Ospedale sotto attacco ransomware, richiesto riscatto di 3,6 milioni di dollari

[fraussantin]

Mi è venutl un dubbio , ma se un word ha un exploit , o un pdf , ma uno non ha office installato sul pc , la macro non si apre giusto?

Io uso google documenti e affini per tutto.



Intanto in toscana non rimaniamo indietro .....

http://m.iltirreno.gelocal.it/empoli...nci-1.12967998

[battilei]

Quote:

Originariamente inviato da !fazz

questi virus criptano tutti i file dove hanno privilegi di scrittura
per proteggere il nas è sufficente che non sia mappato come unità di rete (ora non so se è cambiato ma fino ad un mese fà i ransomware non lavoravano su nfs ma solo scandagliando l'albero delle directory da A: a Z: )

oltre a quello la soluzione migliore è usare per i backup credenziali diverse da quelle degli share condivisi (se utilizzati sullo stesso nas) non registrate in windows ma solo sul sw di backup

Non dare delle nuove idee ai developer
Io non farei affidamento su quello che fanno i ransomware fino ad adesso, perchè se un bel giorno quelli si decidono di scannare anche altre partizioni, che si fa ? Personalmente metto già in conto che dare l'accesso sulle partizioni di un server significa già esporlo ad un potenziale rischio, NFS lo lascio alle macchine *nix.

Quote:

Originariamente inviato da fraussantin

Intanto in toscana non rimaniamo indietro .....

http://m.iltirreno.gelocal.it/empoli...nci-1.12967998

Solo 2 giorni fa riguardo alla Pubblica Amministrazione leggevo l'opinione che la T in TCO considerasse tutto.


Vedo che tanti danno ancora la colpa all'utente, chiamandolo in modo dispregiativo "utonto", ma non è ora di smetterla ?
Io una segretaria non ho il diritto di chiamarla "utonta", lei fa il suo lavoro, io il mio.
Lei ha tutto il diritto di sbagliare, ed è la mia responsabilità darle dei mezzi per fare il suo lavoro.

[TheBo]

No. Nessuna unità di rete. Beccano tutti i PC di tutti i workgroup e se trovano le credenziali di accesso a tale IP, entrano,cryptano, creano 3 file x il pagamento in ogni directory è relativa sub ramificata all'infinito, un html , un jpg e un txt con sempre lo stesso testo sul pagamento.
Anche la mia collega è un genio apprende, assimila e fa suo ogni concetto che le viene spiegato. Non mi permetterei mai di chiamare lei utonta che è decisamente più acuta di me. Tuttavia un titolare che apre e risponde a mail palesemente scritte da BOT nonostante raccomandazioni e spiegazioni e che si fregia a massimo esponente dell'astuzia sul pianeta io lo chiamo utonto. Se la cosa turba qualcuno lo posso chiamare clueless user. E se ti riferivi a me... no, io non sono tenuto a rimediare ne è colpa mia per i suoi casini, visto che non sono stato assunto per farlo e mi occupo di ben altro nella ditta e i PC sono uno strumento per me come lo sono per gli altri dipendenti, o per lui.

[rockroll]

Quote:

Originariamente inviato da *aLe

Sono due cose diverse...
O è un exe mascherato da pdf (ed è un modo) oppure il codice malevolo è davvero all'interno del documento.

Per esempio, se ti arriva un file di word con dentro una macro malevola è proprio un file di word, non è un nomefile.docx.exe o roba simile, è proprio un nomefile.docx al cui interno è salvata una macro che si va a prendere da internet il malware e lo esegue.
Lo stesso immagino succeda coi file pdf.
So (perché li ho visti) che in alcuni pdf ci sono aree in cui, se premi, viene caricato un docx o un xlsx allegato.
Magari con lo stesso principio nel pdf viene incluso del codice che quando eseguito scarica e lancia l'encrypter.

Ma una macro non dovrebbe essere solo un richiamo ad operazioni ripetitive parametrizzate, ma sempre e solo operazioni previste nel contesto e nelle finalità dell'ambito in cui il prodotto lavora?
Se qualche genio M$ o Adobe (peggio ancora) ha ben pensato di dare la possibilità a macro e simili artifizi di fare senza alcun controllo qualunque cosa imprevista che nulla c'entra con l'ambito e le finalità suddette, complimenti davvero a costoro!

Insomma, mi state dicendo che qualunque accozzaglia di comandi operativi (codice eseguibile o interpretato che sia), annidata/travestita da .docx o .doc o .pdf, è libera di fare qualunque cosa (o richiamare chi per lei lo faccia) come se fosse direttamente un .exe (o .com o .bat ...), anche se la sua estensione è tutt'altra ed il suo compito è gestire banali documenti stampabili??? Andiamo bene davvero!

[*aLe]

Quote:

Originariamente inviato da rockroll

Ma una macro non dovrebbe essere solo un richiamo ad operazioni ripetitive parametrizzate, ma sempre e solo operazioni previste nel contesto e nelle finalità dell'ambito in cui il prodotto lavora?

Se usate in maniera benevola, di solito sì... Ma purtroppo non tutti le usano a 'sto modo.
Guarda qua, questo è proprio il caso della "finta fattura" che dicevo: https://blog.malwarebytes.org/intell...icious-macros/

[!fazz]

Quote:

Originariamente inviato da battilei

Non dare delle nuove idee ai developer
Io non farei affidamento su quello che fanno i ransomware fino ad adesso, perchè se un bel giorno quelli si decidono di scannare anche altre partizioni, che si fa ? Personalmente metto già in conto che dare l'accesso sulle partizioni di un server significa già esporlo ad un potenziale rischio, NFS lo lascio alle macchine *nix.



Solo 2 giorni fa riguardo alla Pubblica Amministrazione leggevo l'opinione che la T in TCO considerasse tutto.


Vedo che tanti danno ancora la colpa all'utente, chiamandolo in modo dispregiativo "utonto", ma non è ora di smetterla ?
Io una segretaria non ho il diritto di chiamarla "utonta", lei fa il suo lavoro, io il mio.
Lei ha tutto il diritto di sbagliare, ed è la mia responsabilità darle dei mezzi per fare il suo lavoro.

come se il s.o. del server contasse qualcosa in questo caso... puoi avere windows osx linux bsd unix os/2 o qualsiasi altro sistema operativo lato server e non cambia una mazzuola visto che il virus viene eseguito sui client e effettua solo operazioni lecite a livello di server

[adapter]

E' una bella bega!
Ma possibile che non si riesce a fare nulla?

[battilei]

Quote:

Originariamente inviato da !fazz

come se il s.o. del server contasse qualcosa in questo caso... puoi avere windows osx linux bsd unix os/2 o qualsiasi altro sistema operativo lato server e non cambia una mazzuola visto che il virus viene eseguito sui client e effettua solo operazioni lecite a livello di server

è quello che dicevo, *nix->*nix è da gestire diversamente da windows->*nix: devo starci molto più attento perchè so già che può succedere qualcosa

Quote:

Originariamente inviato da emiliano84

... visto che ti trovi oltre a darle i mezzi, prova a speigargli anche qualcosina in piu' in merto a cosa e come fare e cosa no... o e' considerato offensivo?

Puoi spiegargli tutto quello che vuoi, anche io ci provo ma è inutile, un utente non è obbligato a diventare come me. E tanto per dire anche a me è capitata una mail malware con il nome di un impiegato, non so come hanno fatto ad indovinarlo ma è successo, io stesso sono rimasto interdetto.


Cari signori i casi sono 2
1)gli utenti sono utonti,coglioni e clueless, e i soli furbi sono qui sul forum
2)tutto il paradigma è sbagliato

Adesso rileggiamo tutti questa frase e poniamoci delle domande:

Quote:

Originariamente inviato da TheBo

Per fortuna l'azienda gira su as/400 e da quell'aspetto ci siamo salvati.

[zappy]

Quote:

Originariamente inviato da *aLe

Sono due cose diverse...
O è un exe mascherato da pdf (ed è un modo) oppure il codice malevolo è davvero all'interno del documento.

Per esempio, se ti arriva un file di word con dentro una macro malevola è proprio un file di word, non è un nomefile.docx.exe o roba simile, è proprio un nomefile.docx al cui interno è salvata una macro che si va a prendere da internet il malware e lo esegue.
Lo stesso immagino succeda coi file pdf.

premesso che propendo per il caso dell'exe mascherato, questo è uno dei motivi perchè sulla mia macchina nessun sw ha permessi di "uscita" dal firewall, e men che verso porte http e ftp ecc.
fatto salvo ovviamente il browser.
word o adobe reader non hanno nessun bisogno di andare a spasso per il web.
Quanto a word, ti viene chiesto se vuoi eseguire le macro.
reader non ha le macro ma può incorporare javascript, funzione disabilitabile (e nel mio caso disabilitata) dalle opzioni.

[zappy]

Quote:

Originariamente inviato da Therinai

in effetti mi viene il dubbio, forse era uno zip o un .pdf.exe -Ma orrmai ho eliminato la mail quindi non posso accertarmene.

qualcuno dice anche che il virus si prende anche solo aprendo la mail (non l'allegato). pure qua ho forti dubbi...
Si, teoricamente se include un javascript potrebbe essere eseguito, ma i client tipo thunderbird (o anche i vecchi outlook express se correttamente configurati) ovviamente NON lo permettono.
I webclient sono un po' più critici, perchè in realtà non sai come sono fatti/configurati. Motivo per cui preferisco possibilmente un client locale.

[*aLe]

Quote:

Originariamente inviato da zappy

Quanto a word, ti viene chiesto se vuoi eseguire le macro.

Sicuramente... Quanti secondo te leggono l'avvisetto giallo in alto prima di clickare "OK"? Secondo me, meno di quelli che controllano l'estensione del file documento.pdf.exe prima di aprirlo.

Diciamo che in buona parte dei casi (quando non si tratta di visite a siti infetti che con qualche exploit ti scaricano il pacchettino sul PC senza che tu sospetti di nulla), questo malware necessita dell'autorizzazione dell'utente per girare.

Dicevo nell'altro thread (ce n'è uno in "Aiuto sono infetto" di 50+ pagine sull'argomento) che il passaparola, nel mio caso, ha salvato diverse persone che altrimenti sarebbero state totalmente ignare e quindi facilmente attaccabili.
È bastato dirgli "ragazzi guardate bene i nomi dei file che vi arrivano per mail: se c'è scritto exe o bat o scr alla fine, nel dubbio NON aprite" per fare in modo che exe mascherati da documenti non facessero danno, e dirgli "leggete bene cosa vi dice Word o Excel, se parla di contenuto attivo o roba del genere NON eseguitelo a meno che non sappiate esattamente di cosa si tratta" per mitigare l'attacco delle macro.

Certo trovi sempre l'utente che si crede il più furbo e che vuol fare di testa sua, è qui che diventa importante avere a disposizione un buon backup.

[zappy]

Quote:

Originariamente inviato da rockroll

Ma una macro non dovrebbe essere solo un richiamo ad operazioni ripetitive parametrizzate, ma sempre e solo operazioni previste nel contesto e nelle finalità dell'ambito in cui il prodotto lavora?
Se qualche genio M$ o Adobe (peggio ancora) ha ben pensato di dare la possibilità a macro e simili artifizi di fare senza alcun controllo qualunque cosa imprevista che nulla c'entra con l'ambito e le finalità suddette, complimenti davvero a costoro!

Insomma, mi state dicendo che qualunque accozzaglia di comandi operativi (codice eseguibile o interpretato che sia), annidata/travestita da .docx o .doc o .pdf, è libera di fare qualunque cosa (o richiamare chi per lei lo faccia) come se fosse direttamente un .exe (o .com o .bat ...), anche se la sua estensione è tutt'altra ed il suo compito è gestire banali documenti stampabili??? Andiamo bene davvero!

non ho mai scritto macro maligne, ma ti posso dire che:
- dalla macro puoi "chiamare" qualunque dll per farle fare delle cose (per es recuperare i dati exif della tua collezione di foto o titolo-autore dei tuoi mp3 e usarli in office).
- puoi probabilmente scrivere un file di testo e chiamarlo pincopallo.bat.
- suppongo che si possa anche accedere a internet "di nascosto" dalla macro, non ho mai provato ma cmq si può chiamare pagine web in una finestra di dialogo.
sono cose comode che il 90% degli utenti non sa manco che esistono e non servono.

in OGNI CASO, word ti chiede SE vuoi eseguire le macro. Se le esegui... beh, come dire...

[zappy]

Quote:

Originariamente inviato da *aLe

Sicuramente... Quanti secondo te leggono l'avvisetto giallo in alto prima di clickare "OK"? Secondo me, meno di quelli che controllano l'estensione del file documento.pdf.exe prima di aprirlo.

che ti devo dire? hai ragione
purtroppo di solito il fatto che uno sia capace di EVITARE danni non viene molto apprezzato in giro... Non so se mi sono spiegato

[fraussantin]

Quote:

Originariamente inviato da zappy

che ti devo dire? hai ragione
purtroppo di solito il fatto che uno sia capace di EVITARE danni non viene molto apprezzato in giro... Non so se mi sono spiegato

Se peró si apre un pdf e parte l'uac , qualche sospetto dovrebbe venire...

[*aLe]

Quote:

Originariamente inviato da fraussantin

Se peró si apre un pdf e parte l'uac , qualche sospetto dovrebbe venire...

"UAC? Chi era costui?" (semi-cit.)

A parte gli scherzi, con le versioni più recenti l'hanno tranquillizzato (indebolito?) un po', ma io ricordo un sacco di persone su Vista che lo disattivavano perché "Io col mio PC voglio farci quello che voglio, non me lo deve dire MS cosa posso farci. E poi è anche scomodo".

[fraussantin]

Quote:

Originariamente inviato da *aLe

"UAC? Chi era costui?" (semi-cit.)

A parte gli scherzi, con le versioni più recenti l'hanno tranquillizzato (indebolito?) un po', ma io ricordo un sacco di persone su Vista che lo disattivavano perché "Io col mio PC voglio farci quello che voglio, non me lo deve dire MS cosa posso farci. E poi è anche scomodo".

Questo è vero. Anzi molti assemblatori lo disattivavano di serie , forse nella speranza di fare qualche intervento di assistenza in più

[adapter]

Quote:

Originariamente inviato da *aLe

"UAC? Chi era costui?" (semi-cit.)

A parte gli scherzi, con le versioni più recenti l'hanno tranquillizzato (indebolito?) un po', ma io ricordo un sacco di persone su Vista che lo disattivavano perché "Io col mio PC voglio farci quello che voglio, non me lo deve dire MS cosa posso farci. E poi è anche scomodo".

Il problema con UAC è sempre lo stesso e di annosa questione.
Quando hai 10 .exe da installare e per ognuno di essi ti vedi apparire sta finestrella con su scritto SI-NO alla fine diventa un riflesso normale e incondizionato clikkare sempre su SI.
Sarebbe arrivato anche il momento di blindare tutte le installazioni esterne e passare solo per lo STORE. Gran parte dei problemi si risolverebbero già solo così.
Certo, per il problema oggetto del topic sarebbero comunque cazzi...Sti malvagi ci stanno facendo un bel business con sta storia del riscatto.
Bastardi...

[fraussantin]

Quote:

Originariamente inviato da adapter

Il problema con UAC è sempre lo stesso e di annosa questione.
Quando hai 10 .exe da installare e per ognuno di essi ti vedi apparire sta finestrella con su scritto SI-NO alla fine diventa un riflesso normale e incondizionato clikkare sempre su SI.
Sarebbe arrivato anche il momento di blindare tutte le installazioni esterne e passare solo per lo STORE. Gran parte dei problemi si risolverebbero già solo così.
Certo, per il problema oggetto del topic sarebbero comunque cazzi...Sti malvagi ci stanno facendo un bel business con sta storia del riscatto.
Bastardi...

Ma anche no.

Primo android ha dimostrato che non è sicuro lo stesso .

Secondo realtà come steam , origin, e altre cose sparirebbero.


Casomai si potrebbe creare una lista di exe certificati sicuri e escluderli dall'uac.

[adapter]

Quote:

Originariamente inviato da fraussantin

Ma anche no.

Primo android ha dimostrato che non è sicuro lo stesso .
Secondo realtà come steam , origin, e altre cose sparirebbero.
Casomai si potrebbe creare una lista di exe certificati sicuri e escluderli dall'uac.

E infatti Android non è sicuro perché molti ragionano come se davanti avessero windows.
Scaricano l'APK da sarcaxxo dove e poi si impestano.
Blinda lo store, obbliga tutti a passare di la e vedrai che, come ho detto, risolvi gran parte dei problemi.

[fraussantin]

Quote:

Originariamente inviato da adapter

E infatti Android non è sicuro perché molti ragionano come se davanti avessero windows.
Scaricano l'APK da sarcaxxo dove e poi si impestano.
Blinda lo store, obbliga tutti a passare di la e vedrai che, come ho detto, risolvi gran parte dei problemi.

no sul play store ci sono state app ''maligne'' in più occasioni. è impossibile controllare tutto il codice di un fiume di app che si aggiornano ogni giorno. e sono le più pericolose perché uno no se lo aspetta.

blindare lo store serve solo a creare un sistema di non concorrenza dove i prezzi aumentano e i costi sono di grand lunga superiori a riformattare un pc per i virus.



cmq oggi mi sono ritrovato tutti e 4 i core del processore a 100% ..... credevo fosse il cryptolocker , invece era solo un assassin creed 5