unità di rete A: "fantasma"

[TheGaiden]

ciao a tutti!
su un sistema Win11 24H2 è la seconda volta all'accensione che mi capita di trovare in esplora risorse una fantomatica unità di rete chiamata A: contenente dei file dai nomi e contenuti quantomeno "esotici".
un riavvio riporta la situazione alla normalità ma capite bene che vorrei venire a capo del problema.
ho fatto qualche screenshoot per farvi vedere:







scansione bitdefender non rileva nulla di anomalo.

se avete qualche idea ve ne sarei grato.

[SysLack]

In Gestione Dischi c'è anche il drive A? Hai recentemente mappato qualche risorsa come drive? 500 GB è anche la dimensione del disco C?
Potrebbe essere dovuto alla sincronizzazione con pCloud (che siano nomi random di file temporanei gestiti da pCloud?); prova a disabilitarla (o a disabilitare pCloud all'avvio) e vedere se il problema persiste.

[TheGaiden]

Mai mappato nulla.
E non c'entra pcloud visto che la prima volta che è successo non l'avevo manco installato.

Su gestione disco non so dirti, son fuori per il weekend

[TheGaiden]

su gestione disco non c'è nessuna unità.

cmq oggi appena rientrato dal weekend "sveglio" il pc dalla sospensione e di nuovo: unità di rete disconnessa in Esplora Risorse (sono sicuro che quando ho messo il pc in sospensione non ci fosse)
apparentemente creata nel momento in cui ho risvegliato il pc

file differenti

[SysLack]

Anche stavolta sono: un mdb, un docx, un doc, un rtf, un sql, un jpg, un xls, un xlsx, un txt e un pem. Si direbbe un elenco di file con volutamente le estensioni più diffuse, creati con nomi random... oltre a BitDefender, Malwarebytes che dice del sistema (non dei singoli file)?
Se provi a modificare la visualizzazione di Explorer per controllare la data di creazione o modifica dei file e le dimensioni, noti qualcosa di utile o strano (creati tutti alla stessa ora o con date improbabili, etc.)?
Usi particolari programmi difensivi (anti-ransomware o simili) che interagiscono con il controllo dei file o dei dischi?
Le dimensioni del "drive A" coincidono con quelle di C?
Nel Task Scheduler c'è qualcosa di anomalo?
Domande a raffica per cercare indizi, abbi pazienza.

[deuterio1]

Quote:

Originariamente inviato da TheGaiden

su gestione disco non c'è nessuna unità.

cmq oggi appena rientrato dal weekend "sveglio" il pc dalla sospensione e di nuovo: unità di rete disconnessa in Esplora Risorse (sono sicuro che quando ho messo il pc in sospensione non ci fosse)
apparentemente creata nel momento in cui ho risvegliato il pc

file differenti

Guardando i nomi dei file e le estensioni, mi è venuta in mente una cosa: non è che per caso hai installato una soluzione per il rilevamento di ransomware basato su tecniche di deception? In sintesi, esistono delle soluzioni per intercettare l'attività di un ransomare le quali creano una unità di rete fake con file "appetibili" per i ransomware. Quando il ransomware tenta l'accesso ad uno di questi file per crittografarlo, il backend genera un allarme e cerca di bloccare il processo.
Non ho esperienza con questa tipologia di prodotti, ma tempo fa se ne parlava tra colleghi (e se non ricordo male, alcuni prodotti Fortinet implementano una soluzione di questo tipo).

[TheGaiden]

1) tutti i file sono stati modificati allo stesso momento (quando ho risvegliato il pc)
2) in effetti si, le dimensioni di A e C coincidono
3) malwareBytes ha trovato solo un PUM (PUM.Optional.NoDrives)
4) sullo scheduler, a occhio, nn vedo nulla di strano. se hai qualche strumento da utilizzare per una scansione la lancio subito. (hijackthis mi pare non funzioni più da anni...)

dopo qualche riflessione mi sono accorto che tipo e nomi dei file mi sapevano di "già sentito" e mi è venuta una mezza illuminazione: sembrano le cartelle nascoste create da cybereason ransomfree!
un confronto dopo aver abilitato la visualizzazione dei file nascosti conferma la stessa natura e nomenclatura dei file.
però utilizzo cybereason ransomfree da anni e mai aveva avuto un comportamento simile.
cercando in effetti ho trovato qualche segno che potrebbe essere lui ( https://answers.microsoft.com/en-us/...a-3de5d45220e6 )

sono più tranquillo ma resta un comportamento strano

[SysLack]

Per quello ti ho chiesto anche se usavi programmi anti-ransomware: file cosi architettati e riproposti sempre allo stesso modo sono tipici o di ambienti di testing o di honeypot. Per me il fatto che il "drive A" coincida per dimensioni con C conferma che c'è una sorta di "scudo di virtualizzazione" con cui A vuole spacciarsi per un drive legittimo e reagire appena qualcosa inizia ad essere attaccato o cifrato. Inoltre, plausibilmente, il ruolo di A è anche di controllare se vengono lanciate cifrature sulle periferiche: i ransomware più maligni cercano anche risorse di rete, periferiche di backup online, etc. per fare più danni possibili ed impedire che tutto si risolva semplicemente ripristinando un backup (motivo per cui almeno un backup va tenuto sempre offline, come da regola 3-2-1-1-0).
Prediche a parte, nel link che hai postato sembra che qualcuno abbia risolto reinstallando il programma, anche se non è detto che questa esposizione del "drive A" ne comprometta il funzionamento (resta il fatto che se in passato non accadeva, qualcosa di anomalo c'è; hai aggiornato il programma di recente? Hai modificato qualche impostazione riguardante l'avvio di Windows?).

[TheGaiden]

Quote:

Originariamente inviato da SysLack

Per quello ti ho chiesto anche se usavi programmi anti-ransomware: file cosi architettati e riproposti sempre allo stesso modo sono tipici o di ambienti di testing o di honeypot. Per me il fatto che il "drive A" coincida per dimensioni con C conferma che c'è una sorta di "scudo di virtualizzazione" con cui A vuole spacciarsi per un drive legittimo e reagire appena qualcosa inizia ad essere attaccato o cifrato. Inoltre, plausibilmente, il ruolo di A è anche di controllare se vengono lanciate cifrature sulle periferiche: i ransomware più maligni cercano anche risorse di rete, periferiche di backup online, etc. per fare più danni possibili ed impedire che tutto si risolva semplicemente ripristinando un backup (motivo per cui almeno un backup va tenuto sempre offline, come da regola 3-2-1-1-0).
Prediche a parte, nel link che hai postato sembra che qualcuno abbia risolto reinstallando il programma, anche se non è detto che questa esposizione del "drive A" ne comprometta il funzionamento (resta il fatto che se in passato non accadeva, qualcosa di anomalo c'è; hai aggiornato il programma di recente? Hai modificato qualche impostazione riguardante l'avvio di Windows?).

il programma è sempre lo stesso da un bel po, non ci sono aggiornamenti che io sappia (tra l'altro forse non è più nemmeno disponibile per il download dal sito-madre), non ho cambiato nulla.
è strano anche che questa unità sia presente a volte si e a volte no...

approfitto della situazione per porti 3 domande:
1) mi sai consigliare un'alternativa a Cybereason? (il fatto che il programma non sia aggiornato da un po mi preoccupa)
2) qualcosa per scansione dei processi attivi?
3) cos'è la regola 3-2-1-1-0??

[SysLack]

1) Puoi usare la protezione integrata in Windows, o applicazioni esterne come quella di Neushield, tuttavia si tratta sempre di "presenze" piuttosto invasive per il sistema operativo, che talvolta creano più disagi e contrattempi di quanto siano utili (salvo nei casi in cui non si faccia attenzione a quello che si scarica e si esegue nel proprio dispositivo). Onestamente non ne uso nessuna, quindi non ho un programma particolare da consigliarti per esperienza diretta.

2) ProcessExplorer (Sysinternals) consente di inviare automaticamente i processi a VirusTotal (senza bisogno di una chiave API, richiesta ad esempio da altri programmi come GlassWire).

3) La regola del 3-2-1-1-0 si riferisce alla buona prassi di riferimento per il backup (qui una spiegazione). Ad esempio, se vuoi avere un buon metodo di backup di un file, dovresti averne almeno 3 esemplari, divisi in almeno 2 dispositivi differenti, di cui 1 in un'altra sede fisica (ad esempio in locale e in cloud, o in locale e in un'altra casa), lasciando 1 copia offline, ossia non in rete (anche nel senso di disconnessa dal dispositivo in locale). In soldoni significa, ad esempio, tre copie complessive: una copia sul PC e una in cloud (quindi 2 dispositivi differenti di cui uno offsite, "fuori sede", considerando che non tutti hanno una seconda casa, una cassetta di sicurezza in banca o qualcuno fidato a cui lasciare una copia) e un'ultima copia offline, come un disco esterno scollegato dal PC (così i dispositivi sono tre, due di proprietà e l'altro è il cloud). Lo zero sta per l'aspetto forse più importante: zero errori in caso di ripristino, ossia controllare periodicamente che i file di backup funzionino e siano affidabili.

[TheGaiden]

ti ringrazio