Ransomware: Prevenzione e soluzioni

[ecro]

Hai ragione me ne accorgo ora

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

[ecro]

Cmq sono delle.merde han.gia cambiato file mettendo.ko le varie firme digitali di quei.pochi av che lo beccavano.

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

[Averell]

Quote:

Originariamente inviato da giovanni69

Proveresti a vedere che succede con il ben noto Malwarebytes Anti-exploit free (non l'Anti-Ransomware) che veniva propagandato come panacea nel 2014 per supplire alla fine del supporto di XP?

perdonami per la crudezza della risposta nonchè se sembra che cerchi polemica ma, messa nei termini in cui l'hai posta (la domanda), è palese il fatto che non sai qual'è lo scopo di un programma Anti-Exploit...

Messa in termini da forum, per contrastare l'indiscriminata esecuzione di allegati alle mail non serve ad una mazza...e cmq nessun software è capace di impedire exploit al kernel il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC con un sistema discontinuato, di fatto è un °° che se le cerca indipendentemente dal fatto che l'hardware funzioni ugualmente...

[Unax]

un virus che ti arriva per email o che scarichi da un sito pensando sia un codec per vedere l'ultimo film a luci rosse non hanno bisogno di exploitare niente

se io dò le chiavi dell'auto al ladro lui non deve scassinare niente, un ransomware poi non nemmeno bisogno in assoluto di privilegi elevati

anche se uno ha quel minimo di accortezza di usare un account limitato è probabile che i documenti li tenga nel profilo in uso o in una partizione diversa da C o su un hard disk esterno

al ransomware basta ed avanza eseguirsi e trovare dei file da criptare, che siano importanti oppure no

è come una pesca a strascico qualcosa si tira su, qualcuno pagherà il riscatto

sinceramente non capisco nemmeno perchè alcuni di questi virus creino delle chiavi nel registro per autoeseguirsi il che fa scattare l'avviso uac o creino degli exe in determinate locazioni che possono essere bloccate da criptoprevent

[zerothehero]

Quote:

Originariamente inviato da Unax

ho scaricato adesso il virus di the zero il nome è lo stesso ma cambia l'hash

solo 3 antivirus lo rilevano, mi pare utilizzando l'euristica

https://www.virustotal.com/it/file/6...is/1461222005/

ecro puoi postare anche il link su virus total non occorre che fai lo screenshot

A ogni modo criptoprevent impostato su default blocca il virus che ho postato, ho provato ad eseguirlo con sandboxie da casa e cmq viene bloccato già dal predetto programma (criptoprevent) che blocca l'esecuzione e pone delle restrizioni (ad es. impedisce l'eliminazione silent delle shadow copy..già così si limita di molto la pericolosità del virus).
Criptoprevent 1 - Virus 0.
L'antivirus (su win7 account administrator) avast non rileva niente..idem credo il simantec cloud che abbiamo qui a scuola(per ovvi motivi non ho controllato effettivamente se l'antivirus lo rileva )

[x_Master_x]

Per cancellare le copie shadow, cosa che fanno praticamente tutti, hanno bisogno dei diritti amministrativi quindi sì hanno bisogno di privilegi elevati. Per avere i diritti amministrativi c'è sempre l'UAC di mezzo, alcuni visualizzano il prompt altri invece usano exploit per bypassarlo che sono inefficaci se l'UAC è al massimo. L'utilizzo del registro è facile da spiegare, se l'utente riavvia-spegne il PC per qualsiasi motivo l'infezione si blocca. Invece auto-avviandosi il problema è risolto e può continuare l'infezione. In ogni caso scrivere nella chiave "Run" non dovrebbe allertare nessun antivirus esempio OSD Clock scrive nel registro se si imposta l'esecuzione all'avvio, il tutto senza avere nessun diritto amministrativo.

[ecro]

altra performance disastrosa da quella massa di av col nuovo file scaricato dal link di zero

https://www.virustotal.com/en/file/1...a1e9/analysis/

[giovanni69]

Quote:

Originariamente inviato da Averell

perdonami per la crudezza della risposta nonchè se sembra che cerchi polemica ma, messa nei termini in cui l'hai posta (la domanda), è palese il fatto che non sai qual'è lo scopo di un programma Anti-Exploit...

Messa in termini da forum, per contrastare l'indiscriminata esecuzione di allegati alle mail non serve ad una mazza...e cmq nessun software è capace di impedire exploit al kernel il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC con un sistema discontinuato, di fatto è un °° che se le cerca indipendentemente dal fatto che l'hardware funzioni ugualmente...

Mi fa piacere che tu abbia risposto a dovere.
Il tuo commento si inserisce nella prospettiva che vedeva un noto sito del settore acconsentire al tipo di pubblicità fatta a suo tempo, ovviamente da parte di Malwarebytes a proposito dell'Anti-exploit.
Vedi questo articolo uscito nel 2014, in occasione dell'uscita di scena di XP:
http://www.zdnet.com/article/malware...ts-to-windows/

[Averell]

Quote:

Originariamente inviato da giovanni69

Mi fa piacere che tu abbia risposto a dovere.
Il tuo commento si inserisce nella prospettiva che vedeva un noto sito del settore acconsentire al tipo di pubblicità fatta a suo tempo, ovviamente da parte di Malwarebytes a proposito dell'Anti-exploit.
Vedi questo articolo uscito nel 2014, in occasione dell'uscita di scena di XP:
http://www.zdnet.com/article/malware...ts-to-windows/

Credo anche che l'articolo vada saputo leggere:
se si interpreta nel senso che MBAE=panacea (o 100% di successo indipendentemente dal tipo di malware/attacco considerato), allora è semplicemente FALSO (vedi appunto il malaugurato caso in cui ci si imbatta in un exploit al kernel ostacolati da...nessuno se non dall'OS stesso tramite apposite patch)

Se invece -come peraltro dovrebbe essere- l'articolo si legge nel senso che quel tipo di programma ostacola exploit portati sui programmi messi sotto la sua ala, allora volendo siamo già più nel campo del plausibile...

Ma una cosa sono gli RCE 'nati' dal browser semplicemente visitando un sito compromesso, e un'altra gli exploit dell'altro tipo...o un qualsivoglia virus annidato in una mail che si attivi con la semplice esecuzione dello stesso...

[Unax]

Quote:

Originariamente inviato da zerothehero

A ogni modo criptoprevent impostato su default blocca il virus che ho postato, ho provato ad eseguirlo con sandboxie da casa e cmq viene bloccato già dal predetto programma (criptoprevent) che blocca l'esecuzione e pone delle restrizioni (ad es. impedisce l'eliminazione silent delle shadow copy..già così si limita di molto la pericolosità del virus).
Criptoprevent 1 - Virus 0.
L'antivirus (su win7 account administrator) avast non rileva niente..idem credo il simantec cloud che abbiamo qui a scuola(per ovvi motivi non ho controllato effettivamente se l'antivirus lo rileva )

però io continuo a non capire perchè questi virus vanno a scrivere ed eseguirsi in quelle locazioni che cryptoprevent blocca

potrebbero copiarsi nella cartella documenti con l'attributo nascosto e da lì eseguirsi

[ecro]

Quote:

Originariamente inviato da Unax

però io continuo a non capire perchè questi virus vanno a scrivere ed eseguirsi in quelle locazioni che cryptoprevent blocca

potrebbero copiarsi nella cartella documenti con l'attributo nascosto e da lì eseguirsi

cryptoprevent blocca pure i file che finiscono con esempio .pdf.exe
credo sia questo il motivo x il quale è stato bloccato.
dovrebbe provare a rinominarlo togliendo quel .pdf davanti a exe e vedere se parte...

[Averell]

TeslaCrypt 4.1A (20/4/2016)

[ecro]

ho scoperto che con Gmail sono stati bannati i file compressi.compresi quelli con password...

[x_Master_x]

Non è così. Dipende sempre dal contenuto dei file compressi, con o senza password.
Alcuni tipi di file sono bloccati - Guida di Gmail

[Unax]

Quote:

Originariamente inviato da ecro

ho scoperto che con Gmail sono stati bannati i file compressi.compresi quelli con password...

Come misura precauzionale per prevenire potenziali virus, Gmail non consente di inviare o ricevere file eseguibili (ossia file con estensione .exe), in quanto potrebbero contenere codici pericolosi che potrebbero causare il download di software dannoso nel computer. Inoltre, Gmail non consente di inviare o ricevere file danneggiati, ovvero file che non funzionano correttamente.

non solo gmail però, ho una casella simail gratuita vecchia di anni 50 mb (praticamente preistoria informatica) e provando ad inviare un exe zippato protetto da password rifiuta l'invio

a dire la verita un archivio 7z protetto da password e contenente un exe gmail lo lascia passare

https://snag.gy/JRP901

ora è vero che gli archivi 7z sono meno diffusi ma ormai tutti i programmi gratuiti e non permettono l'apertura dei 7z

[Jedi82]

ragazzi questa non me la spiego: pare che una società (se posso metto anche il link) sia riuscita a decriptare 2 file di un cliente dicendo che si, è possibile la decriptazione di tutti i suoi files. Solo che quest'ultimi hanno estensione *.encrypted...

Da che ne so, tale estensione si rifà al Cryptolocker e nessuno è ancora riuscito a decriptarli o mi sbaglio? Non riesco a trovare alcun tool a riguardo

[x_Master_x]

Evitiamo pubblicità gratuita se non serve quindi non scrivere il nome della società. Ammesso che sia vero, comunque non li hanno decriptati risalendo alla chiave tramite bruteforce o sfruttando delle vulnerabilità ( perché ad oggi non esiste nulla per Crypt0L0cker altrimenti la notizia sarebbe già diffusa ) immagino invece che in passato abbiano fatto da "intermediari" per il pagamento del riscatto e quindi in qualche modo hanno un database di chiavi a disposizione e/o hanno tirato già qualche server con delle chiavi. Ad esempio bisogna vedere quanti soldi vogliono, molto spesso è più di quello che avresti pagato per il riscatto ed è questo che fa capire il ruolo di una azienda come "intermediario" che in pratica paga il riscatto al tuo posto e si prende una percentuale non insignificante per il "lavoro" svolto.

[Jedi82]

No no appunto io ho solo chiesto visto che manco li conoscevo loro e non compaiono quasi mai su Google se non cercando per bene! Ok volevo solo conferma che non sono matto io e che è stato solo un caso

[zerothehero]

Quote:

Originariamente inviato da Phoenix2005

“...il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC” senza un minimo di competenza nessun OS sarà in grado di proteggerlo dai malware, né mai ne esisterà uno in grado di farlo. E la prova è davanti agli occhi di tutti: non è infrequente trovare gente anche su questo forum (patch o meno) che chiede aiuto perché si ritrova con W8/W10 infestato o con tutti i file cifrati.

Il problema è che il classico impiegato/avvocato/medico/libero professionista non conosce spesso concetti basilari come ad es. un eseguibile o cosa siano le stesse estensioni di un file.
E non è detto che siano persone stupide: semplicemente svolgono egregiamente il loro lavoro anche se non conoscono quel minimo indispensabile di informatica.
Per queste persone o blindi tutto o l'unica è dar loro dei sistemi modello cellullare dove poi scaricare solo "app" certificate nei marketplace.
Infatti mica per altro ci stiamo dirigendo verso questi modelli di sistema operativo, dove tutto è blindato per impedire che l'utente faccia danno.
Ora non se ne esce..dato che la maggioranza degli utenti pc anche nei luoghi di lavoro è così, bisogna prenderne atto e agire di conseguenza per minimizzare il rischio.

[Averell]

@ Phoenix2005:
non sono d'accordo ma, visto che la chat presumo interessi a pochi, mi limito solo a farlo presente...


Mi incuriosisce cmq l'idea di configurazione di sicurezza che proponi (/applichi?) (nel calderone, infatti, non ti sei fatto mancare nulla) ...