...e ci sono una marea di varianti anche di Ransomware che non necessitano di diritti amministrativi per raggiungere il loro scopo...
Ci gioco qualsiasi cifra sulla ricostruzione proposta

Dimmi quale delle ultime varianti che girano ( cioè non quelle di 3 anni fa ) e che conosci che non elimina le copie shadow :D
Perché ribadisco, spero per l'ultima volta, che Vssadmin richiede diritti amministrativi.

gigantebueno,
Io consiglio la rimozione totale sia di Flash che di Java, non ne sentirai la mancanza.

rimuoverli del tutto a livello di usabilità diventa un po' un casino ma mi rendo conto che se sfruttano queste vulnerabilità sarebbe meglio farlo per non ricascare

non c'e una via di mezzo?

La via di mezzo è controllare quotidianamente se ci sono aggiornamenti per Flash e Java, sperare di non incappare nella vulnerabilità prima che sia uscita una patch di sicurezza. Io li ho disinstallati da anni ( di Java ho al massimo la versione portable per alcuni programmi ) e a livello di usabilità non ne ho mai risentito.

P.S. Il metodo migliore è sempre una navigazione in sandbox o VM vedi qualche post fa per maggiori informazioni. Date le caratteristiche del tablet è preferibile la sandbox.

La via di mezzo è controllare quotidianamente se ci sono aggiornamenti per Flash e Java, sperare di non incappare nella vulnerabilità prima che sia uscita una patch di sicurezza. Io li ho disinstallati da anni ( di Java ho al massimo la versione portable per alcuni programmi ) e a livello di usabilità non ne ho mai risentito.

P.S. Il metodo migliore è sempre una navigazione in sandbox o VM vedi qualche post fa per maggiori informazioni. Date le caratteristiche del tablet è preferibile la sandbox.

ti ringrazio dei consigli se potessi ne farei a meno veramente:doh:
si stavo per dirlo il tablet ha 1 gigabyte e vmware non avrebbe risorse visto che dovrebbe gestire un'area virtuale. conosco sandboxie dunque andrei sul sicuro aprendo il browser firefox da sandbox e se un codice malevolo passasse da flash o java rimane li intrappolato spero

però io qua leggo a proposito di vssadmin http://www.bleepingcomputer.com/news/security/why-everyone-should-disable-vssadmin-exe-now/

As this program requires Administrative privileges to run, some ransomware will inject themselves into processes that are running as an Administrator in order to avoid a UAC prompt from being displayed.

oppure qua https://blogs.sophos.com/2016/01/11/the-current-state-of-ransomware-virlock-threatfinder-crypvault-and-powershell-based/

The reflective DLL module is a custom compiled Dll used to bypass UAC elevation prompt.

The script also contains base-64 encoded sprep86.dll and sprep64.dll which is executed by injected reflective dll module into the explorer process to perform the below actions:

Delete volume shadow copies using vssadmin.exe
Disable windows startup repair
Disable System Restore

Io li ho disinstallati da anni ( di Java ho al massimo la versione portable per alcuni programmi ) e a livello di usabilità non ne ho mai risentito.


a chi lo dici , dalla mia firma si dovrebbe capire quanto li amo :D

l'unica fregatura sono i video
tanti siti ,anche importanti , si ostinano ad usare flash invece di html5 :rolleyes:

per java devo provare la versione portable che consigli ,ho un applicativo che gestisce le registrazioni DVB-T a cui non posso rinunciare

ah , in prima pagina tra nell'elenco delle cose da attuare per difendersi,
non sarebbe il caso di inserire anche la disabilitazione dello script host?

se sto facendo backup del sistema facendo un immagine intera del disco, sono in internet e visito ad esempio il sito della gazzetta o di un giornale o un forum che ha dentro codice infetto, lo esegue senza che mostra nulla a video mi cripterebbe sia il pc sia l'hard disk con i backup?

dovrei per forza ogni volta prima di un backup non usare internet disconnettendomi? cosi se fossi gia infetto anche se gia è dentro non mi infetta proprio mentre sto usando gli hdd di backup giusto?

perché capita anche a volte credo che non sempre uno si ricorda o può disabilitare internet se le cose che devo salvare vengono proprio da li tipo setup, foto, video eccetera quindi per forza di cose anche se uno avesse apposta un pc che non entra mai in internet come farebbe a ricevere queste cose? in bluetooth? e poi da li attaccare questi hdd per i backup e farli?

vi faccio l'esempio Pc A entra sempre in internet, poi c'e hard disk esterno 1 e hard disk esterno 2
hdd esterno 1 è l'hard disk dove ci sono i backup come immagini di sistema setup foto video e via dicendo

hard disk esterno 2 è la copia del hard disk esterno 1, se attacco hard disk esterno uno a pc A se non sto in internet sono a cavallo ma se mi scordo o mi serve salvare su hard disk esterno 1 qualcosa , e in rete ci devo andare dovrei ogni volta staccare l'hd e salvare su pc, poi disconnettermi e copiarlo?

a me con vssadim è successo una cosa strana

dando il comando vssadmin list shadows mi dava errore improvviso, qualcosa di non registrato

mentre con il comando wmic -- shadowcopy venivano mostrati i punti di ripristino

dando di nuovo il comando vssadmin list shadows ecco che a questo punto vssadmin tornava a funzionare

dovrei per forza ogni volta prima di un backup non usare internet disconnettendomi? cosi se fossi gia infetto anche se gia è dentro non mi infetta proprio mentre sto usando gli hdd di backup giusto?



In realtà ho letto che ci sono ransomware che non eseguono subito al momento dell'infezione il loro sporco lavoro, ma decidono di entrare in azione in un secondo tempo, per cui se il computer è già infetto non serve certo scollegarlo da internet per stare tranquilli.

Ho scritto che ho letto, perché nonostate girino da chissà quanto tempo non mi è mai capitato di vederlo, pur non adottanto nessun software o pratica di contrasto preventivo particolare. Boh... sarò stato fortunato così come lo sono sempre stato con i tradizionali virus, spyware, rootkit ecc. Mai visti in azione sui miei PC.

beh certo , alla fine bastano un minimo di conoscenze , le regole base del buonsenso e un adblock per stare sereni

poi se uno smanetta con crack e siti porno senza cognizione di causa l'infezione è assicurata

In realtà ho letto che ci sono ransomware che non eseguono subito al momento dell'infezione il loro sporco lavoro, ma decidono di entrare in azione in un secondo tempo, per cui se il computer è già infetto non serve certo scollegarlo da internet per stare tranquilli.

Ho scritto che ho letto, perché nonostate girino da chissà quanto tempo non mi è mai capitato di vederlo, pur non adottanto nessun software o pratica di contrasto preventivo particolare. Boh... sarò stato fortunato così come lo sono sempre stato con i tradizionali virus, spyware, rootkit ecc. Mai visti in azione sui miei PC.

dici che anche se l'infezione è gia stata presa ed uno fa backup si cripta lo stesso l'hard disk esterno con su i backup nonostante internet e disattivato? intendevi questo oppure che è inutile fare backup immagine con il dubbio che quelle copie siano infette?

La cosa fondamentale é il Guest non abbia accesso all'Host con l'utilizzo ad esempio di shared folder e nel tuo caso non é così se l'antivirus rileva le infezioni nel Guest. NAT o Bridge é relativo e nessun metodo di connessione é sicuro al 100% in caso di attacchi mirati.

Strano, non mi risulta ci siano shared folders. O meglio ci sono state ma adesso sono state rimosse proprio nelle opzioni di Vmware e non appare nulla in MyComputer. :rolleyes: Eppure Eset dell'host si accorge se qualcosa avviene nel guest.

Unax,
Guarda che il fatto che utilizzino metodi per bypassare l'UAC ( non tutti, dipende dalle varianti ) significa appunto che il programma richiede i privilegi amministrativi quindi una frase come:
comunque questi ransomware non hanno bisogno di apportare modifiche al sistema quindi non è detto che appaia lo uac
Di base è sbagliata perché se vogliono eliminare le copie shadow hanno bisogno di apportare delle modifiche al sistema con i diritti elevati, che appaia o no l'UAC non c'entra con la questione privilegi. Spero ora sia stato più chiaro.

Paky,
Si dovrebbero disabilitare tutti i sistemi di scripting ( .bat .com etc. ) però alcuni software ne fanno uso soprattutto in fase di update per questo non l'ho messo. C'è una mia guida per utilizzare Java Portable, dovrebbe essere in prima pagina.

giovanni69,
Uso Virtualbox quindi non ti so dire per VMWare, chiedi nel thread ufficiale. Di sicuro posso dirti che nel mio caso le infezioni nel Guest non vengono rilevate sull'Host con o senza NAT.

Perché so bene che all'inizio appena comprato il computer uno di regola deve avere una copia di backup immagine pulita che gli torna utile per casi come questo

Ma io adesso stavo intendendo altro cioè che se mi serve usare l'hard disk esterno dove tengo anche backup tipo setup immagini eccetera non posso sempre tenere staccato internet , comprometterebbe la mia usabilità del pc quindi che fare? come ci entro in internet e poi porto i file su quegli hd di backup? questo perché se uno teme che mentre naviga si esegue codice malevolo è fritto, dovrei tenere un pc dove faccio di tutto e uno che entra mai in internet? se si anche se avessi questa tipo di configurazione casalinga l'hd esterno come ci comunica con il pc che va in rete se il pc che non va mai in rete non sta nemmeno in lan?

Paky,
Si dovrebbero disabilitare tutti i sistemi di scripting ( .bat .com etc. ) però alcuni software ne fanno uso soprattutto in fase di update per questo non l'ho messo.

almeno VBS e i JS che fanno riferimento alla stessa chiave di registro credo sarebbe il caso
sono molto utilizzati nelle mail come allegati

almeno l'ignaro cliccatore randomico non può auto suicidarsi :D

C'è una mia guida per utilizzare Java Portable, dovrebbe essere in prima pagina.

si grazie , avevo già adocchiato
mi metto all'opera

dici che anche se l'infezione è gia stata presa ed uno fa backup si cripta lo stesso l'hard disk esterno con su i backup nonostante internet e disattivato? intendevi questo oppure che è inutile fare backup immagine con il dubbio che quelle copie siano infette?

Dico che se è vero quello che ho letto, il malware può entare in azione nel momento in cui colleghi l'hard disk esterno e viene montato nel sistema operativo il file system che contiene il backup, può decidere di entare in azione nel mentre stai facendo il backup, insomma l'unica cosa giusta è, come al solito, non prenderlo il malware. Non sentirsi rassicurati dal fatto che il PC non è collegato ad internet.

giovanni69,
Uso Virtualbox quindi non ti so dire per VMWare, chiedi nel thread ufficiale. Di sicuro posso dirti che nel mio caso le infezioni nel Guest non vengono rilevate sull'Host con o senza NAT.

Grazie. Vediamo se esce qualche esperto nello specifico. D

Dico che se è vero quello che ho letto, il malware può entare in azione nel momento in cui colleghi l'hard disk esterno e viene montato nel sistema operativo il file system che contiene il backup, può decidere di entare in azione nel mentre stai facendo il backup, insomma l'unica cosa giusta è, come al solito, non prenderlo il malware. Non sentirsi rassicurati dal fatto che il PC non è collegato ad internet.

eh magari ma se va anche in siti abbastanza dico abbastanza sicuri e uno certi siti li frequenta succede un bel macello e fa andare il cervello in tilt

sai qual'è la cosa grave e pesante nicodemo? che uno non può più essere nemmeno sicuro dell'interazione internet pc e andrebbe ad intaccare proprio il backup che sarebbe riparatore. mi confonde le idee

Sono arrivato al punto di dire allora che uno dovrebbe avere uno o più PC che non entrano mai in internet dove collegare anche tablet o dispositivi mobili se vuole salvarsi dati da loro( immaginate uno ha foto su tablet e smartphone o video di concerti o mostre, attacca il cavo micro usb al usb del pc ed è infetto di randomsware e la carterlla viene criptata...) se invece si collega a un pc mai andato in internet non succederà mai nulla

invece per quanto riguarda il pc che va in internet se uno non disabilità ne java ne flash deve farsi l'immagine di backup del PC pre infezione e deve essere sicuro di non essere infetto, poi farla anche su un secondo o terzo hard disk e spiego perché, se quel primo hd non sempre verra staccato quando il pc e in rete si potrà infettare, se il secondo e la copia del primo hd e uno non puo prevedere quando verra infettato ci vuole per forza un terzo hd che conservi la prima immagine del pc e che non sia mai piu attaccato a quel pc che va in rete, per quanto riguarda invece il backup di foto video che vengono dalla rete è un macello

sai qual'è la cosa grave e pesante nicodemo? che uno non può più essere nemmeno sicuro dell'interazione internet pc e andrebbe ad intaccare proprio il backup che sarebbe riparatore. mi confonde le idee

Lo so e comprendo le tue preoccupazioni, le uniche alternative per una ragionevole tranquillità, se non si vogliono seguire i consigli che pur sono stati dati in questa discussione, sono secondo me due:

1) tenere un altro PC da usare eclusivamente per la navigazione, soprattutto se questa è "border line", cioè con buona probabilità di essere a rischio. Naturalmente nessun disco di backup deve essere mai collegato a questo PC.

2) Cambiare sistema operativo adottandone uno per il momento non preso di mira da creatori di malware.

3) avevo scritto dua ma facciamo uguale :) Tenersi lontano dai comportamenti a rischio (niente warez, niente siti di "dubbia moralità" ecc.) ed accendere il cervello quando si naviga sul resto del web e quando si guarda la lista dei messaggi elettronici arrivati. Non è obbligatorio doverli aprire tutti e dover visualizzare le foto e cliccare su tutti gli allegati e link presenti.

Lo so e comprendo le tue preoccupazioni, le uniche alternative per una ragionevole tranquillità, se non si vogliono seguire i consigli che pur sono stati dati in questa discussione, sono secondo me due:

1) tenere un altro PC da usare eclusivamente per la navigazione, soprattutto se questa è "border line", cioè con buona probabilità di essere a rischio. Naturalmente nessun disco di backup deve essere mai collegato a questo PC.

2) Cambiare sistema operativo adottandone uno per il momento non preso di mira da creatori di malware.

3) avevo scritto dua ma facciamo uguale :) Tenersi lontano dai comportamenti a rischio (niente warez, niente siti di "dubbia moralità" ecc.) ed accendere il cervello quando si naviga sul resto del web e quando si guarda la lista dei messaggi elettronici arrivati. Non è obbligatorio doverli aprire tutti e dover visualizzare le foto e cliccare su tutti gli allegati e link presenti.

condivido cio che dici ma se tengo un pc per la navigazione come dici e mi servono aggiornamenti di driver o foto o video che voglio trasferire su altro PC o dispositivi windows non devo collegarci un hd esterno o condividere in lan il pc con gli altri? e li ho letto che passa pure sta infezione. sul resto mi trovo d'accordo purtroppo flash e java molti siti li necessitano ancora

condivido cio che dici ma se tengo un pc per la navigazione come dici e mi servono aggiornamenti di driver o foto o video che voglio trasferire su altro PC o dispositivi windows non devo collegarci un hd esterno o condividere in lan il pc con gli altri? e li ho letto che passa pure sta infezione. sul resto mi trovo d'accordo purtroppo flash e java molti siti li necessitano ancora

Facciamo che per l'altro computer usi l'opzione tre? :)

Eddai, i ransomware esistono da almeno 25 anni ma io non ne ho ancora visto uno in azione sui miei PC, ti starai forse terrorizzando un po' oltre il ragionevole? :)

se stanno su siti anche non malevoli e compromessi l'opzione tre è cosi certa?

non vado su certi siti

Unax,
Guarda che il fatto che utilizzino metodi per bypassare l'UAC ( non tutti, dipende dalle varianti ) significa appunto che il programma richiede i privilegi amministrativi quindi una frase come:

Di base è sbagliata perché se vogliono eliminare le copie shadow hanno bisogno di apportare delle modifiche al sistema con i diritti elevati, che appaia o no l'UAC non c'entra con la questione privilegi. Spero ora sia stato più chiaro.



si ho detto una boiata scrivendo di getto :-)

nel senso che miscelavo l'apparizione dello UAC (intesa come finestra) ai privilegi certo sono collegate

con l'utente standard appare la richiesta di password e l'oscuramento del desktop ma mettiamo che uno usa un account admin, si riesce a non far apparire la fatidica domanda vuoi tu che l'eseguibile x non firmato apporti modifiche al sistema?

penso di sì lo stesso ccleaner crea un task chiamato skip uac

solo per fare un test ho creato un bat con dentro questo codice

vssadmin.exe list shadows

pause

se eseguito direttamente vengo avvisato

Errore: Non si dispone delle autorizzazioni necessarie per eseguire il comando.
Eseguire l'utilità da una finestra
di comando che disponga di privilegi amministrativi elevati.


poi ho creato un task che debba eseguirsi con i privilegi elevati poi ho creato uno shortcut che punta al bat

risultato il bat viene eseguito e mostra la lista senza che la finestra della console mostri nel titolo la voce amministratore

se stanno su siti anche non malevoli e compromessi l'opzione tre è cosi certa?

non vado su certi siti

Per me finora lo è sempre stata e non vedo perché non debba (ragionevolmente) valere anche per altri.

In ogni caso la virtualizzazione (sandboxie ed affini) puoi sempre usarla per la navigazione no? Già quella dovrebbe rassicurarti abbastanza.

Tenere il sistema operativo aggiornato sfruttandone i meccanismi di sicurezza intrinseca (UAC o utente standard), un antivirus in realtime, tenere aggiornati i programmi all'ultima release compresi i plugin bel browser, navigare dentro al pannolone sanboxie, e santo cielo se hai paura anche così, ti consiglio di non uscire mai di casa. Dopo pochi metri potresti essere messo sotto da qualche ubriaco che ti manda al camposanto e a cosa ti servono i backup del PC?

Cioè bisogna pur vivere decentemente in questo mondo, le paranoie non lo consentono.

Cioè bisogna pur vivere decentemente in questo mondo, le paranoie non lo consentono.

Vedrai che un giorno ci diranno di usare un bel cloud che chiameranno Matrix attraverso cui far passare tutto in sicurezza: ti colleghi in continuazione come una continua, immensa VPN 'sicura' in cui puoi cliccare quel cavolo che vuoi ma 'loro' ti proteggono da tutto. Il costo? Fine definitiva delle libertà personali digitali e assimilazione di tutti i nostri dati.

Per me finora lo è sempre stata e non vedo perché non debba (ragionevolmente) valere anche per altri.

In ogni caso la virtualizzazione (sandboxie ed affini) puoi sempre usarla per la navigazione no? Già quella dovrebbe rassicurarti abbastanza.

Tenere il sistema operativo aggiornato sfruttandone i meccanismi di sicurezza intrinseca (UAC o utente standard), un antivirus in realtime, tenere aggiornati i programmi all'ultima release compresi i plugin bel browser, navigare dentro al pannolone sanboxie, e santo cielo se hai paura anche così, ti consiglio di non uscire mai di casa. Dopo pochi metri potresti essere messo sotto da qualche ubriaco che ti manda al camposanto e a cosa ti servono i backup del PC?

Cioè bisogna pur vivere decentemente in questo mondo, le paranoie non lo consentono.

no ma chiariamo una cosa io non parto da una fantasia chiedendo e facendo ipotesi, parto dalla premessa che con tanti sbattimenti tuto cio valga la pena, so benissimo che la morte è peggio di tutto cio ma appunto se vengo a chiedere consigli, soprattutto con piu esperti di me è anche per capire le sfaccettature, l'avro messa tragica ma da tutto cio che ho letto, e leggo mi spaventa e questo te lo confesso si, ci tengo che miei file che uso sul pc inclusi documenti e foto possano esserci il piu a lungo possibile senno non userei nemmeno piu windows ti pare? non sto accusando nessuno, è solo che le brutte sorprese esistono e voglio cavarmela. io dei randomsware non ne avevo mai sentito parlare e come ho gia detto se e dico se compromette anche siti flash e java impensabili beh scusa tanto ma si me la faccio sotto e se compro vari( ne ho 2 di hd esterni per backup) e non concludo nulla infettandomi piu che dare la colpa all'utente che clicca la colpa è dei criminali che la diffondono. nemmeno io apro allegati alla cavolo di cane. fa bestemmiare se avvenisse nonostante tanti accorgimenti

scusate è arrivata una mail con allegato un ransomware, mi sono salvato il sorgente della mail per chiedere a voi questa cosa che ho notato


Return-Path: <scanner@NOMEMIODOMINIO.org>
Delivered-To: produzione@NOMEMIODOMINIO.org
Received: from monti-director05.it.dadainternal ([81.88.49.171])
by monti-backend11.it.dadainternal (Dovecot) with LMTP id V/A2BXS0IFfCDAAAb3MHeA
for <produzione@NOMEMIODOMINIO.org>; Wed, 27 Apr 2016 14:45:40 +0200
Received: from scott04.register.it ([81.88.49.171])
by monti-director05.it.dadainternal (Dovecot) with LMTP id lXarKoiKIFeRXAAAmC4unA
; Wed, 27 Apr 2016 14:45:40 +0200
Received: from [78.39.1.233] ([78.39.1.233])
by scott04.register.it with
id nQle1s00S51dzi601QlfrE; Wed, 27 Apr 2016 14:45:40 +0200
X-Cloudmark-Reporter: produzione@NOMEMIODOMINIO.org
Received-SPF: none
From: scanner@NOMEMIODOMINIO.org
To: "produzione"
<produzione @NOMEMIODOMINIO.org>
Subject: Attached Image
Date: Wed, 27 Apr 2016 17:15:35 +0430
Message-Id: <20160427097281.0004.CanonTxNo.0213@CanonB53557.NOMEMIODOMINIO.org>
Mime-Version: 1.0
X-Mailer: Canon MFP
Content-Type: multipart/mixed;
boundary="BCZWVAEKCKDGDGGFHYSAKHSTBYQBDI"


da notare FROM e TO
praticamente mi hanno mandato una mail usando il mio stesso nome dominio, la cosa mi è parsa strana, io non ho questa mail scanner@miodominio.org ma ho la mia produzione@miodominio.org e altre mail@

ci possono scrivere qualunque cosa nel campo from?

beh certo , non ci vuole molto ad alterare il mail from

quel che ho notato è che alcuni di questi virus una volta infettato il computer riescono anche a rubare i contatti della rubrica

sul pc di un conoscente tempo fa è arrivato un teslacrypt 3 via mail

anche se l'indirizzo non era noto , riportava il nome e cognome di un parente.
La mail nel campo A: risultava girata a tanti altri indirizzi che ho verificato personalmente essere tutti nella rubrica di questo parente

ci tengo che miei file che uso sul pc inclusi documenti e foto possano esserci il piu a lungo possibile senno non userei nemmeno piu windows ti pare?

Per i file più importanti potresi farne una ulteriore copia usando un supporto non riscrivibile, un DVD ad esempio. O uno dei nuovi supporti ottici di grandissima capacità. Backup su nastro? Dubito che un ransomware riesce a criptarli quei dati. Via volendo le soluzioni in casa si trovano, senza andare a scaricare sul cloud.

poi ho creato un task che debba eseguirsi con i privilegi elevati poi ho creato uno shortcut che punta al bat
...
risultato il bat viene eseguito e mostra la lista senza che la finestra della console mostri nel titolo la voce amministratore

L'utilità di pianificazione in quel modo funziona solo su account di tipo amministrativo e anche in questo caso un programma che volesse aggiungere una task ha bisogno dei diritti elevati per poter operare. Ccleaner riesce nell'intento di non mostrare l'UAC perché il setup richiede diritti amministrativi e aggiunge la task in quel frangente altrimenti non potrebbe farlo.

L'utilità di pianificazione in quel modo funziona solo su account di tipo amministrativo e anche in questo caso un programma che volesse aggiungere una task ha bisogno dei diritti elevati per poter operare. Ccleaner riesce nell'intento di non mostrare l'UAC perché il setup richiede diritti amministrativi e aggiunge la task in quel frangente altrimenti non potrebbe farlo.

sì certo solo con un account admin riesci a farlo in quella maniera

altro trucco di pochissimi gg fà per installare (anche) Ransomware (con tanto di filmato dimostrativo):


http://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/

altro trucco di pochissimi gg fà per installare (anche) Ransomware (con tanto di filmato dimostrativo):


http://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/

maledetta microsoft :D

cospira contro di noi anzi dietro ai ransomware c'è bill gates che non ha digerito il fatto che gli ultimi sistemi operativi 8 e 10 non hanno avuto il successo sperato

ciao mi unisco anche io a questa discussione! ho 2 parenti che hanno beccato questo virus!
però mi è sorto un dubbio, si diffonde anche tramite USB? chiavetta internet tim?

Pendrive sì, modem USB come quella di TIM no.

Pendrive sì, modem USB come quella di TIM no.

quindi i modem usb anche se hanno una memoria per installare il software tim/voda non si infettano? perché la partizione è di sola lettura? (la microSD l'ho tolta)

I ransomware infettano i file a cui l'utente ha accesso in lettura e scrittura.

P.S. Se non sbaglio hai la firma irregolare, controlla il regolamento

buone notizie per CryptXXX

http://punto-informatico.it/4315673/PI/News/kaspersky-scardina-cryptxxx.aspx

scusate se mi intrometto, ma per le estensioni .micro è stata trovata una soluzione ?
grazie

Collegato in qualche maniera all'oggetto del thread (gli exploit, infatti, possono costituire un canale attraverso il quale si origina un'infezione),
Understanding [:asd:] EdgeHTML’s Attack Surface and Exploit Mitigations (https://securityintelligence.com/understanding-edgehtmls-attack-surface-and-exploit-mitigations/#.VyOQSJ95ZlU.linkedin)

In poche parole, si colgono gli sforzi operati da MS per tentare di 'isolare' EDGE e le 'opportunità' che si creano abbracciando nuovi standard...

tutto chiaro, no?? :D

Certo, se si aprono mail 'alla fava di Canis lupus familiaris (https://it.wikipedia.org/wiki/Canis_lupus_familiaris)', avere 10 o Windows 98, di fatto, non cambia nulla (in realtà, non so come si faccia a bypassare lo SmartScreen su 10 'se non si tocca nulla'), altrimenti è evidente anche al Sus scrofa domesticus (https://it.wikipedia.org/wiki/Sus_scrofa_domesticus) che gli OS non sono tutti uguali...


Spero abbiate apprezzato i riferimenti ;)

:yeah:

tutto chiaro, no?? :D

Certo, se si aprono mail 'alla fava di Canis lupus familiaris (https://it.wikipedia.org/wiki/Canis_lupus_familiaris)', avere 10 o Windows 98, di fatto, non cambia nulla (in realtà, non so come si faccia a bypassare lo SmartScreen su 10 'se non si tocca nulla'), altrimenti è evidente anche al Sus scrofa domesticus (https://it.wikipedia.org/wiki/Sus_scrofa_domesticus) che gli OS non sono tutti uguali...


Spero abbiate apprezzato i riferimenti ;)

:yeah:

sai come è ogni vulnerabilità è bella a mamma sua e la vulnerabilità maggiore non mitigabile è sempre l'utente

comunque anche se esula un po' dalla discussione sto facendo dei test con le policies via registro

https://snag.gy/pFQxcX.jpg

blocco tutto tranne windows ed i programmi installati, eseguo un exe che sta al di fuori dal perimetro e giustamente windows mi dice che l'eseguibile è bloccato dall'amministratore

poi però da utente admin creo un'operazione pianificata che punta ad un eseguibile sempre fuori dal perimetro ad esempio "D:\TOOL-TRICK\NIRSOFT\ProduKey.exe"

https://snag.gy/sr2Ghm.jpg

e magia l'eseguibile non viene più bloccato, non solo tutti gli altri eseguibili contenuti nella medesima cartella si eseguono come se le policies che avrebbero dovuto fermarli non esistessero più mentre altri eseguibili vengono ancora bloccati

https://snag.gy/G370j5.jpg

sogno o son desto? cioè davvero basta creare una operazione pianificata come admin per liberare un exe dalla stretta mortale delle policies e perchè anche altri eseguibili che si trovano nella medesima cartella diventano liberi di eseguirsi?

confermo che rimuovendo l'operazione pianificata il blocco torna ad agire anche su quei exe

Ho provato e non riscontro il tuo stesso scenario, l'eseguibile viene bloccato anche se lanciato da Task Scheduler con diritti amministrativi, non viene mostrata nessuna schermata di errore e solo tramite "Visualizzatore eventi" c'è la voce con ID 865, lo stesso avviene se lo lancio da SYSTEM. Non agisco via registro ma GPO e SRP e livello di sicurezza predefinito "Non consentito" con imposizione di tutti i software comprese DLL quindi non ne ho idea di come sia la tua configurazione e dove sia l'errore. Posso solo dirti di controllare bene la guida MSDN in prima pagina per una configurazione ottimale.

mattware,
No altrimenti lo avresti saputo, l'avrebbero pubblicato in ogni dove.

Ho provato e non riscontro il tuo stesso scenario, l'eseguibile viene bloccato anche se lanciato da Task Scheduler con diritti amministrativi, non viene mostrata nessuna schermata di errore e solo tramite "Visualizzatore eventi" c'è la voce con ID 865, lo stesso avviene se lo lancio da SYSTEM. Non agisco via registro ma GPO e SRP e livello di sicurezza predefinito "Non consentito" con imposizione di tutti i software comprese DLL quindi non ne ho idea di come sia la tua configurazione e dove sia l'errore. Posso solo dirti di controllare bene la guida MSDN in prima pagina per una configurazione ottimale.



cioè io non ho gpedit ma impostando i valori così

"PolicyScope"=dword:00000000
"TransparentEnabled"=dword:00000002
"AuthenticodeEnabled"=dword:00000001
"DefaultLevel"=dword:00000000


mi par di aver messo al massimo i vari livelli o no?
cioè blocco tutto per tutti gli utenti, compreso controllo dll e certificati e permetto l'esecuzione in base alle regole contenute in [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths]

che sono molto poche in pratica le cartelle windows e programmi sia 32 che 64 bit


se non creo un task in effetti è tutto bloccato e anche l'utente admin soggiace a tali regole finchè defaultLevel è a 0 ma appena creo un task con privilegi elevati ecco l'eseguibile selezionato nelle azioni e gli altri exe contenuti nella sua cartella diventano liberi di eseguirsi mentre tutti gli altri exe restano bloccati rispettando le policies, come se venisse creata una policy volatile che riguarda la sola cartella di quel exe

mi domandavo SCHTASKS crea delle policies diciamo particolari nel momento in cui si crea un'operazione pianificata?

Stamattina in ufficio siamo stati infettati da Locky, e abbiamo 1 client e parte dei dati sul server criptati con estensione .locky e file completamente rinominato.

Per fortuna avevamo il backup di quasi tutto... Qualcuno sa se ci sono possibilità di recupero dei dati criptati?

La cosa strana di questo malware è che i programmi e le cartelle di sistema di Windows non sono stati toccati...

Stamattina in ufficio siamo stati infettati da Locky, e abbiamo 1 client e parte dei dati sul server criptati con estensione .locky e file completamente rinominato.

Per fortuna avevamo il backup di quasi tutto... Qualcuno sa se ci sono possibilità di recupero dei dati criptati?

La cosa strana di questo malware è che i programmi e le cartelle di sistema di Windows non sono stati toccati...

non è strano è il comportamento tipico di questi virus, manomettono i documenti e roba simile per costringere a pagare

Screenshot che valgono più di mille parole
http://i64.tinypic.com/2vkm7uv.png

http://i66.tinypic.com/2444nb8.png

http://i68.tinypic.com/j795cp.png

http://i66.tinypic.com/2py6xop.png

http://i63.tinypic.com/k0jcs3.png

Lascia solo le path di default e riprova perché ripeto le tue policy operano in modo diverso, non esiste nessuna policy volatile o cose simili. Il significato di AuthenticodeEnabled

Defines if certificate rules should be applied, 0 means disabled, 1 indicates that certificate rules will be applied. Note that this value is only valid for HKEY_LOCAL_MACHINE.

ho rifatto il test ieri ed in effetti il comportamento è come descrivi tu non appare l'avviso ma negli eventi viene rilevato il blocco con il codice evento 865

non so però perchè sempre ieri per due volte il blocco, attraverso l'operazione pianificata eseguita come admin, veniva bypassato per l'eseguibile e per gli exe contenuti nella medesima cartella

forse perchè avevo solo fatto il restart di explorer ma non il riavvio?

comunque le policy erano queste

defaultlevel a 0 blocca tutto tranne ciò che è autorizzato sotto

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
"ExecutableTypes"=hex(7):41,00,55,00,54,00,00,00,41,00,33,00,58,00,00,00,41,00,\
44,00,45,00,00,00,41,00,44,00,50,00,00,00,42,00,41,00,53,00,00,00,42,00,41,\
00,54,00,00,00,43,00,48,00,4d,00,00,00,43,00,4d,00,44,00,00,00,43,00,4f,00,\
4d,00,00,00,43,00,50,00,4c,00,00,00,43,00,52,00,54,00,00,00,45,00,58,00,45,\
00,00,00,48,00,4c,00,50,00,00,00,48,00,54,00,41,00,00,00,49,00,4e,00,46,00,\
00,00,49,00,4e,00,53,00,00,00,49,00,53,00,50,00,00,00,4d,00,44,00,42,00,00,\
00,4d,00,44,00,45,00,00,00,4d,00,53,00,43,00,00,00,4d,00,53,00,49,00,00,00,\
4d,00,53,00,50,00,00,00,4d,00,53,00,54,00,00,00,4d,00,53,00,48,00,00,00,4d,\
00,53,00,48,00,31,00,00,00,4d,00,53,00,48,00,32,00,00,00,4d,00,53,00,48,00,\
58,00,4d,00,4c,00,00,00,4d,00,53,00,48,00,31,00,58,00,4d,00,4c,00,00,00,4d,\
00,53,00,48,00,32,00,58,00,4d,00,4c,00,00,00,4f,00,43,00,58,00,00,00,50,00,\
43,00,44,00,00,00,50,00,49,00,46,00,00,00,50,00,53,00,31,00,00,00,50,00,53,\
00,31,00,58,00,4d,00,4c,00,00,00,50,00,53,00,32,00,00,00,50,00,53,00,32,00,\
58,00,4d,00,4c,00,00,00,50,00,53,00,43,00,31,00,00,00,50,00,53,00,43,00,32,\
00,00,00,52,00,45,00,47,00,00,00,53,00,46,00,43,00,00,00,53,00,43,00,52,00,\
00,00,53,00,48,00,53,00,00,00,55,00,52,00,4c,00,00,00,56,00,42,00,00,00,56,\
00,42,00,53,00,00,00,56,00,42,00,45,00,00,00,57,00,53,00,43,00,00,00,57,00,\
53,00,00,00,57,00,53,00,46,00,00,00,4a,00,53,00,00,00,4a,00,53,00,45,00,00,\
00,41,00,50,00,50,00,4c,00,49,00,43,00,41,00,54,00,49,00,4f,00,4e,00,00,00,\
47,00,41,00,44,00,47,00,45,00,54,00,00,00,44,00,4f,00,43,00,4d,00,00,00,44,\
00,4f,00,54,00,4d,00,00,00,58,00,4c,00,53,00,4d,00,00,00,58,00,4c,00,54,00,\
4d,00,00,00,58,00,4c,00,41,00,4d,00,00,00,50,00,50,00,54,00,4d,00,00,00,50,\
00,4f,00,54,00,4d,00,00,00,50,00,50,00,41,00,4d,00,00,00,52,00,53,00,50,00,\
50,00,00,00,53,00,4c,00,44,00,4d,00,00,00,00,00
"PolicyScope"=dword:00000001
"TransparentEnabled"=dword:00000002
"AuthenticodeEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-008390A4B13A}]
"ItemData"="C:\\Program Files (x86)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-0280D0843A46}]
"ItemData"="C:\\WINDOWS\\*.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-34614D484530}]
"ItemData"="C:\\Program Files"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-353646434040}]
"ItemData"="C:\\WINDOWS\\system32"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-40270D3B3B41}]
"ItemData"="C:\\WINDOWS\\system32\\*.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers\262144\Paths\{0016bbe0-a716-428b-822e-461B161A5220}]
"ItemData"="C:\\WINDOWS"

ho analizzato il tablet asus T100 in modalità prov con malwarebytes e kaspersky removal tool però non trovano il virus! l'estensione è .crypt

perché?

Variante: .crypt
Sistema Operativo: win 8.1
Livello UAC: si
Anti-Ransomware e/o Criteri di gruppo: no (antivirus AVG)
Veicolo di infezione: boh
Provider di posta: libero
Macro di Office: boh
Ad-Block: si
Flash: si
Java: boh

Scusate forse dico una cosa stupida...ma io utente medio che utilizza lo smartphone per tutto, non posso controllare la posta dal mio telefono così da evitare qualsiasi problema ?

Inviato dal mio SM-G900F utilizzando Tapatalk

Scusate forse dico una cosa stupida...ma io utente medio che utilizza lo smartphone per tutto, non posso controllare la posta dal mio telefono così da evitare qualsiasi problema ?

Inviato dal mio SM-G900F utilizzando Tapatalk

Certo che puoi controllare la posta con lo smartphone (poi magari becchi il ransomware anche lì), se è per quello puoi controllarla anche da un internet point, ma perché?

Ah, quindi lo becco anche con android ? Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...

Inviato dal mio SM-G900F utilizzando Tapatalk

Ah, quindi lo becco anche con android ?

Non lo becchi, puoi beccarlo.

https://www.google.it/search?q=ransomware+su+android&ie=utf-8&oe=utf-8&client=firefox-b&gfe_rd=cr&ei=KKgsV_2kAY3F8AfZgonADQ

Così come non lo prendi sicuramente su windows, puoi prenderlo su windows.

E non muori sicuramente di infarto o a causa di un incidente automobilistico. Puoi morire di infarto o a causa di incidente automobilistico.

Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...


Mah :confused: io la guardo da dove posso al momento, c'è qualcosa di sbagliato? :help:


Mi chiedo a cosa servono discussioni come queste se il risultato è ottenere utenti così ansiosi sull'argomento, invece di utenti più consapevoli della questione e che hanno capito quali strategie di prevenzione adottare.

Ah, quindi lo becco anche con android ? Pensavo colpisse solo sistemi basati su win..beh cmq con l'avvento degli smartphone guardo la posta solo da lì...

Inviato dal mio SM-G900F utilizzando Tapatalk

ma non è che consultando la posta ti becchi il virus, se non ti fidi di farlo con un programma puoi usare l'intefaccia web della casella mail

che poi anche un dispositivo mobile possa essere vittima di virus di varia natura è possibile anche se meno usuale rispetto a sistemi windows

ma sono i comportamenti che fanno la differenza come con le malattie sessuali

se fosse così semplice che basta consultare le mail da un dispositivo mobile per evitare tutti i rischi....

Mah :confused: io la guardo da dove posso al momento, c'è qualcosa di sbagliato? :help:


NOn c'è niente di sbagliato e comunque non stavo a sindacare le modalità di leggere la posta, esprimevo solo il mio modo di fare la cosa che potrebbe essere anche l' abitutdine di altri visto che ormai con il cellulare si fa tutto.
Cmq mi sa che devo leggere meglio, mi sarà sfuggito qualcosa...

Kaspersky Lab detected 2,896 new ransomware modifications during the first quarter, which is an increase of 14 percent on the previous quarter. In addition, the number of attempted ransomware attacks increased by 30 percent.

One of the most famous and widespread ransomware in Q1, 2016 was Locky. Kaspersky Lab detected attempts to infect users with this Trojan in 114 countries, and as of early May 2016 it remains active.

According to Kaspersky Lab detections the top three ransomware families in Q1 were: Teslacrypt (58.4%), CTB Locker (23.5%), and Cryptowall (3.4%). All three propagate mainly through spam emails with malicious attachments or links to infected web pages.

21.2 percent of Internet users faced web-based attacks at least once, which is 1.5 percentage points lower than in Q4, 2015.

Cybercriminals continued to use vulnerabilities in Adobe Flash Player, Internet Explorer and Java to propagate malware. Less frequently, they used exploits for Java – according to our statistics this has decreased by 3.3 percentage points on Q4, 2015 and equals 8% of overall exploit statistics for Q1. The same statistics registered an increased use of vulnerabilities in Flash (a rise of 1 percentage point which is 6% in total) and Microsoft Office (an increase of 10 percentage points which is 15% in total)


Ho estrapolato solo i punti salienti, dati che dovrebbero far riflettere chi non ha ancora attuato una politica di prevenzione contro i ransomware. Chiaramente il discorso non si estende a chi utilizzava già prima di questo tipo minaccie VM, sandbox o metodologie simili ma a coloro che ripongono la propria fiducia negli antivirus che in pratica contro i ransomware sono del tutto inutili.

Ho estrapolato solo i punti salienti, dati che dovrebbero far riflettere chi non ha ancora attuato una politica di prevenzione contro i ransomware. Chiaramente il discorso non si estende a chi utilizzava già prima di questo tipo minaccie VM, sandbox o metodologie simili ma a coloro che ripongono la propria fiducia negli antivirus che in pratica contro i ransomware sono del tutto inutili.

purtroppo vale anche per i virus non ransomware, gli antivirus sono diventati nel tempo dei pachidermi con sempre più moduli di protezione e allo stesso tempo sempre meno efficaci

anche gli antivirus che con l'euristica riuscivano a bloccare molte varianti anche se non presenti nelle firme oramai debbono alzare bandiera bianca con tutte le loro gui colorate e piene di animazioni ed icone, uno spreco di ram e processore in piena regola

Editato visto che agli occhi di molti sarebbe risultato troppo fuori tema

purtroppo vale anche per i virus non ransomware, gli antivirus sono diventati nel tempo dei pachidermi con sempre più moduli di protezione e allo stesso tempo sempre meno efficaci

anche gli antivirus che con l'euristica riuscivano a bloccare molte varianti anche se non presenti nelle firme oramai debbono alzare bandiera bianca con tutte le loro gui colorate e piene di animazioni ed icone, uno spreco di ram e processore in piena regola
Sottoscrivo ogni parola. Aggiungo che gli AV, sono fondamentalmente un'inutile spreco di risorse HW. Se proprio si vuole star sicuri, ci sono sistemi alternativi, molto meno invasivi. ma molto più efficaci.

ma non è che consultando la posta ti becchi il virus, se non ti fidi di farlo con un programma puoi usare l'intefaccia web della casella mail

che poi anche un dispositivo mobile possa essere vittima di virus di varia natura è possibile anche se meno usuale rispetto a sistemi windows

ma sono i comportamenti che fanno la differenza come con le malattie sessuali

se fosse così semplice che basta consultare le mail da un dispositivo mobile per evitare tutti i rischi....
Beh, c'è da dire che le email che veicolano questi malware/ransomware sono si sono evolute rispetto ai vecchi tentativi di phishing. L'altro giorno ho ricevuto una mail da una mia cliente (faccio il commercialista) con testo: "invio in allegato le fatture" e un link a Google drive che in realtà era farlocco. L'ho vista io e conoscendo la persona in questione mi sembrava improbabile che le avesse mandate con quel metodo, quindi ho controllato bene la mail e il link senza cliccare nulla. Ma se l'avesse vista una mia impiegata probabilmente sarebbe caduta nel tranello, visto che a volte capita che alcuni clienti ci mandino blocchi di documenti compressi tramite link a Google drive. Questo per dire che sicuramente la formazione dell'utente è fondamentale è vale più di qualcosa antivirus, ma soprattutto in ambito lavorativo non è così facile come qualche anno fa.

Mi sembra che a oggi l'unica vera salvezza sia una pianificazione attenta, precisa e frequente di backup su supporti esterni.

Inviato dal mio Nexus 5 utilizzando Tapatalk

Beh, c'è da dire che le email che veicolano questi malware/ransomware sono si sono evolute rispetto ai vecchi tentativi di phishing. L'altro giorno ho ricevuto una mail da una mia cliente (faccio il commercialista) con testo: "invio in allegato le fatture" e un link a Google drive che in realtà era farlocco. L'ho vista io e conoscendo la persona in questione mi sembrava improbabile che le avesse mandate con quel metodo, quindi ho controllato bene la mail e il link senza cliccare nulla. Ma se l'avesse vista una mia impiegata probabilmente sarebbe caduta nel tranello, visto che a volte capita che alcuni clienti ci mandino blocchi di documenti compressi tramite link a Google drive. Questo per dire che sicuramente la formazione dell'utente è fondamentale è vale più di qualcosa antivirus, ma soprattutto in ambito lavorativo non è così facile come qualche anno fa.

Mi sembra che a oggi l'unica vera salvezza sia una pianificazione attenta, precisa e frequente di backup su supporti esterni.

Inviato dal mio Nexus 5 utilizzando Tapatalk

e il link puntava ad un exe?

e il link puntava ad un exe?

No, a una pagina web "irfanferdinan-qualcosa.html". :fagiano:

tutti i file mi risultano criptati (tranne immagini e video).
Estensione file .crypt
Ho fatto rirpristino di configurazione di sistema e tutto è rimasto così tranne la schermata desktop che prima del rirpristino aveva uno sfondo con una immagine probabilmente del virus.
C' qualche soluzione?

Prima pagina questa sconosciuta...
L'estensione .crypt è comune ad una serie di varianti come CryptXXX, Gomasom, CrypBoss per citarne quelle che si possono decriptare come da sezione Quali varianti è possibile decriptare?
Prova con i tool che trovi facilmente su google ( es. Emsisoft Decrypter for Gomasom ) e spera che la variante sia quella giusta.

Prima pagina questa sconosciuta...
L'estensione .crypt è comune ad una serie di varianti come CryptXXX, Gomasom, CrypBoss per citarne quelle che si possono decriptare come da sezione Quali varianti è possibile decriptare?
Prova con i tool che trovi facilmente su google ( es. Emsisoft Decrypter for Gomasom ) e spera che la variante sia quella giusta.

Come faccio a capire quale variante è la mia? i tool come li cerco? Quello che mi hai indicato l ho scaricato ma quando parte l'exe mi da un errore.

Fammi la cortesia di leggere la prima pagina altrimenti scriviamo sempre le solite cose ( c'è scritto come identificare la variante; tramite sito ID-Ransomware, con l'estensione ma non è il tuo caso perché è comune oppure tramite il nome dei file che lascia per tutto il PC esempio "decrypt_readme.txt" ) se poi qualcosa non ti è chiaro o hai dei dubbi sicuramente qualcuno ti aiuterà nel percorso.

P.S. L' .exe da un "errore", cerca di essere più vago la prossima volta :D

Fammi la cortesia di leggere la prima pagina altrimenti scriviamo sempre le solite cose ( c'è scritto come identificare la variante; tramite sito ID-Ransomware, con l'estensione ma non è il tuo caso perché è comune oppure tramite il nome dei file che lascia per tutto il PC esempio "decrypt_readme.txt" ) se poi qualcosa non ti è chiaro o hai dei dubbi sicuramente qualcuno ti aiuterà nel percorso.

P.S. L' .exe da un "errore", cerca di essere più vago la prossima volta :D

Ho provato con il sito ID, ho inserito il file txt che è pieno nel pc e mi ha generato questo nome:
CryptXXX 2.0

p.s. per l'exe del tool di prima mi dice esattamente: the decrypyion key for your systm cold not be found. please attempt to drag and drop both an encrypted...

CryptXXX 2.0 al momento non è decriptabile a differenza della prima versione per cui esiste un tool apposito di Kaspersky. In prima pagina ( se non si fosse capito :D ) trovi tutti i consigli/tentativi del caso per coloro che non possono decriptare i file

CryptXXX 2.0 al momento non è decriptabile a differenza della prima versione per cui esiste un tool apposito di Kaspersky. In prima pagina ( se non si fosse capito :D ) trovi tutti i consigli/tentativi del caso per coloro che non possono decriptare i file

Sto leggendo tutto nella 1 pagina ;)
Ma inizio a credere che non mi resta che formattare :( (((((((((

p.s. i file che non sembrano essere infetti (tipo video o immagini) posso trasferirli su hd esterno o rischio di infettare altro?

Ragazzi....un mio cliente è stato infettato da CTB-Locker e i file hanno estensione .pppagrd
Che voi sappiate esiste soluzione??

http://s32.postimg.org/nkup93zfl/chissache.jpg (http://postimg.org/image/nkup93zfl/)

Chissà che è. :fagiano:
Me lo mando sulla mia mail personale. :asd:

http://s32.postimg.org/nkup93zfl/chissache.jpg (http://postimg.org/image/nkup93zfl/)

Chissà che è. :fagiano:
Me lo mando sulla mia mail personale. :asd:

fallo scansionare su virustotal, così per sicurezza non si sa mai che sia una cosa innocua :D

CryptXXX 2.0 al momento non è decriptabile a differenza della prima versione per cui esiste un tool apposito di Kaspersky. In prima pagina ( se non si fosse capito :D ) trovi tutti i consigli/tentativi del caso per coloro che non possono decriptare i file


http://easyviruskilling.com/how-do-i-remove-cryptxxx-2-0/

http://easyviruskilling.com/how-do-i-remove-cryptxxx-2-0/

ci sto provando :(

RIO non vedo il nesso del quote al mio messaggio, la "rimozione" spiegata da un sito a caso la cui affidabilità é tutta da provare e con una reputazione che scarsa é dire poco non gli restituirà i dati...

FazY no l'avresti saputo.

ciccioz1 i file in sé non diffondono l'infezione, evita solamente di collegare direttamente l'HDD infetto ad un altro PC.

RIO non vedo il nesso del quote al mio messaggio, la "rimozione" spiegata da un sito a caso la cui affidabilità é tutta da provare e con una reputazione che scarsa é dire poco non gli restituirà i dati...

FazY no l'avresti saputo.

ciccioz1 i file in sé non diffondono l'infezione, evita solamente di collegare direttamente l'HDD infetto ad un altro PC.
Per i dati, a parte una decina di file sui quali stavo lavorando e ho delle copie vecchie, il resto del backup è fatto su hd esterno quindi ho perso poco. Perderò il tempo a formattare (essendo ignora ntissimo in materia) e a reistallare tutto in un momento in cui il tempo non ce l'ho proprio :(
gli unici file che vorrei passarmi su hd esterno e che sembrano non infetti sono video e foto. posso farlo tranquillamente?

p.s. le operazioni della guida le sto seguendo...tanto perso per perso :)
dopo la prima scansione mi dice che dovrei comprare la versione completa di spyhunter 4

RIO non vedo il nesso del quote al mio messaggio, la "rimozione" spiegata da un sito a caso la cui affidabilità é tutta da provare e con una reputazione che scarsa é dire poco non gli restituirà i dati...

FazY no l'avresti saputo.

ciccioz1 i file in sé non diffondono l'infezione, evita solamente di collegare direttamente l'HDD infetto ad un altro PC.

Si ... scusami... ;) però era da provare solo il manuale "non installare spyhunter 4".... comunque per ora l'unica cosa da fare e proteggersi dal Malvertising perchè si diffonde da li il ransomware "consiste nell'iniettare annunci malintenzionati o pieni di malware in legittimi reti di pubblicità online e pagine web" dunque per una migliore protezzione installatevi o ublock origin o adblock plus ;)

Si ... scusami... ;) però era da provare solo il manuale "non installare spyhunter 4".... comunque per ora l'unica cosa da fare e proteggersi dal Malvertising perchè si diffonde da li il ransomware "consiste nell'iniettare annunci malintenzionati o pieni di malware in legittimi reti di pubblicità online e pagine web" dunque per una migliore protezzione installatevi o ublock origin o adblock plus ;)

quella manuale è un pò complicata...non vorrei fare ulteriori danni. Alla fine ho perso un 10 file excel su cui stavo lavorando. e non c'è verso, anche su dropbox è entrato e seguendo la guida ho verificato che mancavano i file temporanei, praticamente l'unic file presente cercndo tra le versioni precedenti era quello infetto.

Si ... scusami... ;) però era da provare solo il manuale "non installare spyhunter 4"

Nessun problema ma anche la procedura manuale è del tutto inutile. Sono indicate cartelle generiche e chiavi di registro altrettanto generiche comuni alla macro-categoria dei ransomware e non per la variante specifica. Se non fosse chiaro quello è solo un sito acchiappa click sponsorizzato da software a pagamento


.... comunque per ora l'unica cosa da fare e proteggersi dal Malvertising perchè si diffonde da li il ransomware "consiste nell'iniettare annunci malintenzionati o pieni di malware in legittimi reti di pubblicità online e pagine web" dunque per una migliore protezzione installatevi o ublock origin o adblock plus ;)

I circuiti di ADS infetti non sono l'unico veicolo di infezione, invito ad una lettura del primo post e spero di non doverlo scriverlo più per i prossimi mesi...

fallo scansionare su virustotal, così per sicurezza non si sa mai che sia una cosa innocua :D

Che palle hotmail mi elimina l'allegato. :cry:


Sembra sicuro, lo apro ? :asd:

https://www.virustotal.com/it/file/c49a03ac6816696eae210ecc47adab5ede61f92332222322ddecc990c535b185/analysis/1462979990/

Non lo becchi, puoi beccarlo.

https://www.google.it/search?q=ransomware+su+android&ie=utf-8&oe=utf-8&client=firefox-b&gfe_rd=cr&ei=KKgsV_2kAY3F8AfZgonADQ

Così come non lo prendi sicuramente su windows, puoi prenderlo su windows.

E non muori sicuramente di infarto o a causa di un incidente automobilistico. Puoi morire di infarto o a causa di incidente automobilistico.



Mah :confused: io la guardo da dove posso al momento, c'è qualcosa di sbagliato? :help:


Mi chiedo a cosa servono discussioni come queste se il risultato è ottenere utenti così ansiosi sull'argomento, invece di utenti più consapevoli della questione e che hanno capito quali strategie di prevenzione adottare.

Questi ransomware casomai ce ne fosse bisogno tenderanno ad accellerare sempre di più la tendenza verso os blindati in modo tale che l'utente anche volendo non possa fare danni.
Trovo molto interessante che un utente per evitare problemi preferisca leggere le mail sullo smartphone..la tendenza è quella. :fagiano:

Che palle hotmail mi elimina l'allegato. :cry:


Sembra sicuro, lo apro ? :asd:

https://www.virustotal.com/it/file/c49a03ac6816696eae210ecc47adab5ede61f92332222322ddecc990c535b185/analysis/1462979990/

deve essere una versione vecchia visto che così tanti antivirus lo riconoscono

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

il prossimo ransomware farà entrambe le cose, se ha i diritti amministratitivi prima cripterà i file, poi cancellerà le copie shadow e poi modificherà MBR e via a criptare MFT e ti chiederà il riscatto due volte, una volta per decrittare MFT e poi per i singoli file

inoltre fatto ciò ti dirà che ha scoperto pedopornografia sul tuo pc e ti chiederà un tot per non denunciarti alla polizia

insomma servizio completo :D :D

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

http://s32.postimg.org/u858ka30h/Mischa.jpg (http://postimg.org/image/u858ka30h/)

con la C

Questi ransomware casomai ce ne fosse bisogno tenderanno ad accellerare sempre di più la tendenza verso os blindati in modo tale che l'utente anche volendo non possa fare danni.
Trovo molto interessante che un utente per evitare problemi preferisca leggere le mail sullo smartphone..la tendenza è quella. :fagiano:

Come dire che l'intera internet dal lato utente diventerà una VPN basata su Windows 10 per essere sicura In quel caso l'esclusiva dei nostri dati ce li avrà solo chi sviluppa l'OS... :O ;)

Ho provato con il sito ID, ho inserito il file txt che è pieno nel pc e mi ha generato questo nome:
CryptXXX 2.0

p.s. per l'exe del tool di prima mi dice esattamente: the decrypyion key for your systm cold not be found. please attempt to drag and drop both an encrypted...

Tool aggiornato per decriptare CryptXXX 2.0


http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe?_ga=1.69588624.1814211149.1453294100

il prossimo ransomware farà entrambe le cose, se ha i diritti amministratitivi prima cripterà i file, poi cancellerà le copie shadow e poi modificherà MBR e via a criptare MFT e ti chiederà il riscatto due volte, una volta per decrittare MFT e poi per i singoli file

inoltre fatto ciò ti dirà che ha scoperto pedopornografia sul tuo pc e ti chiederà un tot per non denunciarti alla polizia

insomma servizio completo :D :D

ahahaha :sofico:

Mi hanno segnalato un paio di questioni tramite PM da utente anonimo post 0...
1) EMET nell'elenco Come configurare il PC per evitare infezioni da ransomware? che è del tutto "superfluo" se si utilizzano mitigazioni quali Device Guard, AppLocker e CFG. Considerato che Applocker non c'è su tutti i PC ma solo su determinate versioni di Windows EMET risulta comunque una valida alternativa. E' un elenco che tratta una serie di configurazioni da attuare; è ovvio che applicarne solo una a caso non risolve nulla, non è la panacea di tutti i mali e non a caso è l'ultimo della lista.
2) EMET non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy:
Application Lockdown with Software Restriction Policies (https://technet.microsoft.com/en-us/magazine/2008.06.srp.aspx)
3) L'aggiunta di Device Guard se si usa AppLocker, su questo nulla da dire.

Sarei curioso di sapere anzitutto in quanti usano 10 Enterprise (che è condizione necessaria perchè quell'estratto abbia valore).

Poichè la % è evidentemente marginale (strano, no?, visto che è un'edizione rivolta ad un contesto specifico), ecco che per tutti gli altri il castello si sgretola già in partenza...
E, non a caso, è già stato dimostrato che 'nel contesto reale' (che tocca più da vicino la massa -cioè noi!- per i motivi visti poc'anzi) l'attualità di uno strumento come quello è immutata,

http://i67.tinypic.com/14sm5hy.jpg

http://i65.tinypic.com/2cd9vn6.jpg


A chi ti ha mosso l'osservazione in privato, allora, dico che gli articoli vanno anche capiti e non solo postati...

Mi auguro che l'articolo che segue vada proprio in quella direzione visto che è estremamente discorsivo,
EMET and Windows 10: Is EMET Still Needed? (http://www.pauby.com/blog/is-emet-still-needed-on-windows-10/)

Se avessi pensato che EMET su Windows 10 fosse inutile l'avrei tolto dalla lista però per devere di cronaca ho integrato delle informazioni in più ( es. Application Lockdown che comunque faceva già parte della lista delle policy ) visto che é stato richiesto, nulla é cambiato rispetto all'idea di configurazione iniziale che si basa su un insieme di pratiche e non su una singola operazione.

Mi hanno segnalato un paio di questioni tramite PM da utente anonimo post 0...
1) EMET nell'elenco Come configurare il PC per evitare infezioni da ransomware? che è del tutto "superfluo" se si utilizzano mitigazioni quali Device Guard, AppLocker e CFG. Considerato che Applocker non c'è su tutti i PC ma solo su determinate versioni di Windows EMET risulta comunque una valida alternativa. E' un elenco che tratta una serie di configurazioni da attuare; è ovvio che applicarne solo una a caso non risolve nulla, non è la panacea di tutti i mali e non a caso è l'ultimo della lista.
2) EMET non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy:
Application Lockdown with Software Restriction Policies (https://technet.microsoft.com/en-us/magazine/2008.06.srp.aspx)
3) L'aggiunta di Device Guard se si usa AppLocker, su questo nulla da dire.

Applocker è l'evoluzione di SRP. Vedila così: in determinati ambienti gestire la sicurezza con SRP è un delirio. Applocker facilita un po' le cose. Questo è il motivo principale per il quale sta solo nelle versioni enterprise e server di windows

EMET serve ad altro.

Le due tecniche sono complementari per la sicurezza del pc. Ma affrontano problemi distinti.
Forse non ti è chiara questa distinzione, o meglio, a chi ti ha mandato PM.

Grazie, conosco la differenza. Ripeto, se avessi pensato che affrontassero le stesse problematiche o che uno fosse il "sostituto" dell'altro non li avrei messi nella stessa lista oppure li avrei messi ma sotto la stessa categoria, però non é questo il caso. SRP é utilizzabile su qualunque edizione dei Windows recenti, registro o policy che sia, non é poi così complesso da gestire basta un po' di pratica

questa pagina potrebbe essere utile

https://decrypter.emsisoft.com/

variante: .crypt
sistema operativo: Windows 7 professional, service pack 1, 32 bit
antivirus: avast
livello uac: medio alto
antiransomware eo criteri di gruppo: no
veicolo di infezione: sconosciuto o forse microsoft silverlight
provider di posta: tiscali
macro di office: ?
Ab Block: no
Flash: si
Java: si

ho fatto esaminare i file con id-ransomware.malwarehunterteam e mi ha dato 3 risultati
Crypt XXX
questo ransomware è decifrabile

Chimera
per questo ransomware attualmente non ci sono modi conosciuti per decifrare i file

Crypt XXX 2.0
questo ransomware è decifrabile.


Now? faccio andare il tool di Kaspersky per cercare di decriptare i file o prima cerco di eliminarlo con i tool citati nella prima pagina? E il tutto lo faccio in modalità provvisoria, o basta la modalità normale magari sconnesso da internet?
Vi ringrazio già da ora.

edito: e per chimera come mi comporto?

Petya è stato aggiornato, ha un nuovo modulo chiamato Misha.
Come è noto per modificare l'MBR sono necessari i diritti amministrativi, la versione precedente di Petya senza quei diritti non avrebbe funzionato, lo stesso se il filesystem fosse stato GPT. La nuova versione se non ha i diritti amministrativi cripta direttamente i file come un qualsivoglia ransomware, AES con estensione casuale a quattro cifre. L'unica cosa certa che posso dire, vista la mancanza di informazioni, è che senza diritti amministrativi le copie shadow sono in ogni caso salve.

https://www.youtube.com/watch?v=QJkUwfa1Yvg

minghia. :stordita:

Ricorda un pò questa scena :asd:

https://www.youtube.com/watch?v=mgj9z1n0lHk

Cerca prima di decriptare i dati con il tool, potrebbero basarsi su chiavi di registro/file presenti sul PC e quindi è un rischio eliminare il ransomware a questo punto. Meglio in modalità provvisoria senza rete se il tool lo permette, metti i dati in salvo su apparato esterno e poi pensi all'eliminazione del ransomware. Per Chimera non esistono soluzioni al momento

P.S. Non esiste UAC medio-alto, o è medio o è alto e nel tuo caso è sicuramente a medio cioè a default.

Cerca prima di decriptare i dati con il tool, potrebbero basarsi su chiavi di registro/file presenti sul PC e quindi è un rischio eliminare il ransomware a questo punto. Meglio in modalità provvisoria senza rete se il tool lo permette, metti i dati in salvo su apparato esterno e poi pensi all'eliminazione del ransomware. Per Chimera non esistono soluzioni al momento

P.S. Non esiste UAC medio-alto, o è medio o è alto e nel tuo caso è sicuramente a medio cioè a default.

grazie, sai dove posso trovare una guida sull'utilizzo del tool di kaspersky?quando do lo star allo scan mi chiede di specificare la path ma non so che comando dargli!

e ipotizzando che riesca a decriptare i crypt xxx e quelli 2.0, come faccio a distinguerli da chimera? l'estensione è .crypt uguale per tutti...

La guida è presente al link sotto "Disinfection" il passaggio in particolare è:

Indicate path to one encrypted file and one not encrypted file.
If the file is encrypted by Trojan-Ransom.Win32.CryptXXX, indicate the largest files. Only the files of this size or smaller ones will be decrypted.

Devi essere certo che in questo caso il .crypt sia CryptXXX 1.0 e 2.0, puoi controllare tramite ID-Ransomware. Al momento non ti preoccupare per i Chimera, sarà il tool a distinguerli, l'importante è NON usare "Delete encrypted files after decryption"

La guida è presente al link sotto "Disinfection" il passaggio in particolare è:

Devi essere certo che in questo caso il .crypt sia CryptXXX 1.0 e 2.0, puoi controllare tramite ID-Ransomware. Al momento non ti preoccupare per i Chimera, sarà il tool a distinguerli, l'importante è NON usare "Delete encrypted files after decryption"

il punto è che mi chiede il file criptato e poi il suo originale..ho avuto la "fortuna" di averne due diversi originali, su un altro pc, file identici, ma quello criptato risulta sempre appena appena piu grande, quindi mi da errore che non sono della stessa grandezza.

importante news

grazie a ESET è uscito il decryptor per TeslaCrypt 3 e 4 (xxx, .ttt, .micro, .mp3 , file non rinominati)

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

peccato , proprio qualche tempo fa ho cestinato i file :(

+angel+ non so che dirti, non l'ho mai usato.

ecro,
Insomma grazie a ESET o chi sia l'autore del tool...grazie al ripensamento degli ideatori come fu per Locker altrimenti sarebbe ancora lì. Non credo che la cosa finisca qui, il 60% delle infezioni totali dei ransomware nel Q1 2016 era TeslaCrypt. Troppo appetibile per non essere ripreso da altri, da copycat o simili, lo stesso TeslaCrypt non a caso viene da CryptoLocker.
Grazie della segnalazione, aggiunto in prima.

devono aver guadagnato abbastanza se han deciso di rilasciare la chiave

importante news

grazie a ESET è uscito il decryptor per TeslaCrypt 3 e 4 (xxx, .ttt, .micro, .mp3 , file non rinominati)

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

basta avere conservato i file per poterli recuperare giusto? :)

importante news

grazie a ESET è uscito il decryptor per TeslaCrypt 3 e 4 (xxx, .ttt, .micro, .mp3 , file non rinominati)

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

a me invece incuriosisce la psicologia di questi soggetti:
che si siano sentiti eccessivamente 'sotto pressione' da parte delle forze di polizia??

In generale, infatti, vedo il ravvedimento troppo tardivo e facile quando ormai il danno è fatto...e cmq dietro questi attacchi si annidano vere e proprie strutture criminali per cui personalmente rimango spiazzato di fronte a questi cambi di strategia (criminale) per quanto saluti con piacere la fine di questo particolare tormentone...

Macchè pressioni di polizia... perchè pensi che se beccati ci sarebbe uno sconto di pena? Si tratta di P.R. nel voler dimostrarsi demoni ed angeli per accapparrarsi il rispetto di chi vuole emularli (http://www.hwupgrade.it/news/sicurezza-software/gli-autori-del-ransomware-teslacrypt-hanno-rilasciato-la-chiave-di-crittografia_62775.html): ovvero il re clemente che fa la grazia dopo aver spellato il popolo per dimostrare che si fa le leggi come vuole. Quel gruppo non solo avrà fatto soldi ma anche nel frattempo venduto il know-how o sviluppato qualcosa di ben peggiore.

ad ogni modo qualcuno per fortuna viene beccato (ricordo su tutti l'autore di Zeus che se ne viaggiava in Porsche con interni in pelle umana e che riposava le sue stanche membra su divani che valevano quanto casa mia circondato oltretutto da :oink: spupporate neanche il più famoso dei cantanti Rock)...e fare galera nei paesi dell'ex-URSS non penso sia equivalente alla 'vacanza' offerta delle nostre patrie celle...

domanda se un virus creasse un archivio zip o 7 zip con una password forte con dentro tutti i documenti e foto utilizzando la libreria di 7z o altro compressore i vari antiransomware lo bloccherebbero?

No essendo la libreria e la stessa operazione del tutto legittima che potrebbe fare lo stesso user. Archiviare un file lascia una copia dell'originale che poi dovrebbe essere eliminata, alcune varianti di ransomware operano direttamente sugli originali per velocizzare l'operazione.

http://www.hwupgrade.it/news/sicurezza-software/gli-autori-del-ransomware-teslacrypt-hanno-rilasciato-la-chiave-di-crittografia_62775.html

No essendo la libreria e la stessa operazione del tutto legittima che potrebbe fare lo stesso user. Archiviare un file lascia una copia dell'originale che poi dovrebbe essere eliminata, alcune varianti di ransomware operano direttamente sugli originali per velocizzare l'operazione.

e questo il punto, si aprono praterie

provate ad immaginare se lo sviluppatore di 7-zip decidesse di passare al lato oscuro, in uno dei prossimi aggiornamenti del software potrebbe introdurre un simile comportamento e poi cancellare i file originali e chiedere un riscatto

ora se è difficilmente ipotizzabile che Igor Pavlov si comporti così pensiamo ai tanti sviluppatori sconosciuti che rilasciano vari software non possiamo escludere che questi tizi che creano i ransomware, in futuro potebbero sviluppare software che funzionano normalmente (player multimediali, software per torrent eccetera) ma implementando al suo interno delle routine finalizzate alla richiesta di riscatto che partano in determinati periodi magari dopo un certo numero di mesi dall'installazione e noi non sapremo che è stato proprio quel software a fare ciò in quanto lo riteniamo del tutto legittimo e penseremo invece di essere vitttima di qualche virus sconosciuto o di qualche hacker

Privacy Fence

Designed to block rogue background processes, websites, spyware, & targeted malware from viewing, copying, encrypting, & uploading your files. Alerts you to suspicious access to personal files before it happens.

http://www.fortresgrand.com/products/pf/pf.htm

Circa una settimana fa mio figlio di 4 anni clicca su un banner e entro pochi sec il pc si riavvia con 4tb di files criptati e un messaggio con delle istruzioni su come pagare il "decryptor"...un disastro. Questi bastardi sono i creatori di Cerber un ransomware capace di criptare a velocità luce...attraverso le istruzioni su TOR si chiede un riscatto di 1btc, c'è anche una specie di chat dove comunicate con i bastardi! So che non esiste modo di poter riavere i files al momento. Sembra che il programma che abbia cryptato tutto si sia autocancellato dopo aver completato l'opera perché ora se collego una chiave usb o hd esterno i files non vengono più attaccati...fate sempre beckups!

recuperati tutti i file criptati con estenzione .micro.

funziona alla grande

recuperati tutti i file criptati con estenzione .micro.

funziona alla grande

C'È speranza per i files criptati da cerber (.cerber)?

occhio alla mail dello studio legale Gargani (lo studio realmente esistente non c'entra nulla) con allegato

http://www.debunking.it/2016/05/virus-la-falsa-email-dello-studio-legale-gargani-e-la-querela-per-diffamazione-aggravata/

alcuni antivirus (https://www.virustotal.com/en/file/fb01ee1e90b25edb74fa23a10b3f9de0d0547d6c73001ee278e184f53ec36e4f/analysis/1464172294/) lo ricomprendono tra la categoria crypt e comunque non è mai salutare eseguire un exe che ha l'icona di un pdf :D

https://snag.gy/lyHDGi.jpg

occhio alla mail dello studio legale Gargani (lo studio realmente esistente non c'entra nulla) con allegato

http://www.debunking.it/2016/05/virus-la-falsa-email-dello-studio-legale-gargani-e-la-querela-per-diffamazione-aggravata/

alcuni antivirus (https://www.virustotal.com/en/file/fb01ee1e90b25edb74fa23a10b3f9de0d0547d6c73001ee278e184f53ec36e4f/analysis/1464172294/) lo ricomprendono tra la categoria crypt e comunque non è mai salutare eseguire un exe che ha l'icona di un pdf :D

https://snag.gy/lyHDGi.jpg

mi è arrivata anche a me !

ovviamente cestinata

io ho preso a dicembre il Cryptolocker a 2048 bit , centinaia di foto jpg tutte encrypted , li ho salvati su una chiavetta sperando che in futuro qualcuno riesca a decriptarlo e poi ho formattato l'hard disk .

http://s33.postimg.org/g0t71kdd7/vairus.jpg (http://postimg.org/image/g0t71kdd7/)

Puzza di virus/ramsomware :sofico:

Per chi volesse curiosare, a suo rischio e pericolo

http://londoncakepop.co.uk/media/xmlconnect/Goqxz.accatiemmelle

https://www.virustotal.com/it/file/133cd780c57b386d8e4fb482ebbce1b3486f11714311391a340befdd24fcd1bd/analysis/1464283960/

wtf ? :confused:

Un banale script?

Sará un trojan che scarica un.ransomware

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

https://www.virustotal.com/it/file/133cd780c57b386d8e4fb482ebbce1b3486f11714311391a340befdd24fcd1bd/analysis/1464283960/

wtf ? :confused:

Un banale script?

Locky

basta aprire il .js con normale editor di testi

si dovrebbe vedere da dove scarica e cosa scarica nel caso sia un downloader

comunque un .js dentro ad archivio .gz puzza come un gorgonzola

ecco il motivo per il quale ho disabilitato lo script host
su tutti i pc dei conoscenti

oltre a non verificare le estensioni c'è questo maledetto vizio di non estrarre il contenuto di un archivio compresso per capire che c'è dentro
ma ci si clicca direttamente dentro


certe volte svuoto cartelle temporanee di decine di giga :rolleyes:

Locky Ransomware prestare attenzione!


http://s33.postimg.org/nagnvkl0r/Locky_ITA.jpg (http://postimg.org/image/nagnvkl0r/)

Locky Ransomware prestare attenzione!


http://s33.postimg.org/nagnvkl0r/Locky_ITA.jpg (http://postimg.org/image/nagnvkl0r/)

che sarà mai ? solo un avviso di garanzia a tua tutela :D

Locky Ransomware prestare attenzione!


http://s33.postimg.org/nagnvkl0r/Locky_ITA.jpg (http://postimg.org/image/nagnvkl0r/)
Eppure ci deve essere sicuramente qualcuno che abbocca (come d'altro canto esistevano persone che credevano in Vanna Marchi e/o nei maghi magari per la cura di un carcinoma)...

La gente normale, infatti, presumo si aspetti almeno una notifica o quello che è, non certo essere informati via mail di una cosa cosi' grave...

Oltretutto, fossimo in Olanda (dove per esperienza personale dico che la 'cosa pubblica' è semplicemente su un altro livello)...ma in Italia (dove la pubblica amministrazione è lievemente indietro :D )...


Va beh, tutti in tribunale! :cool:

Ransomware Overview, prevenzione e recupero dati in un elenco aggiornato

http://www.ransomware.it/ransomware-overview-prevenzione-recupero-dati/

link diretto al documento:https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

http://s33.postimg.org/3m1hxpkob/esticatzi.jpg (http://postimg.org/image/3m1hxpkob/)
A casa analisi :asd:

zero ma quanta cacca ti arriva :D :p

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

La novità è che la collega non ha tentato di aprire il link.


Cmq..avast a casa mi blocca il link (scarica un *.js zippato) e essential vede un certo "adyroxyp.exe" come sospetto..:sofico:

http://s33.postimg.org/47zka85ij/sospetto.jpg (http://postimg.org/image/47zka85ij/)


http://s33.postimg.org/4w49ysvsb/sospetto2.jpg (http://postimg.org/image/4w49ysvsb/)

Dilusione di diludendo..la gente si aspetta di più :asd:
https://www.virustotal.com/it/file/57b345086a5ccb87c0fee858f50d3c62a89aea4280d68fe0386378686f93a9b2/analysis/1464896926/

file radE12B5.tmp in appdata/temp , poi (credo nome random) adyroxyp.exe in appdata/local. Poi immagino inizi a fare i suoi lavoretti
Cmq se entro 2 ore non mi arrestano (arresto avverrà entro il 2 giugno), allora posso star tranquillo. :asd:

da tre giorni mi arriva un email telecom sempre con il seguente link da dove scaricare la fattura:

http://software.eliosfranchising.it/fattura?458

però eset non mi segnale nessun virus
non ho neanche provato ad aprire link

:

Paura? :D

dai il solito allegato

http://s33.postimg.org/chhactggv/Immagine.png

.pdf.EXE

basta non tenere le estensioni nascoste e in questi giochini è impossibile caderci
poi l'icona è sempre diversa da un PDF che normalmente si apre (ognuno di noi usa il proprio programma preferito)

ma poi scusa eh

secondo te la Telecom manda la fattura da questo dominio? http://software.eliosfranchising.it :rolleyes:

ma io dico ma il gestore del sito lo sa che distribuisce virus?

ma lo hai visitato?

è un dominio che non contiene nulla, è una paginetta con alcune pubblicità di parallels

quindi o è il proprietario stesso che lo usa come deposito per ste porcherie
oppure è hackerato

recuperati tutti i file criptati con estenzione .micro.

funziona alla grande

ciao, mi potresti dire come hai fatto?
ho seguito le istruzioni riportate in questo link (http://support.eset.com/kb6051/) ma non mi sono stati trovati file criptati

mentre lanciando l'eseguibile con l'opzione /f (forced clean) il responso è il seguente
13 infected files found.
0 file(s) cleaned.
in questa occasione mi ha trovato tutti i file infetti con estensione .micro che ho messo in una cartella per fare una prova, però con il tag [error] al fianco di ognuno di essi e che chiaramente non è riuscito a decriptare
del tipo:
Cleaning [percorso\nomefile.doc.micro] [Error]

ciao, mi potresti dire come hai fatto?
ho seguito le istruzioni riportate in questo link (http://support.eset.com/kb6051/) ma non mi sono stati trovati file criptati

mentre lanciando l'eseguibile con l'opzione /f (forced clean) il responso è il seguente
13 infected files found.
0 file(s) cleaned.
in questa occasione mi ha trovato tutti i file infetti con estensione .micro che ho messo in una cartella per fare una prova, però con il tag [error] al fianco di ognuno di essi e che chiaramente non è riuscito a decriptare
del tipo:
Cleaning [percorso\nomefile.doc.micro] [Error]
io ho usato il TeslaDecoder

@lesotutte77 scusa non avevo capito, ci proverò grazie ;)

Posso consigliare di usare ShadowExplorer (qui (http://manual-removal.com/locky-files/)) perché mi ha aiutato a recuperare più di metà dei miei file infetti.

forse con i vecchi ransom , questi nuovi la prima cosa che fanno è cancellare le copie shadow

Un paio di notizie:
1) CryptXXX è ormai il successore al trono di TeslaCrypt e viene costantemente aggiornato ( siamo ormai alla versione 3.1 ) nell'ultimo aggiornamento cripta anche le risorse condivise visto che scansione la porta 445 utilizzata dal protocollo SMB = Server Message Block. Ad oggi questa versione non è decriptabile, il tool di Kaspersky è fermo alla versione 2.0
2) Tra le tante varianti ne è uscita una recentemente, ZCryptor, che a differenza degli altri ransomware si auto-diffonde/auto-copia su rete e dispositivi collegati. Usa un setup "finto" tipo Adobe Flash e le macro di office per infettare quindi se seguite le regole di prevenzione in prima pagina e non aprite .exe a caso dovreste essere al sicuro.

Ricevo un SMS:

Ciao Ho aperto nel computer una mail e ho preso CTB LOCKER. Cosa devo fare? Aiutooooooo

Cosa gli rispondo ?
Esiste un unlocker ?

Inviato dal mio Mi-4c utilizzando Tapatalk

Leggi il primo post, al momento nessuna possibilità di decriptare i file con quella variante.

Infatti ho letto, chiedevo magari nella speranza di news...

Inviato dal mio Mi-4c utilizzando Tapatalk

Nessuna, notizie del genere fanno rumore oltre che il giro del mondo.

Buonasera, ho un computer infetto con la variante .Cryp1, leggevo nel primo post, che esiste la possibilità di decriptare i file CrpyXXX versione 1 e 2, ma non sono riuscito a procedere.

Si tratta dunque di due versioni differenti o sbaglio qualche passaggio?

L'estensione .cryp1 é UltraCrypter/UltraDeCrypter che sembra una evoluzione e/o copycat di CryptXXX 3.0 ma in ogni caso non é la versione a cui fa riferimento il tool in prima pagina

Sarebbe interessante capire PERCHE' gli ideatori di teslacript hanno pubblicato la master key mollando un business credo molto remunerativo..si sa qualcosa ?
Peraltro abbiamo conservato in ufficio i file crittati in micro..che a questo punto si possono recuperare (ma tanto abbiamo già i file recuperati con le shadowcopy).

ragazzi qualcuno sa qualcosa sui files con estensione .woicaim ?
non si trova nulla in giro

mattware primo post prego, estensione generata casualmente quindi possono essere una serie di varianti come CTB-Locker. Prova con il sito di ID Ransomware

mattware primo post prego, estensione generata casualmente quindi possono essere una serie di varianti come CTB-Locker. Prova con il sito di ID Ransomware

si scusami;)
trovato, ma mi diece che non esiste ancora un modo....che faccio aspetto ?
il belllo è che su internete sembra nonessereci prorpio tracciadi questa estensione _ 0 risultati1
grazie

il belllo è che su internete sembra nonessereci prorpio tracciadi questa estensione

ovvio , se è generata random...

ovvio , se è generata random...

ok, ma quindi come faccio per decriptarla e capire come e con quale strumento ?
grazie

ok, ma quindi come faccio per decriptarla e capire come e con quale strumento ?
grazie

nessuno può garantire che sia possibile decriptarla

buone nuove? no peggiori

http://www.adnkronos.com/immediapress/ict/2016/06/22/kaspersky-lab-attacchi-crypto-ransomware-quintuplicati-con-mila-utenti-colpiti-anno_KQHD5E6c1jpciaJ5pA55HO.html

ok, ma quindi come faccio per decriptarla e capire come e con quale strumento ?
grazie

intanto bisogna capire che versione hai beccato
qui
https://id-ransomware.malwarehunterteam.com/index.php?lang=it_IT

intanto bisogna capire che versione hai beccato
qui
https://id-ransomware.malwarehunterteam.com/index.php?lang=it_IT
come già scritto questo è il risultato:

CTB-Locker
Per questo ransomware attualmente non vi sono modi conosciuti per decifrare i file.

Si raccomanda di effettuare un backup dei file cifrati e sperare che vi siano soluzioni in futuro.
Identificato da

sample_extension: .<random 7 characters>
Per maggiori informazioni riguardo CTB-Locker clicca qui

l'estensione è irrilevante, che sia .zxcvbnm o .pluto la variante che ti sei beccato non è al momento decriptabile senza pagare e forse non lo sarà mai

infatti ti scrivono "e sperare che vi siano soluzioni in futuro."

ma sperare molto intensamente del tipo spero che ilary blasi me la dia :D

l'estensione è irrilevante, che sia .zxcvbnm o .pluto la variante che ti sei beccato non è al momento decriptabile senza pagare e forse non lo sarà mai

infatti ti scrivono "e sperare che vi siano soluzioni in futuro."

ma sperare molto intensamente del tipo spero che ilary blasi me la dia :D
perchè forse non lo sarà mai ?
le altra sono state decriptate

Se guardi la casistica le possibilità sono solo due:
1) Gli autori del malware per motivi sconosciuti ( per rimorso, perchè si sentono braccati, metti il motivo che preferisci tanto la verità non la sapremo mai ) decidono di rilasciare la chiave master che permette a chiunque di decriptare i file
2) Viene trovata una falla nell'implementazione dell'algoritmo di crittografia. Se c'è una falla, non passa molto tempo prima che venga rilevata quindi è vero l'opposto se una variante è in giro da molto tempo significa che non c'è nessuna vulnerabilità da sfruttare per decriptare i dati

Nel primo caso è successo si e no un paio di volte, si contano sulle dita di una mano. Per il secondo caso subentra spesso una nuova variante v2 v3 che soppianta la precendete e risolve la vulnerabilità. Lo stesso CTB Locker non è una "prima versione" ma deriva da CryptoLocker, quindi l'unica speranza che hai ad oggi è il primo punto.

scusate ma il cerber ransomware che rinomina in .cerbet i file che livello di criptazione usa?

AES con chiave a 256 Bit, se stavi pensando ad attacco brute force lascia perdere.

questa schifezza deve aver lavorato in background da tempo, visto che mi ha criptato i file mentre stavo facendo una scansione con avira, e poco prima ho visto da task manager si erano avviati 4 processi di nome bb.exe

Vedi la prima pagina per alcuni consigli per quelli nella tua situazione come software per recupero dei file eliminati, copie shadow e così via. Sono tentativi, nulla più.

Per chi si chiede il perchè il bruteforce sia inutile:
Dal "Technology Paper" della Seagate in riferimento all'AES con chiave a 128 Bit ( e qui si parla di chiavi a 256 Bit )

Se si ipotizza che:

Ogni persona sul pianeta possiede 10 computer.
Ci sono 7 miliardi di persone sul pianeta.
Ognuno di questi computer è in grado di testare 1 miliardo di combinazioni di possibili chiavi al secondo.

In media, si può decifrare la chiave dopo aver testato il 50% delle possibilità.

L'intera popolazione della terra può decifrare una singola chiave di cifratura in 77,000,000,000,000,000,000,000,000 di anni

Le moderne GPU sono in grado di calcolare 2 miliardi di combinazioni di possibili chiavi al secondo quindi parliamo solamente di 38,500,000,000,000,000,000,000,000 di anni per una sola chiave a 128 bit, un bel risparmio di tempo :O

ma cerber da quanti mesi circola circa?

Se non sbaglio Febbraio 2016 quindi più o meno 4-5 mesi

il successo della nuova variante

http://punto-informatico.it/4326332/PI/News/cryptxxx-successo-della-nuova-variante.aspx

per x_Master_x

lo sai che le policy che adotto via registro per bloccare gli exe al di fuori dalle cartelle Programmi e Windows interferiscono con gli aggiornamenti di Windows Defender?

su Win 8.1 questo non succedeva mentre su Win 10 sì

"pare strano ma in win 10 sembra che venga usata la cartella %temp% per installare gli aggiornamenti delle firme di WD"

no mi sono sbagliato non c'entra la cartella %temp% però se disattivo le policy WD si aggiorna tranquillamente se le riattivo no

il successo della nuova variante

http://punto-informatico.it/4326332/PI/News/cryptxxx-successo-della-nuova-variante.aspx
A quanto pare però Kaspersky li ha già beccati :asd:

A quanto pare però Kaspersky li ha già beccati :asd:

dici questa notizia?

http://punto-informatico.it/4315673/PI/News/kaspersky-scardina-cryptxxx.aspx

non è detto che si tratti della stessa variante e poi

Non esiste un singolo tool in grado di contrastare tutte le tipologie di ransomware esistenti, ma nel caso di CryptXXX la fiducia dei criminali verso RSA-4096 (algoritmo robusto, ma conosciuto) ha permesso a Kaspersky Lab di sviluppare un tool di decriptazione, che è possibile scaricare dal sito di supporto di Kaspersky Lab. Per decriptare i file, l'utility ha bisogno della versione originale (non criptata) di almeno un file colpito da CryptXXX.

successivamente i creatori hanno modificato qualcosa e ciò ha costretto Kaspersky a modificare il tool

https://blog.kaspersky.com/cryptxxx-decryption-20/12091/

ma come una rincorsa gatto con il topo

https://www.proofpoint.com/us/threat-insight/post/cryptxxx2-ransomware-authors-strike-back-against-free-decryption-tool

o

https://sentinelone.com/blogs/new-cryptxxx-variant-discovered/

Non so se era già stato segnalato ma

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

qui ci sono parecchie info su ransomware e decripter

CireNL, ottima segnalazione, grazie!!!!

Salve a tutti.
Faccio il riparatore sia hw che sw e ho dovuto ripristinare diversi NB colpiti da cryptovirus.
Al mio collega è venuta una idea che poi io ho sviluppato per tentare una protezione preventiva che consiste nell'usare una partizione nascosta, un programma di backup e uno script per modificare le estensioni perché sembra che alcune estensioni non vengano attaccate.
L'ho installato presso alcuni clienti e teoricamente funziona ma mi manca la prova pratica, non ho potuto salvare nessun file infetto per fare dei test su muletto.
Ora, avete idea dove posso procurarmi dei file infetti per provare?
Oppure, avete idea se ci sono delle estensioni che sicuramente non vengono attaccate per migliorare il mio script?
Grazie.

Se crei estensioni fittizie, tipo .cane non dovresti avere problemi. Prende solo i documenti (sempre che non cambino versione).

Puoi farti una macchina virtuale e infettarla con cryptolocker da una qualsiasi mail infetta, come avevo fatto io quando ancora si sapeva poco e dovevo fare delle prove. Non dovresti avere problemi a trovarne una.

Comunque in teoria se fai un semplice backup criptato oppure zippato e protetto da password dovresti essere a posto.

La domanda è se ha senso fare i backup sulla stessa macchina o addirittura sullo stesso disco.

La risposta è ovvia credo, meglio un disco esterno usb da 50€ e fare i backup se è un privato.

Grazie CireNL.
E' proprio quello che facciamo. usare un disco esterno o una partizione interna (ma è più lento) che però il mio script tiene nascosta tranne che durante il backup.
Sul file zippato o protetto non credo serva a nulla perché te lo può crittare lo stesso basta che abbia i permessi in scrittura.
Infine ti parrà strano ma non ho mai potuto salvare un file infettante perché il mio collega li rasava prima di portarmi il notebook e adesso che mi serve non ce l'ho.
Un aiutino per trovarne uno senza dover aspettare il prossimo cliente?

PS. riguardo l'estensione ci sarebbero le .exe che qualunque virus stupido dovrebbe salvaguardare perché altrimenti in pc si ferma del tutto ma non sono esperto in virus.

Allora, spiegarti tutto qui diventa lungo quindi farò così:

http://www.cryptolocker.it/

magari conosci Achab, un fornitore. Il blog è suo.

Comunque i ransomware non riescono a crittare i file crittati e probabilmente non crittano nemmeno gli zip (o gli zip protetti da password quantomeno).

Quello che dicevo dei backup è che fare il backup sul disco interno del computer non ha quasi nessun senso, se salta il disco perdi dati e backup, se ti rubano il pc/prende fuoco/finisce sotto un'autobotte uguale.

Questo thread è dedicato alle soluzioni per chi è infetto da ransomware ma soprattutto sulla prevenzione e per questo ambito bisogna stare molto attenti a ciò che si scrive. Bisogna entrare nell'ottica che qui non si parla di un ransomware ma dei ransomware, centinaia di varianti differenti che operano in modo diverso.

Se crei estensioni fittizie, tipo .cane non dovresti avere problemi. Prende solo i documenti (sempre che non cambino versione)

Esistono ransomware che invece di includere un elenco di file hanno un elenco di esclusioni quindi evitano solo file di sistema ed infettano tutto il resto. Inoltre se si considera una variante come Petya nessun file è al sicuro. Quindi creare estensioni fittizie NON è un metodo di prevenzione.


Riguardo l'estensione ci sarebbero le .exe che qualunque virus stupido dovrebbe salvaguardare perché altrimenti in pc si ferma del tutto ma non sono esperto in virus.


Assolutamente no, non tutti gli .exe sono uguali. Esempio:

This ransomware is particularly destructive as it will not only encrypt data files but will also encrypt executables, which will cause almost all of your applications to no longer operate.

Modificare l'estensione in .exe NON è un metodo di prevenzione.

Comunque i ransomware non riescono a crittare i file crittati e probabilmente non crittano nemmeno gli zip (o gli zip protetti da password quantomeno)

Questa non so dove l'hai letta. Alcuni varianti di ransomware evitano di criptare due volte i file ma se infetti dalla loro variante, altri invece non si fanno problemi a criptare più volte i file. Per questo è importante evitare di riavviare il PC in modalità normale ma solo in provvisoria dove l'eseguibile non può auto-avviarsi.

Non criptano gli .zip? Li criptano eccome, non solo .zip ma anche .rar .7z .7zip e altri, che siano protetti o meno non cambia proprio nulla visto che sono sempre dei normalissimi file. Utilizzare archivi compressi NON è un metodo di prevenzione.

Se la metti così l'unico vero metodo per avere sempre tutti i file al sicuro è questo.

- Sapere quello che si sta facendo al pc
- Antivirus aggiornato e buono
- Utente non amministratore del computer
- Backup ibrido locale e cloud
- Policy restrittive sul computer
- Script VBS disattivati
- Usare un antispam decente
(bastano anche solo i primi 2 punti, posso assicurarti che insieme funzionano meglio di tutto il resto).

Altra soluzione

- Usare linux
- Sapere quello che si sta facendo
- Usare un antivirus
- Backup ibrido

Ma @x_Master_x visto che sei così bravo, perchè non hai dato tu la supersoluzione definitiva?

- Antivirus aggiornato e buono

questo invece lo metto sempre tra i primi punti deboli della strategia :D

Gli antivirus ci sono e funzionano se uno li tiene aggiornati, ma da soli non bastano.

Come i preservativi. Se li conservi male e non sai metterli servono a poco.

puoi aggiornare quanto vuoi , ma escono di continuo nuovi varianti
l'antivirus è sempre un passo indietro , ma è logico così

Vero, ma almeno dalle versioni vecchie sei protetto.

Poi con le analisi euristiche ha una possibilità in più anche con le nuove varianti.

Dai un'occhiata anche a webroot se vuoi provare qualcosa di diverso.

Ma @x_Master_x visto che sei così bravo, perchè non hai dato tu la supersoluzione definitiva?

Se la metti con questo tipo di atteggiamento non meriti nemmeno una risposta, questo sarà il primo e l'ultimo messaggi che vedrai da parte mia se continui così.

La prima pagina è più che esplicativa sui possibili metodi di prevenzione ( aperto ad eventuali aggiunte come sempre ) non mi sono mai definito "bravo" da solo ma da qui a scrivere "Comunque i ransomware non riescono a crittare i file crittati e probabilmente non crittano nemmeno gli zip (o gli zip protetti da password quantomeno)" ce ne passa e significa, a mio modesto parere, scrivere informazioni del tutto errate su un thread che tratta argomenti delicati come questo. Mettiamo i nostri file sensibili negli zip con password e siamo tutti al sicuro dai ransomware, perché il mondo non ci ha pensato prima? Ecco questa è la supersoluzione definitiva...:doh:

grazie x_Master_x ma grazie anche a CireNL.
Riguardo agli zip avevo già i miei dubbi ma ho sorvolato.

Invece riguardo gli exe vorrei sapere, i ransomware che hai citato e che criptano gli exe poi come fanno a partire? Criptano solo le cartelle non di sistema?

L'altra tecnica che uso è rimuovere la lettera della partizione che uso per il backup e che dovrebbe funzionare. L'unico periodo durante il quale sono scoperto è mentre faccio il backup perché la partizione deve essere montata.

Avete notizia di sw che possano fare backup su partizioni non montate?

In teoria (casomai x_Master_x mi corregge - non sto facendo il simpatico, dico davvero. Non ho interesse a litigare in internet) se il tuo utente non ha i permessi sul disco ma li ha un utente con cui fai i backup (alcuni programmi tipo cobian permettono di usare un utente diverso da quello con cui sei loggato) dovresti stare al sicuro.

Sempre che non ci abbiano trovato il modo di lanciare il virus con permessi di amministrazione.

napocapo riguardo agli .exe è più semplice di quello che pensi. Fanno una lista degli eseguibili presenti sul PC, evitano quelli indispensabili all'avvio del sistema ( es. explorer.exe, winlogon.exe etc. ) oppure direttamente la cartella di Windows e criptano tutto il resto, escluso ovviamente l'eseguibile del ransomware.

Alcuni ransomware sono in grado di montare le unità di rete non mappate, tecnicamente è possibile utilizzando MOUNTVOL\FindFirstVolume agire nella tua unità senza lettera, non conosco varianti che abbiano questa caratteristica ma ripeto tecnicamente è fattibile. Moltissimi ransomware vengono eseguiti con i diritti amministrativi ( tramite escalation dei privilegi o interazione dell'utente tramite prompt UAC ) per eliminare le copie shadow ma nessuno fino ad oggi ha interferito con i premessi per il semplice motivo che l'operazione richiede minuti preziosi e i ransomware voglio fare più danni nel più breve lasso di tempo possibile. Questo non preclude scenari futuri.

Grazie.

Oh be', se avete una lista di estensioni che tendono a salvarsi perché poco utili per il ransomware fatemelo sapere.
Sarebbe utile fare dei test con virus veri ma come ho scritto non ne ho alcuno conservato.

Mi stai dicendo che non ti arriva nemmeno una mail di falsa fattura con allegato?

Guarda nella spam.

Ho appena controllato, ho 46 spam e manco una con allegato.
Si vede che sto troppo attento con le email.

Ho appena creato un account apposta, napothecapo@mail.com
se avete qualcosa.

Inviate un paio, fatture tim.

Scarica dal link.

E per favore non spammare sull'indirizzo aziendale che mi sono dimenticato di toglierlo.

Edit: niente, aprendo i link non vanno.

Ne mando altre

Niente, gmail non me le lascia inviare perchè dice contengono virus.

ma infatti ste spazzature girano spesso e volentieri su mail del cavolo che le lasciano passare

Tipo Aruba :p

Be', CireNL, è una buona notizia, gmail ci protegge un pò.

Io quando devo mandare roba tipo exe o zip con gmail aggiungo l'estensione .bin che pare la lasci passare, quindi file_exe.bin mi passa.

PS. prima zippo file.* in file.zip, poi rinomino file.zip in file_zip.bin

Oppure si può usare drive.

Locky goes offline (by design) (https://blog.avira.com/locky-goes-offline/)
CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data (http://www.cise.ufl.edu/~traynor/papers/scaife-icdcs16.pdf)

è stato appena infettato un pc (client della rete) con files criptati e non so ancora se anche il server. Ho spento entrambi i pc. Vorrei avviare una live di linux sulla macchina del server per farne un backup. Poi lo vorrei fare sul client.

1. va bene come inizio?

2. il virus può continuare anche se avvio una live di linux?

3. il virus può continuare anche sulle copie di backup fatte da live su hd esterni?

4. come mi consigliate di procedere/continuare?

5. se ho spento il pc dopo poco, sono salvi alcuni files non criptati o lo sonostati tutti in pochissimo tempo?

La live non fa partire il virus, puoi usare anche i live cd dei produttori di antivirus (kaspersky o norton, tanto per dirne un paio) e fare la scansione con quelli, oppure spostare i dischi e fare le scansioni su un altro pc.

Poi vedi se è possibile recuperare i file criptati identificandoli da qui
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

e controllando se esiste un decrypter.

http://blog.nln.it/cryptovirus-soluzioni

Se il server ha i dischi in raid ti sconsiglio di toglierli.

Il virus non dovrebbe continuare sui backup, ma dipende dove sono.

Se è uscito il messaggio del riscatto il virus ha purtroppo finito il suo lavoro.

La live non fa partire il virus, puoi usare anche i live cd dei produttori di antivirus (kaspersky o norton, tanto per dirne un paio) e fare la scansione con quelli, oppure spostare i dischi e fare le scansioni su un altro pc.

Poi vedi se è possibile recuperare i file criptati identificandoli da qui
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

e controllando se esiste un decrypter.

http://blog.nln.it/cryptovirus-soluzioni

Se il server ha i dischi in raid ti sconsiglio di toglierli.

Il virus non dovrebbe continuare sui backup, ma dipende dove sono.

Se è uscito il messaggio del riscatto il virus ha purtroppo finito il suo lavoro.

- non è uscito il messaggio fino a quando ho spento il pc

- i files criptati hanno un estensione di 5 lettere a caso

- id ramsonware, caricando su un file infetto, l'ha identificato come cbt-locker, chiarendo che non c'è anora un decrypter

- sono stati criptati anche alcuni files del server (collegato al client tramite percorso di rete)

1. se avvio il server l'infezione continua o questa è relativa al solo pc infetto (client) ?

2. la scansione con mbam kasperk ecc, posso farla in locale sul p infetto avviandolo in modalità provvisoria?

3. oltre a mbam, quali utility consigiate per la scansione?

I cryptovirus non sono difficili da togliere, kaspersky aggiornato basta (almeno per la mia esperienza).

Poi anch'io faccio sempre una scansione anche con mbam, di più non dovrebbe servire.

Non posso e non può nessuno da qui assicurarti che sul server non ci sia il virus. Se è partito dal PC e i file criptati sul server sono limitati alle cartelle condivise probabilmente non c'è il virus sul server, ma sono ipotesi.

Non so se in modalità provvisoria il virus non parte, io farei la scansione da un altro PC.

http://www.dottinformatica.it/cryptolocker-e-ctb-locker-rimuoverli-e-recuperare-i-file/

I cryptovirus non sono difficili da togliere, kaspersky aggiornato basta (almeno per la mia esperienza).

Poi anch'io faccio sempre una scansione anche con mbam, di più non dovrebbe servire.

Non posso e non può nessuno da qui assicurarti che sul server non ci sia il virus. Se è partito dal PC e i file criptati sul server sono limitati alle cartelle condivise probabilmente non c'è il virus sul server, ma sono ipotesi.

Non so se in modalità provvisoria il virus non parte, io farei la scansione da un altro PC.

http://www.dottinformatica.it/cryptolocker-e-ctb-locker-rimuoverli-e-recuperare-i-file/

ok grazie, quale tool di kaspersky e di mbam devo usare? inoltre, sai se posso farlo dalla live di linux?

Di Kaspersky c'è la versione di linux.

In che senso tool? Per toglierlo usi l'antivirus.

Mbam dovresti provare con Wine, ma non credo funzioni bene.

Di Kaspersky c'è la versione di linux.

In che senso tool? Per toglierlo usi l'antivirus.

Mbam dovresti provare con Wine, ma non credo funzioni bene.

trovo un po di difficoltà da linux live....va bene una chiavetta con kaspersky rescue disk 10?

Si, dovrebbe andare. È un pò che non lo uso però.

L'ultima volta ho usato il norton.

ho provato con i tool kasperky e norton da chiavetta, ma non mi ha trovato nello specifico questo ramsoware, ma altro....cosa posso provare?

Jeremy01,
Per evitare argomenti ciclici ti invito a leggere la prima pagina ( es. Sono stato infettato da un ransomware, cosa devo fare? e Come rimuovere il ransomware?) poi nel caso, dopo la lettura, posti tutti i dubbi che vuoi. Le domande come "quali utility consigliate per la scansione?" o "posso farla in locale sul pc infetto avviandolo in modalità provvisoria?" sono state già ampiamente trattate e trovi le risposte al primo post, non c'è nulla di nuovo.

ok grazie, ho ancora un dubbio: nella cartella condivisa del server, oltre ad essere stati criptati alcuni files, sono stati creati i due file !Decrypt-All-Files-jkbrkuj .bmp e . txt (così come creati nella cartella utente "download" del pc client infettato...questo significa che anche quel pc è infetto e quindio se avvio il server l'infezione continuerà, o significa siolo che anche quella cartella è ststa colpita?

Come detto prima, non lo possiamo sapere. Di solito i file vengono creati in più cartelle, ma non puoi chiederci se il tuo server è infetto. Fagli una scansione da live cd e vedi se trova virus.

Come detto prima, non lo possiamo sapere. Di solito i file vengono creati in più cartelle, ma non puoi chiederci se il tuo server è infetto. Fagli una scansione da live cd e vedi se trova virus.

le scansioni da live con norton e kaspersky non hanno trovato nulla sul pc infetto, il cui HD l'ho poi collegato ad un altro pc con windows, e sono stati rilevati 2 files nelle cartelle temp sia da mbam che da emsisoft emergency kit, nulla da hitman e altri. Sembra di aver capito che per emsisofteK si può creare una chiavetta avviabile, ma per mbam no...

Oggi il pc di un mio cliente è stato infettato un virus il quale ha aggiunto l'etensione .9915f
E' un CryptXXX 3.0
Il decriptaggio ha avuto successo con le chiavi messe a disposizione del .crypz

In-the-wild Ransomware Protection Comparative Analysis 2016 Q3.pdf (https://www.mrg-effitas.com/wp-content/uploads/2016/07/Zemana_ransomware_detection.pdf) (MRG Effitas)

Scusate, non ho letto le 25 pagine (solo le prima), ma forse si potrebbero aggiungere un paio di suggerimenti.

1) visto che la criptazione avviene sulle lettere di Windows, una soluzione banale ma efficace è fare i backup su dispositivi privi di lettere (esempio: NAS casalinghi)

2) considerato che i file EXE non vengono (per quanto ne so) criptati, spesso basta cambiare l'estensione del file di backup per metterlo al sicuro

3) Un NAS "casareccio" che disponga di snapshot generalmente è (quasi) immune a questo tipologia di problemi (o meglio rende semplice "tornare indietro")

4) un sistema che consiglio per il backup dei dati (cioè non dell'intero sistema, ma generalmente del desktop o della cartella utente) è usare un programma gratuito che si chiama zpaq, mettendo come estensione exe. In tal modo è possibile, nel caso la copia parta dopo la criptazione, comunque tornare ai documenti originali

1) Avere o no la lettera della cartella sulla rete è una questione di mappatura. Se io ho un nas con una cartella condivisa e voglio che sia montata all'avvio la mappo.

2) Purtroppo (l'ho imparato qui) anche gli exe vengono criptati da alcune versioni

3) Dipende sempre com'è configurato il tutto.

4) Si torna al punto 2. Poi il problema non è fare i backup ma non farli criptare.

1) Avere o no la lettera della cartella sulla rete è una questione di mappatura. Se io ho un nas con una cartella condivisa e voglio che sia montata all'avvio la mappo.

2) Purtroppo (l'ho imparato qui) anche gli exe vengono criptati da alcune versioni

3) Dipende sempre com'è configurato il tutto.

4) Si torna al punto 2. Poi il problema non è fare i backup ma non farli criptare.
1) basta non farlo
2) non lo sapevo, puoi indicarmi quale tipologia lo fa? Perchè in tal modo bloccherebbe l'avvio della macchina e non mi è chiaro come dovrebbe fare uno a pagare il riscatto
3) normalmente si impostano dalla GUI, nulla di che
4) in realtà non proprio, nel senso che meccanismi di backup che, prima o poi, sovrascrivono i dati sono i più "sensibili" a questo problema. Quelli che, al contrario, mantengono tutte le versioni (cioè non sovrascrivono mai quelle vecchie) sono da preferire.

Aggiungo anche, sotto il profilo di fare i backup su dispositivi quali ad esempio dischi USB sempre collegati, in collegamento a 4, di TOGLIERE la lettera al disco, ed usare invece il suo nome "lungo".
E' facile vederle con mountvol la corrispondenza coi "punti di montaggio".

La soluzione "vera" è la (3), anzi sarebbe non usare Windows del tutto, ma l'utilizzo delle altre, a mio parere, riduce sensibilmente questo genere di problemi.

Infine aggiungo pure
6) utilizzare un volume truecrypt in cui mettere i backup grande come la partizione in cui risiede.
Altro approccio "naive", col razionale di mettere poniamo un file da 30GB in una partizione... da 31GB. In tal modo i vari cryptoqualcosa semplicemente non hanno lo spazio disponibile per crearne una copia criptata.
Anche qui, per quanto ne so, non ci sono (ancora) criptatori "in loco" (posso sempre essere smentito, come detto non ho compulsato le altre 24 pagine)

Grazie per i suggerimenti ma non posso aggiungerli. Esistono ransomware che criptano gli .exe ( vedi Gomasom ) così come ransomware che sono in grado di criptare percorsi di rete anche senza lettera / non mappati ( vedi Locky )

I ransomware non fanno una copia dei file ma criptano direttamente l'originale nella sua interezza o solo una parte, per questo spesso è difficile il recupero dei suddetti. Utilizzare un HDD per backup sempre collegato senza lettera NON è un metodo sicuro di prevenzione ne ho già parlato un paio di pagine fa. Come tu sei in grado con MOUNTVOL di vedere il punto di montaggio, qualsiasi malware potrebbe agire allo stesso modo.

Grazie per i suggerimenti ma non posso aggiungerli. Esistono ransomware che criptano gli .exe ( vedi Gomasom ) così come ransomware che sono in grado di criptare percorsi di rete anche senza lettera / non mappati ( vedi Locky )

I ransomware non fanno una copia dei file ma criptano direttamente l'originale nella sua interezza o solo una parte, per questo spesso è difficile il recupero dei suddetti. Utilizzare un HDD per backup sempre collegato senza lettera NON è un metodo sicuro di prevenzione ne ho già parlato un paio di pagine fa. Come tu sei in grado con MOUNTVOL di vedere il punto di montaggio, qualsiasi malware potrebbe agire allo stesso modo.
Non sapevo di queste varianti, mi documenterò.
Riguardo alla copia, di nuovo, non tutti la fanno (mi sono capitati clienti che si son "salvati" perchè il disco era pressochè pieno).

Come sopra accennato metodi "veramente" sicuri sono non usare Windows, o, in misura diversa, usare zfs.
Tutti gli altri sono accorgimenti più o meno efficaci; anche staccare fisicamente un disco USB non è poi sicuro al 100%, se non mi accorgo che una porzione è stata criptata e così via.

I miei sono solo suggerimenti per ridurre il rischio, per eliminarlo ho indicato sopra i metodi effettivamente efficaci.

Essendo questo il thread generico dei ransomware il "non tutti" non è accettabile come metodologia di prevenzione così come non posso consigliare cambiare sistema operativo. Invece di scrivere in pratica un "trattato" sui ransomware in prima pagina potevo scrivere una sola riga, non usate Windows e siete sicuri :D

La questione HDD, si tratta di collegarlo solo e soltanto durante la fase di backup. Stà all'utente come tutte le cose accertarsi PRIMA di collegare l'HDD che il sistema sia pulito. Se uno è infetto da ransomware se ne accorge perché c'è un chiaro decadimento delle prestazioni del PC ( tra disco fisso e CPU ) ed inoltre quando ha finito c'è la schermata del riscatto, insomma bisogna essere molto distratti per fare un backup in una situazione del genere.

Che poi avere più copie di backup su un disco ha poco senso, ha più senso avere più dischi con le copie, magari usando gli rdx.

Essendo questo il thread generico dei ransomware il "non tutti" non è accettabile come metodologia di prevenzione così come non posso consigliare cambiare sistema operativo. Invece di scrivere in pratica un "trattato" sui ransomware in prima pagina potevo scrivere una sola riga, non usate Windows e siete sicuri :DSono d'accordo, ma la risposta giusta sarebbe quella :D
La questione HDD, si tratta di collegarlo solo e soltanto durante la fase di backup. Stà all'utente come tutte le cose accertarsi PRIMA di collegare l'HDD che il sistema sia pulito. Se uno è infetto da ransomware se ne accorge perché c'è un chiaro decadimento delle prestazioni del PC ( tra disco fisso e CPU ) ed inoltre quando ha finito c'è la schermata del riscatto, insomma bisogna essere molto distratti per fare un backup in una situazione del genere.
Su questo non sono molto d'accordo, potresti cambiare (e lo dico senza intento polemico) il "papiro" in:
usa la testa e non farti infettare.Altrimenti ad esempio tutti i consigli su utenti limitati etc sono assolutamente inutili, se scarico un allegato di una email e lo lancio senza la minima attenzione.

Basta questo per evitare tutto il problema; per il resto invece suggerisco di adottare tutti gli accorgimenti meno "invasivi" per ridurre il rischio.

Sono d'accordo che non lo elimina, tuttavia ogni "strato di sicurezza" per la difesa in profondità è buono e giusto, perchè può "salvare la giornata" se uno non è così sfortunato da beccarsi l'ultimissima versione in grado di fare "qualsiasi cosa".

Già che ci sono aggiungo un altro punto: backup su server FTP di un NAS mediante, ad esempio, il mitologico e un po' vecchio, ma sempre funzionante, Cobian Backup. Basta anche un NAS QNAP da 1 disco da poco più di 100 euro.
Per quanto ne so non esistono ransomware in grado di installare un "wireshark" per intercettare le password.
Che ne pensi?

Usare la testa vale per tutti gli ambiti e ogni situazione, anche attraversare la strada. La prevenzione serve per evitare o quanto meno mitigare i danni che possono fare i ransomware, visto che hai citato l'utente limitato c'é una grandissima differenza tra una infezione su account standard ed uno con diritti amministrativi e non credo sia necessario che scriva il perché.

Sulle metodologie di backup esiste almeno uno o forse più thead ufficiali su hwupgrade per questo non ho affrontato l'argomento nel dettaglio. I punti per quello che riguarda questo thread sono solo due:
1) Avere almeno un backup e per un utente comune é già tanto
2) Il ransomware non deve avere accesso in nessun modo ai file di backup

Se uno vuole usare un server dedicato, il cloud, un NAS, un HDD esterno etc. va bene tutto l'unica cosa da rispettare come ho detto precedentemente é accertarsi PRIMA di effettuare il backup che il sistema sia pulito altrimenti é tempo perso e che ovviamente la destinazione sia accessibile SOLO durante la fase di backup, il resto lo lascio decidere ad ognuno in base alle proprie preferenze.

c'é una grandissima differenza tra una infezione su account standard ed uno con diritti amministrativi e non credo sia necessario che scriva il perché.Invece per me (intendo me stesso) sarebbe utile, perchè se l'utente X ha i diritti di leggere e scrivere sul file Y (a prescindere del perchè) anche i programmi eseguiti sotto l'utente X li avranno, almeno credo.

Per quanto riguarda al resto non so, sono indeciso tra l'area server, quella storage, e quella antivirus.
Provo con la "mia" ricetta e vediamo se avrò riscontri più o meno positivi.

Se si hanno due account, uno con i dati di tipo amministrativo e un'altro limitato unicamente per la navigazione o per utenti "distratti", di default quindi senza particolari configurazioni non è possibile accedere alle cartelle dell'altro account ( mi riferisco a C:\Users\NOME_UTENTE ) perché sono negati i permessi in scrittura, permessi che si possono dare solo tramite il primo account cioè quello amministratore. Per questo motivo in una configurazione completa come quella descritta in prima pagina ( vedi Come configurare il PC per evitare infezioni da ransomware? ) l'account standard ha il suo motivo di essere presente.

Se si hanno due account, uno con i dati di tipo amministrativo e un'altro limitato unicamente per la navigazione o per utenti "distratti", di default quindi senza particolari configurazioni non è possibile accedere alle cartelle dell'altro account ( mi riferisco a C:\Users\NOME_UTENTE ) perché sono negati i permessi in scrittura, permessi che si possono dare solo tramite il primo account cioè quello amministratore. Per questo motivo in una configurazione completa come quella descritta in prima pagina ( vedi Come configurare il PC per evitare infezioni da ransomware? ) l'account standard ha il suo motivo di essere presente.

Capisco, e grazie per la spiegazione: anche se non mi pare una soluzione sicura al 100% può avere un suo perchè.

Infatti è l'insieme di impostazioni a rendere una configurazione sicura nei limiti del possibile, limitarsi al solo account standard non è una pratica raccomandabile per quanto sia migliore rispetto ad un account amministratore magari con UAC disattivato perché da fastidio. Di nulla.

- Dopo aver ripulito il sistema, per cercare di recuperare i files criptati, cercare di caricare un precedente punto di ripristino del sistema non serve a nulla? i files rimangono sempre criptati?

- se si, l'unica via (oltre alla decriptazione) è solo la copia di shadow?

- quest ultima procedura, va fatta file per file?

- Dopo aver ripulito il sistema, per cercare di recuperare i files criptati, cercare di caricare un precedente punto di ripristino del sistema non serve a nulla? i files rimangono sempre criptati?

- se si, l'unica via (oltre alla decriptazione) è solo la copia di shadow?

- quest ultima procedura, va fatta file per file?
Sono pressochè sinonimi (punto di ripristino e copia shadow), nel senso che si attivano tipicamente dalla stessa area.
Puoi usare un programma di esplorazione delle VSS.

Sono pressochè sinonimi (punto di ripristino e copia shadow), nel senso che si attivano tipicamente dalla stessa area.
Puoi usare un programma di esplorazione delle VSS.

se sono sinonimi posso tranquillamente richiamare un punto precedente di ripristino del sistema e risolvo? (se attivo nel pc)

se sono sinonimi posso tranquillamente richiamare un punto precedente di ripristino del sistema e risolvo? (se attivo nel pc)
Non credo: tipicamente ripristini solo la configurazione di Windows.
Non sono sicurissimo, utilizzo queste funzioni sulle versioni server, che sono leggermente diverse.
Temo ti servirà qualcuno più esperto con sistemi operativi windows desktop.


PS proprio ora sto finendo la configurazione di una macchina dove i cryptolocker non fanno praticamente nulla :Prrr:

I punti di ripristino NON contengono in alcun modo i file personali dell'utente ma solo i file di sistema, porzioni del registro e driver, é diverso dalle versioni precedenti dei file aka copie shadow. Non é necessario utilizzare procedura file per file e inoltre un tentativo da fare é anche il recupero dei file cancellati, vedi prima pagina per ogni informazione.

I punti di ripristino NON contengono in alcun modo i file personali dell'utente ma solo i file di sistema, porzioni del registro e driver, é diverso dalle versioni precedenti dei file aka copie shadow. Non é necessario utilizzare procedura file per file e inoltre un tentativo da fare é anche il recupero dei file cancellati, vedi prima pagina per ogni informazione.

in prima pagina ho òetto che la prima cosa è il backup, che non ho. Poi posso provare alle copie shadows o al recupero files cancellati (originali cancellati dal virus credo).

Vorrei chiedervi: provo prima il recupero dei files cancellati collegando il disco incrimanato ad un altro pc usando recuva (o sullo stesso pc con una live di linux e qualche tool ad hoc) che è un operazione piu delicata che puo facilmente essere compromessa dall'avvio del sistema operativo? (e poi magari avvio il disco compromesso e provo con le copie di shadow)

Su questo posso risponderti, è il mio pane quotidiano.
Sì, il tentativo "estremo" è proprio quello che hai indicato, sperando che i file siano stati criptati ma non sovrascritti (poco probabile, ma ti conviene provare comunque).
Ogni avvio o utilizzo riduce la possibilità di recupero (ammesso che ce ne siano)

Oggi ho avuto a che fare con 2 CrySiS, molto divertenti. Criptano tutto, exe compresi.

Per fortuna non criptano i file in esecuzione.

Non ho trovato un decrypter, ma per fortuna avevo i backup.

un mio contatto Skype mi ha mandato un ransomware zippato.
riconosciuto da 12 su 50 su virustotal, fra questi c'era nod e kaspersky:muro:

Oggi ho avuto a che fare con 2 CrySiS, molto divertenti. Criptano tutto, exe compresi.

Per fortuna non criptano i file in esecuzione.

Non ho trovato un decrypter, ma per fortuna avevo i backup.

A me piacerebbe avercelo, qualche cryptoqualcosa, possibilmente del tipo peggiore, così da mostrare (e testare) il "mio" approccio antivirus.

E' possibile averne copia?

NoMoreRansom! (https://www.nomoreransom.org/index.html)

Law enforcement and IT Security companies have joined forces to disrupt cybercriminal businesses with ransomware connections.

The “No-More-Ransom” website is an initiative by the National High Tech Crime Unit of the Netherlands’ police, Europol’s European Cybercrime Centre and two cyber security companies – Kaspersky Lab and Intel Security – with the goal to help victims of ransomware retrieve their encrypted data without having to pay the criminals.

Since it is much easier to avoid the threat than to fight against it once the system is affected, the project also aims to educate users about how ransomware works and what countermeasures can be taken to effectively prevent infection. The more parties supporting this project the better the results can be. This initiative is open to other public and private parties.

Averell NoMoreRansom! ad oggi non so...mi sembra un sito pubblicitario :stordita:
Ci sono solo i tool per decriptare fatti da Intel e Kaspersky, tra i consigli le meraviglie che fanno Intel e Kaspersky ed uno sbagliato come:
Disconnect it immediately from the internet or other network connections (such as home Wi-Fi)
Quando l'ultima viariante di Locky funziona anche offline, meglio spegnere subito il PC o riavviare in modalità provvisoria. Insomma non vedo il "contributo" dell'Europol a questo progetto e nemmeno della mai sentita prima NHTCU dell'Olanda :D
Se, in teoria, tutti i produttori di AV e co. o altri servizi internazonali di polizia dovessero aderire forse e dico forse avrebbe una utilità

Mi raccomando e non dovrei nemmeno scriverlo, niente link pubblici a possibili ransomware parlatene tra di voi in PM. Sul web si trovano facilmente se sai dove cercare.

Anche nelle caselle email per la verità.

Basta cercare quelle di sda, fatture compagnie_telefoniche e cose così.

Anche nelle caselle email per la verità.

Basta cercare quelle di sda, fatture compagnie_telefoniche e cose così.
Purtroppo non ne ho, o meglio ne ho trovato uno, fa non fa niente.

Detto questo metto qui la mia "ricetta" per ransomqualcosa, poi eventualmente integrerò se l'argomento è interessante.

Serve: un server :doh: che utilizzi il filesystem zfs e una condivisione CIFS
Evito i pipponi e non scrivo il perchè e il percome di zfs.

Memorizzare i dati (per lo meno quelli importanti) sulla macchina zfs, su cui si attiveranno snapshot frequenti (1ora\5minuti) con gli opportuni scriptelli, oppure da crontab, magari mettendo in visible .zfs

Si può anche spostare la cartella desktop (col regedit, ci sono penso 1000 guide anche su questo forum), e magari quella della posta elettronica (tipo thunderbird).

L'effetto negativo è quello di dover usare due macchine, anzichè un (a meno di non virtualizzare, ma penso sia qualcosa difficile in ambito casalingo).

L'effetto positivo è che l'eliminazione di un ransomqualcosa è immediata, così come il recupero di file sovrascritti o cancellati per errore.

Un approccio più "hard" richiede l'utilizzo di un server zfs con un target iscsi, su cui montare al boot il disco principale di Windows. In tal modo (assolutamente consigliate unità SSD per motivi comprensibili) si ottengono gli snapshot dell'intero sistema (c:\ tanto per capirci), un po' come si fa con le macchine virtuali.

A quel punto si possono provare software e qualsiasi altra cosa, tornando alla versione precedente con un click.

Come "motori" zfs mi oriento normalmente su FreeNAS (per la comodità, anche se l'interfaccia è pessima) oppure direttamente FreeBSD (volendo ho le configurazioni predefinite di smb4.conf su zfs con snapshot e versioni precedenti), anche se spesso prediligo zfsguru (una vecchia GUI per FreeBSD che rende molto più facile gestire le condivisioni, anche se poi bisogna integrare comunque "a mano").

Questo è un esempio di uno stock di posta thunderbird (~70GB), notare l'efficienza degli snapshot nell'occupazione dello spazio (ovviamente arrivano poche email rispetto al totale)

dati/postanew@2016-07-26-07-00-00 0 - 70.6G -
dati/postanew@2016-07-26-07-05-00 0 - 70.6G -
dati/postanew@2016-07-26-07-10-00 0 - 70.6G -
dati/postanew@2016-07-26-07-15-00 0 - 70.6G -
dati/postanew@2016-07-26-07-20-00 0 - 70.6G -
dati/postanew@2016-07-26-07-25-00 140K - 70.6G -
dati/postanew@2016-07-26-07-30-00 30K - 70.6G -
dati/postanew@2016-07-26-07-35-00 59.5K - 70.6G -
dati/postanew@2016-07-26-07-40-00 48K - 70.6G -
dati/postanew@2016-07-26-07-45-00 43.5K - 70.6G -
dati/postanew@2016-07-26-07-50-00 33K - 70.6G -
dati/postanew@2016-07-26-07-55-00 0 - 70.6G -
dati/postanew@2016-07-26-08-00-00 0 - 70.6G -
dati/postanew@2016-07-26-08-05-00 21K - 70.6G -
dati/postanew@2016-07-26-08-10-00 158K - 70.6G -
dati/postanew@2016-07-26-08-15-00 116K - 70.6G -
dati/postanew@2016-07-26-08-20-00 120K - 70.6G -
dati/postanew@2016-07-26-08-25-00 156K - 70.6G -
dati/postanew@2016-07-26-08-30-00 79K - 70.6G -
dati/postanew@2016-07-26-08-35-00 42.5K - 70.6G -
dati/postanew@2016-07-26-08-40-00 42.5K - 70.6G -
dati/postanew@2016-07-26-08-45-00 262K - 70.7G -
dati/postanew@2016-07-26-08-50-00 151K - 70.7G -
dati/postanew@2016-07-26-08-55-00 276K - 70.7G -
dati/postanew@2016-07-26-09-00-00 188K - 70.7G -
dati/postanew@2016-07-26-09-05-00 50K - 70.7G -
dati/postanew@2016-07-26-09-10-00 51K - 70.7G -
dati/postanew@2016-07-26-09-15-00 55K - 70.7G -
dati/postanew@2016-07-26-09-20-00 282K - 70.7G -
dati/postanew@2016-07-26-09-25-00 87K - 70.7G -
dati/postanew@2016-07-26-09-30-00 41K - 70.7G -
dati/postanew@2016-07-26-09-35-00 228K - 70.7G -
dati/postanew@2016-07-26-09-40-00 187K - 70.7G -
dati/postanew@2016-07-26-09-45-00 396K - 70.7G -
dati/postanew@2016-07-26-09-50-00 92.5K - 70.7G -
dati/postanew@2016-07-26-09-55-00 81.5K - 70.7G -
dati/postanew@2016-07-26-10-00-00 82.5K - 70.7G -
dati/postanew@2016-07-26-10-05-00 206K - 70.7G -
dati/postanew@2016-07-26-10-10-00 104K - 70.7G -
dati/postanew@2016-07-26-10-15-00 348K - 70.7G -

Averell NoMoreRansom! ad oggi non so...mi sembra un sito pubblicitario :stordita:
Ci sono solo i tool per decriptare fatti da Intel e Kaspersky, tra i consigli le meraviglie che fanno Intel e Kaspersky ed uno sbagliato come...

Caro x_ :ciapet: , io mi limito esclusivamente a mettere qualche contenuto (come appunto in questo caso) lasciando poi l'utente libero appunto di trarre le sue conclusioni sulla bontà o meno di ciò che viene linkato (chiaro, proprio stupidate non mi sembra di averne mai postate).

Anche l'ultima comparativa che ho messo, allora, andrebbe saputa interpretare (vedi anche → (http://www.hwupgrade.it/forum/showpost.php?p=43880846&postcount=492)) ma me ne guardo bene per tanti motivi.

:Prrr:


Un altro esempio che vale anche per questo ambito:
perchè si dovrebbe 'girare' ALMENO con UAC al massimo e con un account standard o privo di credenziali amministrative (come indicato peraltro chiaramente nel post iniziale).

BYPASSING UAC ON WINDOWS 10 USING DISK CLEANUP (https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/)

Ma nonostante siano 10 anni che viene detto,... :D


L'articolo di cui sopra, pur introducendo una nuova tecnica di elevazione dei privilegi, ruota attorno ad una meccanica talmente elementare che, non potendo non risultare che comprensibile a tutti, dovrebbe far capire ancora una volta l'importanza dell'assunto UAC + account limitato per l'uso quotidiano...e questo proprio perchè la sua semplicità come dicevo parla al cuore della gente. ;)

Speriamo venga colta...

perchè si dovrebbe 'girare' ALMENO con UAC al massimo e con un account standard o privo di credenziali amministrative Diciamo che non sono particolarmente d'accordo, in linea generale.
Anzi prediligo UAC disattivato totalmente, utente amministratore, anzi con modifiche per "eseguire sempre come amministratore".
Ritengo decisamente più importante, ma questa è una mia valutazione personale, insegnare banalmente a non aprire gli allegati di posta, non avviare "fattura.pdf.js" come se fosse nulla.
Facendo le dovute proporzioni è come il porto d'armi: preferisco insegnare qualcosa del tipo "non ti sparare su un piede" invece di "metti 10 sicure che non è detto poi funzionino davvero".

BYPASSING UAC ON WINDOWS 10 USING DISK CLEANUP (https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/)Solita incapacità di Microsoft, o forse collusione.
O entrambe.

Diciamo che non sono particolarmente d'accordo, in linea generale.
Anzi prediligo UAC disattivato totalmente, utente amministratore, anzi con modifiche per "eseguire sempre come amministratore".
hai il mio rispetto ma non la mia approvazione...
Ritengo decisamente più importante, ma questa è una mia valutazione personale, insegnare banalmente a non aprire gli allegati di posta, non avviare "fattura.pdf.js" come se fosse nulla.
Facendo le dovute proporzioni è come il porto d'armi: preferisco insegnare qualcosa del tipo "non ti sparare su un piede" invece di "metti 10 sicure che non è detto poi funzionino davvero".
Lo faccio anch'io tant'è vero che adotto da tanto entrambe le strategie anzi, direi che sono assolutamente complementari...
Solita incapacità di Microsoft, o forse collusione.
O entrambe.
non lo so (anche se credo che in verità un OS moderno offra paradossalmente troppe scappatoie che attendono semplicemente di essere sfruttate da qualcuno particolarmente abile/curioso), fatto stà che è un metodo geniale nella sua semplicità...

direi che è una prova di incapacità o collusione nel senso che mi aspetto che Microsoft mantenga un elenco dei processi che magicamente bypassano uac.
in teoria solo e soltanto i superindispensabili, tutti gli altri dovrebbero funzionare con le resyrizioni. ma microsoft storicamente è pronta a mettergli agli altri ma non a se stessa

direi che è una prova di incapacità o collusione nel senso che mi aspetto che Microsoft mantenga un elenco dei processi che magicamente bypassano uac.
in teoria solo e soltanto i superindispensabili, tutti gli altri dovrebbero funzionare con le resyrizioni. ma microsoft storicamente è pronta a metterle agli altri ma non a se



we found that a scheduled task named “SilentCleanup” is configured on stock Windows 10 installations to be launchable by unprivileged users but to run with elevated/high integrity privileges
mi verrebbero dei commenti peggiori

Anzi prediligo UAC disattivato totalmente, utente amministratore, anzi con modifiche per "eseguire sempre come amministratore"

Premetto che ognuno fa come gli pare e meglio crede e che non voglio offendere nessuno ma certe frasi su un forum come questo non si possono leggere.
Non esistono solo i virus dove clicchi l'allegato ( cioè quelli in pratica che necessitano l'interazione dell'utente ) ma soprattutto quelli che sfruttano falle non ancora riconosciute, zero-day, exploit, code injection, circuiti di ads infetti e così via dove tutto avviene SENZA nessun alcun controllo da parte dell'utente o alcuna conferma dove puoi essere consapevole/addestrato/esperto come vuoi ma non puoi fare nulla per impedirlo. Ed è in queste situazioni che l'UAC può venire in soccorso, certo non è perfetto e mai lo sarà ma questo non giustifica la totale disattivazione di uno strumento che ha fatto fare un verso salto generazionale dalla sicurezza di XP e precedenti. Non c'è nulla di perfetto, antivirus e compagnia inclusi quindi tanto vale non usare nulla per proteggere il PC se il metro di giudizio è questo.

P.S. Ma poi sinceramente anche con UAC al massimo in un utilizzo quotidiano ( posta, internet, documenti ) ma quante volte si vede il prompt di conferma? Mai. Non credo che tutti i giorni spostate file in cartelle protette o di sistema, aprite-installate software con diritti amministrativi o cose simili perchè l'UAC appare solo in questi casi, non è un flashing continuo...senza considerare che per i programmi che richiedono una elevazione è possibile evitare il prompt ( Task Scheduler, Microsoft Application Compatibility Toolkit, RunAs etc. ) ma certo è più semplice disattivarlo.

...ma certe frasi su un forum come questo non si possono leggere.
non sopravalutarlo troppo* :asd: , ormai è sempre più affine ad un bar che ad un luogo che da spunti per la crescita personale...

;)


* il forum...

Premetto che ognuno fa come gli pare e meglio crede e che non voglio offendere nessuno ma certe frasi su un forum come questo non si possono leggere...
P.S. Ma poi sinceramente anche con UAC al massimo in un utilizzo quotidiano ( posta, internet, documenti ) ma quante volte si vede il prompt di conferma? ...
Non posso affermare di avere chissà quale autorità in campo informatico, tuttavia constato che lo UAC non impedisce la proliferazione di virus e chi più ne ha ne metta.
Se lo UAC avesse una qualche funziona taumaturgica, non si spiegherebbe perchè i virus sono così diffusi.

Se poi consideriamo chi scarica warez (chiamiamoli col loro nome), crack, keygen, programmi pirati, torrent, emule, rapidgator, naviga ovunque e quantunque, lancia allegati di posta a prescindere e così via nulla posso dire.

Zero day, exploit e così via non mi danno il minimo timore.

Certamente riporto solo la mia esperienza, così come fanno gli altri utenti del forum, senza ritenere che sia necessariamente migliore.

Come detto fai come vuoi ma non dovresti basare tutto solo e soltanto sulla tua esperienza ma leggere-informarti su siti e forum specializzati in ambito così ti rendi conto della non-esattezza delle tue informazioni per quanto concerne la grande differenza tra avere e non avere privilegi amministrativi anche, ma non solo, in ambito di sicurezza.

Come detto fai come vuoi ma non dovresti basare tutto solo e soltanto sulla tua esperienza ma leggere-informarti su siti e forum specializzati in ambito così ti rendi conto della non-esattezza delle tue informazioni per quanto concerne la grande differenza tra avere e non avere privilegi amministrativi anche, ma non solo, in ambito di sicurezza.Guarda posso dirti che, probabilmente per deformazione professionale, tendo a riferirmi ad elementi certi e non ipotesi.

Se supponiamo di avere il farmaco X che fa bene per la malattia M, e il farmaco Y che fa bene per la malattia M, si potrebbe pensare che dando X e Y sia meglio che dare X o Y.

Ebbene non è affatto detto, cioè va dimostrato in concreto, con uno o anche più studi, che applicando X e Y ottieni risultati significativamente (*qui i test statistici che faccio di mestiere) rispetto a X, Y o magari niente (cioè placebo).
Non è per nulla infrequente che X e Y sia peggio di X o Y o addirittura niente, non c'è necessariamente linearità.

Se X lo chiami "UAC" e Y "formazione", M "ramsom" vedi che in assenza di studi specifici sono tutte opinioni, non fatti. Magari questi studi esistono e io non li conosco (cosa assolutamente probabile, mi occupo principalmente di medicina)

Non c'è nessuna motivazione tecnica per averlo disabilitato, se hai uno studio/articolo che mi porti motivazioni serie a non avere l'UAC attivo su sistema ne prenderò atto visto che, essendo abilitato di default su ogni Windows post XP ergo da 10 anni su ben 5 diversi sistemi operativi, sei tu a dovermi dimostrare l'inefficacia non il contrario. Resto dell'opinione che avere un layer di protezione in più ( che sia inutile, con falle, tutte quello che vuoi ) è sempre meglio che non averlo. Considera che avere l'UAC attivo non ha nessuna controindicazione o impatto sulle prestazioni del sistema, al massimo un click in più una volta ogni tot.