|
|
|
|
Strumenti |
28-04-2016, 22:44 | #281 |
Senior Member
Iscritto dal: Jun 2001
Città: Codice Amico Sorgenia EmidioM56745
Messaggi: 22136
|
beh certo , non ci vuole molto ad alterare il mail from
quel che ho notato è che alcuni di questi virus una volta infettato il computer riescono anche a rubare i contatti della rubrica sul pc di un conoscente tempo fa è arrivato un teslacrypt 3 via mail anche se l'indirizzo non era noto , riportava il nome e cognome di un parente. La mail nel campo A: risultava girata a tanti altri indirizzi che ho verificato personalmente essere tutti nella rubrica di questo parente Ultima modifica di Paky : 28-04-2016 alle 22:49. |
29-04-2016, 08:53 | #282 |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18055
|
Per i file più importanti potresi farne una ulteriore copia usando un supporto non riscrivibile, un DVD ad esempio. O uno dei nuovi supporti ottici di grandissima capacità. Backup su nastro? Dubito che un ransomware riesce a criptarli quei dati. Via volendo le soluzioni in casa si trovano, senza andare a scaricare sul cloud.
|
29-04-2016, 13:51 | #283 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
L'utilità di pianificazione in quel modo funziona solo su account di tipo amministrativo e anche in questo caso un programma che volesse aggiungere una task ha bisogno dei diritti elevati per poter operare. Ccleaner riesce nell'intento di non mostrare l'UAC perché il setup richiede diritti amministrativi e aggiunge la task in quel frangente altrimenti non potrebbe farlo.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
29-04-2016, 14:53 | #284 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
Quote:
|
|
29-04-2016, 18:27 | #285 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
altro trucco di pochissimi gg fà per installare (anche) Ransomware (con tanto di filmato dimostrativo):
http://www.bleepingcomputer.com/news...pt-installers/ |
30-04-2016, 09:23 | #286 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
Quote:
cospira contro di noi anzi dietro ai ransomware c'è bill gates che non ha digerito il fatto che gli ultimi sistemi operativi 8 e 10 non hanno avuto il successo sperato |
|
01-05-2016, 13:21 | #287 |
Senior Member
Iscritto dal: Dec 2010
Messaggi: 429
|
ciao mi unisco anche io a questa discussione! ho 2 parenti che hanno beccato questo virus!
però mi è sorto un dubbio, si diffonde anche tramite USB? chiavetta internet tim? |
01-05-2016, 13:39 | #288 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Pendrive sì, modem USB come quella di TIM no.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
01-05-2016, 13:50 | #289 |
Senior Member
Iscritto dal: Dec 2010
Messaggi: 429
|
|
01-05-2016, 14:03 | #290 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
I ransomware infettano i file a cui l'utente ha accesso in lettura e scrittura.
P.S. Se non sbaglio hai la firma irregolare, controlla il regolamento
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
02-05-2016, 10:27 | #291 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
|
02-05-2016, 11:31 | #292 |
Senior Member
Iscritto dal: Jan 2014
Messaggi: 1253
|
scusate se mi intrometto, ma per le estensioni .micro è stata trovata una soluzione ?
grazie |
02-05-2016, 17:56 | #293 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
Collegato in qualche maniera all'oggetto del thread (gli exploit, infatti, possono costituire un canale attraverso il quale si origina un'infezione),
Understanding [] EdgeHTML’s Attack Surface and Exploit Mitigations In poche parole, si colgono gli sforzi operati da MS per tentare di 'isolare' EDGE e le 'opportunità' che si creano abbracciando nuovi standard... |
03-05-2016, 11:34 | #294 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
tutto chiaro, no??
Certo, se si aprono mail 'alla fava di Canis lupus familiaris', avere 10 o Windows 98, di fatto, non cambia nulla (in realtà, non so come si faccia a bypassare lo SmartScreen su 10 'se non si tocca nulla'), altrimenti è evidente anche al Sus scrofa domesticus che gli OS non sono tutti uguali... Spero abbiate apprezzato i riferimenti Ultima modifica di Averell : 03-05-2016 alle 11:41. |
04-05-2016, 09:41 | #295 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
Quote:
comunque anche se esula un po' dalla discussione sto facendo dei test con le policies via registro https://snag.gy/pFQxcX.jpg blocco tutto tranne windows ed i programmi installati, eseguo un exe che sta al di fuori dal perimetro e giustamente windows mi dice che l'eseguibile è bloccato dall'amministratore poi però da utente admin creo un'operazione pianificata che punta ad un eseguibile sempre fuori dal perimetro ad esempio "D:\TOOL-TRICK\NIRSOFT\ProduKey.exe" https://snag.gy/sr2Ghm.jpg e magia l'eseguibile non viene più bloccato, non solo tutti gli altri eseguibili contenuti nella medesima cartella si eseguono come se le policies che avrebbero dovuto fermarli non esistessero più mentre altri eseguibili vengono ancora bloccati https://snag.gy/G370j5.jpg sogno o son desto? cioè davvero basta creare una operazione pianificata come admin per liberare un exe dalla stretta mortale delle policies e perchè anche altri eseguibili che si trovano nella medesima cartella diventano liberi di eseguirsi? confermo che rimuovendo l'operazione pianificata il blocco torna ad agire anche su quei exe
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 04-05-2016 alle 09:44. |
|
04-05-2016, 10:33 | #296 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Ho provato e non riscontro il tuo stesso scenario, l'eseguibile viene bloccato anche se lanciato da Task Scheduler con diritti amministrativi, non viene mostrata nessuna schermata di errore e solo tramite "Visualizzatore eventi" c'è la voce con ID 865, lo stesso avviene se lo lancio da SYSTEM. Non agisco via registro ma GPO e SRP e livello di sicurezza predefinito "Non consentito" con imposizione di tutti i software comprese DLL quindi non ne ho idea di come sia la tua configurazione e dove sia l'errore. Posso solo dirti di controllare bene la guida MSDN in prima pagina per una configurazione ottimale.
mattware, No altrimenti lo avresti saputo, l'avrebbero pubblicato in ogni dove.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
04-05-2016, 11:22 | #297 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
Quote:
Codice:
"PolicyScope"=dword:00000000 "TransparentEnabled"=dword:00000002 "AuthenticodeEnabled"=dword:00000001 "DefaultLevel"=dword:00000000 cioè blocco tutto per tutti gli utenti, compreso controllo dll e certificati e permetto l'esecuzione in base alle regole contenute in [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths] che sono molto poche in pratica le cartelle windows e programmi sia 32 che 64 bit se non creo un task in effetti è tutto bloccato e anche l'utente admin soggiace a tali regole finchè defaultLevel è a 0 ma appena creo un task con privilegi elevati ecco l'eseguibile selezionato nelle azioni e gli altri exe contenuti nella sua cartella diventano liberi di eseguirsi mentre tutti gli altri exe restano bloccati rispettando le policies, come se venisse creata una policy volatile che riguarda la sola cartella di quel exe mi domandavo SCHTASKS crea delle policies diciamo particolari nel momento in cui si crea un'operazione pianificata?
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 04-05-2016 alle 11:29. |
|
04-05-2016, 15:44 | #298 |
Senior Member
Iscritto dal: Apr 2003
Città: Genova
Messaggi: 17505
|
Stamattina in ufficio siamo stati infettati da Locky, e abbiamo 1 client e parte dei dati sul server criptati con estensione .locky e file completamente rinominato.
Per fortuna avevamo il backup di quasi tutto... Qualcuno sa se ci sono possibilità di recupero dei dati criptati? La cosa strana di questo malware è che i programmi e le cartelle di sistema di Windows non sono stati toccati...
__________________
PSU Corsair 520HX | Case Corsair Graphite T380 Black | Mobo AsRock Z97E ITX/AC | CPU Intel i5 4690 | Dissi Noctua NH-L12 | RAM Corsair Vengeance 16Gb DDR3 | GPU Msi GTX 970 Gaming 4G | SSD Crucial MX100 256 Gb + HDD WD 500Gb | Tasietra Logitech G910 | Mouse Logitech G502 Lightspeed | Cuffie Logitech G935 | Monitor LG IPS237L | Profilo Steam | Btag: BelzeHWup#1129 | |
04-05-2016, 16:31 | #299 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5975
|
Quote:
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 04-05-2016 alle 16:50. |
|
05-05-2016, 09:29 | #300 | |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Screenshot che valgono più di mille parole
Lascia solo le path di default e riprova perché ripeto le tue policy operano in modo diverso, non esiste nessuna policy volatile o cose simili. Il significato di AuthenticodeEnabled Quote:
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:53.