Ransomware: Prevenzione e soluzioni

[zerothehero]

Quote:

Originariamente inviato da Chill-Out

Per quanto "scomodo" leggere la posta dal WEB

PS: per la cronaca TeslaCrypt è giunto alla versione 4.1

Non fattibile..outlook mi serve anche per categorizzare e archiviare i decretini che inviamo alla ragioneria.

[Chill-Out]

Quote:

Originariamente inviato da zerothehero

Non fattibile..outlook mi serve anche per categorizzare e archiviare i decretini che inviamo alla ragioneria.

Non conosco per ovvi motivi le tue esigenze nello specifico.

[zerothehero]

Fino a poco tempo fa poi lo spazio era di soli 100 megabyte, ora si sono degnati di portarlo a 400 megabyte..sono molto umani.
Cmq nei giorni venturi presidio la posta anche solo per sperare di trovare qualche succoso ramsomware..oggi è andata buca.

[Bulldozer28]

Quote:

Originariamente inviato da Phoenix2005

Si tratta della versione 4.0 di TeslaCrypt. Sicuro di aver utilizzato l'ultima versione del decoder?

http://download.bleepingcomputer.com.../changelog.txt

http://www.bleepingcomputer.com/foru...-by-teslacrypt

Qui altre info:
http://www.ransomware.it/teslacrypt-...non-modificata

si, l'ho scaricata stamattina proprio da quel link...
il problema è che apro teslaviewer, clicco su browse per cercare un file criptato e quando vado in una cartella qualsiasi, a prendere un qualsiasi file criptato, il programma non me li vede come file apribili dal programma (in pratica se in una cartella ci sono solo immagini criptate lui mi vede la cartella vuota e non ho nessun file da poter aprire nel programma)....

[Averell]

Quote:

Originariamente inviato da zerothehero

Dilusione di diludendo..ho portato la bestiolina a casetta ed è un banale vairus.

uh?



Rokku (Siffredu??)(come praticamente tutti gli altri fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)...castrato proattivamente da Alert 3

(e sicuramente da Sandboxie nonchè da qualsiasi altro antieseguibile)...

[giovanni69]

Quote:

Originariamente inviato da zerothehero

Non fattibile..outlook mi serve anche per categorizzare e archiviare i decretini che inviamo alla ragioneria.

...e poi c'è Outlook ed... Outlook. Certo che se stiamo parlando di Outlook di Windows XP vs Outlook di una suite di Office 2010/13/16 , credo che siamo in altro paio di maniche dato che per il primo non esiste più alcun supporto di sicurezza mentre per le seconde, almeno quelle, per quanto limitate in questo caso, sì.

[zerothehero]

è la 2010 se non ricordo male...cmq in settimana cambiamo le ultime due macchine con xp con seven...sono riuscito a farmi prendere due discrete macchine abbastanza moderne con ssd + i5 + ram abbondante (8 giga).

Sul sandboxie me lo uso a casa per imparare ad usarlo...male non fa.
In ufficio il criptoprevent (configurazione default ) pare non dare fastidio ai programmi...quindi lo metto anche sulle future 2 macchine.

[ecro]

Quote:

Originariamente inviato da Averell

uh?



Rokku (Siffredu??)(come praticamente tutti gli altri fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)...castrato proattivamente da Alert 3

(e sicuramente da Sandboxie nonchè da qualsiasi altro antieseguibile)...

averell te usi Hitman pro?che tu sappia Petya viene bloccato da Hitman?grazie

[cagnaluia]

Tra le cose che installo per avere un ulteriore livello di protezione e vedo funzionare benino c'è anche k9webprotection.
http://www1.k9webprotection.com/

spesso quando qualcuno clicca un link su una mail ad un sito web malevolo, lui lo riconosce, si intromette e blocca la pagina.

il servizio è gratuito per uso personale.

Qualcuno sa se esistono altri prodotti simili che funzionano altrettanto bene?


PS: ieri mi è capitato di installarlo su un PC nuovo con Windows 7 e appena ho aperto una pagina è crashato windows, schermata blu su una DLL di k9webprotection.

[Averell]

Quote:

Originariamente inviato da ecro

averell te usi Hitman pro?che tu sappia Petya viene bloccato da Hitman?grazie

Più passano gli anni e più mi rendo conto di risultare evidentemente poco chiaro quando esprimo un qualsivoglia pensiero...

Se invece di questo

Quote:

Originariamente inviato da Averell

Rokku (come praticamente tutti gli altri fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)...castrato proattivamente da Alert 3

avessi scritto

Rokku castrato proattivamente da Alert 3 (come praticamente tutti gli altri [NDR: Ransomware] fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)?

In poche parole, blocca (ad oggi) tutti i Ransom ad eccezione di Petya che non è un Ransomware in senso stretto (visto che i singoli file non vengono criptati)..
Ho aggiunto anche al momento! perchè, evidentemente, ci sono importanti novità all'orizzonte...

Chissà se stavolta il pensiero risulta sufficientemente chiaro...

[Unax]

perchè dici che non è un ransomware?

un ricattatore è un ricattatore indipendentemente dal metodo che usa

e quindi se un software ti chiede un riscatto per poter accedere agevolmente ai tuoi file è un ransomware

[Averell]

perchè non cripta i singoli file! (che rimangono quindi IN CHIARO!) ma l'elemento che gestisce l'organizzazione dei dati sul disco...e siccome Alert 3 (come MBAR) ha come fine impedire esclusivamente la codifica dei singoli file (e non...), va da se che*...

Ad ogni modo, a brevissimo implementeranno una tecnologia contro qualsiasi forma di file infector (e cosi' virus distruttivi come Sality saranno un ricordo anche per questa soluzione) più tante altre cose (per contrastare anche tecniche 'alla Petya')...

Il tutto, da un software che da fondamentalmente il meglio di se in qualità di AntiExploit...a 20€/l'anno


* o è necessario che prosegua perchè non ci si arriva da soli??

[ecro]

Fammi il disegnino

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

[Unax]

Quote:

Originariamente inviato da Averell

perchè non cripta i singoli file! (che rimangono quindi IN CHIARO!) ma l'elemento che gestisce l'organizzazione dei dati sul disco...e siccome Alert 3 (come MBAR) ha come fine impedire esclusivamente la codifica dei singoli file (e non...), va da se che*...

Ad ogni modo, a brevissimo implementeranno una tecnologia contro qualsiasi forma di file infector (e cosi' virus distruttivi come Sality saranno un ricordo anche per questa soluzione) più tante altre cose (per contrastare anche tecniche 'alla Petya')...

Il tutto, da un software che da fondamentalmente il meglio di se in qualità di AntiExploit...a 20€/l'anno


* o è necessario che prosegua perchè non ci si arriva da soli??

che Peyta abbia un meccanismo diverso non ci piove ma ransomware significa letteralmente malware che chiede un riscatto

da wikipedia https://it.wikipedia.org/wiki/Ransomware

Un Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

come vedi la criptazione dei singoli file è uno solo dei metodi per forzare il pagamento di un riscatto

o come dici tu

* o è necessario che prosegua perchè non ci si arriva da soli??

[Averell]

bene, segnalalo direttamente agli sviluppatori perchè Wikipedia dice che il ransom in realtà è definito come...


E io che ci perdo anche tempo...

[Bulldozer28]

Quote:

Originariamente inviato da Phoenix2005

Prova così...prendi un qualsiasi file cifrato (assicurati che il file in questione lo sia realmente! magari lanciandolo con il programma ad esso collegato), ad es.

mio-file.jpg

dove "mio-file.jpg" è il nome del tuo file cifrato e rinominalo in:

mio-file.jpg.vvv

Poi caricalo con TeslaViewer.exe

Se ti esce fuori questo errore:
ERROR - Unknown or invalid format

...allora vuol dire che il formato non è attualmente supportato e quindi ti toccherà aspettare (e sperare).

si esce unknown or invalid format

[Unax]

Quote:

Originariamente inviato da Averell

bene, segnalalo direttamente agli sviluppatori perchè Wikipedia dice che il ransom in realtà è definito come...


E io che ci perdo anche tempo...

non è questione di perderci tempo o meno o wikipedia, solo che senza farci una questione etimologica è evidente che qualunque software che ti chiede un riscatto è un ransomware (la parola ransom vuol dire riscatto) indipendentemente dal metodo che usa per indurti a pagare, metodo che potrà essere più o meno efficace

quindi anche Peyta è un ransomware in senso stretto e in senso largo

che poi Alert 3 sia programmato solo per impedire di criptare i singoli file è irrilevante, non è mica Alert 3 che definisce una categoria di malware

mica un trojan cessa di essere un trojan solo perchè il tuo software di protezione ti protegge solo dai worm, così come un virus è un virus anche se il tuo antivirus non lo riconosce come tale

così come anche robin hood per la legge è un ladro anche se ruba ai ricchi per dare ai poveri e lo sceriffo è antipatico

[ecro]

questa opzione previene Petya?

[Unax]

credo dipende da come il malware peyta va a scriversi nel MBR

[x_Master_x]

Assolutamente no, quell'opzione non protegge da modifiche all'MBR. Vi ricordo che tale modifica richiede diritti amministrativi, con UAC al massimo ( con Peyta anche standard, visto che non usa procedure di bypass dell'UAC ) bisogna cliccare su "Sì" ergo con il "cervello accesso" vedo difficile infettarsi a meno che non si clicchi a caso su ogni messaggio che appare. É inefficace con UEFI-GPT con o senza Secure Boot, meglio se attivo. Altri ransomware non hanno bisogno di tali diritti e sono quelli i più pericolosi a mio avviso.