Ransomware: Prevenzione e soluzioni

[Blue_screen_of_death]

Uno dei veicoli di infezione è la posta elettronica per due ragioni:
- Allegati eseguibili (si viene infettati aprendo l'allegato)
- Script e codice html contenuto nelle email (si prende l'infezione semplicemente aprendo l'email)

Per il primo punto l'unica soluzione è evitare di aprire l'allegato.
Per il secondo punto invece conviene tenere il client di posta sempre aggiornato e magari bloccare l'esecuzione degli script.

Se le app di W8 e W10 sono sandboxed non dovrebbe esserci alcun problema ad aprire le email. La sandbox isola dal resto del sistema.
Stesso discorso per i browser eseguiti come app. Dovrebbero essere al sicuro da infezioni tramite banner.

In generale le app dovrebbero essere più sicure.

Vi trovate col ragionamento?

[Paky]

Quote:

Originariamente inviato da Blue_screen_of_death

Uno dei veicoli di infezione è la posta elettronica per due ragioni:
- Allegati eseguibili (si viene infettati aprendo l'allegato)

cosa che al giorno d'oggi è quasi anacronistica dato che per mail non dovrebbero più passare

Quote:

- Script e codice html contenuto nelle email (si prende l'infezione semplicemente aprendo l'email)

il client di posta che utilizzo non apre contenuto remoto html se non autorizzato esplicitamente

[Averell]

.

[Unax]

Edit

un sito che propone di scaricare un prodotto PCKeeper Antivirus Installer.exe che nel suo installer ha un pup

https://www.virustotal.com/it/file/1...is/1460988530/

oppure propone di scaricare ParetoLogic PC Health Advisor.exe

https://www.virustotal.com/it/file/e...is/1460988768/

o Pareto_DR_Setup_RW.exe

https://www.virustotal.com/it/file/9...is/1460989098/

che dire? un sito che dà proprio fiducia

cosa dite moderatori il post di sandrosit lo editiamo e lo banniamo a vita perpetua ed imperitura dato che secondo me si è registrato solo ed esclusivamente per publicizzare quel sito?

[Chill-Out]

Quote:

Originariamente inviato da Unax

cosa dite moderatori il post di sandrosit lo editiamo e lo banniamo a vita perpetua ed imperitura dato che secondo me si è registrato solo ed esclusivamente per publicizzare quel sito?

Si segnala e non si quota, grazie.

[Unax]

Quote:

Originariamente inviato da Chill-Out

Si segnala e non si quota, grazie.

ho quotato eliminando il link reale ed ho anche segnalato

[Averell]

.

[zerothehero]

[zerothehero]

doppio

[zerothehero]

[Unax]

Quote:

Originariamente inviato da zerothehero

dal link si scarica un exe o nella pagina html c'è qualche exploit?

[zerothehero]

Dovrebbe essere il classico cripto 3.0 zippato con eseguibile che cripta tuttp e elimina le shadow copy..non l'ho aperto, al massimo domani provo ad aprirlo da casa.
Spero che qualche mia collega dopo che gli ho messo il foglio sulla postazione con scritto "virus" non apra la mail

[Chill-Out]

MBR-Encrypting Ransomware Petya Gets Bitdefender Vaccine

https://labs.bitdefender.com/2016/04...ender-vaccine/

[zerothehero]

Mi sono inviato il link..scarica un file zippato.

Un "banale" *.EXE scaricato da (link ancora attivo) -----http://portal.benganetworks.com/pdf/Equitalia/documento.accatiemmelle--- che con il nascondi estensione per i file conosciuti *sembra* un PDF.



Edit:
Ora sono a casa.
La bestiola è bloccata dai criteri di gruppo (criptoprevent)..cmq ho eseguito su sandboxie (che devo imparare bene ad usare)


Notare la finezza della finta icona acrobat
Insomma una trappola per polli..ma purtroppo in molti ci cascano..anzi la mia collega ha detto che ha pure tentato di aprirlo

Superfluo dire che l'antivirus che ho free dorme tranquillo e asciutto (screen)

[giovanni69]

Quote:

Originariamente inviato da zerothehero

Mi sono inviato il link..scarica un file zippato. ..cut...

Superfluo dire che l'antivirus che ho free dorme tranquillo e asciutto (screen)

Proveresti a vedere che succede con il ben noto Malwarebytes Anti-exploit free (non l'Anti-Ransomware) che veniva propagandato come panacea nel 2014 per supplire alla fine del supporto di XP?

[zerothehero]

Se tutto va bene siamo rovinati...curioso di sapere di preciso che è l'ho fatto scansionare su virustotal.

Guardate che razza di caporetto.

4/56

https://www.virustotal.com/it/file/e...is/1461172517/

[Paky]

e quei 4 lo rilevano pure a cavolo

potrebbero essere benissimo interpretati come falsi positivi

[ecro]

Quote:

Originariamente inviato da zerothehero

Notare la finezza della finta icona acrobat
Insomma una trappola per polli..ma purtroppo in molti ci cascano..anzi la mia collega ha detto che ha pure tentato di aprirlo

[ecro]

analisi del virus di zero the hero ieri sera:Solo Kaspersky lo rilevava fra i famosi



scansione di stamane ore 6 lo rileva fra i famosi anche DR WEB e AVAST(non l'avrei mai detto)
kaspersky inoltre ora lo rileva come Ransomware Onion




sarei curioso di sapere se Hitman lo blocca.io ce l'ho ma non posso rischiare perche ho dati importanti sul pc

[Unax]

ho scaricato adesso il virus di the zero il nome è lo stesso ma cambia l'hash

solo 3 antivirus lo rilevano, mi pare utilizzando l'euristica

https://www.virustotal.com/it/file/6...is/1461222005/

ecro puoi postare anche il link su virus total non occorre che fai lo screenshot