Ransomware: Prevenzione e soluzioni

[Paky]

beh certo , non ci vuole molto ad alterare il mail from

quel che ho notato è che alcuni di questi virus una volta infettato il computer riescono anche a rubare i contatti della rubrica

sul pc di un conoscente tempo fa è arrivato un teslacrypt 3 via mail

anche se l'indirizzo non era noto , riportava il nome e cognome di un parente.
La mail nel campo A: risultava girata a tanti altri indirizzi che ho verificato personalmente essere tutti nella rubrica di questo parente

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da kindersamm

ci tengo che miei file che uso sul pc inclusi documenti e foto possano esserci il piu a lungo possibile senno non userei nemmeno piu windows ti pare?

Per i file più importanti potresi farne una ulteriore copia usando un supporto non riscrivibile, un DVD ad esempio. O uno dei nuovi supporti ottici di grandissima capacità. Backup su nastro? Dubito che un ransomware riesce a criptarli quei dati. Via volendo le soluzioni in casa si trovano, senza andare a scaricare sul cloud.

[x_Master_x]

Quote:

Originariamente inviato da Unax

poi ho creato un task che debba eseguirsi con i privilegi elevati poi ho creato uno shortcut che punta al bat
...
risultato il bat viene eseguito e mostra la lista senza che la finestra della console mostri nel titolo la voce amministratore

L'utilità di pianificazione in quel modo funziona solo su account di tipo amministrativo e anche in questo caso un programma che volesse aggiungere una task ha bisogno dei diritti elevati per poter operare. Ccleaner riesce nell'intento di non mostrare l'UAC perché il setup richiede diritti amministrativi e aggiunge la task in quel frangente altrimenti non potrebbe farlo.

[Unax]

Quote:

Originariamente inviato da x_Master_x

L'utilità di pianificazione in quel modo funziona solo su account di tipo amministrativo e anche in questo caso un programma che volesse aggiungere una task ha bisogno dei diritti elevati per poter operare. Ccleaner riesce nell'intento di non mostrare l'UAC perché il setup richiede diritti amministrativi e aggiunge la task in quel frangente altrimenti non potrebbe farlo.

sì certo solo con un account admin riesci a farlo in quella maniera

[Averell]

altro trucco di pochissimi gg fà per installare (anche) Ransomware (con tanto di filmato dimostrativo):


http://www.bleepingcomputer.com/news...pt-installers/

[Unax]

Quote:

Originariamente inviato da Averell

altro trucco di pochissimi gg fà per installare (anche) Ransomware (con tanto di filmato dimostrativo):


http://www.bleepingcomputer.com/news...pt-installers/

maledetta microsoft

cospira contro di noi anzi dietro ai ransomware c'è bill gates che non ha digerito il fatto che gli ultimi sistemi operativi 8 e 10 non hanno avuto il successo sperato

[Fabio2691]

ciao mi unisco anche io a questa discussione! ho 2 parenti che hanno beccato questo virus!
però mi è sorto un dubbio, si diffonde anche tramite USB? chiavetta internet tim?

[x_Master_x]

Pendrive sì, modem USB come quella di TIM no.

[Fabio2691]

Quote:

Originariamente inviato da x_Master_x

Pendrive sì, modem USB come quella di TIM no.

quindi i modem usb anche se hanno una memoria per installare il software tim/voda non si infettano? perché la partizione è di sola lettura? (la microSD l'ho tolta)

[x_Master_x]

I ransomware infettano i file a cui l'utente ha accesso in lettura e scrittura.

P.S. Se non sbaglio hai la firma irregolare, controlla il regolamento

[Unax]

buone notizie per CryptXXX

http://punto-informatico.it/4315673/...-cryptxxx.aspx

[mattware]

scusate se mi intrometto, ma per le estensioni .micro è stata trovata una soluzione ?
grazie

[Averell]

Collegato in qualche maniera all'oggetto del thread (gli exploit, infatti, possono costituire un canale attraverso il quale si origina un'infezione),
Understanding [] EdgeHTML’s Attack Surface and Exploit Mitigations

In poche parole, si colgono gli sforzi operati da MS per tentare di 'isolare' EDGE e le 'opportunità' che si creano abbracciando nuovi standard...

[Averell]

tutto chiaro, no??

Certo, se si aprono mail 'alla fava di Canis lupus familiaris', avere 10 o Windows 98, di fatto, non cambia nulla (in realtà, non so come si faccia a bypassare lo SmartScreen su 10 'se non si tocca nulla'), altrimenti è evidente anche al Sus scrofa domesticus che gli OS non sono tutti uguali...


Spero abbiate apprezzato i riferimenti

[Unax]

Quote:

Originariamente inviato da Averell

tutto chiaro, no??

Certo, se si aprono mail 'alla fava di Canis lupus familiaris', avere 10 o Windows 98, di fatto, non cambia nulla (in realtà, non so come si faccia a bypassare lo SmartScreen su 10 'se non si tocca nulla'), altrimenti è evidente anche al Sus scrofa domesticus che gli OS non sono tutti uguali...


Spero abbiate apprezzato i riferimenti

sai come è ogni vulnerabilità è bella a mamma sua e la vulnerabilità maggiore non mitigabile è sempre l'utente

comunque anche se esula un po' dalla discussione sto facendo dei test con le policies via registro

https://snag.gy/pFQxcX.jpg

blocco tutto tranne windows ed i programmi installati, eseguo un exe che sta al di fuori dal perimetro e giustamente windows mi dice che l'eseguibile è bloccato dall'amministratore

poi però da utente admin creo un'operazione pianificata che punta ad un eseguibile sempre fuori dal perimetro ad esempio "D:\TOOL-TRICK\NIRSOFT\ProduKey.exe"

https://snag.gy/sr2Ghm.jpg

e magia l'eseguibile non viene più bloccato, non solo tutti gli altri eseguibili contenuti nella medesima cartella si eseguono come se le policies che avrebbero dovuto fermarli non esistessero più mentre altri eseguibili vengono ancora bloccati

https://snag.gy/G370j5.jpg

sogno o son desto? cioè davvero basta creare una operazione pianificata come admin per liberare un exe dalla stretta mortale delle policies e perchè anche altri eseguibili che si trovano nella medesima cartella diventano liberi di eseguirsi?

confermo che rimuovendo l'operazione pianificata il blocco torna ad agire anche su quei exe

[x_Master_x]

Ho provato e non riscontro il tuo stesso scenario, l'eseguibile viene bloccato anche se lanciato da Task Scheduler con diritti amministrativi, non viene mostrata nessuna schermata di errore e solo tramite "Visualizzatore eventi" c'è la voce con ID 865, lo stesso avviene se lo lancio da SYSTEM. Non agisco via registro ma GPO e SRP e livello di sicurezza predefinito "Non consentito" con imposizione di tutti i software comprese DLL quindi non ne ho idea di come sia la tua configurazione e dove sia l'errore. Posso solo dirti di controllare bene la guida MSDN in prima pagina per una configurazione ottimale.

mattware,
No altrimenti lo avresti saputo, l'avrebbero pubblicato in ogni dove.

[Unax]

Quote:

Originariamente inviato da x_Master_x

Ho provato e non riscontro il tuo stesso scenario, l'eseguibile viene bloccato anche se lanciato da Task Scheduler con diritti amministrativi, non viene mostrata nessuna schermata di errore e solo tramite "Visualizzatore eventi" c'è la voce con ID 865, lo stesso avviene se lo lancio da SYSTEM. Non agisco via registro ma GPO e SRP e livello di sicurezza predefinito "Non consentito" con imposizione di tutti i software comprese DLL quindi non ne ho idea di come sia la tua configurazione e dove sia l'errore. Posso solo dirti di controllare bene la guida MSDN in prima pagina per una configurazione ottimale.

cioè io non ho gpedit ma impostando i valori così

Codice:

"PolicyScope"=dword:00000000
"TransparentEnabled"=dword:00000002
"AuthenticodeEnabled"=dword:00000001
"DefaultLevel"=dword:00000000

mi par di aver messo al massimo i vari livelli o no?
cioè blocco tutto per tutti gli utenti, compreso controllo dll e certificati e permetto l'esecuzione in base alle regole contenute in [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths]

che sono molto poche in pratica le cartelle windows e programmi sia 32 che 64 bit


se non creo un task in effetti è tutto bloccato e anche l'utente admin soggiace a tali regole finchè defaultLevel è a 0 ma appena creo un task con privilegi elevati ecco l'eseguibile selezionato nelle azioni e gli altri exe contenuti nella sua cartella diventano liberi di eseguirsi mentre tutti gli altri exe restano bloccati rispettando le policies, come se venisse creata una policy volatile che riguarda la sola cartella di quel exe

mi domandavo SCHTASKS crea delle policies diciamo particolari nel momento in cui si crea un'operazione pianificata?

[Beelzebub]

Stamattina in ufficio siamo stati infettati da Locky, e abbiamo 1 client e parte dei dati sul server criptati con estensione .locky e file completamente rinominato.

Per fortuna avevamo il backup di quasi tutto... Qualcuno sa se ci sono possibilità di recupero dei dati criptati?

La cosa strana di questo malware è che i programmi e le cartelle di sistema di Windows non sono stati toccati...

[Unax]

Quote:

Originariamente inviato da Beelzebub

Stamattina in ufficio siamo stati infettati da Locky, e abbiamo 1 client e parte dei dati sul server criptati con estensione .locky e file completamente rinominato.

Per fortuna avevamo il backup di quasi tutto... Qualcuno sa se ci sono possibilità di recupero dei dati criptati?

La cosa strana di questo malware è che i programmi e le cartelle di sistema di Windows non sono stati toccati...

non è strano è il comportamento tipico di questi virus, manomettono i documenti e roba simile per costringere a pagare

[x_Master_x]

Screenshot che valgono più di mille parole










Lascia solo le path di default e riprova perché ripeto le tue policy operano in modo diverso, non esiste nessuna policy volatile o cose simili. Il significato di AuthenticodeEnabled

Quote:

Originariamente inviato da Technet

Defines if certificate rules should be applied, 0 means disabled, 1 indicates that certificate rules will be applied. Note that this value is only valid for HKEY_LOCAL_MACHINE.