Ransomware: Prevenzione e soluzioni

[andrea7007]

se si riuscisse velocemente a bloccare il sito dove è presente il download
si eviterebbe il contagio ?

[Paky]

prendere la buona abitudine di usare i vari aiuti tipo uBlock origin /noscript sarebbe di grosso aiuto

[Fulmine 75]

scusatemi qualcuno sa per caso se installo HitmanPro con questa configurazione potrebbe crearmi conflitti crash problemi di vario tipo ?
Win 10 pro
Kaspersky Internet Security 15xxx
Malwarebyte Anti Malware
Malwarebyte Anti Exploit
Grazie a tutti in anticipo

[Unax]

Quote:

Originariamente inviato da Fulmine 75

scusatemi qualcuno sa per caso se installo HitmanPro con questa configurazione potrebbe crearmi conflitti crash problemi di vario tipo ?
Win 10 pro
Kaspersky Internet Security 15xxx
Malwarebyte Anti Malware
Malwarebyte Anti Exploit
Grazie a tutti in anticipo

Malwarebyte Anti Exploit e Hitman appartengono alla stessa categoria quindi è probabile/possibile che possano andare in conflitto, come avere due antivirus in tempo reale attivi o due firewall software attivi

anche se qui non specificano che ci sia un reale conflitto tra i due

https://forums.malwarebytes.org/topi...ues-conflicts/

non è detto che con un aggiornamento di uno dei due non possano crearsi eventuali conflitti

leggendo qua e là qualcuno propugna l'accoppiata EMET + MBAE in quanto ci sarebbe una sinergia ma quanto questa sia effettiva non lo so

ma questo esula un po' dalla questione specifica ransomware ma attiene in generale a tutti i malware che utilizzano exploit come veicolo di diffusione

adesso si parla molto di ransomware in quanto sembra che ci sia un picco di questo tipo di malware e per il tipo di fastidi che causa ai malcapitati ma se guardassimo le statistiche delle varie tipologie probabilmente adware spyware trojan e virus sparaspam la fanno ancora da padrone

c'è stato il periodo in cui sembravano in auge i rookit ve lo ricordate gromozon che rese famoso al grande pubblico Marco Giuliani aka Eraser?

[Fulmine 75]

Grazie Unax avevo letto che non ci sono grandi problemi ma giustamente come detto da te ( ed io non avendo pensato ) a un futuro aggiornameto quindi evito
grazie ancora Unax

[Peach1200]

Nel weekend mi hanno portato un computer con file criptati per dargli un'occhiata.
Ho esaminato uno dei file su questo sito:
https://id-ransomware.malwarehunterteam.com/

Il responso è TeslaCrypt 4.0!
Visto che è la prima volta che ho a che fare con un ransomware, vi chiedo qualche consiglio.

Finora mi sono mosso così:
- ho avviato il PC solo in modalità provvisoria
- ho dato un'occhiata con Shadow Explorer ma non trova nessun file
- Recuva mi ha trovato un po' di file cancellati che sembrano recuperabili e li ho salvati su un disco esterno
- per sicurezza ho fatto un backup sullo stesso disco anche delle principali cartelle con i file criptati


Domande:
- il disco esterno su cui ho salvato i file potrebbe a sua volta infettare un pc pulito? come si diffonde il ransomware?
- un pc pulito collegato a una stessa rete con il pc infetto, quante possibilità ha di essere infettato a sua volta? può succedere anche in modalità provvisoria?
(il pc infetto era ovviamente un pc aziendale e non vorrei che la cosa si possa diffondere a macchia d'olio in tutta l'azienda)
- ho letto che ad ogni avvio del pc i file potrebbero essere criptati nuovamente, rendendo le cose sempre peggiori ad ogni riavvio.
Avendo lavorato solo in modalità provvisoria il malware non dovrebbe essere stato attivato altre volte, giusto?


Ora, detto ciò, farei nell'ordine:
1) ripulire il pc dall'infezione (ma devo ancora scegliere che tool utilizzare)
2) una volta ripulito, attaccherei l'hdd con il backup dei dati a questo stesso pc e farei una scansione di tutto per essere sicuro che sia pulito
3) fatto ciò, punterei a riformattare il pc, per sicurezza
4) il backup dei dati crittografati glielo farò mettere in un cassetto, chissà che tra un po' di tempo non si riescano a recuperare


Che mi dite? Sto facendo bene?
Trovate "falle evidenti" in quello che ho scritto?
Comunque, devastanti questi ransomware... il proprietario di questo pc non fa un backup da 2-3 mesi ed è davvero disperato..


---
Variante: TeslaCrypt 4.0
Sistema Operativo: Windows 7 Home Premium SP1
Antivirus: Avira (non ho idea di quanto fosse aggiornato)
Livello UAC: disattivato
Anti-Ransomware e/o Criteri di gruppo: -
Veicolo di infezione: ignoto
Provider di posta: posta aziendale
Macro di Office: -
Ad-Block: no
Flash: 19.0.0.245
Java:

[andrea7007]

Quote:

Originariamente inviato da Phoenix2005

Penso proprio di no...in genere si tratta di una manciata di Kb che vengono scaricati/eseguiti più o meno istantaneamente...

nella mia ignoranza credevo fosse un file più grande

[Paky]

Quote:

Originariamente inviato da Peach1200

3) fatto ciò, punterei a riformattare il pc, per sicurezza

scusa , ma se lo devi formattare tutto il resto che senso ha?

Quote:

Comunque, devastanti questi ransomware... il proprietario di questo pc non fa un backup da 2-3 mesi ed è davvero disperato..

beh puoi dire al proprietario che i backup andrebbero fatti
e di non cliccare a cavolo sugli eseguibili che arrivano per mail

che poi.... con un servizio di posta decente gli EXE anche zippati ,non dovrebbero proprio passare

[Apix_1024]

linko qui la news: http://www.hwupgrade.it/articoli/sic...tto_index.html credo possa essere utile riportarla anche qui

[Peach1200]

Quote:

Originariamente inviato da Paky

scusa , ma se lo devi formattare tutto il resto che senso ha?

In effetti, mi sono espresso male. Dipende tutto dall'efficacia della pulizia che riuscirei a fare sul pc; in base a quello decido se formattare o meno.

Una domanda:
Qual è il modo più sicuro per verificare se l'hdd esterno su cui ho copiato i dati è pulito o meno, senza correre il rischio di infettare un altro pc?
Mi consigliate una distribuzione live di linux da cui fare una scansione?
Se non volessi usare linux invece? Cosa consigliate?

Quote:

beh puoi dire al proprietario che i backup andrebbero fatti
e di non cliccare a cavolo sugli eseguibili che arrivano per mail

che poi.... con un servizio di posta decente gli EXE anche zippati ,non dovrebbero proprio passare

Si, hai ragione, ma mettiti anche nei panni di un signore di 60 anni. Non è tutto così scontato; per quanto attento, può essere che una mail fatta bene lo abbia indotto a cliccare.

In ogni caso, il backup è obbligatorio, questo glielo ripeterò fino alla morte.. e penso che dopo quanto avvenuto, difficilmente se ne dimenticherà d'ora in poi!

[Averell]

Quote:

Originariamente inviato da Apix_1024

linko qui la news

notizia vecchia (1 e 2) anche se cmq non fa male ricordarlo [in un thread Petya-centrico quando invece gli italiani si infettano di tutt'altro (vedi appunto l'esperienza di TeslaCrypt 4 raccontataci dall'utente Peach1200) e per quanto questo particolare malware non innovi in nulla se non giusto nell'oggetto che va ad attaccare: chiunque dotato infatti di un minimo di scaltrezza informatica sarebbe capace di evitarlo rispondendo semplicemente NO alla richiesta di maggiori privilegi proveniente da un fantomatico .exe ubicato nello spazio utente]...

Teslacrypt 4, invece, fa parrocchia a se essendo decisamente più pericoloso (o si ha l'UAC al massimo o si viene bypassati su sistemi 10 TH2- con UAC a default) e reale.

Il caso descritto da Peach1200 (in particolare, la configurazione di sistema che ci presenta) evidenzia una situazione informatica della realtà di cui parla che è semplicemente disastrosa (UAC off perchè tanto non si sa neppure minimamente quale sia il suo scopo e di conseguenza come gestire gli eventuali pop-up, programmi non aggiornati per cui un exploit sul browser sarebbe sempre dietro l'angolo, ecc).

Sono sicuro che in una realtà come quella prima o poi ricaschino nel solito tranello anche se sono certo che, forti di quest'esperienza, siano indotti inevitabilmente a crescere informaticamente per cui dal male, talvolta, si può anche ricavare qualcosa di positivo...

Quote:

Originariamente inviato da Peach1200

In ogni caso, il backup è obbligatorio, questo glielo ripeterò fino alla morte.. e penso che dopo quanto avvenuto, difficilmente se ne dimenticherà d'ora in poi!

Appunto, i Ransomware loro malgrado costringono a diventare meno sprovveduti per cui: chapeau!

Dove non sono arrivate le raccomandazioni (e i forum, i tecnici, ...), sono arrivati loro...

[andrea7007]

Quote:

Originariamente inviato da Phoenix2005

Il sample di Petya in mio possesso ha una dimensione di 225 KiB, quindi:

...

Tremendo quante righe di codice saranno ?

io che uso l'home banking ho sempre più paura

[andrea7007]

Quote:

Originariamente inviato da Phoenix2005

Attualmente i ransomware (es. Locky) possono essere decisamente pericolosi per i possessori di criptomoneta, essendo in grado di cifrare i wallets. Altro discorso sono i classici trojan bancari a cui probabilmente ti riferivi...in linea di massima, per l'Home banking “blindato” consiglio Qubes Live USB (Qubes-R3.1-alpha1.1-x86_64-LIVE):

https://www.qubes-os.org/downloads

Scarichi l'iso, la masterizzi su DVD ottenendo un bel Live-DVD (ma volendo la puoi istallare anche su USB tramite Rufus e così otterai una Live-USB) che poi andrai ad usare per collegarti alla tua Banca all'interno di una sessione di lavoro virtualizzata temporanea chiamata DomO.

Qui il manuale e le FAQ d'uso:
https://www.qubes-os.org/doc

Il tutto è da usarsi preferibilmente su di un (vecchio) PC adibito solo ed esclusivamente allo scopo.

devo rivedere la mia configurazione

uso ubuntu su chiavetta per la banca e solo per quello

ma il pc lo win 7 lo uso per tutto mi serve excel per lavoro

[Averell]

Si profilano all'orizzonte tempi particolarmente foschi (nel senso che se fino ad oggi hanno scherzato, da domani potrebbero cominciare a fare sul serio):
Cryptoworm (capaci cioè di autoreplicarsi adottando 'vecchie' strategie...)

Codice:

"What's past is prologue."
-- William Shakespeare, The Tempest

MEET THE CRYPTOWORM, THE FUTURE OF RANSOMWARE

RANSOMWARE: PAST, PRESENT, AND FUTURE

[Peach1200]

Quote:

Originariamente inviato da Phoenix2005

[...]

La scelta migliore, finalizzata alla non ri-esecuzione accidentale del malware, resta quella di disabilitare da BIOS l'HD infetto per poi bootare tramite Live-CD Windows oppure, in alternativa, è possibile staccare l'hard disk infetto collegandolo ad una macchina pulita (ma con tutte le partizioni virtualizzate tramite tools specifici tipo ToolWiz Time Freeze) operazioni da effettuarsi sempre con il PC staccato fisicamente dalla rete.

Un'altra possibilità è quella di creare l'immagine del disco infetto tramite software specifici di backup (es. Macrium 6.x Free) da montare a piacimento come drive virtuale sul quale poi operare in sicurezza da altro PC: basta trasportare sul PC di lavoro il file .mrimg ed aprirlo tramite Macrium; in alternativa è possibile convertire l'immagine di backup (precedentemente creata con Macrium ma anche con altri software di backup) in VHD per poi montarla in VM (nel caso si trattasse del disco di boot verrà eseguita anche l'infezione, pur circoscritta alla VM stessa): in quest'ultimo caso, però, se si utilizza come VM specificatamente VMware Workstation occorrerà convertire il formato VHD tramite l'utility free “StarWind V2V Image Converter”; invece se come VM si utilizza VirtualBox quest'ultimo passaggio non è necessario, poiché VirtualBox è in grado di elaborare direttamente il formato VHD.

Ciao Phoenix2005,
Ti ringrazio tantissimo per la risposta, sei stato davvero esauriente! Grazie!!
Stanotte o domani mi ritaglio un po' di tempo e cerco di ripulire il pc in questione.
Vediamo come va, incrociamo le dita..

Tra l'altro, ne approfitterò per approfondire un po' dei tuoi suggerimenti.
ToolWiz Time Freeze, ad esempio, è un programma che non conoscevo assolutamente... e non avevo minimamente pensato alla possibilità di lavorare sull'immagine del disco per ripulirla.. insomma, grazie davvero per le dritte!

[Peach1200]

Quote:

Originariamente inviato da Averell

[...]

Sono sicuro che in una realtà come quella prima o poi ricaschino nel solito tranello anche se sono certo che, forti di quest'esperienza, siano indotti inevitabilmente a crescere informaticamente per cui dal male, talvolta, si può anche ricavare qualcosa di positivo...

Appunto, i Ransomware loro malgrado costringono a diventare meno sprovveduti per cui: chapeau!

Dove non sono arrivate le raccomandazioni (e i forum, i tecnici, ...), sono arrivati loro...

Da qualche giorno è iniziata una "gara al backup" nell'azienda del mio amico, dopo l'incidente.. TUTTI a fare backup e a cercare di capire cosa sia successo!
Insomma: una bella stangata ma sembra che qualche risvolto positivo si intraveda già..

[Dane]

Quote:

Originariamente inviato da Peach1200

Da qualche giorno è iniziata una "gara al backup" nell'azienda del mio amico, dopo l'incidente.. TUTTI a fare backup e a cercare di capire cosa sia successo!
Insomma: una bella stangata ma sembra che qualche risvolto positivo si intraveda già..

nel giro di tre mesi si scorderanno di tutto ;-)

[Apix_1024]

Quote:

Originariamente inviato da Dane

nel giro di tre mesi si scorderanno di tutto ;-)

direi nel giro di 3 backup....

[Unax]

3 giorni

e poi succederà di nuovo e diranno cavolo ho il backup vecchio di 3 anni

[giovanni69]

Quote:

Originariamente inviato da Dane

nel giro di tre mesi

Quote:

Originariamente inviato da Apix_1024

nel giro di 3 backup....

Quote:

Originariamente inviato da Unax

3 giorni ... backup di 3 anni fa