Allarme Cryptovirus: prevenire per non pagare il riscatto

[vigogiu]

Spiace vedere come Bitcoin venga usato per questi scopi... a questo punto mi aspetto che i governi comincino a dichiararlo illegale come si ipotizza già da tempo. Probabilmente con i consueti metodi di pagamento (tracciabili) questi ransomware non avrebbero motivo di esistere

[Italia 1]

Ma se uno invece controlla costantemente la posta solo tramite sito (come faccio io), sta sicuro ? Ogni tanto mi faccio delle immagini di sistema

[insane74]

Quote:

Originariamente inviato da Italia 1

Ma se uno invece controlla costantemente la posta solo tramite sito (come faccio io), sta sicuro ? Ogni tanto mi faccio delle immagini di sistema

io me lo sono beccato sul PC del lavoro semplicemente navigando (non ho aperto nessuna mail, né allegati o altra azione "diretta").
il buon antivirus aziendale "Symantec Endpoint Protection" non s'è accorto di nulla...

[Paky]

ma il browser era aggiornato?
usavi un noscipt / adblock?

semplicemente navigando su siti "tranquilli" l'infezione è davvero improbabile

[StIwY]

Da quando questi ransomware hanno fatto capolino, ho smesso di fare il backup automatico con FreeFileSync. Meglio tenere un paio di hard drives, da usare esclusivamente per il backup in modo alternato, ed una volta terminata la copia, spegnerlo.

[Italia 1]

Quote:

Originariamente inviato da Paky

ma il browser era aggiornato?
usavi un noscipt / adblock?

semplicemente navigando su siti "tranquilli" l'infezione è davvero improbabile

Effettivamente: adblock plus ed un pò di attenzione a ciò che si clicca / apre, dovrebbe essere piu che sufficiente. Sul pc con win10 uso solo Defender di Windows e mai avuto problemi (ancora)

[igiolo]

Quote:

Originariamente inviato da Goofy Goober

quindi è un pdf pieno di caratteri strani che "costringono" adobe reader a collegarsi?
e a collegarsi a dei server sbagliati?
strano cmq...
cmq configurando adobe per non effettuare nessuna connessione non si risolve?
o meglio ancora lo si blocca da firewall.

a me fa anche impressione che abbiano mandato il file riuscendo ad usare la posta del commercialista, e lo abbiano chiamato apposta F24.
sembra una cosa fatta ad-hoc per far danni ad un dato soggetto, come se sapessero che stava aspettando un F24.

non credo facciano social eng, xò ti vien da pensarlo.
io sono convinto che in qualche modo analizzino le email in uscita di una azienda.

[igiolo]

Quote:

Originariamente inviato da Braccop

si, per ora

tieni in considerazione che dietro a questi malware c'e' un giro di decine (se non centinaia) di milioni di dollari all'anno percui gli sviluppatori continuano a perfezionarli e renderli sempre piu' efficaci, e il passo tra una share mappata ed una no e' veramente breve.

se vuoi stare al sicuro, metti la condivisione in sola lettura, e fai accedere il software di backup tramite FTP per la scrittura dei dati

non si limitano alle sole unità di rete.
Beccano TUTTE le share di rete ove possono scrivere.
Si fermano invece coi DFS e NFS, non riescono a scriverci o cmq a manovrarci sopra, ovviamente X ORA.

[insane74]

Quote:

Originariamente inviato da Paky

ma il browser era aggiornato?
usavi un noscipt / adblock?

semplicemente navigando su siti "tranquilli" l'infezione è davvero improbabile

guarda, non ricordo quale browser di preciso stavo usando, perché oltre al PC "fisico" (con win 7) uso contemporaneamente due VM (con win xp).
non so da dove è "partita", fatto sta che non è stata "intercettata" e il bastardello mi ha criptato sia il disco fisico, che una delle due VM (l'altra fortunatamente non aveva il disco "sharato", che tutte le unità di rete mappate.
la roba mia ovviamente l'ho persa, mentre quello che c'era sulle unità di rete l'hanno recuperato dai backup.
poi i responsabili IT hanno impiegato mezza giornata (e 5 diversi tool, non so quali) per sgamare l'infame e sradicarlo (a quanto pare era finito dentro la VM).

vabbè, fortuna che non è stato un gran danno.

[igiolo]

Quote:

Originariamente inviato da nn020

Alla fine l'UAC non fa quello? poi non so se funziona anche con un .bat

no ci vuole un software di app. execution.
tipo kaspersky ha il suo modulo che controlla gli eseguibili permessi e non (controllo tramite md5).
ma non puoi creare regole simili...almeno che non siano thinclient o poco +

[igiolo]

Quote:

Originariamente inviato da texfan749

Grazie dell'illuminante articolo, ma ci sono tante domande però sull'argomento.

Facciamo una premessa:
Ho windows 7 aggiornato con : antivirus free aggiornato, con un programma che fa da firewall, con l'UAC al massimo, vari programm installati (Adobe, office, ecc), connessione a internet sempre presente, un hard disk che collego ogni tanto ecc. Credo di essere nella media degli utenti, e NON APRO EMAIL STRANE .

Tramite email ormai è risaputo che si può prendere un virus.
Aprendo un allegato di un contatto noto, ( cito il caso detto a pagina 4 del file pdf) e il file pdf è infetto, si prende un virus senza poterci fare nulla, giusto?
Si possono trasportare tramite pen drive usb questi cryptolocker? mi riferisco all' amico che ti passa il video del compleanno, appunti di scuola, una presentazione ppt o un pdf.

Da google tramite ricerca, clicco sulla pagina di FB e entro nella pagina iniziale quella per il login. Se il sito è stato infettato, il fatto di aver aperto la pagina mi espione automaticamente a rischio anche se non ho cliccato su nulla all'interno della pagina?

Utilizzare l'tente GUEST su windows 7 serve veramente a qualcosa? Se mi passano un virus qualsiasi, anche un cryptolocker, tramite pennina o la becco su un sito, che mi può succedere.

Dubbi banali i miei, ma vorrei sapere cosa ne pensate.

che io sappia alcuni di loro si propagano via usb.
TI posso dire che è successo nella mia azienda.
MAil dall' "ENEL" , fatta veramente veramente bene, con link esterno
seguendo il link, la ovvia pagina di pishing, fatta anche lei benissimo, con l'eseguibile in download (previo chaptca).
Innanzi tutto , anche se ti fossi fermato, intanto anche solo cliccando sul link (che ovviamente non portava ad enel.it) confermi la tua mail, in quanto c'è l'indirizzo in coda tipo

http://brestenberger-fafafa.ch/1F7sB...@tuaazienda.it

(tranquillo, è un link morto)
in pratica anche solo cliccando, confermi l'esistenza del dominio (e difatti lo spam MIRATO è aumentato tantissimo).
dopo di che ti scarica il tuo buon "fattura_enel_.pdf.exe", con tanto di icona pdf ecc.
doppio clic, UAC subentra e chiede una EOP (che serve soltanto x farlo lavorare con privilegi diversi o per farlo arrivare in cartelle protette dall'uac stesso).
ma il succo non cambia.
perchè fa un qualcosa che alla fin fine è lecito, e l'antivirus è "vecchio" da sto punto di vista xkè non riconosce il fingerprint del file, ma soprattutto , ancora + grave, non riconosce le attività illecite (euristica).
insomma questo virus fondamentalmente è come se tu avessi truecrypt e lo applicassi ai tuoi file.
Agisce su TUTTE le connessioni di rete, unità di rete mappate, dischi remoti e share.
dove ovviamente ha diritti di scrittura, ma in pratica fa un "net view" di tutta la rete.
per mia grazia ha risparmiato le cartelle DFS (mappate su un disco di rete), qui non è riuscito ad interagire.
avevo il terrore che si riuscisse ad inoculare ed eseguire sui server, e qui sarebbe stato game over.
invece alla fine ha toccato solo gli share con *everyone* oppure con l'utente in questione come privilegi.
Insomma 15gb di backup ripristinati e via.
il discorso backup è lo stesso, se la share (o l'unità mappata) è in accesso DIRETTO con le stesse credenziali degli utenti (e non un utente BACKUP x esempio), siete fregati.
Credo che lavorare sui backup ed i metodi di backup sia la via + sicura e veloce per pararsi le chiappe in caso di infezione.

[igiolo]

Quote:

Originariamente inviato da threnino

caro, non mettermi in bocca cose che non ho detto.
Tu hai risolto brillantemente un potenziale problema grave perchè ne avevi la possibilità e lo sai fare.
Ci sono ALTRE REALTA' che usano applicativi che per linux non esistono e quindi le macchine si interfacciano ESCLUSIVAMENTE tramite Windows, in particolare sono macchine talmente antiche da un punto di vista digitale che hanno driver solo per XP.
Quindi cosa facciamo? Installiamo linux e buttiamo via 20k€ di strumento o teniamo WinXP e insegnamo alle persone cosa NON devono fare?
In molti casi è necessario seguire questa strada. Educazione informatica, chi deve essere responsabile di questa formazione è probabilmente il reparto IT, ma se dopo una corretta formazione l'utente continua a sbagliare la palla passa a lui

sottoscrivo l'educazione informatica e la presa di coscienza di una sorta di responsabilità d'utilizzo.
con gli ovvi limiti di un utente office, ma intanto diamogliela sta minima conoscenza
mi fanno incazzare quando invece NON NE VOGLIONO sapere, ti ridono in faccia con i vari "e ma ci sei tu per queste cose"..

grrrr

[igiolo]

adesso stanno uscendo pure gli allegati

.docm

Macro di word...che in automatico scaricano ed installano quel che dicono loro.
evviva ...

[igiolo]

Quote:

Originariamente inviato da gianluca.f

se io non mappo con una lettera l'hard disk ma uso il link diretto che ci sia qualche possibilità di sfuggire? che ne pensate?

no, anche i vari share


\\mioserver\condivisa1

vengono spalmati senza nessun problema.

[Paky]

Quote:

Originariamente inviato da igiolo

dopo di che ti scarica il tuo buon "fattura_enel_.pdf.exe", con tanto di icona pdf ecc.

l'anello debole rimane sempre l'utente
basterebbe fare brevi e semplici corsi per spiegare queste cose basilari

Quote:

Originariamente inviato da igiolo

adesso stanno uscendo pure gli allegati

.docm

Macro di word...che in automatico scaricano ed installano quel che dicono loro.
evviva ...

si ma le macro sono disattivate di default
quindi il problema è sempre l'utente

[Mory]

ho visto su un pc di un cliente che ha preso un cryptovirus che gli ha criptato tutti i documenti aggiungendo l'estensione .mp3 ma ha lasciato intatti i file avi che funzionano ancora.
quindi immagino che in quel caso se lui avesse avuto un file di backup zippato con estensione modificata a .avi non avrebbe avuto problemi a recuperarlo mentre lasciando .zip se lo sarebbe comunque trovato criptato.
con questo voglio dire che i cryptovirus non criptano tutti i file ma solo quelli con le estensioni più famose e usate per i documenti, quindi facendosi un backup zippato in locale con estensione .123 ad esempio non dovrebbero esserci rischi di perderlo

[Paky]

il concetto fondamentale è
questi dati sono importanti per me?

se si non vanno tenuti SOLO sul PC

l'Hd che crepa è molto più temibile del Cryptovirus , te lo posso garantire

[fraussantin]

Quote:

Originariamente inviato da Paky

il concetto fondamentale è
questi dati sono importanti per me?

se si non vanno tenuti SOLO sul PC

l'Hd che crepa è molto più temibile del Cryptovirus , te lo posso garantire

l'hd che crepa , non distrugge tutti gli altri nella rete aziendale.


io fino ad oggi facevo backup in una cartella gdrive e in un disco interno al pc.


ora ho rimosso google drive, e lo uso da browser , e mi sono accattato un disco esterno ( per il mio piccolo lavoro).

[Paky]

Quote:

Originariamente inviato da fraussantin

l'hd che crepa , non distrugge tutti gli altri nella rete aziendale.

ovviamente mi riferivo al caso home

Quote:

io fino ad oggi facevo backup in una cartella gdrive e in un disco interno al pc.


ora ho rimosso google drive, e lo uso da browser , e mi sono accattato un disco esterno ( per il mio piccolo lavoro).

il google drive lo faccio sincronizzare quando dico io
così evito che in caso di infezione anche il contenuto remote venga alterato

[fraussantin]

Quote:

Originariamente inviato da Paky

ovviamente mi riferivo al caso home




il google drive lo faccio sincronizzare quando dico io
così evito che in caso di infezione anche il contenuto remote venga alterato

in un primo tempo ieri l'ho messo sotto firewall in modo che non synki niente .

poi pero mi son detto certo che se inviano la key( di decriptazione) online hanno anche un sistema per eludere i firewall , e non mi son fidato.