tipo "Caro utente inesperto sei sicuro di voler lanciare pippo.pdf.exe? Non è un file PDF ma un eseguibile e potrebbe essere un virus malvagio"
Non richiede chissà quale competenza o modifiche del kernel, non blocca nessuna funzionalità importante o cambia l'esperienza utente, eppure...

*Stendiamo un velo pietoso sulle interfaccia utente e i gusti tra mattonelle e colori tinta unita accesi a tutto schermo che bruciano la retina

[ecro]

per le doppie estensioni ci pensa cryptoprevent (e anche per cartelle temp e appdata)

[x_Master_x]

Se é per questo quel programma si basa sulle policy di Windows quindi sono opzioni già presenti nel sistema ma io mi riferivo ad un re-design di default che ogni utente dovrebbe avere a prescindere dalle sue scelte e non configurare. Bastano poche cose fatte a monte ed ho fatto alcuni esempi che se fossero impiegati da Microsoft avrebbero reso i ransomware decisamente meno pericolosi per chiunque, non solo per chi configura il PC ad hoc.

[Averell]

Neanche a farlo apposta, a proposito di UAC impostato a default e le 'evoluzioni' che subisce nel tempo, è di poche ore fa questo post su Twitter:



Nell'attesa di un presumibile aggiornamento della sua tavola sintetica, vi rilascio il link dal quale eventualmente seguire le dinamiche: https://github.com/hfiref0x/UACME
(altra fonte di notizie preziose: http://www.fuzzysecurity.com/tutorials/27.html)


Il messaggio, cmq, è che

per quanto MS abbia migliorato nel tempo la 'resistenza' dell'UAC contro tecniche capaci di bypassarne l'impostazione di default,

è opportuno continuare a tenerlo sul livello MASSIMO in quanto esistono metodi (chiamati 'FileLess') che non si scontrano con le limitazioni intrinseche nei metodi + o - tradizionali presi in esame poc'anzi,
https://enigma0x3.net/2016/08/15/fil...try-hijacking/




Se il pop-up integrasse quindi i suggerimenti di x_Master (trasformandolo da semplice strumento utile in uno che è anche informativo),...

Ma qui effettivamente si va sul difficile ...

[Averell]

ragazzi, io spero di non annoiare dando queste informazioni (che sono palesemente OT per quanto secondo me preziosissime perchè aiutano ad inquadrare le varie dinamiche che subiscono certi elementi del sistema operativo, nel caso al limite me lo segnalate e la finisco qui), ad ogni modo


1, 2


Nel frattempo anche la stampa comincia a riprendere le notizie che avevo sintetizzato qui,
theregister/zdnet...



Vi rinnovo inoltre l'invito a dire la vostra (se volete anche in privato) a proposito della domanda che mi ero posto alla fine del mio intervento di qualche giorno fà,

Quote:

Mi sono peraltro sempre chiesto una cosa (prendiamo il caso del CVE...)

Dai, uno sforzo,
Grazie

[Ryddyck]

Beh la "soluzione" è già data in quell'articolo quindi UAC sempre abilitato e account locale non amministratore nell'attesa che mamma microsoft cambi idea.
Certo mi chiedo se questa cosa possa funzionare anche in una sandbox mhm...

[Chill-Out]

Quote:

Originariamente inviato da Averell

ragazzi, io spero di non annoiare dando queste informazioni (che sono palesemente OT per quanto secondo me preziosissime perchè aiutano ad inquadrare le varie dinamiche che subiscono certi elementi del sistema operativo, nel caso al limite me lo segnalate e la finisco qui)

Appunto!

[Averell]

giusto, meglio rimanere ignoranti

[Chill-Out]

Quote:

Originariamente inviato da Averell

giusto, meglio rimanere ignoranti

Questione decisamente soggettiva.

[Jedi82]

ragazzi, ma voi lo avete installato il toll CryptoPrevent nuovo (versione 8)? Io lo sto provando sul mio pc e non sembra dare problemi. Stando a quanto leggo dal loro sito beh, sembra essere un ottimo livello in più di protezione no?

Se ho ben capito, va semplicemente installato e dimenticarlo o sbaglio qualcosa?

[Kohai]

Iscritto.

Bella discussione

[Syk]

Quote:

Originariamente inviato da Averell

è opportuno continuare a tenerlo sul livello MASSIMO in quanto esistono metodi (chiamati 'FileLess') che non si scontrano con le limitazioni intrinseche nei metodi + o - tradizionali presi in esame poc'anzi,
https://enigma0x3.net/2016/08/15/fil...try-hijacking/

la vecchia soluzione rimane attualissima
peccato non sia così di default.

[Rastakhan]

Salve vi ho letto per quanto nelle mie capacità informatiche alcuni dubbi sulla configurazione rimangono.

Ho messo UAC al massimo, dovrei impedire il riavvio in automatico al BSoD seguendo questa guida?:
https://technet.microsoft.com/en-us/.../cc976049.aspx

Cosa potrei fare ancora per la configurazione della macchina?
Cosa potrei installare di gratuito, semplice ed efficace?

Ho una macchina con W7Pro 64bit, Avira Free e il firewall di windows.

Grazie

[jlorenzo]

ci sono cascato come un pivello.
ero su milannews.it e da li ero curioso di leggere di un personaggio, sono andato sul suo sito e mi chiedeva di installare un pack di font per la visualizzazione ed io, come un cretino, gli ho detto pure di entrare

risultato SPORA RANSOMWARE, una variante abbastamza recente che mi ha fottuto tutto l'hd ed anche un hd esterno che tenevo come archivio e due sd.

non ho perso tanti dati perchè ho altre copie ma ho un problema. per lavoro faccio perizie e in due giorni circa 800 foto che devo ancora elaborare e consegnare. ho visto che quelle fatte oggi non sono state ancora criptate quindi le ho copiate su una SD, dalla scheda della fotocamera ho recuperato le altre 400 di ieri, quindi dati persi niente (solo un paio d'ore di lavoro). il problema ora è
1) devo pulire il computer e tutte le memorie infettate
2) come posso essere sicuro di non infettare altri computer dove porto le SD?

ho letto che al momento, non è possibile recuperare file criptati, quindi ho deciso di staccare l'hd e sostituirlo con un altro, tra qualche tempo vedremo se posos recuperare qualcosa.