|
|
|
|
Strumenti |
21-04-2016, 08:30 | #181 |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 576
|
Hai ragione me ne accorgo ora
Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk |
21-04-2016, 09:02 | #182 |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 576
|
Cmq sono delle.merde han.gia cambiato file mettendo.ko le varie firme digitali di quei.pochi av che lo beccavano.
Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk |
21-04-2016, 11:29 | #183 | |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
Quote:
Messa in termini da forum, per contrastare l'indiscriminata esecuzione di allegati alle mail non serve ad una mazza...e cmq nessun software è capace di impedire exploit al kernel il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC con un sistema discontinuato, di fatto è un °° che se le cerca indipendentemente dal fatto che l'hardware funzioni ugualmente... |
|
21-04-2016, 11:54 | #184 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5980
|
un virus che ti arriva per email o che scarichi da un sito pensando sia un codec per vedere l'ultimo film a luci rosse non hanno bisogno di exploitare niente
se io dò le chiavi dell'auto al ladro lui non deve scassinare niente, un ransomware poi non nemmeno bisogno in assoluto di privilegi elevati anche se uno ha quel minimo di accortezza di usare un account limitato è probabile che i documenti li tenga nel profilo in uso o in una partizione diversa da C o su un hard disk esterno al ransomware basta ed avanza eseguirsi e trovare dei file da criptare, che siano importanti oppure no è come una pesca a strascico qualcosa si tira su, qualcuno pagherà il riscatto sinceramente non capisco nemmeno perchè alcuni di questi virus creino delle chiavi nel registro per autoeseguirsi il che fa scattare l'avviso uac o creino degli exe in determinate locazioni che possono essere bloccate da criptoprevent |
21-04-2016, 15:24 | #185 | |
Senior Member
Iscritto dal: Aug 2003
Città: milano
Messaggi: 13962
|
Quote:
A ogni modo criptoprevent impostato su default blocca il virus che ho postato, ho provato ad eseguirlo con sandboxie da casa e cmq viene bloccato già dal predetto programma (criptoprevent) che blocca l'esecuzione e pone delle restrizioni (ad es. impedisce l'eliminazione silent delle shadow copy..già così si limita di molto la pericolosità del virus). Criptoprevent 1 - Virus 0. L'antivirus (su win7 account administrator) avast non rileva niente..idem credo il simantec cloud che abbiamo qui a scuola(per ovvi motivi non ho controllato effettivamente se l'antivirus lo rileva )
__________________
We are the flame and darkness fears us ! Ultima modifica di zerothehero : 21-04-2016 alle 15:26. |
|
21-04-2016, 15:25 | #186 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Per cancellare le copie shadow, cosa che fanno praticamente tutti, hanno bisogno dei diritti amministrativi quindi sì hanno bisogno di privilegi elevati. Per avere i diritti amministrativi c'è sempre l'UAC di mezzo, alcuni visualizzano il prompt altri invece usano exploit per bypassarlo che sono inefficaci se l'UAC è al massimo. L'utilizzo del registro è facile da spiegare, se l'utente riavvia-spegne il PC per qualsiasi motivo l'infezione si blocca. Invece auto-avviandosi il problema è risolto e può continuare l'infezione. In ogni caso scrivere nella chiave "Run" non dovrebbe allertare nessun antivirus esempio OSD Clock scrive nel registro se si imposta l'esecuzione all'avvio, il tutto senza avere nessun diritto amministrativo.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
21-04-2016, 15:26 | #187 |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 576
|
altra performance disastrosa da quella massa di av col nuovo file scaricato dal link di zero
https://www.virustotal.com/en/file/1...a1e9/analysis/ |
21-04-2016, 16:40 | #188 | |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 21945
|
Quote:
Il tuo commento si inserisce nella prospettiva che vedeva un noto sito del settore acconsentire al tipo di pubblicità fatta a suo tempo, ovviamente da parte di Malwarebytes a proposito dell'Anti-exploit. Vedi questo articolo uscito nel 2014, in occasione dell'uscita di scena di XP: http://www.zdnet.com/article/malware...ts-to-windows/ Ultima modifica di giovanni69 : 21-04-2016 alle 16:45. |
|
21-04-2016, 18:02 | #189 | |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
Quote:
se si interpreta nel senso che MBAE=panacea (o 100% di successo indipendentemente dal tipo di malware/attacco considerato), allora è semplicemente FALSO (vedi appunto il malaugurato caso in cui ci si imbatta in un exploit al kernel ostacolati da...nessuno se non dall'OS stesso tramite apposite patch) Se invece -come peraltro dovrebbe essere- l'articolo si legge nel senso che quel tipo di programma ostacola exploit portati sui programmi messi sotto la sua ala, allora volendo siamo già più nel campo del plausibile... Ma una cosa sono gli RCE 'nati' dal browser semplicemente visitando un sito compromesso, e un'altra gli exploit dell'altro tipo...o un qualsivoglia virus annidato in una mail che si attivi con la semplice esecuzione dello stesso... |
|
21-04-2016, 18:46 | #190 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5980
|
Quote:
potrebbero copiarsi nella cartella documenti con l'attributo nascosto e da lì eseguirsi |
|
21-04-2016, 20:07 | #191 | |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 576
|
Quote:
credo sia questo il motivo x il quale è stato bloccato. dovrebbe provare a rinominarlo togliendo quel .pdf davanti a exe e vedere se parte... |
|
21-04-2016, 21:55 | #192 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
|
22-04-2016, 05:27 | #193 |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 576
|
ho scoperto che con Gmail sono stati bannati i file compressi.compresi quelli con password...
|
22-04-2016, 08:25 | #194 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Non è così. Dipende sempre dal contenuto dei file compressi, con o senza password.
Alcuni tipi di file sono bloccati - Guida di Gmail
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . |
22-04-2016, 08:28 | #195 | |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5980
|
Quote:
non solo gmail però, ho una casella simail gratuita vecchia di anni 50 mb (praticamente preistoria informatica) e provando ad inviare un exe zippato protetto da password rifiuta l'invio a dire la verita un archivio 7z protetto da password e contenente un exe gmail lo lascia passare https://snag.gy/JRP901 ora è vero che gli archivi 7z sono meno diffusi ma ormai tutti i programmi gratuiti e non permettono l'apertura dei 7z
__________________
Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson) Ultima modifica di Unax : 22-04-2016 alle 16:10. |
|
22-04-2016, 14:38 | #196 |
Senior Member
Iscritto dal: Nov 2001
Città: Roma
Messaggi: 16092
|
ragazzi questa non me la spiego: pare che una società (se posso metto anche il link) sia riuscita a decriptare 2 file di un cliente dicendo che si, è possibile la decriptazione di tutti i suoi files. Solo che quest'ultimi hanno estensione *.encrypted...
Da che ne so, tale estensione si rifà al Cryptolocker e nessuno è ancora riuscito a decriptarli o mi sbaglio? Non riesco a trovare alcun tool a riguardo |
22-04-2016, 14:58 | #197 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8685
|
Evitiamo pubblicità gratuita se non serve quindi non scrivere il nome della società. Ammesso che sia vero, comunque non li hanno decriptati risalendo alla chiave tramite bruteforce o sfruttando delle vulnerabilità ( perché ad oggi non esiste nulla per Crypt0L0cker altrimenti la notizia sarebbe già diffusa ) immagino invece che in passato abbiano fatto da "intermediari" per il pagamento del riscatto e quindi in qualche modo hanno un database di chiavi a disposizione e/o hanno tirato già qualche server con delle chiavi. Ad esempio bisogna vedere quanti soldi vogliono, molto spesso è più di quello che avresti pagato per il riscatto ed è questo che fa capire il ruolo di una azienda come "intermediario" che in pratica paga il riscatto al tuo posto e si prende una percentuale non insignificante per il "lavoro" svolto.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 22-04-2016 alle 15:01. |
22-04-2016, 15:04 | #198 |
Senior Member
Iscritto dal: Nov 2001
Città: Roma
Messaggi: 16092
|
No no appunto io ho solo chiesto visto che manco li conoscevo loro e non compaiono quasi mai su Google se non cercando per bene! Ok volevo solo conferma che non sono matto io e che è stato solo un caso
|
22-04-2016, 18:10 | #199 | |
Senior Member
Iscritto dal: Aug 2003
Città: milano
Messaggi: 13962
|
Quote:
E non è detto che siano persone stupide: semplicemente svolgono egregiamente il loro lavoro anche se non conoscono quel minimo indispensabile di informatica. Per queste persone o blindi tutto o l'unica è dar loro dei sistemi modello cellullare dove poi scaricare solo "app" certificate nei marketplace. Infatti mica per altro ci stiamo dirigendo verso questi modelli di sistema operativo, dove tutto è blindato per impedire che l'utente faccia danno. Ora non se ne esce..dato che la maggioranza degli utenti pc anche nei luoghi di lavoro è così, bisogna prenderne atto e agire di conseguenza per minimizzare il rischio.
__________________
We are the flame and darkness fears us ! Ultima modifica di zerothehero : 22-04-2016 alle 18:15. |
|
22-04-2016, 18:11 | #200 |
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
@ Phoenix2005:
non sono d'accordo ma, visto che la chat presumo interessi a pochi, mi limito solo a farlo presente... Mi incuriosisce cmq l'idea di configurazione di sicurezza che proponi (/applichi?) (nel calderone, infatti, non ti sei fatto mancare nulla) ... |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:24.