Allarme Cryptovirus: prevenire per non pagare il riscatto

[Paky]

per 2 semplici motivi

1) non clicco ad cazzum su quello che capita
2) se uno di quei virus parte a criptare, il carico medio della cpu sale e l'utilizzo dell'HD/SSD va a palla

uso Rainmeter con lo status del sistema
qualcosa mi salterebbe all'occhio

- ventole pc che salgono di giri
- led del case acceso fisso (drive)
- status rainmeter -> temperatura / utilizzo cpu / utilizzo drive

e per chi non ha un pc molto potente nota subito un rallentamento generale

[Piedone1113]

Quote:

Originariamente inviato da Paky

per 2 semplici motivi

1) non clicco ad cazzum su quello che capita
2) se uno di quei virus parte a criptare, il carico medio della cpu sale e l'utilizzo dell'HD/SSD va a palla

uso Rainmeter con lo status del sistema
qualcosa mi salterebbe all'occhio

- ventole pc che salgono di giri
- led del case acceso fisso (drive)
- status rainmeter -> temperatura / utilizzo cpu / utilizzo drive

e per chi non ha un pc molto potente nota subito un rallentamento generale

Difficilmente ti accorgeresti del criptaggio, non viene criptato l'intero file, ma solo l'header (e con un celeron criptare diversi video da gb potrebbe volerci settimane, cosa che non avviene).

[giovanni69]

Quote:

Originariamente inviato da Paky

per 2 semplici motivi

1) non clicco ad cazzum su quello che capita
2) se uno di quei virus parte a criptare, il carico medio della cpu sale e l'utilizzo dell'HD/SSD va a palla

uso Rainmeter con lo status del sistema
qualcosa mi salterebbe all'occhio

- ventole pc che salgono di giri
- led del case acceso fisso (drive)
- status rainmeter -> temperatura / utilizzo cpu / utilizzo drive

e per chi non ha un pc molto potente nota subito un rallentamento generale

Quindi con un PC relativamente potente o non supervisionato in continuazione potrebbe accadere, il che...

Quote:

Originariamente inviato da Piedone1113

Difficilmente ti accorgeresti del criptaggio, non viene criptato l'intero file, ma solo l'header (e con un celeron criptare diversi video da gb potrebbe volerci settimane, cosa che non avviene).

... ci porta ad una semplice domanda: che tipo di scansione è possibile effettuare per sapere se esistono file criptati? Il che non significa che il ransomware stia per forza operando pesantemente adesso...

[Piedone1113]

Quote:

Originariamente inviato da giovanni69

Quindi con un PC relativamente potente o non supervisionato in continuazione potrebbe accadere, il che...



... ci porta ad una semplice domanda: che tipo di scansione è possibile effettuare per sapere se esistono file criptati? Il che non significa che il ransomware stia per forza operando pesantemente adesso...

Non esiste scansione ch'io sappia.
Ma basta aprire la cartella documenti e visualizzare un pdf o file di testo per vedere se sei infetto (in genere è la prima cartella ad essere criptata).

[Paky]

Quote:

Originariamente inviato da Piedone1113

Difficilmente ti accorgeresti del criptaggio, non viene criptato l'intero file, ma solo l'header (e con un celeron criptare diversi video da gb potrebbe volerci settimane, cosa che non avviene).

cosa cambia? sempre cpu e disco usa
e non impiega pochissimo tempo per farlo , sta li a frullare parecchio

sono decine di migliaia di file da scrivere
oltre a i 3 file con il messaggio di riscatto che piazza in tutte le cartelle che trova

forse mi risponderai che è difficile da notare su SSD , ma su HD si sente eccome

certo l'utente comune no , ma chi è precisino si accorge se il proprio sistema starnutisce o ha la tosse

e poi dai , la probabilità che un infezione avvenga nei 30 secondi in cui sincronizzo è davvero bassa.
Dovrei battere la testa , rimbambirmi , ricevere la mail fraudolenta , cliccare sull'eseguibile e poi dopo 5 minuti sincronizzare il google drive

il tutto senza accorgermi che nella cartella di google drive ho tutti i file .MICRO (o .quellochetipare)

ma daiiiii

[giovanni69]

Quote:

Originariamente inviato da Piedone1113

Non esiste scansione ch'io sappia.
Ma basta aprire la cartella documenti e visualizzare un pdf o file di testo per vedere se sei infetto (in genere è la prima cartella ad essere criptata).

Personalmente uso un SSD, il PC è relatiamente veloce, e nella cartella 'documenti' non ho alcun documento. Tutto è su partizioni, dischi esterni o al limite qualche percorso in C:\ ..ma nulla che possa essere visibile immediatamente. E comunque gli HD possono frullare in quel momento per altre ragioni (backup in corso, ecc). Non ci sono ventole rumorose anche sotto stress.

E di cartelle non ne ho qualche centinaio ma migliaia.. quindi che probabilità ci sono che casualmente mi renda conto di problemi? ...

Quote:

Originariamente inviato da Paky

forse mi risponderai che è difficile da notare su SSD , ma su HD si sente eccome

eh, già... come dire che anche quel benedetto celeron potrebbe sembrare al proprietario relativamente reattivo ma grazie a SSD non si rende conto che il sito che ha visitato era compromesso...

[Pino90]

Però la domanda su come accorgersene non è affatto stupida, al di là delle contromisure che uno prende. Io ho centinaia di files, ci metterei secoli ad accorgermene se lo facesse progressivamente...

edit
Quoto giovanni69

[Paky]

come avevo postato qualche pagina fa chiedete a x_Master_x
la sua soluzione per me è valida , funzionale e come sempre geniale

http://www.hwupgrade.it/forum/showpo...&postcount=779

[giovanni69]

Sì ricordo Paky, il che significa però sapere ed aggiornare tutta una serie di suffissi in continua evoluzione, se avevo capito bene...

Comunque guarderò il nuovo thread:
http://www.hwupgrade.it/forum/showpo...05&postcount=1

Grazie per avermelo ricordato.

Spero che x_Master_x decida di trattare esplicitamente il contenuto di quella soluzione geniale da te citata.

[Paky]

Quote:

Originariamente inviato da Piedone1113

Non esiste scansione ch'io sappia.
Ma basta aprire la cartella documenti e visualizzare un pdf o file di testo per vedere se sei infetto (in genere è la prima cartella ad essere criptata).

no guarda , basta avere le estensioni visibili
insieme ai file nascosti e di sistema per notare cose che normalmente non si vedrebbero


cosa che la maggior parte degli utenti ha "hide" (anche perchè il sistema di default le imposta così)

Quote:

Originariamente inviato da giovanni69

Comunque guarderà il nuovo thread:
http://www.hwupgrade.it/forum/showpo...05&postcount=1.

ah , grazie della segnalazione , non avevo visto il neo 3D , iscritto

[Pistolpete]

Quote:

Originariamente inviato da Pistolpete

Grazie per le risposte.
1. non mi e' chiaro pero' se sono a rischio nel caso monti l'unita' come utente NON amministratore -> il virus puo' comunque fare danni oppure deve avere accesso admin?
2. grazie per la dritta, lo confronto con FileZilla
3. non ho 2 NAS e quindi non e' una soluzione percorribile. La share del mio NAS non e' costantemente collegata (essendo il mio un portatile aziendale ogni volta che lo spendo perde la share e devo rimontarla), cosa altro e' consigliato fare? c'e' una serie di best practice da seguire?

Ciao,

qualcuno mi sa aiutare?
Grazie

[fraussantin]

Quote:

Originariamente inviato da Pistolpete

Ciao,

qualcuno mi sa aiutare?
Grazie

Il virus come minimo ha accesso a tutti i file che riesci a vedere in "rete" e che hai il permesso di modificare.

E questo semza sfruttare nessun bug.

Poi se ci sono bug potrebbe fare pure altro

[Pistolpete]

Quindi utente normale o admin poco importa, se una cartella del NAS viene montata come SHARE in lettura e scrittura comunque sono esposto a rischi.
Che palle.

[aspide78]

domanda da stupido:

- Ho un QNAP con 2 dischi in raid 1 e un unico volume.
- Sul NAS ho 2 cartelle, la cartella "work" e la cartella "backup"
- Sul nas ci sono configurati 2 utenti, l'utente "admin" (che è quello di default della QNAP del nas a cui ho applicato password robusta e che può leggere e scrivere in entrambe le cartelle, ma nessuna delle 2 cartelle è mappata sul pc con tali credenziali) e un utente "pippo"(che è l'utente con cui ci si connette col pc al nas per lavorare nella cartella mappata "work" in scrittura e lettura, mentre può solo leggere nella cartella mappata "backup").
- Entrando nel nas come "admin" tramite browser ho configurato un job di backup che effettua un giorno si e uno no tutto il backup della cartella "work" nella cartella "backup" mantenendo il versioning.

Ora chiedo, se prendo un cryptoloker o quel che è, al limite mi cripta tutto quello che è nella cartella "work", ma nella cartella "backup" non può fare danni in quanto non trova da nessuna parte le credenziali per poter scrivere e quindi criptare in quella cartella o sbaglio?

[Piedone1113]

Quote:

Originariamente inviato da aspide78

domanda da stupido:

- Ho un QNAP con 2 dischi in raid 1 e un unico volume.
- Sul NAS ho 2 cartelle, la cartella "work" e la cartella "backup"
- Sul nas ci sono configurati 2 utenti, l'utente "admin" (che è quello di default della QNAP del nas a cui ho applicato password robusta e che può leggere e scrivere in entrambe le cartelle, ma nessuna delle 2 cartelle è mappata sul pc con tali credenziali) e un utente "pippo"(che è l'utente con cui ci si connette col pc al nas per lavorare nella cartella mappata "work" in scrittura e lettura, mentre può solo leggere nella cartella mappata "backup").
- Entrando nel nas come "admin" tramite browser ho configurato un job di backup che effettua un giorno si e uno no tutto il backup della cartella "work" nella cartella "backup" mantenendo il versioning.

Ora chiedo, se prendo un cryptoloker o quel che è, al limite mi cripta tutto quello che è nella cartella "work", ma nella cartella "backup" non può fare danni in quanto non trova da nessuna parte le credenziali per poter scrivere e quindi criptare in quella cartella o sbaglio?

Se è un backup con più copie stai tranquillo, se invece è speculare al contenuto di work ( praticamente una sincronizzazione) ti puoi ritrovare il backup dei dati criptati

[aspide78]

no, è un versioning, per cui al limite, credo che mi ritroverei con l'ultimo backup criptato, ma il penultimo sarebbe tutto a posto...o comunque andando a ritroso nelle cartelle poi troverei il primo non criptato.....credo

[Piedone1113]

Quote:

Originariamente inviato da aspide78

no, è un versioning, per cui al limite, credo che mi ritroverei con l'ultimo backup criptato, ma il penultimo sarebbe tutto a posto...o comunque andando a ritroso nelle cartelle poi troverei il primo non criptato.....credo

Allora stai tranquillo ( anche se preferisco fare backup su ftp)

[aspide78]

Quote:

Originariamente inviato da Piedone1113

Allora stai tranquillo ( anche se preferisco fare backup su ftp)

ok, grazie mille

[ninja750]

una info: cryptolocker o simili possono "infettare" anche iso fatte con clonezilla?