Ransomware: Prevenzione e soluzioni

[MrRobot20]

Quote:

Originariamente inviato da x_Master_x

Ransomware: Prevenzione e Soluzioni


Premessa

Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta

Complimenti per la guida, super completa e dettagliata. Per dare ancora più enfasi a quanto hai detto e scritto, aggiungo solo le parole riportate nel comunicato del CERT (agenzia per l'italia digitale):
"La campagna ransomware WannaCry sta provocando danni in termini di informazioni che non sarà più possibile recuperare."
(fonte: EDIT])
Cioè andate per sempre.
E questo mi ricorda tanto alcune puntate di Mr. Robot
Purtroppo troppe persone non hanno ancora piena consapevolezza di cos'è una cyber war e di cosa significhi.
La mappa in tempo reale di Norse Corp è inquietante.
http://map.norsecorp.com/
Spero di aver dato un piccolo contributo alla discussione.

[TonyVe]

@MrRobot20

Per cortesia, non quotare l'intera guida laddove non serve.
Se non ti è chiaro un punto cita con il quote, od altro, il singolo punto...se no si allunga senza motivo la discussione.

Grazie.

[TonyVe]

Ragazzi...a me il test TCP Port Scan di Pentest-tools va sempre in "Tool execution timed out".
Il setting impostato è da porta 1 a 65535 e paremetro Don't ping host (-Pn)

Arriva a circa il 60% e si ferma...

Idee?

Grazie


EDIT: ovviamente il parametro -Pn lo attivo perché senza ricevo "Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn"

[Paky]

fallo in 2 o 3 trance

1) spesso si pianta il servizio
2) probabile il router rileva il port scan e blocca

[TonyVe]

Quote:

Originariamente inviato da Paky

fallo in 2 o 3 trance

Sono proprio rincoccò.
Non ci avevo pensato.
Quanto sono belli i forum!

[Robby The Robot]

Quote:

Originariamente inviato da PPK

Ho usato questa guida per disabilitare Smbv1 e Smbv2
https://support.microsoft.com/it-it/...windows-server

Volevo farlo pure io dal registro di sistema ma in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters non c'è SMB1 (neanche SMB2).

[Paky]

Quote:

Originariamente inviato da PPK

Qualche suggerimento?

si , di postare nel 3d del tuo router , credo sia più appropriato

[TonyVe]

Ciao ragazzi, lato TCP tutto ok.

Lato UDP, con il famoso pentest-tools:

Codice:

Starting Nmap 6.00 ( http://nmap.org ) at 2017-05-23 17:27 EEST
Initiating UDP Scan at 17:27
Scanning xxxxxxxxxxxxxxxxxxxx (xx.xxx.xxx.xxx) [21845 ports]
UDP Scan Timing: About 9.40% done; ETC: 17:33 (0:04:59 remaining)
UDP Scan Timing: About 18.49% done; ETC: 17:33 (0:04:29 remaining)
UDP Scan Timing: About 27.57% done; ETC: 17:33 (0:03:59 remaining)
UDP Scan Timing: About 36.68% done; ETC: 17:33 (0:03:29 remaining)
UDP Scan Timing: About 64.35% done; ETC: 17:31 (0:01:24 remaining)
Completed UDP Scan at 17:30, 158.83s elapsed (21845 total ports)

[+] Nmap scan report for xxxxxxxxxxxxxxxxxxxx (xx.xxx.xxx.xxx))
Host is up (0.056s latency).
Not shown: 21844 open|filtered ports

PORT    STATE  SERVICE
161/udp closed snmp


Nmap done: 1 IP address (1 host up) scanned in 158.90 seconds
           Raw packets sent: 21857 (613.407KB) | Rcvd: 292 (31.830KB)

Per la porta 161 ho già letto, ma non saprei in cosa identificare l'hardware per determinare quale la userebbe, pur essendo chiusa stando allo scan.

Per le 21844 lì segnalate (ho fatto tre scansioni 1-21845/21845-43690/43690-65535) è in uso solo il Firewall di un modem/router Tp-Link Archer D5 che di base è settato in:

Quote:

This device can restrict Internet activity for specified LAN hosts. You can set and combine access control rules to effectively manage your network.

Enable Firewall Flaggato.


Default Filtering Rules
Allow the packets not specified by any filtering rules to passthrough this device.
Deny the packets not specified by any filtering rules to passthrough this device.

Note: The device will match the incoming packet with the enabled filtering rules one by one down the list and apply to the first matching rule. If the packet is not specified by any filtering rules within the list, then the Default Filtering Rule will take effect.

Attualmente è flaggata la voce ALLOW.
Non ci sono regole sottostanti né per allow né per deny.
Dovrei impostare su Deny e poi abilitare i vari IP della LAN a ricevere o non ricevere dati su determinate porte X da me configurate?


Oltre al Firewall di Windows 10 Pro x64, che è tenuto a default e qualche programma, lecito, mi ha chiesto l'accesso alla rete.

C'è modo di testare con altri tool le suddette porte o averle chiuse in maniera certa?

Grazie.

[gerko]

Ho fatto lo scan anch'io, anche perchè non riesco ad installare la patch per WCY.
Il risultato è questo.



Risulta aperta solo la 21 se non ho capito male.

[Paky]

e tutte le altre elencate dopo sono visibili anche se chiuse

[gerko]

è un problema?

[gerko]

Scusate, ma oltre la patch per Windows n° KB4012598 , è uscito anche un pacchetto che la include?
Perchè sono riuscito ad avviare Windows update che avevo bloccato, ma nei vari aggiornamenti che mi ha trovato non risulta. Inoltre se provo ad installarla da sola mi esce errore "Programma di installazione Windows update autonomo. Impossibile installare l'aggiornamento"

[Paky]

si è inglobata in altre

[top secret]

Buongiorno,
scusate se mi intrometto, ma sono praticamente bloccato da quasi UN anno in una situazione simile.

Cioè questa qui:
- http://www.hwupgrade.it/forum/showthread.php?t=2786332

Dispongo di una copia dei file corrotti e NON ho mai formattato il PC sui cui è avvenuta questa strage di file.

Pensate che riuscirò mai a recuperare i miei file?

Grazie in anticipo e scusate l'intromissione.

[gerko]

Se uso una LIVE, e mi becco un ransomware, può arrivare ai dischi? Stessa domanda per un sistema virtualizzato.

[-tony-]

Salve a tutti,

è qualche giorno che sono particolarmente preoccupato per la questione dei ransomware.

In pratica a casa mia abbiamo 4 computer collegati alla rete wi-fi attraverso un router. Due dei quali li controllo io, quindi mi sento relativamente sicuro. Utilizzo tutte le classiche precauzioni.

Mentre ci sono altri due PC di cui non ho il controllo, vengono utilizzati da persone inesperte...

Nella rete in questione non ci sono cartelle condivise, c'è solo una stampante.

Nel momento in cui un ransomware riuscisse a colpire uno di questi PC, che probabilità ci sono che tutti i computer collegati alla rete vengano infettati?
C'è un modo per "isolare" i computer mantenendo comunque la condivisione della stampante?

Grazie a chiunque mi darà una mano

[TonyVe]

Quote:

Originariamente inviato da -tony-

Nel momento in cui un ransomware riuscisse a colpire uno di questi PC, che probabilità ci sono che tutti i computer collegati alla rete vengano infettati?

è proprio quello che fa il penultimo "famoso" petya, prima di "crittografare" controlla tutta la LAN in cerca di PC in rete...

[-tony-]

Quindi non c'è modo di tutelarsi nel momento in cui viene infettato un pc?

[TonyVe]

Quote:

Originariamente inviato da -tony-

Quindi non c'è modo di tutelarsi nel momento in cui viene infettato un pc?

Non sono un esperto, attendi qualcuno più preparato di me.
Però ti cito cosa fa(ceva) Petya una volta insidiatosi nel PC:

Quote:

Originariamente inviato da Symantec

IP address and credential gathering
Petya builds a list of IP addresses to spread to, which includes primarily addresses on the local area network (LAN) but also remote IPs. The full list is built as follows:

All IP addresses and DHCP servers of all network adaptors
All DHCP clients of the DHCP server if ports 445/139 are open
All IP addresses within the subnet as defined by the subnet mask if ports 445/139 are open
All computers you have a current open network connection with
All computers in the ARP cache
All resources in Active Directory
All server and workstation resources in Network Neighborhood
All resources in the Windows Credential Manager (including Remote Desktop Terminal Services computers)
Once the list of target computers has been identified, Petya builds out a list of user names and passwords it can use to spread to those targets. The list of user names and passwords is stored in memory. It uses two methods to gather credentials:

Gathers user names and passwords from Windows Credential Manager
Drops and executes a 32bit or 64bit credential dumper

Quindi prima di eseguire il riavvio del PC con il finto controllo del disco, che in realtà va a crittografare...lui fa tutte quelle operazioni, anche LAN/di rete, al fine di costruirsi una lista di macchine da infettare.

[FiorDiLatte]

Quote:

Originariamente inviato da -tony-

Quindi non c'è modo di tutelarsi nel momento in cui viene infettato un pc?

Se non c'è una condivisione attiva dubito che un ransomware riesca a crittografare altri pc in una rete lan.


bye