Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 29-03-2016, 16:12   #1
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8681
Ransomware: Prevenzione e Soluzioni

Ransomware: Prevenzione e Soluzioni


Premessa

Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta


Cosa sono i ransomware?

Una nuova tipologia di trojan\worm che si sta diffondendo nel mondo a macchia d'olio. Anche se l'archetipo è dell'inizio degli anni '90 non voglio tediare con una inutile storia sull'evoluzione dell'infezione e scrivo direttamente cosa sono e come operano al giorno d'oggi. Il nome dice tutto, il ransomware cripta i dati dell'utente con un forte algoritmo e chiede un riscatto ( ransom ) per la chiave di decriptazione


Come operano i ransomware?

Di ransomware ne esistono centinaia di versioni, da questo momento in poi chiamate "varianti" e non seguono una procedura definita. Di solito hanno una lista di file da colpire ( txt, doc, jpeg etc. ) per evitare di compromettere l'operatività del sistema operativo, evitano le cartelle dei Programmi e di Windows, usano un algoritmo sicuro come RSA o AES con chiavi a 4096-2048-256 bit che hanno come unico punto debole la sicurezza\lunghezza della chiave stessa. Il bruteforce, unico metodo possibile in caso l'algoritmo sia stato implementato correttamente e non ci siano falle nel codice, non è nemmeno considerabile visto che vengono utilizzate chiavi molto lunghe, sicure e generate casualmente a volte base all'hardware del PC, conservate solo sui server degli autori-diffusori del malware. Il ransomware può accedere solo a directory a cui ha l'accesso l'utente in scrittura, compresi percorsi di rete ed unità non mappate.


Come faccio a sapere se sono infetto da un ransomware?

L'utente non riesce ad accedere i file, nella maggior parte dei casi li trova rinominati con una doppia estensione, nelle cartelle trova dei file di testo-html-immagini con le istruzioni per il pagamento tramite bitcoin con dei nomi esplicativi, ad esempio i file contengono la parola "decrypt", "recover", "help", "unlock" o simili. Quindi se rinominare il file criptato non ha effetto ( esistono anche i finti ransomware quindi è giusto fare un tentativo del genere ) e la situazione ti sembra familiare, il tuo PC è stato infettato da un ransomware.


Sono stato infettato da un ransomware, cosa devo fare?

In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze del'esatto contrario. La seconda è che qui non riceverai supporto, puoi chiudere tranquillamente questa pagina e non proseguire con la lettura.

Bisogna individuare come primo punto qual'è la variante che ti ha colpito. Se il file è stato rinominato controllare l'estensione, ad esempio file.txt.vvv
Con una semplice verifica su un motore di ricerca puoi scoprire a quale variante corrisponde, nel caso di .vvv è TeslaCrypt 2.0. Come alternativa al motore di ricerca c'è il sito ID Ransomware. Se non riesci a trovare informazioni sull'estensione i casi sono due:
  1. E' una estensione generata casualmente, esempio .abcdefg, oppure l'estensione è rimasta quella originale
  2. E' una variante non ancora conosciuta o non molto diffusa
Nella stragrande maggioranza dei casi è il primo punto, quindi controllare nelle istruzioni lasciate dal ransomware se è indicato il nome dell'infezione, lo stesso vale anche se il file ha mantenuto l'estensione originale. Un ransomware che usa estensioni casuali ad esempio è CTB-Locker. Un ransomware che non usa estensioni e lascia quella originale è TeslaCrypt 4.0 e DMA Locker

Una lista incompleta delle possibili varianti presa da un software ad uso strettamente privato si trova alla fine di questo thread

Ora che sì è a conoscenza della variante, bisogna capire se è stata sconfitta e se per procedere alla decriptazione dei file è necessaria la presenza di determinati file/chiavi di registro sul PC. Anche in questo caso si può ricorrere ad un motore di ricerca oppure si può chiedere in questo thread. Cortesemente cercare nella discussione se è stata postata in precedenza una domanda simile e seguire le regole della discussione che si trovano alla fine di questo post.

Nell'eventualità dovessi accorgerti dell'infezione mentre il malware ancora deve terminare la routine spegnere-riavviare immediatamente il PC per cercare di salvare più file possibile. A quel punto avviare il PC in modalità provvisoria ( i programmi in avvio, tramite chiave Run o Attività pianificata, sono inabilitati e quindi l'infezione non può auto-eseguirsi e peggiorare la condizione dei file ) oppure se preferite tentare di accedere con un live cd di Linux per verificare la situazione. Se è il ransomware stesso a forzare una BSOD in tal caso NON riavviare ma spegnere direttamente il PC. Lo stesso discorso vale in caso il ransoware cerchi di riavviare il PC, non lasciare che completi l'operazione ma spegnere il PC in modo forzato ad esempio staccando l'alimentazione.


Quali varianti è possibile decriptare?

Alcune varianti sconfitte, almeno le più famose, sono:* .ecc .ezz .exx .xyz .zzz, aaa .abc .ccc .vvv, .xxx. Per .ttt, .micro, .mp3, senza estensione fare riferimento a questa pagina

In caso la variante non sia stata sconfitta si può procedere in due modi:
  1. Una immagine del disco in modo che vengano preservati file/chiavi del ransomware e infine procedere alla rimozione dello stesso, vedi sezione dedicata
  2. Una copia di backup dei soli file criptati e procedere alla rimozione del ransomware, vedi sezione dedicata
Per quanto il primo punto sia preferibile non è detto che sia necessario, nel caso di TeslaCrypt 2.0 ad esempio bastano i soli file criptati. La probabilità di decriptare i file delle varianti di nuova generazione ( CTB-Locker, Locky, Cerber e così via ) è estremamente bassa, si può solo sperare una una falla del codice, una errata implementazione dell'algoritmo crittografico oppure ad un ripensamento dell'autore che rilasci le chiavi come nel caso di Locker:

Quote:
Hi,
I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never my intention to release this.

I uploaded the database to mega.co.nz containing "bitcoin address, public key, private key" as CSV. This is a dump of the complete database and most of the keys weren't even used. All distribution of new keys has been stopped.

Automatic decryption will start on 2nd of june at midnight.
Oppure di TeslaCrypt 3.0/4.0
Quote:
Project closed
master key for decrypt

wait for other people make universal decrypt software

we are sorry!
Cosa posso tentare per recuperare i file?

I tentativi che si posso fare sono:
  1. Ripristinare la vostra copia di backup se precedentemente effettuata
  2. Controllare le copie shadow in caso non siano state eliminate dal ransomware, tramite il tasto destro sul file --> Proprietà --> Versioni precedenti oppure con un software come ShadowExplorer. Per quest'ultimo vi consiglio la versione "Portable .zip"
  3. Controllare i file cancellati con PhotoRec della suite TestDisk, per una guida fare riferimento al link PhotoRec Passo Dopo Passo. Oltre a tentare di recuperare i file, vi consiglio di tentare il recupero delle stesse copie shadow dalla director "System Volume Information" presente nella radice del disco
  4. Se avete Dropbox ed è stata criptata anche quella directory si possono recuperare i file originali. Le istruzioni si trovano al link Come faccio a recuperare le versioni precedenti dei file? e I miei file sono stati danneggiati o rinominati da ransomware. Che cosa posso fare?


Come rimuovere il ransomware?

Dipende dalle varianti ma software come HitmanPro, Malwarebytes Anti-Malware e Online Scanner come ESET\Kaspersky sono un buon inizio. Una soluzione drastica ma sicura al 100% è una formattazione completa del PC, vi ricordo che i ransomware sono sempre un passo avanti rispetto ai produttori di AV.


Ho rimosso il ransomware ma sul PC ho ancora dei file correlati, come precedere?

Se l'infezione è stata rimossa ma sul PC sono ancora presenti i vari file di testo-html-immagini nelle cartelle relative al virus procedere in questo modo:
Scaricare ed eseguire Old Files Manager. Come impostazioni selezionare il disco da scansionare, ad esempio C:\ con opzione "Includi sottocartelle", togliere le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca, aggiungere la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivere:
Codice:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo l'estensione con quella di interesse e "nome_file" con il nome anche parziale dei file in questione. Infine cliccare sul pulsante "Verifica". Al termine si possono spostare i file in una cartella oppure li cancellarli, a vostra personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce ogni dubbio.

N.B. In caso OFM non riesca a cancellare\spostare i file non è un problema del programma ma dipende dalla configurazione del vostro account, ad esempio dai permessi di scrittura della directory ( tasto destro --> Proprietà --> Sicurezza --> Avanzate )


Quali sono i principali veicoli di infezione?

Sono principalmente due, email con phishing o finti allegati ( ad esempio fatture o rimborsi ) e exploit da siti compromessi, compresi ADS e banner, e nell'ultimo periodo anche il circuito .torrent soprattutto per il materiale illegale vedi RAUM . Considerati questi due fattori per prima cosa abilitare la visualizzazione delle estensioni ( Opzioni cartella --> Visualizzazione --> Nascondi le estensioni per i tipi di file conosciuti ) proprio perché i ransomware sono camuffati in allegato da altri file come i PDF. Quindi non aprire allegati sospetti, anche se il mittente sembra conosciuto, se si hanno delle incertezze leggere attentamente l'email che spesso ha errori ortografici. Aggiungere dei filtri al proprio software di gestione della posta per evitare allegati pericolosi come .exe .vbs .bat .js ( per quest'ultimo si può utilizzare NoScript della Symantec ) ad esempio alcuni provider come GMail hanno questa protezione già inclusa. In secondo luogo evitare siti "particolari" e se proprio si ha questa necessità utilizzare ambienti virtuali senza collegamento tra Host, il tuo PC, e Guest cioè l'ambiente virtualizzato ( Virtualbox, VMWare ) o sandbox ( ToolWiz TimeFreeze, Sandboxie ) in modo che anche in caso di infezione l'Host non verrà colpito. Un'alternativa può essere una qualsivoglia live di Linux.


Come configurare il PC per evitare infezioni da ransomware?

Scriverò un elenco di tutte le principali configurazioni da attuare:
¹AppLocker non è disponibile per tutte le edizioni di Windows. Se si possiede Windows 10 Enterprise o Education in aggiunta si consiglia Device Guard

² Flash e Java hanno spesso 0-day e falle quindi vi consiglio la rimozione. Per Flash in caso serva come alternativa c'è il plugin PepperFlash integrato in Chrome, per Java se si hanno particolari necessità ad esempio per l'esecuzione di un programma si può usare la versione portable. Una spiegazione d'uso corredata di esempio si trova a questo indirizzo

³ EMET al momento non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy vedi Application Lockdown with Software Restriction Policies. Inoltre viene dichiarato, per le versioni di Windows 10 Enterprise o Education, che:
Quote:
Originariamente inviato da Technet
With Windows 10 we have implemented many features and mitigations that can make EMET unnecessary on devices running Windows 10. EMET is most useful to help protect down-level systems, legacy applications, and to provide Control Flow Guard (CFG) protection for 3rd party software that may not yet be recompiled using CFG.

Some of the Windows 10 features that provide equivalent (or better) mitigations than EMET are Device Guard, Control Flow Guard (CFG) and AppLocker
4 Si consiglia l'installazione ad utenti esperti


Quali software utilizzare per evitare infezioni da ransomware?

Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:
Vi consiglio di guardare le caratteristiche e decidere in piena autonomia


Come configurare l'account standard?

Un account standard non evita l'infezione quindi si può considerare "facoltativo" però è possibile agire sui permessi delle directory in modo che il virus non infetti cartelle a cui non ha accesso in scrittura.

Dall'account amministratore tasto destro sulla directory --> Proprietà --> Sicurezza --> Avanzate. Se l'account amministratore non è proprietario della cartella cliccare su Cambia --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Applica --> OK

Rietrare nella schermata tramite il pulsante Avanzate --> Cambia autorizzazioni ( se presente ). A questo punto se vogliamo agire per il singolo utente cliccare su Aggiungi --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Consenti\Nega in base alle proprie necessità ( ad esempio negare i soli permessi in scrittura ) così come per la voce "Applica a: La cartella selezionata, le sottocartelle e i file". Se invece volessimo applicare al gruppo e non al singolo utente la voce da modificare è "Users (NOME_ADMIN\Users)" --> Consenti\Nega in base alle proprie necessità. Vi ricordo che le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti.

Se non si vuole usare l'interfaccia grafica per evitare tutti i passaggi si può usare, tramite CMD elevato come amministratore, l'utility ICACLS

Alcuni esempi:
Codice:
ICACLS "X:\Cartella" /grant "NOME_UTENTE":(CI)(OI)RX
ICACLS "X:\Cartella" /deny "NOME_UTENTE":(CI)(OI)W
ICACLS "X:\Cartella" /deny Users:(CI)(OI)W
(CI): container inherit
(IO): inherit only
RX (read and execute access)
W (write-only access)

La prima stringa autorizza ( /grant ) l'utente ad avere solo accesso di lettura ed esecuzione alla cartella
La seconda stringa nega ( /deny ) l'utente i permessi di scrittura
La terza stringa nega ( /deny ) a tutti gli utenti standard che fanno parte del gruppo "Users" i permessi di scrittura

Anche in questo caso le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. La guida all'uso di Icacls per ogni informazione


Perché il backup dei dati è così importante?

Perché il ransomware non è l'unica minaccia ai tuoi preziosi file, sono tante le cause che possono farti perdere i dati. Un altro tipo di virus, un danno hardware all'HDD, uno sbalzo di corrente durante le fasi di copia sono sono alcune possibilità. Se ci tieni alle foto di famiglia, ai tuoi documenti, ai tuoi ricordi fai una o più copie di backup su HDD esterni


Come posso scrivere\contribuire alla discussione?

Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte:

Variante:
Sistema Operativo:
Antivirus:
Livello UAC:
Anti-Ransomware e/o Criteri di gruppo:
Veicolo di infezione:
Provider di posta:
Macro di Office:
Ad-Block:
Flash:
Java:

Esempio:
Codice:
Variante: .vvv - Teslacrypt 2.0
Sistema Operativo: Windows 7 Professional 64 Bit
Antivirus: Microsoft Security Essential
Livello UAC: Attivo - Standard
Anti-Ransomware e/o Criteri di gruppo: No
Veicolo di infezione: Allegato infetto
Provider di posta: Libero
Macro di Office: Si
Ad-Block: Si
Flash: Si
Java: No
In caso non si conosca la risposta, ad esempio per il veicolo di infezione, scrivere semplicemente "Sconosciuto"
Se non usi il modello non riceverai supporto per le tue domande, è necessario per capire la situazione di base del tuo PC al momento dell'infezione.


Esempi di estensioni utilizzate dai Ransomware

Codice:
[CryptoSaver]
Date=29/03/2016
Ext=UNDETECTED
Path=C:\
[UnkwnowExts]
001=.1999
002=.33t
003=.0x0
004=.aaa
005=.abc
006=.biz
007=.cry
008=.ccc
009=.ecc
010=.enc
011=.etc
012=.exx
013=.ezz
014=.fff
015=.ha3
016=.net
017=.org
018=.r5a
019=.rdm
020=.rrk
021=.ttt
022=.vvv
023=.k2v
024=.xxx
025=.xyz
026=.zzz
027=.me
028=.it
029=.lv
030=.ctbl
031=.ctb2
032=.cpyt
033=.crinf
034=.crypt
035=.crypto
036=.eclr
037=.fuck
038=.good
039=.guru
040=.hb15
041=.locky
042=.micro
043=.magic
044=.pzdc
045=.rack
046=.trun
047=.sport
048=.vault
049=.xtbl
050=.ytbl
051=.xrnt
052=.amba
053=.aes256
054=.bleep
055=.bloked
056=.bitcryp1
057=.bitcryp2
058=.crypted
059=.crjoker
060=.cerber
061=.coverton
062=.cryptolocker
063=.darkness
064=.decbak
065=.encedrsa
066=.encrypted
067=.enciphered
068=.frtrss
069=.rokku
070=.him0m
071=.omg!
072=.lol!
073=.kraken
074=.locked
075=.lechiffre
076=.nochance
077=.73i87a
078=.oshit
079=.obleep
080=.poAr2w
081=.p5tkjw
082=.plague17
083=.sshxkej
084=.sanction
085=.surprise
086=.supercrypt
087=.toxcrypt
088=.keybtc*
089=.r16m01d05
090=.encryptedrsa
091=.better_call_saul
092=.hydracrypt_ID_*
093=.umbrecrypt_ID_*
094=.{cryptendblackdc}
[DoubleExts]
001=.mp3
002=.com
[Filename]
001=_crypt
002=.id-
[Header]
001=0:8:0x21444D414C4F434B
002=0:8:0x41424358595A3131

__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.

Ultima modifica di x_Master_x : 05-02-2022 alle 11:48.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 10:25   #2
cagnaluia
Senior Member
 
L'Avatar di cagnaluia
 
Iscritto dal: Oct 2003
Città: TV
Messaggi: 10485
grazie, qualche news ransomware-as-a-service...
http://www.lastampa.it/2016/03/30/it...CJ/pagina.html
__________________
cagnaluia
MTB|DH|Running|Diving
Eos1DX|16-35f4Lis|35f1.4L|100f2|300F4LIS
cagnaluia è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 11:14   #3
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8681
Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.

Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table ) infettando l'MBR
Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.

Ultima modifica di x_Master_x : 30-03-2016 alle 11:20.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 11:38   #4
gd350turbo
Senior Member
 
L'Avatar di gd350turbo
 
Iscritto dal: Feb 2003
Città: Mo<->Bo
Messaggi: 41331
Ringrazio delle preziose informazioni fornite !
gd350turbo è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 11:47   #5
Averell
Bannato
 
Iscritto dal: Jun 2015
Messaggi: 3828
La tecnologia 'reputazionale' messa in campo da Windows 10 per arginare il problema relativo all'incauta esecuzione di un file:



Il problema, anche in questo caso, è che il blocco è facilmente aggirabile per cui se si è 'ostinati' si riuscirà ad eseguire il file a dispetto di qualsiasi allarme...
Averell è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 12:31   #6
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.

Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table ) infettando l'MBR
Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili.
ed avendo un backup del MFT?

bon a parte che se hai un backup dei file sei a cavallo a priori
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 12:38   #7
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da Averell Guarda i messaggi
La tecnologia 'reputazionale' messa in campo da Windows 10 per arginare il problema relativo all'incauta esecuzione di un file:



Il problema, anche in questo caso, è che il blocco è facilmente aggirabile per cui se si è 'ostinati' si riuscirà ad eseguire il file a dispetto di qualsiasi allarme...
bisognerebbe bloccare tutto tranne ciò che è permesso utilizzando Software Policy Restriction così

Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 13:34   #8
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8681
Quote:
Originariamente inviato da Unax Guarda i messaggi
ed avendo un backup del MFT?
Chi è che ha un backup completo della Master File Table? Considera pure che in una situazione standard esiste già un backup ma solo parziale della tabella ( MFTMirr ) che immagino venga comunque eliminata dal ransomware.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 14:10   #9
marco0209
Senior Member
 
Iscritto dal: Oct 2007
Città: Montecchio Emilia - MASSA
Messaggi: 300
Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux

Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati?
Ho tutti i file con estensione .locky
Se riuscite a darmi una mano/consiglio etc..anche in pm..
Grazie in anticipo
__________________
Ho concluso positivamente con: Cesare Renzi , sbronf , Lupin XXVII , spapparo82 , battalion75 , alemax505 , CaccamoJ, imperiial,JakobDylan

Ultima modifica di marco0209 : 30-03-2016 alle 14:13.
marco0209 è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 14:58   #10
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da marco0209 Guarda i messaggi
Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux

Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati?
Ho tutti i file con estensione .locky
Se riuscite a darmi una mano/consiglio etc..anche in pm..
Grazie in anticipo
è questo?

https://www.qnap.com/i/it/product/mo...II=131&event=3

non vorrei dire una castronata (forse la dirò)

ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy?
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 15:06   #11
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Chi è che ha un backup completo della Master File Table? Considera pure che in una situazione standard esiste già un backup ma solo parziale della tabella ( MFTMirr ) che immagino venga comunque eliminata dal ransomware.
era una domanda scolastica

comunque ho visto in giro un programma che permette un backup del mft

Handy Backup is capable of performing MFT backup separately. This approach greatly saves time, if dealing with the case of only Master File Table being damaged (and not the whole disk).

LO UAC al massimo impedisce modifiche al MBR?

Ultima modifica di Unax : 30-03-2016 alle 15:32.
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 16:06   #12
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8681
Le modifiche all'MBR richiedono diritti amministrativi quindi sì il prompt UAC appare e se è al massimo come consigliato non può essere bypassato da particolari procedure.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 17:01   #13
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Le modifiche all'MBR richiedono diritti amministrativi quindi sì il prompt UAC appare e se è al massimo come consigliato non può essere bypassato da particolari procedure.
e questo è un bene

rilasciato Bitdefender Anti-Ransomware

http://www.ghacks.net/2016/03/29/bit...ti-ransomware/

però non spiegano bene con quale meccanismo blocchino i vari ransomware
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 17:19   #14
Paky
Senior Member
 
L'Avatar di Paky
 
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22135
iscritto
tnx x_Master_x per il 3D

subito una domanda
condividi con noi questo?

http://www.hwupgrade.it/forum/showpo...&postcount=779

Ultima modifica di Paky : 30-03-2016 alle 17:34.
Paky è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 17:36   #15
giovanni69
Senior Member
 
L'Avatar di giovanni69
 
Iscritto dal: Jun 2005
Messaggi: 21836
Iscritto!
Quote:
Originariamente inviato da Unax Guarda i messaggi

rilasciato Bitdefender Anti-Ransomware

http://www.ghacks.net/2016/03/29/bit...ti-ransomware/
L'ho installato su una VM con Win 7. Vediamo che succede. Certo, non esiste nel sito ufficiale e Bitdefender lo considera parte del "Labs project", altra parole per dire che è una beta, forse.

Mi accodo a Paky e la sua richiesta! Grazie per le informazioni che vorrai condividere, x_Master_x

Ultima modifica di giovanni69 : 30-03-2016 alle 17:39.
giovanni69 è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 17:55   #16
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da giovanni69 Guarda i messaggi
Iscritto!


L'ho installato su una VM con Win 7. Vediamo che succede. Certo, non esiste nel sito ufficiale e Bitdefender lo considera parte del "Labs project", altra parole per dire che è una beta, forse.

Mi accodo a Paky e la sua richiesta! Grazie per le informazioni che vorrai condividere, x_Master_x
mi sa che è più di una beta, l'ho installato nell'account amministratore ed è presente nel task manager mentre nell'account standard non si vede tra i processi nonostante sia impostato per partire con windows

bisogna lanciarlo a mano e richiede i permessi di amministratore il che francamente è assurdo, se devi far usare account standard per evitare manomissioni del sistema che fai? dai a tizio e caio la password di un amministratore per farlo partire?

Ultima modifica di Unax : 30-03-2016 alle 17:59.
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 18:08   #17
x_Master_x
Senior Member
 
L'Avatar di x_Master_x
 
Iscritto dal: May 2005
Messaggi: 8681
Unax,
Bitdefender Anti-Ransomware era già presente nella lista dei software. Almeno voi "frequentatori" leggetelo il primo post nella sua interezza

Paky e giovanni69,
Non riesco a stare dietro ad una release pubblica di un QUARTO programma, soprattutto di uno che deve essere aggiornato costantemente vista l'evoluzione continua dei ransomware. Mi dispiace ma devo rifiutare, di alternative gratuite ne esistono e ne esisteranno in ogni caso quindi non è in fondo una grande perdita.
__________________
.
Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock
The real me is no match for the legend
.
x_Master_x è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 18:18   #18
Unax
Senior Member
 
L'Avatar di Unax
 
Iscritto dal: Oct 2008
Messaggi: 5948
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Unax,
Bitdefender Anti-Ransomware era già presente nella lista dei software. Almeno voi "frequentatori" leggetelo il primo post nella sua interezza
quando io ho letto la lista ce ne erano 3
Unax è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 18:22   #19
Paky
Senior Member
 
L'Avatar di Paky
 
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22135
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Non riesco a stare dietro ad una release pubblica di un QUARTO programma,CUT..
ah ok , grazie lo stesso
pensavo fosse qualcosa di meno elaborato utile per ogni occasione
Paky è offline   Rispondi citando il messaggio o parte di esso
Old 30-03-2016, 18:37   #20
giovanni69
Senior Member
 
L'Avatar di giovanni69
 
Iscritto dal: Jun 2005
Messaggi: 21836
Quote:
Originariamente inviato da x_Master_x Guarda i messaggi
Paky e giovanni69,
Non riesco a stare dietro ad una release pubblica ...... di alternative gratuite ne esistono e ne esisteranno in ogni caso quindi non è in fondo una grande perdita.
Ammettiamo che il ransomware non sia nelle 'firme' dei software in uso e nè il relativo comportamento venga rilevato nè direttamente e nè indirettamente (uso pesante CPU, rallentamenti, file visibilmente compromessi sul desktop).

Che alternative gratuite esistono in grado di verificare se esistono file criptati? Il tuo programma sembrava in grado di lavorare anche in questo senso con la lista estensioni. E non trovo nulla in tal senso in giro.
giovanni69 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
RocketStar FireStar Drive: un propulsore...
Roscosmos: il lancio del razzo spaziale ...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
IA: le imprese italiane sono in prima li...
Garmin Dash Cam 57: un'alleata perfetta ...
Elgato Facecam MK2: come rendere ancora ...
2 iRobot Roomba al prezzo più sco...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 22:46.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v