Non c'è nessuna motivazione tecnica per averlo disabilitato, se hai uno studio/articolo che mi porti motivazioni serie a non avere l'UAC attivo su sistema ne prenderò atto visto che, essendo abilitato di default su ogni Windows post XP ergo da 10 anni su ben 5 diversi sistemi operativi, sei tu a dovermi dimostrare l'inefficacia non il contrario. Resto dell'opinione che avere un layer di protezione in più ( che sia inutile, con falle, tutte quello che vuoi ) è sempre meglio che non averlo. Considera che avere l'UAC attivo non ha nessuna controindicazione o impatto sulle prestazioni del sistema, al massimo un click in più una volta ogni tot.
La dimostrazione è in re ipsa, cioè nella diffusione dei virus che avviene allegramente nonostante lo UAC.
E' come se, nonostante si vaccini una popolazione, i virus si diffondono ugualmente.
Dubbi sull'efficacia del "vaccino" sono, quantomeno, leciti.

Riguardo alle controindicazioni devo smentirti: durante la fase di elevazione dei privilegi il "nome" dell'utente cambia, questo può determinare (e in generale determina) problemi di compatibilità con software (piuttosto datati a dir la verità) che sono certo molto più importanti (per l'utente) del sistema operativo medesimo.
Tanti altri programmi non funzionano proprio, con UAC (e devo dire le varie restrizioni man mano aggiunte).

Riguardo ai 10 anni, sono 10 anni che non lo utilizzo, nè lo utilizziamo in ufficio.
Ritengo che cambierò idea quando, a seguito dell'utilizzo di UAC, virus, malware e così via si ridurranno significativamente.

Come vedi non è una chiusura "a priori", ma di tipo più razionale. Se, per assurdo, UAC funzionasse come un profilattico, ma venisse indossato su un piede, l'efficacia contro le malattie trasmissibili sessualmente sarebbe modesta per non dir nulla ("buono in teoria, poco utile nella pratica").

L'evidenza, allo stato, mi fa propendere per quest'ultima conclusione.
Nel futuro si vedrà, magari Microsoft dopo 10 anni riuscirà a farlo funzionare bene.

un mio contatto Skype mi ha mandato un ransomware zippato.
riconosciuto da 12 su 50 su virustotal, fra questi c'era nod e kaspersky:muro:

Gli antivirus almeno nei ransomware che periodicamente arrivano nella mail lavorativa sono come l'acqua fresca..basta vedere le scansioni con virustotal.
L'unica è far attenzione alle estensioni, bloccare con i criteri (tipo criptoprevent) e fare backup.
Purtroppo nell'era degli smartphone, oramai i vecchi e nuovi utenti (compresi i nativi digitali) le estensioni non sanno neanche cosa sono e quindi chi opera in os non blindati sovente è incapace di non far danno.

Per un ransomware é molto più facile aggirare un antivirus ( scommetto che questo invece l'hai installato, forse lo paghi pure, i virus li blocca tutti nessuno escluso? Neanche se lo vedo ci credo ) basta guardare il basso numero di rilevazioni vista la natura polimorfa e con centinaia di varianti diverse rispetto al semplice UAC. I ransomware che usano tecniche di bypass e escalation di privilegi sono di numero molto inferiore rispetto a quelli che si basano sull'user mode aka il click sul "Sì" dell'utente per evitare appunto le rilevazioni. É questo il problema, l'utente da il consenso per tutto perché non ha idea di cosa siano i privilegi e di quanti danni si possono fare con i privilegi più elevati ed é per questo i virus prolificano. L'UAC non sostituisce il cervello e non é paragonabile ad un vaccino ma piuttosto ad un bugiardino, ti rende cosciente ( se lo sai usare/leggere ) di cosa succede sul sistema se qualcosa chiede diritti che sta a TE decidere se li deve o non li deve avere.

Non vedo un software incompatibile con l'UAC da Vista quindi almeno 9-10 anni fa. Il nome utente non cambia se sei su un account amministrativo, sinceramente anche dovesse cambiare se sei su account standard non vedo quale sia il possibile problema, perché il programma dovrebbe interessarsi del nome dell'account? Perché il suddetto programma dovrebbe avere privilegi amministrativi? Cosa fa con questi diritti? Sono queste le domande che dovrebbero far riflettere.

Bisogna essere proprio in difficoltà-informatica se si avviano file cosi' (a prescindere dalla lingua utilizzata, a regola olandese, e dalla doppia estensione che qui non è visibile se non dal pop-up di quel particolare programmino)...

http://i67.tinypic.com/2d7setd.jpg

per cui, qui non c'è UAC (o SmartScreen) che tenga:

uno pseudo-pdf con l'icona di un installer...

Chi lo esegue è un COGLIONE, punto...e probabilmente è un potenziale cliente di gente come la FUTURA Vanna Marchi (poi però non faccia causa se si accorge che gli hanno rifilato cloruro di sodio al posto di oro, eh!?)...


PS: la fattura (del mago) di cui sopra è https://virustotal.com/en/file/b2349c0de6b2cb629ef061aa8b6e34f885ec7369fad83e8c20ed7295c7301581/analysis/1469630889/

http://i65.tinypic.com/212sbwx.jpg



:asd:

ribeccato locky sul pc della mia ragazza...

pensavamo di aver cancellato tutto il contenuto infetto su onedrive invece....

per fortuna il pc era vuoto , appena formattato e appena fatto il backup...

ora devo verificare che one drive sia completamente vuoto prima di sincronizzare i nuovi contenuti.

si ma non è che parte da solo
devi aver cliccato su qualche exe,JS,DOCM ecc

É questo il problema, l'utente da il consenso per tutto ...L'UAC non sostituisce il cervello.Essenzialmente è questa la mia tesi.
Meglio investire nel cervello.
Non vedo un software incompatibile con l'UAC da Vista quindi almeno 9-10 anni fa.Io li vedo tutti i giorni
Il nome utente non cambia se sei su un account amministrativo, sinceramente anche dovesse cambiare se sei su account standard non vedo quale sia il possibile problema, perché il programma dovrebbe interessarsi del nome dell'account? Perchè cambia la cartella in cui poi andrà a scrivere i suoi file, che saranno quindi in posizione diversa rispetto a quella che il programma si attenderebbe
Perché il suddetto programma dovrebbe avere privilegi amministrativi? Cosa fa con questi diritti? Sono queste le domande che dovrebbero far riflettere.Ci fa che, ad esempio, scrive quello che vuole dove vuole, ad esempio nella cartella programmi, cosa vietatissima (ultimamente), ma permessissima (precedentemente).

Rammento che in ambito lavorativo il sistema operativo è un mero mezzo, per un fine (usare i programmi applicativi), e non il contrario (questo concetto non è molto compreso da Microsoft).

Non tutti si limitano a browsare su facebook o ... scrivere sui forum :ciapet:

si ma non è che parte da solo
devi aver cliccato su qualche exe,JS,DOCM ecc

no , assolutamente, di questo son sicuro in quanto l'ho appena utilizzato io...

è un portatile di ritorno dall'assistenza dell

arrivato formattato...la mia ragazza ha inserito le sue credenziali microsoft per l'accesso e abilitato le impostazioni consigliate ( quindi la sincronizzazione automatica di one drive... )

la cosa strana è che ieri, dopo aver effettuato il log in con le credenziali microsoft e l'ttivazione della rete wifi , locky non si è presentato...cosa che invece ha fatto oggi...

:muro:

ora ho formattato, inserito account standard e uac al massimo livello, bitdefender e malwarebytes , e il tool rasomware di bitdefender.

ribeccato locky sul pc della mia ragazza...

pensavamo di aver cancellato tutto il contenuto infetto su onedrive invece....

per fortuna il pc era vuoto , appena formattato e appena fatto il backup...

ora devo verificare che one drive sia completamente vuoto prima di sincronizzare i nuovi contenuti.

Mi manderesti, per favore, locky in PM?
Così magari faccio un video di come eseguo il recovery da un'infezione

si ma non è che parte da solo

purtroppo nel caso microsoft, come la devastante esperienza di autorun et similia ha dimostrato, non si può scartare nessuna ipotesi.
"da solo" non si avvia, ma con l'aiutino di un qualche meccanismo automatico di Microsoft tutto può essere.

Comunque rinnovo l'invito a inviarmi 'sti cryptolocker. Se per caso ne esistono di accademici, cioè che fanno finta di criptare, tanto meglio.
Non mi servono per infettare, ma per mostrare come disinfettare.

può essere che essendosi sincronizzato il pc con onedrive dove c'erano a quanto pare ancora dei file locky della precedente infezione ( di qualche mese fa dove pensavo di aver rimosso tutto il contenuto one drive ) ...sia ripartita da li, eseguibili, file doc, in questo caso non ho aperto nulla...

il pc è appena arrivato da dell, formattato...abbiamo solamente eseguito l'accesso con le credenziali microsoft per il sistema e per onedrive.

Mi manderesti, per favore, locky in PM?
Così magari faccio un video di come eseguo il recovery da un'infezione


scusami , che intendi per "inviarti locky" ? i file ormai li ho totalmente rimossi da onedrive...e sul pc non c'era nulla di infettabile oltre ai file di sistema...

era appena stato formattato da dell stessa...

scusami , che intendi per "inviarti locky" ? i file ormai li ho totalmente rimossi da onedrive...e sul pc non c'era nulla di infettabile oltre ai file di sistema...

era appena stato formattato da dell stessa...Intendo proprio l'eseguibile di locky o qualcosa del genere per infettare una delle mie macchine e mostrare come (... almeno spero! :stordita: ) i dati vengono recuperati nel giro di pochi secondi (soft)

Se mi viene molta voglia, e trovo il tempo, anche in versione "hard" (disinfezione intero sistema operativo in tempo pressochè reale).

niente, ho appena reimpostato il pc ( con cancellazione di tutti i file e ripristino unità ) e una volta finito, riavviato, inserito le credenziali microsoft e attivato one drive...

appena avviato dopo tutta l'installazione...eccolo li di nuovo ( non ci sono chiavette collegate, nessun programma installato, nessun eseguibile avviato )

ora ripristino nuovamente senza loggarmi per capire se il problema proviene dall'account microsoft come presumo...e in particolare da one drive.

Intendo proprio l'eseguibile di locky o qualcosa del genere per infettare una delle mie macchine e mostrare come (... almeno spero! :stordita: ) i dati vengono recuperati nel giro di pochi secondi (soft)

Se mi viene molta voglia, e trovo il tempo, anche in versione "hard" (disinfezione intero sistema operativo in tempo pressochè reale).

l'eseguibile locky non lo ho , inizialmente lo aveva preso da una mail ricevuta su uno degli account aruba contenente un file .doc con all'interno l'eseguibile locky...

ma poi abbiamo ripristinato tutto e tolto one drive e il problema non si è più presentato...

ora, andato in assistenza dell per motivi hardware ( display e scheda video andati ) , ribeccato...

son quasi certo per colpa di onedrive, ora faccio la prova del nove non attivando one drive dopo la re installazione...e vediamo che combina.

l'eseguibile locky non lo ho , inizialmente lo aveva preso da una mail ricevuta su uno degli account aruba contenente un file .doc con all'interno l'eseguibile locky......
verifica per favore se hai ancora l'email....

verifica per favore se hai ancora l'email....


già cancellata da tempo ormai ;)

comunque , ora , reinstallato tutto e formattato... senza accedere con account microsoft e bloccando l'avvio automatico e relativo accesso di one drive , nessuna infezione

contattato il supporto tecnico microsoft, esposto il problema, nessun aiuto , non possono verificare che non ci sia qualcosa di infetto in one drive se non con un servizio a pagamento

nota bene , l'account one drive della mia ragazza ora risulta vuoto, ma so già che se attivo one drive e mi loggo , riparte il simpatico locky

verificato ora...one drive non partito...inserito l'account microsoft...e taaac, si è ripresentato :muro: :muro: :muro: :muro:

enos76,
Allo stato attuale NoMoreRansom non mi sembra di grande aiuto, vedi qualche post fa sulle motivazioni. Riguardo Chimera aspetto il tool di decriptazione che al momento non c'è.

seb87,
C'è qualcosa che non mi torna. Ammesso che avessi Locky in una qualsivoglia cartella ( un .doc o .js sono le due modalità di download di quel ransomware ) non si può autoeseguire in quel modo, qualcosa di terze parti influisce nel processo. Se hai Word disabilita le Macro, accedi a Dropbox da un dispositivo non-windows ( es. Android ) e controlla se ci sono file .doc o .js sconosciuti oppure se lo vuoi fare in Windows blocca l'esecuzione dei file .exe dalla cartella %TEMP% in questo modo non potrà agire, vedi prima pagina.

N.B. La cartella %TEMP%, .doc o .js valgono solo per Locky e sono informazioni che si trovano sul documento A closer look at the Locky ransomware (https://blog.avast.com/a-closer-look-at-the-locky-ransomware)

zeMMeMMe,
Ho capito che da quel discorso con te non se ne esce più in una sorta di loop infinito quindi sarà il mio ultimo post sull'argomento per evitare di monopolizzare il thread. Se "vedi tutti i giorni" software incompatibili con l'UAC vuol dire che usi programmi dell'era mesozoica dell'informatica da floppy 5.25" oppure più semplicemente programmi scritti con i piedi, la colpa non è di Microsoft. Se un software a seconda del tipo di elevazione cambia la cartella dove va a scrivere i suoi file è scritto senza dubbio con i piedi, non si guarda all'utente che esegue ma all'utente loggato e relativi permessi di scrittura, la colpa non è di Microsoft. Un software serio NON deve scrivere nella cartella %PROGRAMFILES% / %PROGRAMFILES(x86)% ma se vuole salvare delle informazioni-impostazioni può usare la cartella dell'utente ( come ad esempio i videogiochi ) oppure %APPDATA% e/o il registro sotto HKEY_LOCAL_USER, tutto senza richiedere la minima elevazione.

seb87,
C'è qualcosa che non mi torna. Ammesso che avessi Locky in una qualsivoglia cartella ( un .doc o .js sono le due modalità di download di quel ransomware ) non si può autoeseguire in quel modo, qualcosa di terze parti influisce nel processo. Se hai Word disabilita le Macro, accedi a Dropbox da un dispositivo non-windows ( es. Android ) e controlla se ci sono file .doc o .js sconosciuti oppure se lo vuoi fare in Windows blocca l'esecuzione dei file .exe dalla cartella %TEMP% in questo modo non potrà agire, vedi prima pagina.


dropbox non è installato
ondrive è disabilitato , sincronizzazione quindi non attiva
è andato tutto bene finchè non ho inserito le credenziali microsoft per accedere allo store...da li si è ripresentato.

E' la prima volta che sento una cosa del genere, come è possibile che il ransomware sia nelle impostazioni/preferenze personali? Come fa ad autoeseguirsi? Non è possibile...Sei proprio sicuro al 100% che inizia a criptare i file, l'hai visto in azione? Non è che è solo il wallpaper e/o i file spazzatura del ransomware?

Come detto blocca l'esecuzione dei file .exe dalla cartella %TEMP%, accedi con l'account Microsoft quindi disabilita la sincronizzazione delle impostazioni, prova temporaneamente ad abilitare gli .exe nella cartella %TEMP% per verificare che sia questo il problema.

E' la prima volta che sento una cosa del genere, come è possibile che il ransomware sia nelle impostazioni/preferenze personali? Come fa ad autoeseguirsi? Non è possibile...Sei proprio sicuro al 100% che inizia a criptare i file, l'hai visto in azione? Non è che è solo il wallpaper e/o i file spazzatura del ransomware?

Come detto blocca l'esecuzione dei file .exe dalla cartella %TEMP%, accedi con l'account Microsoft quindi disabilita la sincronizzazione delle impostazioni, prova temporaneamente ad abilitare gli .exe nella cartella %TEMP% per verificare che sia questo il problema.

ma porc! :D

ma sono uno...
forse non ho controllato , ho visto lo sfondo ( che probabilmente si prende dalle impostazioni sincronizzate ) e ho pensato che fosse attivo il locky

non avendo file ( installazione pulita ) non ho visto nulla criptato ma solo...lo sfondo.

vado a farmi fare una visita che è meglio :D

Quando torni dalla visita del medico aspettati una querela per procurato allarme :O

:asd: mi pareva impossibile la cosa :D

tutto è bene quel che finisce bene:p :mc:

Un caro saluto a tutti i forumisti e ringrazio in anticipo chi vorrà aiutarmi!

Anch’io ho contratto il famigerato virus ctb-locker su win 10 che mi ha criptato i files con l’estensione BQPKETG. Ho rimosso il ransomware grazie alla vostra guida, ma non riesco in nessun modo a recuperare i files. Ho provato con shadow explorer prima e con Recuva dopo, recupero soltanto 1 file su 4 e spesso alla verifica non funziona. Ad esempio mi è urgente recuperare le mail, ma il file pst di outlook recuperato non si importa in nessun modo su outlook, ho provato a ripararlo con l’utility della stessa microsoft e con un tool specifico come stella phoenix outlook repair pst, ma non c’è niente da fare. Purtroppo non posso sostenere la spesa di uno studio specializzato di decriptazione, ho letto sul web che ci sono siti che offrono gratis chiavi di decriptazione. E’ vera questa cosa o è una bufala? Potreste indicarmi qualche persona/sito in grado di aiutarmi?

l'unico vero sito che conosco è questo https://www.nomoreransom.org/ dove ti chiedono di caricare sul sito due file criptati del proprio pc e in base alla loro scansione possono dirti se esiste gia un tool per decriptarli o se devi attendere che trovino la soluzione..

.

l'unico vero sito che conosco è questo https://www.nomoreransom.org/ dove ti chiedono di caricare sul sito due file criptati del proprio pc e in base alla loro scansione possono dirti se esiste gia un tool per decriptarli o se devi attendere che trovino la soluzione..

Ho provato, ma al momento dell'invio mi dice "impossibile raggiungere il sito" :cry:

Dipende che file stai cercando di caricare. Se è il pst da 8GB vai in timeout per forza.

Ma sei sicuro che sia ctb-locker?

Si è ctb-locker. I files sono di pochi kb, adesso riprovo...

ed ecco la risposta nulla da fare, ho beccato il peggiore :

"Sorry! We don’t yet have a solution to help you but we are actively looking for it.

Please make sure you are uploading a ransom note and encrypted sample file from the same infection.

It is recommended to back-up your encrypted files, and hope for a solution in the future."

Sono in ufficio per le minghia di chiamate dirette dei docenti renziane.

Quanto cazzo sono noiosi con le doppie estensioni :asd:

https://www.virustotal.com/it/file/b0ac7d520146069d4376b0a87069702c5300d7afd7bd793b53a6ea230d54c8cd/analysis/

arrivato da una pec

l'antivirus endpoint protection(testato direttamente) lo rileva come heur.adv.ml.b cancellandolo e in effetti è rilevato così sul virustotal.
Miracolo ah,ah,ah :asd:

Kaspersky si getta nella mischia con un tool dedicato:
Kaspersky Anti-Ransomware Tool for Business (https://www.wilderssecurity.com/threads/kaspersky-anti-ransomware-tool-for-business-beta.387755/)

Interfaccia sicuramente accattivante, effettività: ?

In beta...

https://go.kaspersky.com/Anti-ransomware-tool.html

Chi di voi sta usando Malwarebytes Anti-Ransomware? A me spesso blocca la navigazione col browser :mbe:
Se serve per prevenire ed è davvero efficace lo tengo, altrimenti lo rimuovo senza problemi... :O

IMHO una soluzione del tipo nas o altro pc di backup (religiosamente disconnesso da internet) con utente e password diversi da quelli del pc di utilizzo normale è un inizio.

Per il programma di backup IMHO vanno bene i vecchi sani batch di Windows e le operazioni pianificate di Windows dove si dice di eseguire a tale ora e con tale utente il backup.

poi è chiaro che non è una soluzione al 100% sicura, ma è un'operazione relativamente alla portata di tutti.

http://punto-informatico.it/4331237/PI/News/ransomware-mangia-ransomware.aspx

http://www.ghacks.net/2016/08/12/kaspersky-anti-ransomware-tool-for-business/

Kaspersky ... cut..
Interfaccia sicuramente accattivante, effettività: ?

In beta...

https://go.kaspersky.com/Anti-ransomware-tool.html

Più che beta sembra una bella scusa per poi proporre in 'premium'

http://i65.tinypic.com/20zbeb9.png

che porta a:
http://www.kaspersky.com/business-security/free-trials/endpoint-advanced

...

.. cut
PS tecniche del genere, ed anche più avanzate, si utilizzano normalmente ...

Leggero O.T.
Potrebbero essere utili per individuare file zippati multi-segment in formato RAR che non sono più correttamente decomprimibili perchè corrotti e quindi tipicamente danno un errore CRC quando aperti con WinRAR?

Ho potenzialmente decine di tali files rovinati da settori rovinati in origine dell'HD. Ora sono stati ricopiati ma sono dispersi in un intero HD e non so quali e dove siano ma vorrei poterli identificare senza aprirli uno ad uno per capire l'entità del danno. :rolleyes:

...

...

...

Metti metti...
Se è una cosa che può risolvere il problema

Inviato dal mio MI 5 utilizzando Tapatalk

...

Magari il link in mp...

Inviato dal mio MI 5 utilizzando Tapatalk

Mamba: The new Full Disk Encryption Ransomware Family Member (https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho)
Simile a Petya ma ancora più dannoso.

...

E' più dannoso di Petya perché Mamba i dati li cripta veramente a differenza dell'altro che si occupava solo della MFT. Quindi a meno di gravi falle o errate implementazioni di DiskCryptor non farà la stessa fine ma rimangono ovviamente gli stessi limiti.

...

.... cut... mettere dei file "bistecca" o "sentinella".

Cioè piazzi nelle cartelle che ti interessano di più dei file tipo "criptami.doc", di cui conosci già gli hash, e poi con script crontab (o quello che è) ricalcoli gli hash proprio di quei file e mandi un report per email.
Se gli hash cambiano => "houston, sono stato criptato"
Però questo ha affidabilità 100%, tempo di esecuzione forse un secondo, e non è statistico come il sistema proposto.

Scusa la domanda idiota ma sto pensando semplicemente a quei software che sono in grado di controllare una certa cartella e di stamparne via via il contenuto man mano che arrivano nuovi documenti. Tuttavia è pur sempre possibile cambiare la sequenza della coda di stampa.
Il che mi ha fatto pensare alla tua soluzione... d'accordo.
Ma che succede se la telefonata a Houston accade per un evento in una cartella in cui hai 100 files ed una bistecca/sentinella... ed il ransomware prima cripta i 100 files e la bistecca è l'ultima? :rolleyes:

...

...

Chiaro, eravamo su prospettive temporali e di utilizzo/utilità della bistecca diverse. ;)

Una volta scaricato il torrent infetto, se prima di aprirlo lo analizzo con antivirus e antimalware lo scovo?

:read: Nuova strategia di distribuzione dei ransomware via p2p. :read:...CUT

si ma siamo sempre li , un virus non te lo possono mettere in un file audio o video
quindi è sempre un EXE di qualche crack

Non è che dopo una botta a questo:
http://www.hwupgrade.it/forum/showthread.php?t=2784655

abbiano deciso di intensificare la campagna vs. P2P con un po' di terrorismo?

A leggere quegli articoli non si capisce da nessuna parte che il rischio sia solo quello definito da Paky. :rolleyes:

Grazie Phoenix2005; sarebbe il caso di aggiungere nella sezione a pag 1 "Quali sono i principali veicoli di infezione?" anche questa nuova strategia di distribuzione bene in grasseto.

Posso mettere tutti gli avvisi possibili ( aggiungo i .torrent come veicolo di infezione ) ma di fondo sono inutili e spiego anche il perchè. Parliamo di un circuito fatto da materiale pirata, che siano giochi, attivatori vari etc. quindi a rischio a prescindere da RAUM c'è sempre stato.

Se l'utente si dovesse mai trovare di fronte ad un possibile avviso dell'antivirus quando esegue il suo "gioco pirata preferito" al 99,9% lo ignora perché il 99,9% dei crack e compagnia sono rilevati dagli antivirus per via dei metodi di protezione dell'eseguibile. Quindi che fare? Bisognerebbe avere un PC ad-hoc, una VM protetta, una sandbox per testare se quell'exe è davvero quello dice il nome oppure un ransomware. Vista la bassa incidenza degli AV con questo tipo di malware l'unico modo per sapere se il "crack" funziona è eseguirlo...

In sintesi, che dovrei scrivere? Attenti a ciò che scaricate? Controllate le fonti-commenti-sito di distribuzione? Queste cose per chi scarica materiale pirata ed è un minimo smaliziato è la routine.

N.B. Questo forum e la pirateria non vanno d'accordo quando si entra nei dettagli

P.S. Anche un .avi inteso come filmato potrebbe essere un malware in determinate condizioni e scenari.

P.S. Anche un .avi inteso come filmato potrebbe essere un malware in determinate condizioni e scenari.

interessato , puoi spiegare come?

puoi spiegare come?
La stessa domanda era stata posta ad es qui, http://superuser.com/questions/445366/can-avi-files-contain-a-virus

In particolare (specie perchè l'autore di questa risposta è stato molto sintetico)

http://s9.postimg.org/rmuhcdw5r/Image_1.jpg


e non a caso 'certe tecnologie' prevedono la protezione dei 'motori' preposti alla visualizzazione dei contenuti (il metodo del rinominare un exe in avi o quello che è ormai lo sa anche il gatto tanto è banale)...

Ad ogni modo, anch'io sposo la risposta di x_Master
Parliamo di un circuito fatto da materiale pirata...
(per quanto magari anch'io sia il primo a spararmi qualche film con questo canale)...

chi cerca crack oggi cerca rogne :D

chi cerca crack oggi cerca rogne :D

stavolta stranamente ti do ragione ;)


Quindi, per ritornare a bomba, chapeau a chi ha ideato questa strategia di distribuzione che sicuramente garantisce un bacino importante di macchine sotto scacco ma, in fondo, 'chi cerca trova' per cui alla fine c'è anche poco da lagnarsi.


Personalmente trovo più subdole altre tecniche (es, 1 (http://www.hwupgrade.it/forum/showthread.php?p=43528323#post43528323): pensate se colpissero software come LibreOffice, VLC e compagnia che stragi ci sarebbero visto che presumo che anche un utente accorto al più si limiti al controllo degli hash)...

In particolare (specie perchè l'autore di questa risposta è stato molto sintetico)

http://s9.postimg.org/rmuhcdw5r/Image_1.jpg

si ma non la vedo una strada praticabile se vuoi fare sfaceli
le catene render sono personali e diverse da sistema/programma in uso

le infezioni sarebbero minime
poi il contenitore Avi ormai è in disuso

Sarà poi x_Master ad entrare eventualmente nel merito spiegando ciò che intendeva (io infatti mi sono sovrapposto a lui...) ma quello che volevo indicarti -indipendentemente dal fatto che gli .avi possano essere in disuso o che tizio si affidi al decoder A invece che B- era solo il modo in cui operava l'attaccante (e che rimane peraltro fermo anche al variare del tipo di 'contenitore' considerato)

In determinate condizioni e scenari un qualsiasi file ( video, audio, testo ) potrebbe essere un malware, non solo questione di .avi. C'è bisogno che la versione X del programma Y falla Z che sfrutta il buffer overflow e da quel punto l'esecuzione di codice malevolo. Non ho mai detto che sia una pratica diffusa come i file .estensione.exe ma è più raffinato e difficilmente rilevabile se non impossibile. Tanto per fare un esempio Winamp 2.79 nel 2002 un software che al tempo era forse il più utilizzato. Per una falla del minibrowser permetteva l'esecuzione di codice malevolo da .mp3 modificati. Ma esistono anche esempi più recenti...

The Heap-based buffer overflow vulnerability CVE-2015-8446 exits in Adobe Flash Player. It allows attackers to execute arbitrary code via an MP3 file with COMM tags that are mishandled during memory allocation. The vulnerability was patched by Adobe on December 8, 2015.

Cercando sui siti di sicurezza se ne trovano altri.

Posso mettere tutti gli avvisi possibili ( aggiungo i .torrent come veicolo di infezione ) ma di fondo sono inutili e spiego anche il perchè. Parliamo di un circuito fatto da materiale pirata, che siano giochi, attivatori vari etc. quindi a rischio a prescindere da RAUM c'è sempre stato....cut...

La tua è un'affermazione che può avere un fondamento ma è come dire che tutto il P2P è illegale. Allora non si potrebbe nemmeno tenere in piedi un thread che parla di Peerguardian che invece esiste.
Indicare anche i .torrent specie in relazione al nuovo RAUM per quanto ovvio, non è così pleonastico.
Ah, leggo solo ora che qualche minuto fa Phoenix2005 mi ha preceduto che ulteriori e migliori considerazioni. (http://www.hwupgrade.it/forum/showpost.php?p=44064588&postcount=605)

Non ho detto che tutto il "P2P è illegale" ma che RAUM punta chiaramente al materiale illegale perché è in quello scenario "borderline" dove l'attenzione dell'utente è più bassa, per una serie di motivi già elencati, può mietere vittime reali. Insomma perché mai puntare a chi scarica legalmente una ISO di Linux quando c'è un universo di persone che vuole giocare all'ultimo GTA 6? L'intento "dichiarato" di RAUM è puntare sui torrent più popolari per ovvi motivi che non necessitano di spiegazione e, felice di essere smentito, sono sempre quelli con materiale illegale.

P.S. Shareware e trialware via .torrent? Ma dove? :D
Una azienda che produce programmi a pagamento non si affiderebbe mai ai .torrent ma solo ai propri server che può gestire. Chi produce freeware preferisce la distribuzione gratuita tramite il proprio sito\file hosting o al massimo si appoggia a Softpedia e soci per un ritorno di visibilità e\o con setup adware per un ritorno economico.

Facciamo anche da prima degli anni 90, per quel che ricordo io comunque erano virus per il bootsector su floppy disk. Con la morte del floppy disk la funzione è stata eliminata, mi ricordo una scheda madre della msi che aveva questa funzione tipo nel 1999.

I videogiochi drm free vengono distribuiti anche via torrent. Parlo di regolarmente comprati ovvio.

ho un .doc di origine russa sospetto che è arrivato nella posta dove lavoro..ma non ha macro..con il solito fishing del ecco la fattura, ecco la proposta xyz
Chissà che caspita si sono inventati stavolta. :confused:
Domani se ho tempo vedo che c'è dentro.

Phoenix2005,
Il tempo ci dirà se RAUM verrà applicato anche ai torrent legali. Ho i miei dubbi ma vedremo. Riguardo ai JPEG sì spesso era la stessa tecnica del buffer overflow a volte invece era un file in un altro file.

Non ho detto che tutto il "P2P è illegale" ma che RAUM punta chiaramente al materiale illegale perché è in quello scenario "borderline" dove l'attenzione dell'utente è più bassa, per una serie di motivi già elencati, può mietere vittime reali. Insomma perché mai puntare a chi scarica legalmente una ISO di Linux quando c'è un universo di persone che vuole giocare all'ultimo GTA 6? L'intento "dichiarato" di RAUM è puntare sui torrent più popolari per ovvi motivi che non necessitano di spiegazione e, felice di essere smentito, sono sempre quelli con materiale illegale.

P.S. Shareware e trialware via .torrent? Ma dove? :D
Una azienda che produce programmi a pagamento non si affiderebbe mai ai .torrent ma solo ai propri server che può gestire. Chi produce freeware preferisce la distribuzione gratuita tramite il proprio sito\file hosting o al massimo si appoggia a Softpedia e soci per un ritorno di visibilità e\o con setup adware per un ritorno economico.

libre office offre anche la possibilità di scaricare via torrent

poi ovviamente se uno parte direttamente dal sito ufficiale a meno che non siano riusciti a comprometterlo non ha problemi

Buongiorno a tutti,

scusate se mi intrometto, ma anche IO, credo di essere stato uno dei fortunati ad essere incappato in questa situazione (oltretutto per causa di ALTRI..)

Del mio problema ne ho parlato qui:
- http://www.hwupgrade.it/forum/showthread.php?t=2786332

Ma adesso vorrei chiedervi questo:
se mettessi i file danneggiati in un HD esterno, e lo conservo dentro l'armadio, c'è possibilità di recuperarli in futuro? Magari quando si riuscirà a trovare una soluzione?

Oppure questi file continuano a peggiorare anche da soli?

Grazie in anticipo! :muro:

No, non peggiorano da soli; metti da parte come hai scritto e... spera. Non è chiaro se queste (http://www.virusresearch.org/remove-locky-files-recover-instructions/)istruzioni a fine pagina che citano soluzioni per Locky siano il solito copia-incolla o davvero tua abbia speranza con un file recovery software oltre che shadow copy (se non ha backup).

Innanzitutto grazie per le risposte. ;)

A dire il vero NON ho ancora fatto niente:
nessuna scansione, nessuna prova, nessun programma utilizzato per recuperarli, nessun esperimento, etc...

(Anche perchè NON saprei da dove INIZIARE, leggendo questa conversazione chilometrica.)

So che in situazioni del genere, MENO si toccano le cose, e meglio è...
(per questo motivo volevo PRIMA farmi una copia di questi file e poi tentare.)

Domani compro un HD esterno, copio al suo interno i file che sono impazziti (foto, video e documenti), poso l'HD dentro l'armadio e formatto il PC.

E mi metto in fila come tanti altri fortunati. :muro:


AGGIORNAMENTO:
all'interno delle cartelle che contengono i file impazziti, ho trovato un file "html" che contiene alcuni dati.

Vi mostro uno screen (magari può tornare utile a TUTTI) :

https://s14.postimg.org/juv8293kx/14522265_1431274996885927_91240394_o2222.jpg (https://postimg.org/image/u4xn1htgd/)

- - - - - - - -

Ho dei seri dubbi sulla sua veridicità, ma, da ignorante, non so che utilità possano avere queste informazioni...

-
-

Non devi leggere nessuna discussione chilometrica, il primo post nella tua situazione basta e avanza.

A che servono?
A pagare il riscatto ovviamente, seguendo le istruzioni. E con la speranza che...

Non devi leggere nessuna discussione chilometrica, il primo post nella tua situazione basta e avanza.

Non me ne volere, so che ci vuole tanta pazienza con ignoranti (informatici) come me, ma non so davvero come procedere... nè ho capito a quale passaggio Ti riferisci.

Ancora grazie per la Tua (e non solo Tua) pazienza. :doh:

Se lo leggi nella sua interezza male non ti fa, anzi, ci vogliono quanto 10 minuti? Così hai un quadro generale e sai come muoverti in piena autonomia ma se hai dubbi dopo la consultazione del primo post puoi fare qui tutte le domande che vuoi.

Ah ok, Ti riferisci al primo post (quello chilometrico, per l'appunto..)

A dire il vero, questa mega guida, me la sono anche stampata (per comodità) e l'ho letta più volte durante il mio turno pomeridiano "13-19":
come tutti gli altri giorni, anche oggi sono in giro per la città, ma siccome piove non c'è quasi nessuno che richiede il nostro ausilio.
(Questo si traduce in maggior tempo che posso dedicare ai miei intoppi.)

Ciò nonostante non so veramente come procedere.

O meglio:
ho pensato che come PRIMA cosa, sia prudente farmi una copia dei dati che sono impazziti e custodirli in un HD esterno (Scollegato dal PC)... ma poi non so come muovermi.

Vedrò di fare qualche esperimento, ma se pensi che possa fare qualcosa di più mirato, puoi tranquillamente dirmelo direttamente. ;)

Dico questo perchè sicuramente ne saprai più di me, e quindi probabilmente saprai come farmi muovere i primi passi più velocemente.

Lo stesso dicasi per altri Utenti che magari sanno indirizzarmi.

Nel frattempo mi rileggo il tutto con maggiore attenzione.

Grazie ancora... ;)

Leggi in particolare:

Sono stato infettato da un ransomware, cosa devo fare?
Quali varianti è possibile decriptare?
Cosa posso tentare per recuperare i file?

Le cose che potrei dirti "direttamente" sono le stesse identiche cose che sono scritte in quei tre paragrafi, né più né meno.

Uhm... d'accordo... ;)

Non appena avrò tentato qualcosa, ne comunicherò l'esito.

Attenzione, nuova versione del locky ransomware - Odin ransomware (1 (http://www.bleepingcomputer.com/news/security/locky-ransomware-now-uses-the-odin-extension-for-encrypted-files/)), (2 (http://manual-removal.com/odin/))

domanda un po così per togliermi il dubbio :D ma se apro una mail con in teoria un ransomware con un macbook non può avviarsi o diffondersi (usb,lan)?? anche se ho wine??:confused:

Partendo dal presupposto che ransomware nativi per Mac esistono ( KeRanger ) tu parli dell'esecuzione di un ransomware Windows sotto Wine? Se sì allora dipende, se il malware ha effettivamente accesso in scrittura a delle cartelle al di fuori di quell'ambiente potrebbe in teoria criptare i file, altrimenti no.

Partendo dal presupposto che ransomware nativi per Mac esistono ( KeRanger ) tu parli dell'esecuzione di un ransomware Windows sotto Wine? Se sì allora dipende, se il malware ha effettivamente accesso in scrittura a delle cartelle al di fuori di quell'ambiente potrebbe in teoria criptare i file, altrimenti no.

in teoria ha accesso in scrittura... però non riesco a capire se da solo può avviarsi wine ed anche il virus! mi sembra strano però!

Il malware non può avviare Wine ma se tu esegui Wine e sei infetto da ransomware all'interno di quell'ambiente TUTTE le cartelle in scrittura, dentro o fuori, non sono al sicuro. Esempio se venisse infettata la mia VM ed avessi una cartella condivisa in scrittura collegata per quanto il ransomware rimane nell'ambiente protetto i dati di quella cartella non lo sono. Spero che ora sia tutto chiaro.

occhio non arrivano solo via posta

http://www.tgsoft.it/italy/news_archivio.asp?id=751

Già da domenica scorsa 18 settembre il C.R.A.M. di TG Soft ha verificato che scaricando dal sito ufficiale la versione demo del software di assitenza remota AMMYY, procedendo all'installazione, attiva il temibile ransomware CryptoCerber nella sua nuova versione 3.
Attivando il file di installazione scaricato dal sito ufficiale di AMMYY, come detto, si attiva in prima battuta il processo ENCRYPTED.EXE contenenente il Cerber 3, che andrà a cifrare i file di dati del PC / SERVER e delle unità mappate di rete.
Di fatto contemporaneamente viene estratto/copiato il file di installazoine originale di AMMYY.

La cosa seppure già segnalata al produttore ad oggi sembra non aver sortito alcun tipo di provvedimento da parte della società produttrice stante la disponibilità del pacchetto di installazione ancora infetto.

CryptoCerber, ora giunto alla versione 3, risulta essere ransomware estremamente pericoloso poichè ad oggi non sono disponibli tool per la decifratura/de-crittografazione de file eventualmente colpiti/cifrati.

Qual sito, Ammyy Admin, non è nuovo a questo tipo di notizia ha già diffuso diversi malware e trojan. Non si capisce se c'è una complicità del sito oppure una mancanza di professionalità. Cose del genere non devono accadere o come minimo si porre rimedio subito, se succede più di una volta ti fa riflettere.

P.S. Notizia originale di MajorGeecks:
https://twitter.com/majorgeeks/status/776445849500917760

Riportata poi da MalwareHunterTeam e Softpedia nello stesso giorno del tweet

http://www.hwupgrade.it/news/sicurezza-software/no-more-ransom-una-delle-risorse-piu-efficaci-per-combattere-in-ransomware_65184.html

https://www.nomoreransom.org/

enos76,
Allo stato attuale NoMoreRansom non mi sembra di grande aiuto, vedi qualche post fa sulle motivazioni. Riguardo Chimera aspetto il tool di decriptazione che al momento non c'è.


E' arrivato anche il tool Chimera.
Oltre a:
WildFire TeslaCrypt Shade CoinVault Rannoh Rakhni

Aggiunti i link dei decriptatori in prima pagina. Purtroppo ribadisco il mio pensiero su NoMoreRansom, sembra sempre il solito portale che raggruppa i tool di X, Y e Z e fa un po' di pubblicità ai loro prodotti a pagamento. 13 paesi si riuniscono e i tool sul sito sono tutti made in Kaspersky, quale sarebbe il contributo delle nazioni partecipanti tra cui l'Italia? Non c'è un forum multilingua, un supporto come chat o simili per un aiuto diretto, e ribadisco informazioni sulla prevenzione errate come:

If you discover a rogue or unknown process on your machine, disconnect it immediately from the internet or other network connections (such as home Wi-Fi) — this will prevent the infection from spreading.

Come se disattivare internet fermasse la crittografia dei file.

può però bloccare la criptazione di dispositivi collegati in rete.
quindi il suggerimento è tecnicamente corretto

aggiungerei però un "parzialmente" ;)

Tecnicamente sbagliato con i ransomware. Spegnere immediatamente il PC, ad esempio, evita sia la possibile infezione dei file in rete con diritti di scrittura ed inoltre ferma crittografia sul PC locale. Seguo il consiglio, stacco la connessione e poi un utente che dovrebbe fare? Avvia l'antivirus-antimalware e, ammesso che rilevi il ransomware, aspetta che finisce la scansione con un HDD che va al 100%? Oppure guarda il monitor in attesa che il ransomware finisce di infettare tutti i file?

La cosa migliore quindi sarebbe spegnere il pc e collegare il disco ad altro pc per la disinfezione? Cioè se viene usato come disco non di sistema si ferma il lavoro del Ransomware?

Tecnicamente sbagliato con i ransomware. Spegnere immediatamente il PC, ad esempio, evita sia la possibile infezione dei file in rete con diritti di scrittura ed inoltre ferma crittografia sul PC locale. Seguo il consiglio, stacco la connessione e poi un utente che dovrebbe fare? Avvia l'antivirus-antimalware e, ammesso che rilevi il ransomware, aspetta che finisce la scansione con un HDD che va al 100%? Oppure guarda il monitor in attesa che il ransomware finisce di infettare tutti i file?

Una volta che hai spento il pc, lo riavvii con un disco di sistema (quindi senza avviare windows e il ransomware non potrà agire) e spazzi via il ransomware con uno di quei dischi di emergenza che funzionano al boot sotto dos.

Hai quotato la persona sbagliata. Comunque anche la semplice modalità provvisoria inibisce l'auto-esecuzione del ransomware ( Run, RunOnce e l'Utilità di pianificazione non funzionano ) così come collegare il disco ad un altro PC o l'utilizzo di una live dal PC stesso.

zeMMeMMez sinceramente in questo periodo ho zero voglia e tempo di mettermi a discutere su mezze frasi:
Se conosci un ransomware che si avvia in modalità provvisoria, il nome prego e cosa tecnicamente utilizza.
Se conosci un ransomware che da disco esterno si avvia da solo appena l'HDD viene collegato, il nome e cosa tecnicamente utilizza.

Mai detto di spegnere il PC e tenerlo spento a vita ed ovviamente non hai risposto a nessuna delle domande, lo scolleghi dalla rete e poi? Aspetti che il ransomware finisce? Sì-No
Perché se non l'avessi capito loro parlano nel caso in cui il ti accorgi che qualcosa non va ed un processo sconosciuto é attivo ( discover a rogue or unknown process ) perché quando finisce te lo dice lui con una bella finestra, non c'é nulla di magico da "scoprire". In questo specifico caso da loro proposto, sospetto ransomware in esecuzione che non ha concluso, la prima cosa da fare é tentare di salvare il salvabile sulla macchina per i file ancora in chiaro arrestando l'infezione, non staccare internet o la LAN che al massimo é un passaggio successivo.

Alla domanda:
Se conosci un ransomware che si avvia in modalità provvisoria, il nome prego e cosa tecnicamente utilizza

La risposta corretta è:
Nessuno. Mamba, Petya e famiglie simili usano DiskCryptor\MFT e grazie che non hai accesso in modalità provvisoria...ma va? :mbe:
In ogni caso tecnicamente non si avviano dalla modalità provvisoria quindi non c'entrano nulla con la domanda.

Grazie per avermi dato dello strumentalizzatore questa mi mancava in tanti anni qui, gentile da parte tua come sempre lo terrò a mente per le prossime volte. Ti riporto i 6 consigli di NoMoreRansom:
1) Backup
2) Antivirus
3) Software aggiornati
4) Non fidarti di nessuno
5) Mostra le estensioni per i tipi di file conosciuti
6) Stacca internet e LAN se vedi un processo sospetto

Proprio perché io mi metto dalla parte dell'utente "non-informatico", visto che i consigli sono condensati in solo 6 voci e non 1000, il punto più grave ( per quanto l'antivirus può essere discutibile per non dire inutile ) rimane sempre il 6) che tradotto sarebbe:

Tizio se hai il dubbio di essere infetto da un ransomware perché scopri un processo sospetto stacca internet o la LAN così eviti il propagarsi dell'infezione.

Io invece dico:
Tizio se hai il dubbio di essere infetto da un ransomware perché scopri un processo sospetto SPEGNI IL PC, ti documenti su questo thread o qualsiasi altra risorsa online *inserire qui altri suggerimenti a caso* e poi pensi al resto. Nel dubbio, fermare subito il propagarsi dell'infezione sul PC locale e guarda caso in questo modo non si propaga nemmeno nella LAN se ne hai una.

Fine della storia, non c'è suggerimento più sensato del mio a differenza di quello del sito di NoMoreRansom. Pensala come ti pare tanto già ho capito quindi inutile ribadirmelo ancora, per te è giusto che in 6 consigli tra tante cose che si possono scrivere ci deve essere staccare la LAN, non ha effetti negativi, tecnicamente corretto etc. buono a sapersi.

Alla fine il sistema migliore di prevenzione resta sempre questo :asd:

https://thumbs.dreamstime.com/x/internet-di-sicurezza-21320454.jpg

Ho imparato che a faccio prima parlare un muro con la scritta "ho tecnicamente ragione sempre io", forse con il muro c'é più dialogo ma sicuramente meno arroganza. La prossima volta mi comporterò in modo del tutto diverso.

Phoenix2005,
Con un HDD che va al 100% qualsiasi operazione, compreso uno shutdown normale, ne risulta rallentata. Tra staccare l'alimentazione ( non tutti hanno il pulsante sul retro ma chiunque ha una multipresa ) e lo shutdown normale con il primo salvi sicuramente qualche file in più, difficile stabilire la quantità che dipende da molti fattori. In caso di portatili staccare a batteria può essere più complicato, ci potrebbero essere le viti etc. quindi forse uno shutdown forzato é la soluzione più immediata.

Non mi sento affatto di condividere questo "consiglio", anzi.
Operare materialmente sull'alimentazione elettrica (quindi sulla parte ad alta tensione del circuito di alimentazione) può, concretamente, determinare una scintillazione con (se va bene) guasto dell'alimentatore, e (se va male) di componenti più pregiati.

Dai per cortesia , tu sei passato qui per trollare :O

io il Ransomware l'ho visto in azione e l'unica cosa da fare è spegnere al volo il pc perchè il sistema è super impallato a crittare
soprattutto se si ha un HD meccanico

vedi se uno si preoccupa di disabilitare o staccare la LAN quando fa prima a staccare la spina e limitare al minimo i danni

ogni secondo sono centinaia di file criptati
poi con le cpu e gli SSD che ci sono ora anche mooolti di più

Certo, pigiare banalmente il tasto di accensione-spegnimento del PC è attività troppo da troll, rispetto alla "cauboj" ma pazienza.

ovvio che va bene anche quello
sono 3-5 secondi in più

sai bene che non è quello il succo di quello che ti si contesta
passo e chiudo , non alimento discorsi sterili

Hai concluso? Meno male così andiamo avanti.
The new .LNK between spam and Locky infection (https://blogs.technet.microsoft.com/mmpc/2016/10/19/the-new-lnk-between-spam-and-locky-infection/)

Cambia l'estensione e non c'è più l'utilizzo di VBScript ma PowerShell, non viene usato uno script ( disabilitati di default ) ma il semplice comando (New-Object System.Net.WebClient).DownloadFile via parametro, sempre con l'utilizzo della cartella %TEMP%

Non so cosa mi si contesta.... cut...

Concludo con: tagliare l'alimentazione elettrica di apparati informatici in uso, di server addirittura (!), uno degli incubi principali dei responsabili CED, non è in cima alle cose che farei in tali circostanze.

CED? Loro pensano solo alla parte hardware ed a far funzionare tutta la baracca che è sotto la loro responsabilità a ma casa tua o in ufficio chi se ne frega di bruciare la RAM o la scheda madre quando ogni secondo che passa stai rischiando di perdere dati che magari sono insostituibili (male non avere il backup)? I dati sono il valore non l'hardware che ci sta attorno. Che poi staccare di brutto una batteria da un portatile per togliere l'alimentazione o ogni altro distacco forzato possa causare perdita di dati, beh è il minore dei mali visto quel che sta succedendo durante la criptazione da parte del ransomware che non ti dà tempo per agire.

Spero davvero che chi leggerà i tuoi post sia in grado di leggere il buon senso di chi si è poi permesso di commentarli e di confutarli.

Questo è il mio thread e per favore non parlarmi di toni proprio tu...strumentalizzare, hai imparato qualcosa, onestà intellettuale, competenza informatica per chi ce l'ha etc. attacchi velati che tanto velati non sono.

Gradirei che chi vuole esprimere un concetto lo faccia in 1-2 post non andando avanti all'infinito a scrivere le stesse identiche cose, come ti avevo espressamente e cortesemente chiesto:

Pensala come ti pare tanto già ho capito quindi inutile ribadirmelo ancora, per te è giusto che in 6 consigli tra tante cose che si possono scrivere ci deve essere staccare la LAN, non ha effetti negativi, tecnicamente corretto etc. buono a sapersi.

Invece continui imperterrito a scrivere la stessa cosa, lo abbiamo capito tutti. Nessuno ti obbliga a partecipare ad un thread che, parole tue, discute di banalità perchè i ransom sono "ontologicamente banali"

Aggiunto in prima pagina MBRFilter, una utile prevezione contro Petya, Satana e compagnia. Allo stato attuale richiede una buona conoscenza del PC.

P.S. La famiglia di Petya agisce anche su dischi GPT

cryptoprevent 8 dovrebbe essere rilasciato ad halloween (se non è uno scherzetto magari è un dolcetto)

ed è disponibile una beta

https://www.foolishit.com/cryptoprevent-beta/

x_Master_x
Phoenix2005
zeMMeMMez

dateci un taglio!

Grazie. Provato MBRFilter in combinazione con AccessMbr, funziona come si deve non sono riuscito a scrivere nell'MBR ( Write failed ) devono solo fare un MSI per l'installazione e la disinstallazione e "limitare" il driver al solo disco di Windows a mio parere, non vedo l'utilità di verificare ogni disco ( o almeno dare una scelta all'utente ) quando sono gli stessi ransomware a cercare il disco di sistema.

Non voglio riaprire il discorso su NoMoreRansom ( per carità, no mai più ) ma prima che avvenisse l'inutile diatriba avevo contattato sia l'Europol che Kaspersky esprimendo gli stessi identici dubbi sul punto 6) scritti nei post precedenti.

La risposta è arrivata oggi, ometto dettagli su chi mi ha risposto ( qualcuno ai vertici data la signature dell'email ) per evitare violazioni di corrispondenza:

Dear x_Master_x,

Thank you very much for this useful commentary! I guess you're right - your wording sounds much better and correct.
We will fix the text asap.

Best regards

Il "mio testo" a cui fa riferimento è in particolare questo:

6) If you discover a rogue or unknown process on your machine and you suspect can be a ransomware, shutdown immediately your PC. Disconnect from the internet or other network connections (such as home Wi-Fi) — this will prevent the infection from spreading.

Ma è solo un estratto della lunga email inviata in inglese sulle motivazioni, non la metto nella sua interezza perché più o meno è quello che ho scritto nei post precedenti. Ripeto nuovamente, non voglio riaprire una questione fortunatamente chiusa da Chill-Out ma ho ritenuto corretto scrivere la conclusione "felice" della storia.

Non voglio riaprire il discorso su NoMoreRansom ( per carità, no mai più ) ma prima che avvenisse l'inutile diatriba avevo contattato sia l'Europol che Kaspersky esprimendo gli stessi identici dubbi sul punto 6) scritti nei post precedenti.

La risposta è arrivata oggi, ometto dettagli su chi mi ha risposto ( qualcuno ai vertici data la signature dell'email ) per evitare violazioni di corrispondenza:

Il "mio testo" a cui fa riferimento è in particolare questo:

6) If you discover a rogue or unknown process on your machine and you suspect can be a ransomware, shutdown immediately your PC. Disconnect from the internet or other network connections (such as home Wi-Fi) — this will prevent the infection from spreading.
Ma è solo un estratto della lunga email inviata in inglese sulle motivazioni, non la metto nella sua interezza perché più o meno è quello che ho scritto nei post precedenti. Ripeto nuovamente, non voglio riaprire una questione fortunatamente chiusa da Chill-Out ma ho ritenuto corretto scrivere la conclusione "felice" della storia.
Riguardo al parte in grassetto del punto 6, dato che è fondamentale la tempestività nell'azione di spegnimento brutale, mi chiedo se non sarebbe meglio avere sempre sott'occhio il consumo di cpu. Senza un avviso visivo o sonoro che sia, è difficile accorgersi all'istante di un'attività anomala della cpu, prima di sentire le ventole a palla potrebbe essere già troppo tardi. All'uopo esistono programmini che stanno fissi in tray o anche sulla taskbar, che a seconda del programma, possono dare in modo immediato, informazioni sul consumo cpu e/o sui processi.

Da quello che ho visto, i codici di alcuni ransomware e video di infezione, non é tanto il consumo di CPU ma il componente hardware che soffre é il disco fisso con continue e parallele letture-scritture, si nota di più con disco meccanico ma anche con un SSD il sistema degrada e perde in prestazioni, se sei un minimo consapevole delle prestazioni del PC non puoi non farci caso.

Siamo sempre lì, l'importante é la prevenzione. Anche se ti accorgi di un ransomware in attività é tardi, una quantità X di dati é già persa. Poi se trovi la variante Y si parla di Z file criptati al secondo dove Z sono decine o centinaia a seconda del ransomware, esempio se cripta i file parzialmente, e le prestazioni del PC.

x_Master_x
6) If you discover a rogue or unknown process on your machine and you suspect can be a ransomware, shutdown immediately your PC. Disconnect from the internet or other network connections (such as home Wi-Fi) — this will prevent the infection from spreading.
Ho letto molte pagine di questo interessante thread. Dovrei però approfondire la guida anche se alcuni concettii mi risultano difficili da applicare per mancanze mie in ambito informatico (vedi sezione dei permessi/editor di gruppi ecc..)
Avendo BitLocker su Windows 7, potrei trarne un vantaggio da questa funzionalità messa a disposizione dell'OS?

Riguardo al parte in grassetto del punto 6, dato che è fondamentale la tempestività nell'azione di spegnimento brutale, mi chiedo se non sarebbe meglio avere sempre sott'occhio il consumo di cpu. Senza un avviso visivo o sonoro che sia, è difficile accorgersi all'istante di un'attività anomala della cpu, prima di sentire le ventole a palla potrebbe essere già troppo tardi. All'uopo esistono programmini che stanno fissi in tray o anche sulla taskbar, che a seconda del programma, possono dare in modo immediato, informazioni sul consumo cpu e/o sui processi.
Quali programmi consigli? Process Hacker, Process Explorer, FolderChangesView (suggerito da x_Master_x diverse pagg. addietro)

Da quello che ho visto, i codici di alcuni ransomware e video di infezione, non é tanto il consumo di CPU ma il componente hardware che soffre é il disco fisso con continue e parallele letture-scritture, si nota di più con disco meccanico ma anche con un SSD il sistema degrada e perde in prestazioni, se sei un minimo consapevole delle prestazioni del PC non puoi non farci caso.

Siamo sempre lì, l'importante é la prevenzione. Anche se ti accorgi di un ransomware in attività é tardi, una quantità X di dati é già persa. Poi se trovi la variante Y si parla di Z file criptati al secondo dove Z sono decine o centinaia a seconda del ransomware, esempio se cripta i file parzialmente, e le prestazioni del PC.
Ma infatti avevo specificato che era in relazione solo al punto 6, chiaro che è sempre meglio prevenire. Se non erro però, esistono programmi del genere, anche per monitorare i dischi.

Da quello che ho visto, i codici di alcuni ransomware e video di infezione, non é tanto il consumo di CPU ma il componente hardware che soffre é il disco fisso ....cut...

Bisognerebbe chiedere allo sviluppatore di HD Sentinel di implmentate un alert da applicare a quel Disk Activity. Avrebbe senso o quanti falsi positivi si rischierebbero? :rolleyes:

http://i67.tinypic.com/2qak1ok.png

bluv,
Bitlocker non ti é utile. Le policy e i permessi all'inizio possono sembrare ostici ma é solo questione di prenderci la mano. Bloccare le esecuzioni degli .exe da %TEMP% é il primo passo o in modo opposto e più sicuro scegliere quali applicazioni eseguire ed escludere tutto il resto.

Eress e giovanni69,
Per essere precisi monitorare l'attivita del disco o della CPU non rientra esattamente nella "prevenzione" da ransomware non solo perché la causa non é riconducibile sempre ad un virus ma si tratta di infezione avvenuta che ha superato tutti i paletti imposti, cosa che non dovrebbe succedere se il PC é configurato a dovere ( come consigliato in prima pagina )
In ogni caso sarà capitato a tutti avere picchi con il processore o l'HDD, esempi a caso:
Durante le fasi di aggiornamento, chi fa rendering, post produzione, un video streaming ad alta risoluzione, oppure chi gioca nelle fasi più concitate, nel caricamento delle mappe etc. insomma mi vengono i mente più scenari in cui la causa non sia un malware.

Eress e giovanni69,
Per essere precisi monitorare l'attivita del disco o della CPU non rientra esattamente nella "prevenzione" da ransomware non solo perché la causa non é riconducibile sempre ad un virus ma si tratta di infezione avvenuta che ha superato tutti i paletti imposti, cosa che non dovrebbe succedere se il PC é configurato a dovere ( come consigliato in prima pagina )
In ogni caso sarà capitato a tutti avere picchi con il processore o l'HDD, esempi a caso:
Durante le fasi di aggiornamento, chi fa rendering, post produzione, un video streaming ad alta risoluzione, oppure chi gioca nelle fasi più concitate, nel caricamento delle mappe etc. insomma mi vengono i mente più scenari in cui la causa non sia un malware.
Non stiamo parlando di prevenzione, o almeno non in senso classico, ma di un sistema empirico che potrebbe servire durante un utilizzo tranquillo del pc o anche in idle, nel caso si notassero dei picchi sospetti. Ma come ripeto, secondo me in alcuni momenti potrebbe rivelarsi un aiuto in più, magari anche determinante perché no, alle solite profilassi del caso.

Se non si tratta di prevenzione allora mi va benissimo ma ne campo dell'infezione ce ne sono tante di cose che si possono controllare tra cui la creazione di nuovi processi ( es. vbscript.exe, cscript.exe, powershell.exe, powershell_ise.exe ) o monitorare le cartelle dei documenti per creazione-modifica-eliminazione con ed aggiungere un alert. Sia con i processi che con le cartelle puoi avere segno di attività sospetta e distinguere il bene dal male, cosa non proprio immediata come il carico su CPU e HDD ma in questa area ci sono svariate possibilità.

bluv,
Bitlocker non ti é utile. Le policy e i permessi all'inizio possono sembrare ostici ma é solo questione di prenderci la mano. Bloccare le esecuzioni degli .exe da %TEMP% é il primo passo o in modo opposto e più sicuro scegliere quali applicazioni eseguire ed escludere tutto il resto.

Allora appena posso devo approfondire perché non so da che parte iniziare.
La procedura di blocco-esclusioni degli exe può dare problemi qualora in futuro si richieda un cambio dei parametri o vanno bene comunque come misura di sicurezza? Lo chiedo perché potrei dimenticare di avere modificato le policy (salvo il caso sia direttamete l'OS ad indicarmi di apportare una specifica modifica risolutoria)

Puoi aggiungere-togliere il blocco o l'esecuzione certificata quando vuoi o integrare altri percorsi o eseguibili, nessun problema sotto questo punto di vista. Il sistema ti avvisa se un eseguibile é bloccato con un messaggio.

non so onestamente cosa veicoli (non mi stupirei fosse anche un Ransomware...ma non è questo il punto) ma è in atto in queste ore un attacco che, partendo da flash, permette di acquisire il pieno controllo della macchina (ecco allora perchè non è importante sapere cosa sia veicolato dato che quando un attaccante arriva a questo livello ciò che può fare dipende solo dalla sua fantasia)..

C L I C K (http://www.hwupgrade.it/forum/showpost.php?p=44177596&postcount=20132)


Si evince che immune è Win10 AU (dunque EDGE che gira su questa piattaforma) o quel sistema (anche diverso da AU: es TH2, 10 RTM, 8.1) che per navigare si avvalga di Chrome configurato in un certo modo (vedi il click di prima)


Non c'è HIPS (Sandbox) che tenga, ecc (penso ad es anche all'UAC configurato come [...] invece di [...]):
l'unica speranza (per chi non ha AU o naviga con Chrome @ default su un sistema precedente) è rappresentato da quei software [AntiExploit, es Alert 3] che si prefiggono di impedire lo 'stage-0' del processo di infezione [in poche parole, l'attacco a Flash] (non sono peraltro certo del fatto che sia sufficiente disabilitare semplicemente quest'elemento per dire 'sono matematicamente immune').




Quindi, essere aggiornati (anche se talvolta può rappresentare un sacrificio) è imperativo.

diciamola tutta:
è anche vero che, per un utenza domestica, la probabilità di imbattersi in questa tipologia d'attacco è (presumibilmente) trascurabile dunque (probabilmente) si può navigare lo stesso sereni anche in questa fase (per i sistemi e gli utenti che non abbiano adottato le precauzioni di cui sopra)...

E, nell'attesa che Intel implementi in hardware un meccanismo capace di 'rompere attacchi ROP' (vedi anche RIP ROP: Intel's cunning plot to kill stack-hopping exploits at CPU level (http://www.theregister.co.uk/2016/06/10/intel_control_flow_enforcement/) e il pdf (https://software.intel.com/sites/default/files/managed/4d/2a/control-flow-enforcement-technology-preview.pdf) cui rimanda dove onestamente un profano è difficile riesca a capirci qualcosa :stordita: se non giusto il succo del discorso), MS (la cui collaborazione con Intel ha portato appunto allo sviluppo della tecnologia di cui sopra) 'brucia i tempi' portando in software miglioramenti alla tecnologia CFG (di default a partire da 8.1 update 3) nata proprio con lo spirito di contrastare questa tipologia d'attacco (rendendo in un futuro prossimo probabilmente inutile il ricorso a tool di terze parti visto che tutto verrebbe gestito nativamente ma anche per certi versi ridondante la soluzione hardware più drastica [CET] attualmente in sviluppo):
1 (http://www.hwupgrade.it/forum/showthread.php?p=44162235#post44162235) e, proprio di poco fa, 2 (http://xlab.tencent.com/en/2016/11/02/return-flow-guard/) (con qualche elemento in più).

Da RS2 in poi atteso per Marzo 2017...


Grazie twitter


A già:
perchè ho parlato di questo discorso?

Perchè sono tecnologie che lavorano allo 'Stage-0' (o stadio proprio iniziale di un processo d'infezione non certo di tipo comune come l'esecuzione volontaria di un crack) per cui, se riescono già in partenza nell'impresa di impedire il buco ai vari Sandbox/Flash/..., è evidente che non si generano le fasi 1 o 2, 3... perchè tutto muore in partenza (fino al bypass successivo ma questa è la vita dati gli interessi in ballo)

Come un sacco di informazioni utili!!! Amici, grazie! Per me ora è molto utile.
Ho dovuto leggere tutte queste pagine))) :read:

Kaspersky ieri ha rilasciato un decryptor per Crysis.

http://blog.nln.it/content/finalmente-%C3%A8-disponibile-un-decryptor-crysis

Qualcuno ha provato la nuova versione di crypto prevent?

Inviato dal mio ALE-L21 utilizzando Tapatalk

Ignorate lo spam sopra al mio post. Aggiunto CrySis in prima pagina.

ecro,
Non lo uso ma hanno aggiunto moltissime regole ( 400 della versione 7 vs 4000 della versione 8 ) la possibilità di inviare un sample, un monitor per i file e le cartelle ( :D ) e cose simili.

Ciao,
molti file si sono criptati nel mio hd con estensione .enc, a parte levare il malware che è stato abbastanza semplice, non riesco in nessun modo a decriptare questo tipo di estensione, le shadow copy sono state eliminat e i vari software di recupero dati mi hanno recuperato i file prima che si beccassero il malware ma non sono leggibili.......
qualche anima buona ha esperienza? l'unica è dr. web e pagare quei 150 dollari che poi chissà se decriptano??
...sigh....:doh: :doh: :doh:

L'estensione .enc è comune a tanti ransomware; Cryptohasyou, TrueCrypter, Crypt0l0cker etc.
Inizia a identificare la variante ( tramite la nota del ransomware, tramite sito ID Ransomware etc. ) e vedi se esiste un decryptor, ne dubito ma fai un tentativo. Riguardo a chi riesce a decriptare queste varianti facendosi pagare un corrispettivo...ho sempre il timore che in realtà facciano da intermediari tra chi chiede il riscatto e l'infetto, si mettono d'accordo per un prezzo di "favore" e si prendono una percentuale per il disturbo. E' una ipotesi, non una accusa, che se fosse vera ( e spero di no ) non fa altro che alimentare il mercato.

Anche io la penso come te, infatti prima di acquistare qualcosa vorrei essere sicuro che la variante sia solo con una chiave di decriptazione perchè se ce ne sono di più, ti mandano un tool per decriptare farlocco anche se si mettono d'accordo.
Grazie mille vi aggiorno comunque appena riesco a trovare una soluzione,
avevo già fatto un ID Ramsnonware e il responso era il seguente:

"This ransomware may be decryptable under certain circumstances.

Please refer to the appropriate guide for more information."

e la guida dice che l'unico modo per ora è scovare i file cancellati, sto provando ma sono compromessi anche quelli e...shadow copy.. ciccia!! nada!:muro: :muro: :muro:













L'estensione .enc è comune a tanti ransomware; Cryptohasyou, TrueCrypter, Crypt0l0cker etc.
Inizia a identificare la variante ( tramite la nota del ransomware, tramite sito ID Ransomware etc. ) e vedi se esiste un decryptor, ne dubito ma fai un tentativo. Riguardo a chi riesce a decriptare queste varianti facendosi pagare un corrispettivo...ho sempre il timore che in realtà facciano da intermediari tra chi chiede il riscatto e l'infetto, si mettono d'accordo per un prezzo di "favore" e si prendono una percentuale per il disturbo. E' una ipotesi, non una accusa, che se fosse vera ( e spero di no ) non fa altro che alimentare il mercato.

Il tipo di ransomware è Crypt0l0cker:

===============================================================================
!!! abbiamo criptato vostri file con il virus Crypt0L0cker !!!
===============================================================================

I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto,
video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario,
i file verranno persi.

Per recuperare i file si deve pagare.
....eccetra eccetera con link assurdi e 500 eurozzi...alla facciazza degli ackerozzi

Baccomatto hai un'idea di come te lo sei beccato?

Baccomatto hai un'idea di come te lo sei beccato?

anch'io trovo sempre interessante sapere da dove è arrivato...


Se puoi NON cedere al ricatto e 'metti in formalina' i dati (in attesa di un apposito tool di decriptazione)...

anch'io trovo sempre interessante sapere da dove è arrivato...


Se puoi NON cedere al ricatto e 'metti in formalina' i dati (in attesa di un apposito tool di decriptazione)...
E' arrivata una mail da SDA con un allegato per una spedizione, peraltro che aspettavamo perchè ci dovevano consegnare a momenti, studio di architettura con server e indirizzi mail dedicati....uno lo ha aperto e io son corso, appena mi ha detto che c'era il pc che traballava lo schermo, a staccare il cavo di rete ma il virus aveva fatto a tempo a impestare mezzo hard disk, per fortuna solo della postazione del tizio che ha aperto l'allegato SDA, ha formato un bel java script che in realtà era l'explois del virus....tutto qui, se vi interessa vi posso postare un'immagine criptata e una non, l'eula è il solito come descritto sopra..va be..se invece di avg free antivirus si aveva kaspersky o qualcosa d'altro, bastava malwarebytes pro, forse ciò non accadeva.......

E' arrivata una mail da SDA con un allegato per una spedizione, peraltro che aspettavamo perchè ci dovevano consegnare a momenti, studio di architettura...

quindi (e senza offesa), il canale più stupido...


Quest'esperienza però può avere i suoi lati positivi visto che ha sicuramente insegnato che occorre pensare a un qualcosa di diverso per la gestione delle mail...

quindi (e senza offesa), il canale più stupido...


Quest'esperienza però può avere i suoi lati positivi visto che ha sicuramente insegnato che occorre pensare a un qualcosa di diverso per la gestione delle mail...

ragionissimo nessuna offesa:)

Quindi è arrivata attraverso un falso, solo che hanno beccato il momento giusto, se non dovevate aspettare qualcosa da Sda forse qualche sospetto in più c'era. Scusami ancora, era un allegato o un link?
Prestando attenzione si poteva riconoscere guardando l'indirizzo email o il nome del link allegato?

Quindi è arrivata attraverso un falso, solo che hanno beccato il momento giusto, se non dovevate aspettare qualcosa da Sda forse qualche sospetto in più c'era. Scusami ancora, era un allegato o un link?
Prestando attenzione si poteva riconoscere guardando l'indirizzo email o il nome del link allegato?

Purtroppo non sono riuscito a verificare perchè la mail è stata subito cancellata non da me....

Purtroppo non sono riuscito a verificare perchè la mail è stata subito cancellata non da me....

gli hai tagliato almeno due dita, così giusto come promemoria? :mad:

:asd: :asd: gli hai tagliato almeno due dita, così giusto come promemoria? :mad:

Un po' di tempo fa sono stato colpito dal tesla che cambiava le estensioni dei file in .vvv

Prudentemente avevo proprio staccato l'hard disk e l'avevo messo da parte perchè non fosse modificato in qualche modo e in ogni caso ho copiato alcuni dei file criptati in modo da poter fare qualche esperimento casomai fosse uscita una qualche cura efficace.

Ho poi appreso che i responsabili di questi danni hanno chiuso e pubblicato la chiave pubblica.

Adesso vorrei provare a vedere se riesco a ripristinare i file.

Prima di tutto vorrei capire se i .vvv sono effettivamente recuperabili.

Ammesso che lo siano, è possibile recuperare quei singoli file che avevo salvato altrove evitando di mettere mani all'hard disk che avevo scollegato?

C'è il link in prima pagina con tutte le istruzioni ( qui (http://www.hwupgrade.it/forum/showpost.php?p=43234800&postcount=53) una versione semplificata ) è possibile recuperare i file TeslaCrypt 2.x con estensione .vvv
Non è una procedura proprio immediata. In alternativa esistono altri tool come TeslaDecrypt (https://github.com/vrtadmin/TeslaDecrypt/releases/download/1.0/TeslaDecrypt.zip) di Cisco o TeslaDecoder (http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip) che all'epoca non c'erano/non erano aggiornati e quindi non ho mai provato, dovrebbero essere più semplici da usare quindi parti da questi ultimi due.

P.S. E' da Gennaio 2016 che è possibile recuperare i file da questa variante e senza necessita di una chiave pubblica.

Attenzione alle pagine che aprite su internet:

https://s30.postimg.org/odltp7x5d/Image_1.jpg

Cioè si riferisce a quei virus cryptati ed incorporati nelle immagini? :rolleyes:

molto probabile

difficile cmq che un qualsiasi AntiExploit (Alert 3 su tutti) ne esca bucato visto che questi Exploit Kit sono progetti per picchiare nel mucchio...

ho bisogno di una mano , non so dove chiedere..


mio padre si è presto il cryptolocker sul suo pc.. email SDA .... lasciamo perdere

devo capire se posso fare qualcosa o se devo buttare tutto ..

le estensioni dei file modificati sono diverse da quelle che ho letto in rete

faccio prima a mettere un link https://postimg.org/image/6rr09i4a5/

Grazie

L'estensione è random quindi non è utile. In prima pagina è indicato come capire la variante e se è possible fare qualcosa per recuperare i file, leggila.

che ne pensate di ransomfree ?https://thehackernews.com/2016/12/free-anti-ransomware-software.html

Un programma interessante:
KnowBe4’s Ransomware Simulator "RanSim" (https://www.knowbe4.com/ransomware-simulator)
Download (https://s3.amazonaws.com/ransim/downloads/RanSimSetup.exe)

KnowBe4’s Ransomware Simulator "RanSim" gives you a quick look at the effectiveness of your existing network protection. RanSim will simulate 10 ransomware infection scenarios and show you if a workstation is vulnerable to infection.


100% harmless simulation of a real ransomware infection
Does not use any of your own files
Tests 10 types of infection scenarios
Just download the install and run it
Results in a few minutes!

NOTE: Created for Windows-based workstations running Windows 7+. RanSim does not alter any existing files on disk. As part of the simulation RanSim does enumerate all files on the local disk(s). For the purposes of encryption, simulated data files are downloaded from the Internet.

ciao regà sono nuovo ho un po letto la prima pagina.. con malware bytes antimalware sono abbastanza sicuro? davvero occorre disinstallare flash java del tutto? non sono molto pratico con firefox e youtube poi come si fa? almeno flash posso lasciarlo o no? immagino di no vabe e comunque spywareblaster pure quello è necessario? una configurazioncina veloce da consigliarmi perfavore? ho comodo e avira.... grazie ciao

I ransomware hanno un basso numero di rilevazioni quindi tutti i prodotti basati sulle classiche definizioni, come gli antivirus o gli antimalware, sono nella stragrande maggioranza dei casi del tutto inefficaci. La "configurazioncina" la trovi in prima pagina.

Riguardo a Java e Flash consiglio la rimozione. Con YouTube il problema non sussiste, c'é la versione HTML5 indipendente che non richiede il Flash Player. Certo altri siti minori che si basano su Flash esistono ancora ma in queste particolari situazioni si può usare ad esempio Chrome Portable con il plugin integrato PepperFlashPlayer e uBlock Origins

... Chrome Portable con il plugin integrato PepperFlashPlayer e uBlock Origins
Ad es. io uso Firefox con addon integrato che aggiorna automaticamente il flash, sia Chromium con pepper che va aggiornato manulamente.
Se la falla è rappresentata dal Flash, dove sta la maggiore sicurezza nell'usare un browser portable?
Forse mi sono perso qualche info nelle pagine addietro :asd: (che non ho letto)

Nessuna sicurezza. Ho solo detto che nel caso, saltuariamente, c'é la necessità del player per qualsivoglia motivo di non installare appositamente Adobe Flash ( quello più colpito e più diffuso, con ricadute anche in ambito Mac ) ma utilizzare un browser portable con plugin integrato, tutto qui. Io non ne sento la mancanza, benché meno di Java.

Anche io ho contratto in azienda il virus crypt0l0cker , in ufficio un dipendente ha aperto l'allegato della "FINTA" email proveniente da parte di SDA. La nostra SFORTUNA è che la nostra società aspettava realmente un pacco da parte di SDA che doveva essere consegnato un giorno prima rispetto all'arrivo di quella mail.
Inutile dire che 4TB di files sono stati criptati, comprese un innumerevole numero di fatture, e come se non bastasse siamo stati costretti a fare una miriade di segnalazioni (camera di commercio inclusa).
Siamo riusciti a risolvere grazie all'aiuto di questi ragazzi http://edit che sono ITALIANI e forniscono assistenza in ITALIANO. L'unico "problema" è che l'assistenza è solamente da remoto, quindi anche volendo non potete inviare loro il vostro pc ma dovrete seguire le istruzioni che loro vi daranno.
Inoltre specifico che, almeno nel mio caso, non mi è stato chiesto neanche 1 centesimo per l'analisi dei miei file o per l'assistenza remota ricevuta. Ho pagato solamente il programma di decriptazione che hanno appositamente creato per il mio computer, e tra l'altro la cifra che ho dovuto sborsare è molto ma molto inferiore rispetto alla richiesta fatta dai cyber criminali.

Nessuna sicurezza. Ho solo detto che nel caso, saltuariamente, c'é la necessità del player per qualsivoglia motivo di non installare appositamente Adobe Flash ( quello più colpito e più diffuso, con ricadute anche in ambito Mac ) ma utilizzare un browser portable con plugin integrato, tutto qui. Io non ne sento la mancanza, benché meno di Java.
Tanti siti lo richiedono. Come si fa a farne altrimenti?
Ad es. su Aliexp. non potrei fare il login senza Flash (non ne sono sicuro però eh)

Tanti siti lo richiedono. Come si fa a farne altrimenti?
Ad es. su Aliexp. non potrei fare il login senza Flash (non ne sono sicuro però eh)

Ho dato un'occhiata e non mi sembra che il login necessiti di Flash, ad ogni modo si stanno adattando oramai tutti a questa nuova "ottica" partendo dai più famosi cms ai siti costruiti in modo autonomo.

Anche io ho contratto in azienda il virus crypt0l0cker , in ufficio un dipendente ha aperto l'allegato della "FINTA" email proveniente da parte di SDA. La nostra SFORTUNA è che la nostra società aspettava realmente un pacco da parte di SDA che doveva essere consegnato un giorno prima rispetto all'arrivo di quella mail.
Inutile dire che 4TB di files sono stati criptati, comprese un innumerevole numero di fatture, e come se non bastasse siamo stati costretti a fare una miriade di segnalazioni (camera di commercio inclusa).
Siamo riusciti a risolvere grazie all'aiuto di questi ragazzi http://edit che sono ITALIANI e forniscono assistenza in ITALIANO. L'unico "problema" è che l'assistenza è solamente da remoto, quindi anche volendo non potete inviare loro il vostro pc ma dovrete seguire le istruzioni che loro vi daranno.
Inoltre specifico che, almeno nel mio caso, non mi è stato chiesto neanche 1 centesimo per l'analisi dei miei file o per l'assistenza remota ricevuta. Ho pagato solamente il programma di decriptazione che hanno appositamente creato per il mio computer, e tra l'altro la cifra che ho dovuto sborsare è molto ma molto inferiore rispetto alla richiesta fatta dai cyber criminali.pensa che una Situazione del genere richiede ai miei clienti circa 300 millisecondi per essere risolta.
Si 0,3 secondi.
Ti è andata di lusso hai preso tra l'altro un random evidentemente banale

Ho dato un'occhiata e non mi sembra che il login necessiti di Flash, ad ogni modo si stanno adattando oramai tutti a questa nuova "ottica" partendo dai più famosi cms ai siti costruiti in modo autonomo.
Non occorre in effetti. L'ho disabilitato su Firefox. Ma per molti contenuti, es. lo streaming tv credo sia ancora una priorità

Flash è diffusissimo ovunque e dovunque, mi pare difficile farne a meno.

Queste email SDA sono molto diffuse in questo periodo, l'anno ricevuta anche miei parenti che però l'hanno eliminata subito.

Adobe Flash è un componente morto che cammina:
Roll-out plan for HTML5 by Default (https://blog.chromium.org/2016/12/roll-out-plan-for-html5-by-default.html)
Extending User Control of Flash with Click-to-Run (https://blogs.windows.com/msedgedev/2016/12/14/edge-flash-click-run/#vEayS09RTuEke8Dv.97)
Reducing Adobe Flash Usage in Firefox (https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/)

Un paio di esempi giusto per dare una idea della strada intrapresa. Se è per questo anche Silverlight è ancora diffuso per lo streaming ( Sky Go, Mediaset Premium ) anche se lo sviluppo è fermo da anni, senza considerare che Chrome e Firefox hanno arrestato/arresteranno del tutto i plugin NPAPI e Edge non lo supporta proprio, strano visto che è fatto dalla Microsoft stessa ( N.D. Microsoft spinge verso HTML5 )

P.S. Crypt0l0cker tanto banale non è visto che la variante non è stato sconfitta.

Adobe Flash è un componente morto che cammina:...Penso ci siano milioni di siti con flash, non sarei così sicuro che verrà mai sostituito (del tutto), buona parte dei siti rimane così com'è, pagare per rifarli non è molto diffuso.
P.S. Crypt0l0cker tanto banale non è visto che la variante non è stato sconfitta.
Se i tipi l'hanno decriptato (da come si legge) allora è ontologicamente banale.
Do credito a quanto postato

Dimenticavo con chi ho a che fare...hai ragione tu su tutta la linea, Flash rimarrà a vita nei secoli e Crypt0l0cker ransomware banale, come tutti del resto.

Dimenticavo con chi ho a che fare...hai ragione tu su tutta la linea, Flash rimarrà a vita nei secoli e Crypt0l0cker ransomware banale, come tutti del resto.
Infatti fai bene a non dimenticarlo.
L'utente sopra (CIOE' NON IO) ha scritto che dei tizi gli hanno decrittato i file del Crypt0l0cker.
SE ciò è vero ALLORA si tratta di un ransomware banale, giacchè risulta possibile (secondo quanto afferma l'utente, NON IO) decriptarli.
Originariamente inviato da Eawan
Anche io ho contratto in azienda il virus crypt0l0cker...Inutile dire che 4TB di files sono stati criptati...
Siamo riusciti a risolvere grazie all'aiuto di questi ragazzi http://edit ...Ho pagato solamente il programma di decriptazione che hanno appositamente creato per il mio computer, e tra l'altro la cifra che ho dovuto sborsare è molto ma molto inferiore rispetto alla richiesta fatta dai cyber criminali.
Mi pare non serva chissà quale abilità filologica.
Prenditela quindi, eventualmente, con quell'utente, o quei tizi, io non c'entro.
I casi sono infatti:
- l'utente mente\si sbaglia
- mentono i tizi\si sbagliano
Affemano

Noi di OpenFile facciamo parte di quel piccolo ramo di persone in grado di combattere il Crypt0l0cker, e abbiamo una riuscita pari al 75% di decifrare tutti i file che sono stati criptati.
- i file sono effettivamente decrittabili e quindi il ransom è banale

QED

---
Che Flash rimarrà a vita nei secoli è una banale previsione, perchè i milioni di siti che usano flash andranno riscritti.
Chi lo farà?
Chi pagherà? Tu?

Il trend infatti non è esattamente come quello che sostieni
https://w3techs.com/technologies/details/cp-flash/all/all

e qui si vede negli anni precedenti
https://www.fastcompany.com/3049920/tech-forecast/the-agonizingly-slow-decline-of-adobe-flash-player

Insomma, flash è qui, e ci rimarrà ancora per anni, a giudicare dai trend.
Questi sono i fatti.
Poi ci sono le opinioni

Mi dispiace ma non ci entro di nuovo nel vortice di parole che portano al nulla assoluto, non una seconda volta visto che la prima mi é bastata e terminata in bellezza con l'intervento di Chill-Out. Hai ragione.

Mi dispiace ma non ci entro di nuovo nel vortice di parole che portano al nulla assoluto, non una seconda volta visto che la prima mi é bastata e terminata in bellezza con l'intervento di Chill-Out. Hai ragione.
Tranquillo, rilassati, fatti una camomilla.

O i tizi mentono, o hai scritto il falso.

Come vedi non è un vortice di parole :mc: , è una singola frase

Io non ho parlato di nessun tizio, non ho commentato nemmeno il post di Eawan fai tutto tu e la giri come vuoi...non mi piace per nulla discutere in questo modo quindi più che darti ragione non so davvero cosa fare, non ti va bene nulla. Nei miei post ultimi post "falsi" ci sono i link originali dai principali browser su Flash dove ci si può fare una propria opinione sul futuro di quel componente ( a prescindere dalla mia che si basa sulle loro scelte ) ed ho assetito che una variante non sconfitta é tutto tranne che banale ( visto che é attiva, continua a mietere vittime ed alimentare il mercato ) per concludere il falso nelle mie parole lo vedi solo tu perché le interpreti a tuo uso e piacere quando non c'é proprio nulla da interpretare.

Tranquillo, rilassati, fatti una camomilla.

O i tizi mentono, o hai scritto il falso.

Come vedi non è un vortice di parole :mc: , è una singola frase

L'unico che dovrebbe prendere una camomilla qui in mezzo sei tu.
Io ho semplicemente fatto presente che il mio problema con il crypt0l0cker è stato risolto grazie ai ragazzi di openfile, questo non implica che il crypt0l0cker è un ransomware banale (perchè ti assicuro che ho passato giorni e giorni a contattare società e a trovare rimedi su internet senza trovare una soluzione logica) o che loro siano dei geni perchè sono riusciti a decriptarlo, queste sono tutte affermazioni che stai facendo tu e di cui non trovo nessun riferimento all'interno di questo post. Il mio commento e forse anche quello di x_Master_X era per aiutare qualcuno che potrebbe trovarsi nella nostra identica situazione in futuro, i tuoi commenti invece servono solo a generare polemiche, quindi se proprio non sai che fare cerca di scaricare le tue frustrazioni da qualche altra parte.

Eawan una cosa volevo chiederti in tutta questa situazione. Hai parlato di 4 Terabyte di dati, una bella mole insomma, come è possibile che non si è\vi siete accorti di nulla durante la fase di crittografia dei dati? Immagino che per prima cosa ci abbia messo un po di tempo, poi bisogna considerare l'elevato carico su CPU e HDD con continue scritture-letture a tutti i dischi. Anche se parliamo di un occhio non esperto ( del dipendente che ha aperto la finta fattura .exe.pdf ) insomma il PC in quelle fasi risulta come minimo rallentato in ogni sua operazione, si "vede" che qualcosa non va.

...ho assetito che una variante non sconfitta é tutto tranne che banale ( visto che é attiva, continua a mietere vittime ed alimentare il mercato ) per concludere il falso nelle mie parole lo vedi solo tu perché le interpreti a tuo uso e piacere quando non c'é proprio nulla da interpretare.
Dietro questo muro di parole però non rispondi al punto-chiave.

Esistono due grandi tipologie di ransom: quelli che NON si decrittano senza pagare il riscatto (perchè sono scritti bene eccetera).

E quelli che invece SI POSSONO decrittare in autonomia, che a me paiono ontologicamente BANALI (anche se tutti i ransom lo sono, se sai come lavorare, ma questo è un altro discorso).

Io non so nulla di questo ransomstikazzi, nè mi interessa (come detto lo tolgo in non più di 0,3 secondi).

Però mi ha incuriosito un utente che dice che glielo hanno decrittato, mentre secondo quanto affermi [e generalmente difficilmente potresti sbagliare su questo tema] ciò dovrebbe essere impossibile.
Anzi i tizi dicono di farlo nel 75% dei casi, il che lo renderebbe davvero uno dei meno preoccupanti (lo ribadisco che lo dicono i tipi sul loro sito, io non c'entra nulla).

Ebbene, per andar nel concreto, in via alternativa AUT o XOR

- esiste un metodo di decrittazione (/tool già fatto), un elenco di chiavi sequestrate o quello che si vuole, che l'utente x_Master_x non conosce, e i tizi sì, nel qual caso niente di che, capita di sbagliare: il ransom è davvero banale, avendo le giuste competenze.

- in realtà non è possibile decrittare questi file, perchè il ransomstikazzi è fatto bene, ed i tipi hanno usato UN ALTRO METODO (quale?) per ripristinare i dati, e l'utente Eawan non se n'è reso conto (difficile, ma chi lo sa?)

- oppure in realtà è davvero impossibile decrittare i file, senza averne la chiave in possesso dei "rapitori". E i tipi come l'hanno avuta? Qualche ipotesi mi verrebbe, e penso che possano sovvenire a chiunque.

Mi sembra un elemento di massimo interesse per questo thread.

Cioè se "esaltare" i tipi come ottima soluzioni in casi difficili (per me son sempre banali, ma è questione di graduazione), oppure...

Eawan una cosa volevo chiederti in tutta questa situazione. Hai parlato di 4 Terabyte di dati, una bella mole insomma, come è possibile che non si è\vi siete accorti di nulla durante la fase di crittografia dei dati? Immagino che per prima cosa ci abbia messo un po di tempo, poi bisogna considerare l'elevato carico su CPU e HDD con continue scritture-letture a tutti i dischi. Anche se parliamo di un occhio non esperto ( del dipendente che ha aperto la finta fattura .exe.pdf ) insomma il PC in quelle fasi risulta come minimo rallentato in ogni sua operazione, si "vede" che qualcosa non va.

Ipotizzo si sia trattato di un file server con la condivisione dei documenti, più che un PC client utilizzato da un singolo utente (potrei sbagliare, ma è la mia impressione, vediamo se ci prendo)

L'unico che dovrebbe prendere una camomilla qui in mezzo sei tu.
Io ho semplicemente fatto presente che il mio problema con il crypt0l0cker è stato risolto grazie ai ragazzi di openfile, questo non implica che il crypt0l0cker è un ransomware banale (perchè ti assicuro che ho passato giorni e giorni a contattare società e a trovare rimedi su internet senza trovare una soluzione logica) o che loro siano dei geni perchè sono riusciti a decriptarlo, queste sono tutte affermazioni che stai facendo tu e di cui non trovo nessun riferimento all'interno di questo post. Il mio commento e forse anche quello di x_Master_X era per aiutare qualcuno che potrebbe trovarsi nella nostra identica situazione in futuro, i tuoi commenti invece servono solo a generare polemiche, quindi se proprio non sai che fare cerca di scaricare le tue frustrazioni da qualche altra parte.
Guarda, sono la calma e la tranquillità in persona, frustrazioni ne ho davvero poche :D

Mi riferisco proprio a questa incoerenza: secondo x_Master_x i tipi fanno qualcosa che è impossibile senza avere la chiave dei "sequestratori".

Quindi o x_Master_x si sbaglia (e il ransom è effettivamente banale, magari usando il tool kaspersky sticazzi/2 mettendo come parametro staceppa/3 cui nessun altro ha pensato, e quindi tanto di cappello ai tipi), o questa chiave i tipi l'hanno avuta.

A te parrà polemica, a me sembra un punto interessante.

Sennò se andiamo di "pubblicità" ti do il mio sito (sto scherzando, ovviamente!), dove vedi che una situazione del genere non sarebbe durata più di 5 minuti ed a costo zero (sto scherzando, ovviamente!) se ti fossi affidato a me per il tuo sistema informativo (o qualcuno come me, ovviamente, io a differenza dei tipi non ho metodi magici, anzi ho perfino postato dei video proprio su questo forum).

PRECISO CHE NON HO NESSUNA INTENZIONE DI FARMI PUBBLICITA' E/O PROCACCIARE NUOVI CLIENTI.
Anzi ne "respingo" già a "pacchi" dai PM, MA SOLO PORRE GRANDISSIMA ATTENZIONE SU SUGGERIRE TIZIO-CAIO-SEMPRONIO PER LAVORI A PAGAMENTO e sottolineo A PAGAMENTO

Ipotizzo si sia trattato di un file server con la condivisione dei documenti, più che un PC client utilizzato da un singolo utente (potrei sbagliare, ma è la mia impressione, vediamo se ci prendo)

Esatto il "tizio" in questione quel pomeriggio è rimasto in ufficio a lavorare, lui stava lavorando sulla posizione "A" che è connessa al "Server" a cui a sua volta sono connesse le postazione "B" "C" "D" "E"
Il ransomware è partito sul pc "A" criptando poco meno di 100gb, è passato per il server è a criptato 2 hard disk interni più uno esterno per un totale di 2.5 TB circa. Come se non bastasse il mattino successivo dato che il tizio del pc "A" dice che non si è accorto che i file si stavano criptando ha spento il suo pc (A) lasciando però il server acceso. La mattina seguente quando i colleghi sono arrivati e hanno acceso i pc B,C,D,E (non sapevano quello che era successo il giorno prima) per il ransomware è stata una grande festa, e ha finito di criptare tutte le restanti postazioni.
Vi dico che abbiamo dovuto sostenere anche la spesa (prevista per fortuna) di comprare dei nuovi hard disk che sono serviti durante il processo di decriptazione, ovvero il programma che ci hanno fornito quei ragazzi ha funzionato in questo modo :

1) scansione sul pc alla ricerca di tutti i file criptati
2) una volta trovati i file vengono CLONATI
3) vengono decriptati i CLONI
4) vengono cancellati i file criptati originali

Però prima di arrivare al punto 3/4 il vostro hard disk deve avere una capienza tale da contenere il doppio dello spazio dei dati che avete criptati, ovvero nel mio caso :

3TB di dati criptati <- Verranno eliminati
3TB dei cloni criptati <- diventeranno i file decriptati

però in questo lasso di tempo il vostro hd deve avere liberi ben 6TB e non 3TB.

Spero di essermi spiegato :muro:

Rispondo a questo famoso punto-chiave e la finisco qui.

Non è la prima volta, nel corso degli anni, che aziende-gruppi privati riescono a recuperare i dati criptati da varianti pubblicamente non sconfitte. Ne abbiamo parlato qui, ne abbiamo parlato nel precedente thread, per me e gli altri frequentatori "assidui" non è nulla di nuovo. Una famosa azienda russa, di cui non faccio il nome visto che non voglio fare pubblicità, è specializzata in queste cose ( parliamo di centinaia di euro di spesa, non proprio spiccioli )

Come fanno? Esistono diverse teorie ma visto che nessuno di noi lavora per loro sono sempre e solo ipotesi:
1) Hanno trovato una falla nella variante, sono riusciti in quello che ESET-Kaspersky etc. dopo mille analisi non solo riusciti a scovare. Bravi, peccato che hanno deciso di monetizzare la loro scoperta invece di renderla pubblica e debellare quella variante per tutti e non per chi paga
2) Hanno abbattuto il C&C ed hanno accesso ad una serie di chiavi o alla chiave master, stessa scelta del punto 1)
3) Si mettono d'accordo con i gruppi hacker per un prezzo, fanno da intermediari con l'utente e si prendono una percentuale per il disturbo

Qualsiasi sia l'ipotesi valida non sta a me dirlo e personalmente poco mi interessa. Il fatto principale è che chi viene infettato, in questo caso da Crypt0l0cker, per recuperare i dati deve pagare gli autori e/o chi per essi e/o altre persone ed il punto principale di questo thread si basa sul non pagare nessuno soprattutto se c'è la possibilità che i soldi vadano ad alimentare il mercato dei ransomware come nel punto 3)

Concludo:
Un ransomware per essere definito sconfitto ( o banale termine a te caro ) deve avere un tool di decriptazione pubblico generico ed essere decriptabile da chiunque. Finché si dovrà pagare per recuperare i dati il ransomware rimane in attività, pericoloso come tutti gli altri, e Crypt0l0cker rientra in questa categoria. Quando\se farà la fine di esempio CryptXXX allora il discorso sarà diverso, per ora non è così. Va bene come risposta?


Come se non bastasse il mattino successivo dato che il tizio del pc "A" dice che non si è accorto che i file si stavano criptando ha spento il suo pc (A) lasciando però il server acceso.


:doh:

...
Di sicuro un'esperienza non piacevole. Avete mai pensato di utilizzare un server immune ai ransom (ed altri tipi di virus)?

Rispondo a questo famoso punto-chiave e la finisco qui.

Non è la prima volta, nel corso degli anni, che aziende-gruppi privati riescono a recuperare i dati criptati da varianti pubblicamente non sconfitte. Ne abbiamo parlato qui, ne abbiamo parlato nel precedente thread, per me e gli altri frequentatori "assidui" non è nulla di nuovo. Una famosa azienda russa, di cui non faccio il nome visto che non voglio fare pubblicità, è specializzata in queste cose ( parliamo di centinaia di euro di spesa, non proprio spiccioli )

Come fanno? Esistono diverse teorie ma visto che nessuno di noi lavora per loro sono sempre e solo ipotesi:
1) Hanno trovato una falla nella variante, sono riusciti in quello che ESET-Kaspersky etc. dopo mille analisi non solo riusciti a scovare. Bravi, peccato che hanno deciso di monetizzare la loro scoperta invece di renderla pubblica e debellare quella variante per tutti e non per chi paga
2) Hanno abbattuto il C&C ed hanno accesso ad una serie di chiavi o alla chiave master, stessa scelta del punto 1)
3) Si mettono d'accordo con i gruppi hacker per un prezzo, fanno da intermediari con l'utente e si prendono una percentuale per il disturbo

Qualsiasi sia l'ipotesi valida non sta a me dirlo e personalmente poco mi interessa. Il fatto principale è che chi viene infettato, in questo caso da Crypt0l0cker, per recuperare i dati deve pagare gli autori e/o chi per essi e/o altre persone ed il punto principale di questo thread si basa sul non pagare nessuno soprattutto se c'è la possibilità che i soldi vadano ad alimentare il mercato dei ransomware come nel punto 3)

Concludo:
Un ransomware per essere definito sconfitto ( o banale termine a te caro ) deve avere un tool di decriptazione pubblico generico ed essere decriptabile da chiunque. Finché si dovrà pagare per recuperare i dati il ransomware rimane in attività, pericoloso come tutti gli altri, e Crypt0l0cker rientra in questa categoria. Quando\se farà la fine di esempio CryptXXX allora il discorso sarà diverso, per ora non è così. Va bene come risposta?



:doh:


Concordo PIENAMENTE con tutto quello hai scritto. Il crypt0l0cker (badate bene agli 0 al posto delle O) è una variante di ransomware ancora in attività e non esistono tool che siano in grado di decriptare tutto ciò.
Posso confermare però la teoria di OpenFile poichè se andate a questa pagina: http://edit
negli esempi di email "fasulle" c'è proprio quella di SDA che è stata recapitata per posta alla nostra azienda. La cosa più preoccupante è che ho letto in giro che c'è una nuova ondata di email "fasulle" che questa volta riportano un diretto riferimento a TELECOM.

Badate bene ad una cosa, queste email possono arrivare anche nella cartella principale della vostra casella email, non è detto che il vostro provider RIESCA A BLOCCARE LA RICEZIONE DI QUESTE EMAIL, E COME RIPORTATO GIA' SU DIVERSI FORUM, ALCUNE PERSONE HANNO RICEVUTO EMAIL MALEVOLE CHE NON SONO FINITE NELLA CARTELLA DI SPAM!

Non è la prima volta, nel corso degli anni, che aziende-gruppi privati riescono a recuperare i dati criptati da varianti pubblicamente non sconfitte...
Quindi, allo stato, non si sa se quello specifico ransomstikazzi è banale (cioè non richiede la chiave) oppure no.
Vabbuò ne prendo atto, come noto per me sono tutti banali da togliere, ero incuriosito da questi "magici" tipi.

@Eawan
Non che che hai tenuto due file, uno criptato e uno no, che puoi postare pubblicamente qui? Così, tanto per vedere cosa fanno i vari tools gratuiti disponibili.

Di sicuro un'esperienza non piacevole. Avete mai pensato di utilizzare un server immune ai ransom (ed altri tipi di virus)?

In tutta sincerità? Noi lavoriamo nell'ambito della tecnologia ma non siamo esperti in informatica (credo che questo si era già capito) e sinceramente non abbiamo mai ricevuto un vero e proprio "attacco informatico" come dire fino a quando non ci sbatti la testa non ti rendi conto del pericolo che puoi correre prendendo uno di questi virus. Naturalmente ora i nostri NUOVI tecnici ci hanno assicurato che una cosa di questo genere NON potrà mai più verificarsi sui nostri server. Tra l'altro ho letto talmente tanti forum in cerca di una "soluzione" e mi rendo conto che mi devo anche ritenere una persona FORTUNATA poichè quei ragazzi mi hanno confermato di aver preso una delle peggiori varianti di ransomware e hanno impiegato diversi giorni per decriptare i file, ma hanno avuto diversi casi dove non è stato possibile il recupero dei files. (mi sembra che avevano indicato la variante cerberus come non decriptabile)

Concordo PIENAMENTE con tutto quello hai scritto. Il crypt0l0cker (badate bene agli 0 al posto delle O) è una variante di ransomware ancora in attività e non esistono tool che siano in grado di decriptare tutto ciò.
E no, ti stai contraddicendo di nuovo.
- O NON SI POSSONO TECNICAMENTE DECRITTARE, e quindi qualcuno ha dato la chiave ai tipi
- OPPURE SI POSSONO DECRITTARE, con quale metodo non si sa.

Terze alternative, al netto delle frustrazioni, non ne vedo.
Posta un paio di file, chè se trovo un po' di tempo provo mentre mi defrustro.

In tutta sincerità? Noi lavoriamo nell'ambito della tecnologia ma non siamo esperti in informatica (credo che questo si era già capito) e sinceramente non abbiamo mai ricevuto un vero e proprio "attacco informatico" come dire fino a quando non ci sbatti la testa non ti rendi conto del pericolo che puoi correre prendendo uno di questi virus. Naturalmente ora i nostri NUOVI tecnici ci hanno assicurato che una cosa di questo genere NON potrà mai più verificarsi sui nostri server. Tra l'altro ho letto talmente tanti forum in cerca di una "soluzione" e mi rendo conto che mi devo anche ritenere una persona FORTUNATA poichè quei ragazzi mi hanno confermato di aver preso una delle peggiori varianti di ransomware e hanno impiegato diversi giorni per decriptare i file, ma hanno avuto diversi casi dove non è stato possibile il recupero dei files. (mi sembra che avevano indicato la variante cerberus come non decriptabile)

Mah... guarda... adesso non vorrei fare troppo lo sborrone, ma un fileserver criptato (anche con terabyte di dati) si ripristina in centesimi di secondo.
I miei (e tutti quelli come i miei, ovviamente) sì.
Poi sul "peggior variante" direi di no, penso che hai preso una della più facili (quelli davvero "peggiori" implicano piallare tutto, fattelo spiegare meglio da x_Master_x, ce ne sono tantissimi)

@Eawan
Non che che hai tenuto due file, uno criptato e uno no, che puoi postare pubblicamente qui? Così, tanto per vedere cosa fanno i vari tools gratuiti disponibili.

No, ho fatto sparire la parola "criptato" dalla mia vita, non voglio neanche più sentire parlare di file CRIPTATI. :ciapet:
Non credo sia possibile (ma non intendo testarlo) che un file criptato rimasto sul pc faccia ripartire tutto il processo di criptazione?

No, ho fatto sparire la parola "criptato" dalla mia vita, non voglio neanche più sentire parlare di file CRIPTATI. :ciapet:
Non credo sia possibile (ma non intendo testarlo) che un file criptato rimasto sul pc faccia ripartire tutto il processo di criptazione?
Ovviamente no.
Parliamo ad esempio che so della fattura12.pdf, diventata fattura12.pdf.swofkwfijwfikwfj.
non è che quest'ultima abbia particolari poteri "magici", esattamente come la prima, sono solo sequenze di byte.
lo stesso ransom (exe, js o quello che è) non fa assolutamente nulla, fino a quando non lo esegui.

vabbè mi rendo conto che per i non addetti del ramo ci sia una sorta di "terrore mistico", è comprensibile. pazienza.

comunque, giusto per curiosità e dare un contributo magari utile al thread, i NUOVI tipi cui vi siete rivolti, ti hanno spiegato come (da quanto ho capito) GARANTISCONO che ciò non accada più? Penso possa essere interessante per chi legge queste note.

Ovviamente no.
Parliamo ad esempio che so della fattura12.pdf, diventata fattura12.pdf.swofkwfijwfikwfj.
non è che quest'ultima abbia particolari poteri "magici", esattamente come la prima, sono solo sequenze di byte.
lo stesso ransom (exe, js o quello che è) non fa assolutamente nulla, fino a quando non lo esegui.

vabbè mi rendo conto che per i non addetti del ramo ci sia una sorta di "terrore mistico", è comprensibile. pazienza.

comunque, giusto per curiosità e dare un contributo magari utile al thread, i NUOVI tipi cui vi siete rivolti, ti hanno spiegato come (da quanto ho capito) GARANTISCONO che ciò non accada più? Penso possa essere interessante per chi legge queste note.

I nuovi tecnici ci hanno GARANTITO che i ransomware non possono più attaccare i nostri server per due motivi :
1) Il permesso delle cartelle, o meglio, i file non possono agire in modo autonomo su una cartella(Non chiedermi cosa centra ma è quello che ci hanno comunicato)
2) Viene fatto un backup ogni sera e messo in cloud e il "server" non è più connesso direttamente in rete agli altri pc ma dobbiamo per forza inserire una password AD OGNI ACCESSO per entrare.

I nuovi tecnici ci hanno GARANTITO che i ransomware non possono più attaccare i nostri server per due motivi :
1) Il permesso delle cartelle, o meglio, i file non possono agire in modo autonomo su una cartella(Non chiedermi cosa centra ma è quello che ci hanno comunicato)
2) Viene fatto un backup ogni sera e messo in cloud e il "server" non è più connesso direttamente in rete agli altri pc ma dobbiamo per forza inserire una password AD OGNI ACCESSO per entrare.
OK. allora non ti garantiscono nulla, sono della fascia (generalmente non parlo male di chi non conosco) dilettantistica :D

E no, ti stai contraddicendo di nuovo.
- O NON SI POSSONO TECNICAMENTE DECRITTARE, e quindi qualcuno ha dato la chiave ai tipi
- OPPURE SI POSSONO DECRITTARE, con quale metodo non si sa.

Terze alternative, al netto delle frustrazioni, non ne vedo.
Posta un paio di file, chè se trovo un po' di tempo provo mentre mi defrustro.

Intendevo che non esistono "tool" gratuiti (o facilmente reperibili) per decriptare questa variante. Tra l'altro durante i giorni di ricerca mi sono imbattuto in questo sito : https://www.nomoreransom.org/
Da quello che ho capito è un "associazione" nata per combattere i ransomware e tutti gli enti più importanti sono affiliati a questa associazione.
Su quel sito ci sono un bordello di tool, ma ti assicuro (e li ho provati tutti) che nessuno è riuscito a decriptare la mia variante.

Leggendo su questo forum ho trovato (teoricamente) la variante NON decriptabile di cui mi parlavano i ragazzi di OpenFile.
http://www.hwupgrade.it/forum/showthread.php?t=2798345
Dovrebbe essere il cerberus

Intendevo che non esistono "tool" gratuiti (o facilmente reperibili) per decriptare questa variante...
Essendo un informatico (matematico) per me la banalità consiste nell'esistenza, qui ci vorrebbe la e al contrario.
La non banalità implica la non esistenza (cioè il metodo non esiste proprio).
E, in tanti casi non banali, i tool non solo non esistono, ma non possono esistere.

Bon, appurato che hai preso evidentemente uno dei ransom meno "cattivi" (ti hanno decrittato terabyte di dati, sarei curioso di sapere l'opinione su questo caso di x_Master_x), e che i nuovi tecnici ti hanno garantito una sicurezza che mi pare quantomeno aleatoria mediante metodi che francamente mi paiono davvero inaffidabili (vediamo il parere di x_Master_x, visto che il mio non conta nulla, anzi è negativo) torno a defrustrarmi un pochino ;)

Eawan a prescindere da come ti hanno configurato il server io sono nella stragrande maggioranza dei casi per le soluzioni semplici ed efficaci, cose che può fare chiunque:
Esempio configurare i vari PC con 1 sola policy di gruppo, tramite dominio o se vuoi postazioni per postazione. La policy in questione é l'esecuzione dei soli eseguibili certificati che fanno parte della whitelist, se l'avessi avuta la fattura-ransomware non si sarebbe eseguita anche cliccandoci sopra e con essa il 99% dei malware in circolazione, esclusi particolari exploit o zero-day. Trovi maggiori informazioni in prima pagina.

Crypt0l0cker é un ransomware come un'altro, algoritmo forte con suoi bersagli definiti comprese unità di rete. Nulla di particolare o di rilevante, potrebbe come non potrebbe avere una falla nel codice che permette il recupero dei file originali, escludo del tutto bruteforce o tecniche simili.

Come crei la whitelist?

Se vuoi aggiungere alla lista x_Master_x che Emsisoft ha rilasciato il decryptor per Globe v3 https://www.bleepingcomputer.com/news/security/emsisoft-releases-a-decryptor-for-version-3-of-the-globe-ransomware/

Come crei la whitelist?

Prima pagina, sezione Come configurare il PC per evitare infezioni da ransomware? quarto punto in ordine.

Se vuoi aggiungere alla lista x_Master_x che Emsisoft ha rilasciato il decryptor per Globe v3

Ok, fatto.

Un moderatore mi ha "spedito" in questo thread, quindi scrivo qui.
Se la cosa non interessa ci vuol poco a cancellare.

Come si azzera (o meglio si riduce a livello praticamente zero) il rischio virus in generale, ransom in particolare, ma anche dipendenti infedeli, o perfino errori involontari, nell'ambito aziendale?

Per me sono problemi banali; personalmente (anche se mi sono beccato i soliti mille improveri frizzi e lazzi) è il cervello il primo antivirus, ovvero la formazione è indispensabile per PREVENIRE.

Non sono molto favorevole a metodi di stile lacci & lacciuoli, come usare utenti con privilegi minimi (due @@ ti chiamano ogni 10 secondi per installare la stampante, la videocamera, la nuova versione del gestionale...)

Non sono neppure molto favorevole a policy di esecuzione a whitelist, insomma in generale sono per la libertà... consapevole, anche perchè gli utenti normalmente devono lavorare e non cazzeggiare.
E se non lavorano perchè questo o quello è bloccato ciò non è bene.

Non so se l'argomento è di interesse diffuso, ma tanto sono abituato a sospensioni e ban vari e sfrutto il periodo festivo :D

Precisazione: per ambito aziendale intendo quello in cui esiste almeno un server che fornisce vari servizi, in questo caso un fileserver, ovvero la condivisione di tante cartelle che vengono poi accedute da tanti client Windows.

Tralascio le configurazioni non-Windows (cioè con client Linux o quello che è), magari per altro post (sì, come no...)

Ci sono varie alternative a seconda di
1) aziende dove il server fa SOLO il file server CIFS o SMB che dir si voglia
1a) con gruppo di lavoro
1b) con dominio Microsoft
2) il server dà servizi servizi non microsoft (esempio: server web e mysql per un gestionale interno)
3) il server è necessariamente Microsoft, perchè ad esempio ci gira sopra MS-SQL
4) si lavora in ambito virtuale.

Premessa: la soluzione è banale, non è che sto proponendo chissà che cosa misteriosa, è quello che un sistemista di medio calibro dovrebbe già saper fare.
Niente voodoo, niente riti esoterici.
Niente gruppi segreti che si sussurrano chissà quale "segreto" per far colpo sui forrruuummm.

Il "proiettile magico" si chiama zfs, ovvero un filesystem che dispone della capacità di fare snapshot; anche qui il sistemista medio dovrebbe già saper tutto.

Avevo già scritto più volte, comunque in sostanza si tratta del filesystem utilizzato dai sistemi operativi Solaris (e derivati), BSD (e derivati) ed anche, in misura meno affidabile, Linux.

Non esiste per Windows; esistono altri filesystem ancora più evoluti (es. per dragonfly), ma lì entriamo in ambiti davvero di supernicchia.

1) Il server funge unicamente da file server.
Ci sono due grandi sotto-possibilità:

1a) gruppo di lavoro
1b) dominio

Il gruppo di lavoro non dovrebbe esistere in ambito aziendale, ma invece spesso è utilizzato per comodità e gestione tendente a zero di complessità (spesso addirittura un utente per tutti...)

Andando nel merito le scelte più adatte sono sostituire la macchina fileserver Windows (o il NAS tipicamente basato su Linux e quindi sui filesystem ext3\ext4, sono rari gli altri dotati di zfs, ma esistono, normalmente di fascia alta, molta alta. Se avete un NAS zfs sapete già tutto, quindi non proseguite con la lettura) con "qualcosa" di diverso.

Il "qualcosa" può essere

1) Sistema operativo Solaris (11.x)
Richiede una buona conoscenza di UNIX (che non è Linux); ha il grande vantaggio di avere il supporto Oracle, quindi ci funziona sopra MySQL e VirtualBox.
Non molto adatto per sistemisti non evoluti (qui dipende da cosa si intende per sistemista, ma lascio perdere)

2) Distribuzione Solaris-based. Ce ne sono numerose (in realtà sono 2 le più diffuse).
Io consiglio nexentastor, per usi fino a 10-16-18TB di dati è completamente gratuita (dipende dalla versione).

Sotto spiegherò qualcosa, per ora basti sapere che è una sorta di "distro" con interfaccia GUI accessibile da Web che, alla grossa, consente di condividere delle cartelle su una rete Windows come se fosse un file server Microsoft.

Ha però tre "piccole" differenze.
-Non piglia i virus (non è poco)
-Non richiede controller RAID hardware, anzi meno "intelligenti" sono i controller, meglio è.
-Ha ZFS con supporto versioni precedenti e addirittura ACL CIFS

Anticipo l'esempio che poi posterò.

Supponiamo di avere un qualcosa classico, tipo un \\server\dati con dentro tante belle cartelle e sottocartelle.

Supponiamo di prendere un ramsomstikazzi, che cripta tutto quanto dentro \\server\dati.

Anzi meglio, in parte cripta, in parte no (la differenza non è banale, se hai 10 milioni di file anche solo capire cosa è criptato e cosa no non è banale)

Situazione Microsoft: panico.

Situazione snapshot zfs: "torna indietro a come erano i file 2 ore fa (o 10 minuti fa)".
Pum.
300 millisecondi (grosso modo), e tutto il ransom viene spazzato via.

Ovviamente ciò vale anche per una cancellazione errata, o magari una sovrascrittura (salvo il file X.pdf col nome Y.pdf e perdo il vecchio Y.pdf), un dipendente infedele, un aggiornamento fallito eccetera.

Bene questa "magia" è gratis.

Lo ripeto.

GRATIS

Quello che serve, oltre alla conoscenza, è una macchina (il server) anche di fascia bassa, del costo grosso modo di 300 euro + la RAM (quindi sui 600 euro), più i dischi (ma quelli costano uguale qualsiasi sistema si utilizzi).

Più la conoscenza.
Che non è affatto gratis, anzi si paga cara, molto cara.
Oppure la si apprende gratis.
Qui :D
---
Tornando al caso Solaris, il supporto CIFS-ACL significa che i privilegi si impostano da Windows.

Da un client WINDOWS posso dire "l'utente tizio legge sulla cartella contabilità", l'utente caio legge e scrive,l'utente sempronio può accedere a tutto.
Questo è bene, nel senso che - una volta configurato il server Solaris-based - anche un utente "normale" può decidere tutte queste belle cose.

Sembra banale? Non lo è affatto.
Dare i privilegi agli utenti è spesso una gran rottura, se questi possono usare l'interfaccia standard Windows è tutto più facile, basta loggarsi (da Windows) come utente root (con relativa password) al server Solaris.

3) Sistema BSD-based.

Invece di utilizzare Solaris, quindi UNIX, come sistema operativo, si può utilizzare uno dei vari "cugini-UNIX",
che poi sono i sistemi BSD.
FreeBSD al primo posto, PC-BSD al secondo (li conosco praticamente tutti, anche quelli più esoterici come dragonfly, ma non ci allarghiamo. Per inciso sono una trentina, non come le distro Linux che sono a centinaia se non migliaia).

FreeBSD, per chi non lo conosce, è un sistema operativo "simile" a Linux (in realtà c'è sopra GNU),
molto più sicuro e stabile, ed è la basa che è state "piratata" da Apple per fare MacOS.

Preciso che la particolarità della licenza BSD (Berkley) è proprio quella della massima apertura: puoi prendere il codice e "inglobarlo" dentro qualcosa che venderai (a differenza della licenza GPL). Ecco perchè Apple, furbescamente, se n'è impadronita: aver un substrato solido, solidissimo, a costo zero.

Praticamente MacOS è una "variante" Freebsd con un filesystem demmerda (grandissimo errore di Apple, per mantenere la retrocompatibilità con i vecchi sistemi) e una interfaccia grafica carina, molto carina.
Essenzialmente se uno conosce FreeBSD tipicamente ... conosce MacOS (e chiunque abbia aperto il terminale Apple si troverà a "casa" su BSD).

PC-BSD è la distribuzione basata su FreeBSD con una interfaccia grafica "stile linux" e soprattutto una
interfaccia grafica per un programma che si chiama lifepreserver (il che è tutto dire), a sua volta un gestore (che poi sono scriptoni shell, spesso da correggere a mano per FreeBSD) di snapshot "simil time machine" (per chi conosce Mac).

Comunque, tornando al punto, ci sono poi altre 3 possibilità (principali)+1 nel mondo BSD che consiglio

- FreeBSD "liscio". Cioè si utilizza il sistema operativo e si configura il relativo Samba 4. Spesso lo uso, ma è un po' una rottura per la gestione dei privilegi di accesso alla cartelle, si fa tutto con vi e vim.
La prima scelta quando sopra ci devono girare altri programmi, e quindi deve essere aggiornato.

- ZFSGuru: distribuzione basata su FreeBSD con interfaccia GUI (web based). Non è molto sviluppato, ma ha una
interfaccia utente meravigliosamente veloce.
E' anche piccolissimo (4/6GB) ; purtroppo supporta Samba 3.6 (e non 4), il che ha dei limiti e soprattutto dei problemi in certi casi (qui ci va lo spiegone su come si configura smb.conf o smb4.conf per l'uso con ZFS, cosa per nulla banale). La mia prima scelta per serverelli da poco, che fungono essenzialmente da NAS, con la possibilità per i clienti di dare accessi lettura-scrittura trascinando icone con Firefox
Mi riprometto più volte di fare il porting alla versione 11 di FreeBSD, ma sono pigro e spero che qualcun altro lo faccia

- FreeNAS: distribuzione sempre basata su FreeBSD, con interfaccia GUI (web based).
Adatta per NAS e fileserver.
Ha un'interfaccia a mio parere pessima, lentissimissimissimissimisssima, però ha un supporto (forum) di gente in gamba ed è molto diffuso,sia in ambito casereccio che professionale.

- PC-BSD: come detto introduce su FreeBSD alcuni programmi GUI comodi; normalmente viene usata su notebook e PC piuttosto che server, ha una funzione carina di reinstallazione totale del sistema, prendendolo da un altro (un wrapper zfs receive, ovviamente). Lo uso poco, principalmente per debuggare lifepreserver su FreeBSD

Bene, qualsiasi "GUSTO" di BSD si scelga, si ottiene in sostanza una configurazione Samba su ZFS.
In pratica posso fare tutto quello che si fa su Linux (con Samba appunto), più gli snapshot zfs.

La scelta tra Solaris e BSD si fa su questi requisiti:
Solaris non funziona come server di dominio, BSD sì (Samba)
Solaris configura le ACL da Windows, BSD no
Su Solaris funziona bene VirtualBox, su BSD no (o meglio lascio stare lo spiegone)
Su BSD ci sono praticamente tutti i programmi "Linux" aggiornati, su Solaris spesso no



1b) Caso del dominio.
Come sopra accennato Solaris non supporta il dominio (PDC alla NT4), perchè NON usa Samba (bensì il suo CIFS, molto più avanzato).
Quindi O ci si orienta su BSD (e quindi si va di normalissimo Samba4, esattamente come si farebbe su Linux, per cui ci sono millemila guide) oppure si usa un PDC "a parte".

"A parte" può essere ad esempio un NAS Qnap di fascia medio-bassa, che in sostanza funge da controller di dominio,
cui joinerò il server Solaris.
Questa può essere una buona scelta in ambito aziendale, dove non è un grosso problema spendere qualche centinaio di euro per un NAS che poi verrà usato anche per i backup (ovviamente attenzione a scegliere un modello che può fare il PDC, si parla normalmente delle versioni con CPU Intel, cuttone sullo spiegone sui vari tipi di NAS Qnap. Alcuni fungono da PDC, altri no. Talvolta anche modelli molto costosi non lo supportano).

Oppure si passa al mondo virtuale (cui prima o poi magari spiegherò), dove si fa girare su un certo server
(esempio ESXi) un controller dominio basato su Samba (tipo Zentyal ad esempio), col suo servizio DNS specifico,
cui joinerò la macchina virtuale o fisica Solaris (es. Nexentastor).

Il risultato netto è sempre quello: gli utenti Windows non si accorgono di usare un sistema non-Windows, ma ciò accade.
Inoltre, nel caso di Solaris, la linguetta "versione precedente dei files" (di Windows) è automaticamente supportato.
Nel caso di BSD bisogna configurare all'uopo smb(4).conf
Poi un esempio.

---
Insomma a questo punto siamo a "posso integrare un file server nella rete che scatta "istantanee" (snapshot) ogni TOT di tutti i miei dati".

TOT tipicamente viene "scalato" con regole di mantenimento diverse: es. uno ogni 5 minuti tenuti per un giorno.
Una ogni ora tenuta per una settimana; uno al giorno tenuto per sempre eccetera.

L'hardware necessario non è diverso da un server "normale"; si consiglia l'uso di memoria ECC (qui cuttone sul perchè e il percome serve o no serve su zfs, come e perchè ci sono i "terroristi" del resilvering eccetera).
Il software è gratuito (del tutto, BSD\Solaris, fino a 18TB Nexentastor).

La messa a punto di BSD non è banale, o meglio lo è se si sa cosa si fa.
Solaris (Nexentastor) più facile.

Le prestazioni sono MINORI rispetto a un file server Microsoft privo di snapshot.
Qui si apre un sotto-argomento sulla rete.
Se si ha una rete gigabit è un conto, se 10Gb è un altro.

Nel primo caso, più comune, cioè di rete gigabit, allora è facile fare un hardware solaris-bsd-zfs che saturi la banda, cioè trasferisca più dei fatidici 100MB/s. A quel punto non c'è differenza di velocità tra una macchina Microsoft e un'altra: entrambe sono plafonate dalla capacità tramissiva della rete.

Se invece la rete è da 10Gb allora la cosa è diversa, molto diversa, perchè la messa a punto di un server BSD su rete 10Gb richiede... un sistemista come me, altrimenti alla fine si ottengono magari 120MB/s da un hardware che ne fornirebbe 500.

Non credo di aprire in questo thread il "corso di reti ad alta velocità"

============
Flash sul mondo Server Windows (prima di andare a cena).

Supponiamo di avere un server Windows, perchè a me piace Windows, oppure ho il mio active directory, SQL Server e così via.
Bene, cosa fare?

Lo virtualizzi (penso si sia capito che Windows e snapshot non vanno d'accordo) e poi dipende se hai una o due macchine.

Se ne hai UNA, quindi con storage "dentro", metti sul server fisico una macchina virtuale Solaris, da cui puoi fare due esportazioni

- iSCSI
- NFS

Nel primo caso monterai nella macchina Windows (virtuale o fisica, ma normalmente virtuale) il disco iSCSI di Solaris.
Questo normalmente non si fa, a meno che per qualche motivo non si voglia procedere così (usualmente per ragioni di sicurezza evitando le condivisioni NFS).

Monti la condivisione NFS come storage di ESXi, e lì sopra (cioè nel file VMDK creato da ESXi dentro la condivisione NFS che poi è alla fine una cartella del server Solaris) ci metti la macchina Windows che sta serena.

In questa ipotesi il server Microsoft non ha la minima idea che il suo disco NON risiede su un hard disk, e tutti i vari programmi funzionano come al solito, non serve un sistemista UNIX o esperto Vmware per la manutenzione giornaliera (della macchina Windows) eccetera.

Bene, però, spero sia chiaro che la macchina Solaris (o BSD) che esporta su iSCSI (o NFS) andrà impostata per snapshotta-re ogni tot (ad esempio ogni ora) il dispositivo a blocchi (iSCSI) oppure il filesystem (NFS).
Come accennato preferisco di gran lunga quest'ultimo, anche perchè si possono vedere i file da Solaris (mentre per iSCSI ovviamente no), rendendo semplice tar, rar, cp e chi più ne ha ne metta.

Il risultato finale è quello di avere tanti snapshot di un intero server Windows (e quindi tutti i suoi dati, programmi e quant'altro), sicchè un eventuale virus, ransomstikazzi, installazione di windows update fallita, aggiornamento del gestionale che pialla le configurazioni, utenti che cancellano i dati eccetera, cui posso in un tempo più lungo (tipicamente circa 5 secondi, invece di 0,3s) ripristinare le situazioni.

Un po' come avviene con gli snapshot delle macchine virtuali (per chi li conosce).

Stessa cosa nel caso di "storage fuori" (caso piuttosto comune): metterò sulla seconda macchina Solaris (o FreeBSD) fisico, quindi con overhead basso, esporro iSCSI/NFS, li monterò dal server di virtualizzazione e via col liscio.

Fino a poco tempo fa era una configurazione molto comune ("fuori"), oggi stranamente si torna a quella "dentro" perchè i dischi SSD, e soprattutto i Nvme, sono moooolto più veloci di qualsiasi connessione gigabit, e le reti a 10/40Gb sono costose e difficili da gestire.

Client Windows

Avevo fatto pure la versione per client Windows, cioè come si "proteggono" le macchine, con relativo video, ma è stato cancellato dai moderatori.

Sempre sul fronte client Windows [nell'ipotesi di non fare un boot da rete come nel mio esempio] penso sia abbastanza ovvio (o almeno lo è per me) come si possano fare degli "snapshot dei poveri": usando i vari servizi "alla dropbox" disponibili (owncloud, perfino xpen)

In pratica, sempre su una macchina virtuale, attivo il servizio di sincronizzazione dei file (esempio del desktop) dei client all'interno di varie cartelle.
Questo non è molto pesante (parliamo di client normali, segretarie eccetera); poi vado di snapshot delle cartelle su cui sincronizzo i file.
In tal modo il solito ransomsticazzi che mi cripta il client sincronizzerà le copie, criptandole a loro volta.
Ma posso tornare indietro (dalle copie) banalmente, sicchè una volta tolto il ransom (eseguibile) dal client, rollback a versione precedente dei dati più importanti (posta elettronica, desktop) et voilà me li ri-sincronizzerà sul cliente, eliminando le cartelle infette e rimettendo quelle "pulite".

------
Inciso sulle macchine virtuali. Ci si potrebbe chiedere "perchè non usare gli snapshot ad esempio vmware" ?
Riposta: perchè sono costosi e lenti.
Costosi in termini di tempo che impiegano, di spazio disco, di affidabilità, e ci mettono molto.
Chiunque ha fatto un "consolida" snapshot ESXi sa benissimo cosa succede, non mi dilungo.
Essi (gli snapshot) non sono, nel mondo vmware, un metodo per fare "backup", bensì (cito la documentazione ufficiale, che dò per nota) solo un "qualcosa" adatto principalmente per fare test di aggiornamento, per poi essere eliminati subito, o comunque il prima possibile.
Impensabile quindi fare snapshot di una macchina virtuale ogni 5 minuti, o anche ogni ora: nel giro di 1 o 2 giorni diventerebbe più lenta di uno Spectrum Sinclair, e riempirebbe qualsiasi hard disk si possa comprare oggi.

Mentre gli snapshot zfs sono velocissimi (avevo fatto lo spiegone sul cow e perchè e percome funzionano, ma penso cancellato), costano poco (spazio).

Lascio stare, per amor di patria, i VSS (le shadow copy) di Windows, anche qui avevo già fatto lo spiegone sul perchè e percome funzionano, e quando no, ed a cosa servono, perchè sono state inventate e via cantando.

-------
Si capisce? Non so, spero che almeno qualche idea sia "permeata".
Se a qualcuno interessa si può riorganizzare ed approfondire.
Soprattutto un buon smb.conf vale tanto oro quanto "pesa" (perchè ci sono tutti i problemi di case, di lock, di versioni precedenti e chi più ne ha ne metta).

Spesso ci vogliono un paio di mesi per farne uno che funziona bene, anche 6 mesi in casi complessi.

Ecco un impiantino del genere (cioè per piccole aziende fino a un centinaio di utenti)
http://i64.tinypic.com/2cpbziu.jpg

Concludo per stasera con: non è che tutto questo sia "magico", non sono uno dei pochi al mondo (com'è che hanno scritto i tipi?...) a conoscere queste cose (magari uno dei pochi a metterle in produzione, cosa che non è un sinonimo)

Certo io non mi intendo di queste cose, è un fatto risaputo, quindi provate anche solo due ricerche: zfs ransomware
e zfs snapshot, e magari arriverete a

CryptoLocker is a joke with ZFS1

Dopo l'introduzione direi di andare un pochino più nel concreto, ovvero come farsi un piccolo file server immune a ransomstikazzi.
Visto che le possibilità sono varie (Solaris-BSD-Virtuale) provo a procedere per ordine, cominciando da Solaris,
o meglio una distro Solaris-based (se trovo il tempo metto pure il sistema operativo "vero" della Sun per server, insomma... UNIX "serio" per "uomini duri").

Nexentastor
Innanzitutto preciso che Nexentastor dà 16TB di spazio (gratuito) per la versione community 3.x/4.x
Dalla 5.x si è ridotta a 10TB.
Comunque il link è questo
https://community.nexenta.com/s/

Link a distrowatch (molto sintetico) https://distrowatch.com/table.php?distribution=nexentastor

Link alla ISO 4.0.4 (cioè l'ultima con 16TB di spazio gratuito) si chiama
NexentaStor-Community-4.0.4-GA.iso (nel caso fossero importanti i 6TB in più consiglio questa)
http://physics.princeton.edu/it/software/free/

Di cosa si tratta?
Ovviamente trovate tante guide internet, forum, youtube.
Per farla è un'interfaccia GUI (cui si accede da un browser) appiccicata sopra un fork più o meno
libero del sistema operativo Solaris.
Non sto a fare la saga di quest'ultimo perchè è più complessa di Beautiful.

Sia come sia, scaricata l'ISO da circa 600MB, e masterizzata su un DVD, si è pronti per installare la macchina fisica o virtuale.
Attenzione: ho scritto volutamente "masterizzata", perchè per l'utente normale, ma anche quello di fascia "smanettona", installare
Solaris da una chiavetta USB non è banale per nulla.

Non si tratta di Linux, questo va ben ricordato: "sembra" simile (riga di comando, ls, cp, cat), ma "sotto" è completamente diversa.
E per "completamente", intendo "completamente", così il boot è un mondo totalmente alieno.
Pensato per avviare i server Sun, cioè macchine addirittura con processore NON Intel, cioè i mitici SPARC.
Insomma... roba seria :)

Bene, dopo aver in qualche modo installato la macchina (fisica o virtuale), con un installer simile
a quello testuale Slackware e simili, bisogna iniziare a dare qualche consiglio (sennò tutti son capaci a
seguire pedissequamente un video youtube).

ZFS nasce con Solaris, quindi è strettamente integrato con esso (molto più che con BSD).

Per l'operatività del nostro serverino (o NASsone che dir si voglia) possiamo utilizzare un singolo disco
(normalmente si adopera un SSD economico da 32GB), oppure due (mettendoli in mirror, cosa buona e giusta),
oppure tre (sì, nulla vieta di metterne 3 economici, questo è il mondo zfs, non Windows :)

Dipende ovviamente da quante porte-disco abbiamo a disposizione; su server con moltiplicatori SAS non è difficile averne un centinaio liberi.
Su una macchina più piccola potrebbero essere limitati tipicamente a 6.

Nulla vieta di far funzionare Nexentastor da una chiavetta USB (... o magari... due chiavette USB in mirror...
questo continua a non essere il mondo Windows :) ), per risparmiare porte-disco.

I requisiti hardware sono "normali"; una CPU dignitosa (talvolta si usano anche gli HP NL40, cioè con Atom),
una quantità di RAM dignitosa (diciamo 8GB a salire a seconda del carico; nulla vieta di metterne ad esempio
16 o 32).
La RAM viene usata efficientemente come cache, quindi più è, meglio è.
Inciso: leggerete che con zfs ci vogliono zetabyte di RAM.
E' falso, questa leggenda metropolitana è riferita a chi non ne conosce il funzionamento, e in particolare per la deduplicazione a livello di blocco.
Argomento che avevo già spiegato, magari poi lo ripropongo che l'aspetto informatico delle liste di hash.

Sia come sia, fidatevi di me e un serverino Solaris con 8GB (senza duplicazione) già è dignitoso (che per me significa >100MB/s,
il nostro obiettivo è saturare la banda gigabit, come detto sopra nella fascia 10Gb ci vogliono professionisti e hardware diverso).

OK, diciamo quindi 16GB di memoria, possibilmente ECC.
Perchè ECC? Qui parte un pippone gigantesco sull'uso di zfs con o senza ECC, per un possibile problema che
può capitare se si è supersfigati al massimo livello (cioè accade un errore di memoria proprio quando si sta
scrivendo una delle parti più importanti del disco, questo determina la perdita dell'intero contenuto !)

Anche qui ci sono un sacco di forummisti (tipicamente del forum FreeNAS) che spiegano il perchè e il percome
non va mai usata memoria ECC con zfs, mentre altri vi spiegheranno che uno degli architetti di zfs
(cioè una delle circa 10 persone che materialmente l'hanno scritto, quindi non l'ultimo degli scemi)
stima che l'uso senza ECC sia sicuro quanto usare ECC con ad esempio Linux.

OK, finito il pippone, il mio consiglio è: acquistate un serverino, nuovo o usato, che supporta la ECC e
state sereni.

Parliamo ora del controller, elemento fondamentale.
Non deve esistere, o meglio più è stupido, meglio è.
Niente controller RAID LSI costosissimi, niente cache, niente batterie, nulla di nulla.
I controller Intel vergognosi delle schede madri odierne vanno benissimo.
Per avere più porte è normale dotarsi di economici controller (spesso usati) IBM-LSI privi di BIOS RAID,
anzi flashandolo con versioni appositamente disabilitanti tutte le funzioni RAID.

Magari qui potrei scrivere i vari modelli, ma se e solo se qualcuno è così pazzo da voler provare a liberarsi
dall'incubo ransomstikazzi seguendo queste note.

Perchè questo? Perchè zfs agisce come una specie di "supercontrollerintelligente RAID-Hokuto".
Mentre però il tipico controller costososissimo è dotato, poniamo, di 1GB di RAM e di un processore dual
core da 800Mhz, zfs usa... 16GB di RAM e una CPU a 4Ghz con 4 core (... cioè... il PC stesso).
Insomma usa il PC come "controller RAID", ovviamente con prestazioni enormemente superiori a qualsiasi controller.


Arriviamo alla scheda di rete, che deve essere supportata da Solaris.
Lascio stare la possibilità di installare a mano un driver diverso (!), cosa che vi assicuro non è banale per
nulla (di nuovo, questo NON è Linux).
In generale però è di "bocca" buona, e le varie schede Intel integrate vanno benissimo.
C'è un elenco di compatibilità hardware sul sito, dove si può vedere quali vanno bene.

Okkkeeeeyyy (come dicono i ggiovani), siamo arrivati ai dischi.

La scelte sono varie: SATA magnetici, SATA SSD, SAS magnetici (SAS SSD non ne ho mai avuti su Solaris).
Poi ci sarebbero gli M2 (o NVME) che però, di nuovo, su Solaris non ho mai usato (per ora), quindi non consiglio nulla.

Bene, lo standard sono i banalissimi dischi SATA, magnetici o SSD.
ZFS può usare i dischi SSD sia come cache in lettura, sia come cache in scrittura.
Era stato pensato (questo accrocchio), quando erano piccolissimi e costavano tantissimo, un po'
come la tecnologia MaxIQ di Adaptec (per chi ha consuetudine con questi controller).

Vabbè, oggi è praticamente inutile, conviene andare direttamente su TUTTO SSD, cioè usarli per mantenerci i dati.
Come modelli suggerisco i Samsung 850 PRO (uso tranquillo), con un budget un po' migliore i Samsung
SM863. Nulla vieta, come detto, di usare dischi economici.

Perchè? E' presto detto: la funzionalità zfs di checksum integrale consente di sapere sempre se i dati sono
integri, fino all'ultimo bit.
In altri termini posso usare due SSD decenti, ma economici (tipo la serie EVO), e poi controllare se funzionano perfettamente
e farmi inviare una email da Nexentastor col risultato del test.

Sulla fascia magnetica ovviamente c'è il solito assortimento WD, Seagate, HGST.
A me personalmente piacciono gli HGST 7k6000, che prediligo in versione SAS collegati a controller Adaptec 2805 con relativo
cavetto SF8087-8482.
Se vi chiedete perchè usare un vecchio controller da 3Gbit con dischi (teoricamente) da 12Gbit, la risposta risiede
nel poco calore sviluppato, sicchè si può evitare la ventilazione attiva necessaria invece ad esempio per gli LSI moderni,
che si friggono letteralmente se non ci si mette sopra una ventola homemade.
Considerata che la velocità dei dischi meccanici effettiva è di circa 170MB/s, ecco che i 3Gbit sono sufficienti.
Questo è importante, cioè basse temperature significano meno rumore, ma soprattutto meno calore e più affidabilità nel lungo periodo.

Vabbè se non volete complicarvi la vita con SAS pigliate le versioni SATA e buonanotte :)

Dopo questa superpreparazione parliamo un attimo delle versioni "raid" di zfs.
Ce ne sono di vari tipi (simili a RAID-6), con ridondanza multipla, o il banale mirror (RAID-1).

Siccome mi sto stancando per ora consiglio di andare banalmente di mirror, cioè usare due dischi (o tre, per i paranoici)
uguali.

Siamo sempre nell'ipotesi di un collegamento gigabit, e in questo caso un singolo disco moderno satura la banda.
Se invece avessimo un impianto da 10Gb, allora si possono pensare configurazioni più avanzate per avere prestazioni in lettura
maggiori (anche nella fascia di 1GB/s. Un gigabyte al secondo, non un gigabit), dove ci vogliono più "dischi in parallelo".
Come detto non ho (ancora) usato M2 su Solaris, quindi non dico nulla.

OOkkeeeey, riassumendo per chi non si è sorbito il pippone
- server con supporto ECC, diciamo 16GB (minimo 8, minimissimo 4, 32 o più meglio ovviamente)
- lettore DVD (usb o fisso)
- niente controller strani RAID (quindi scheda madre con parecchie porte SATA)
- uno\due dischi SSD piccoli per il sistema operativo / una\due chiavette USB allo stesso scopo
- storage a coppie di dischi (in mirror), SSD o magnetici (o magari 2xSSD e 2xmagnetici), normalmente SATA
- scheda di rete Intel integrata (o aggiunta, controllare compatibilità)

Con questo "armamentario", che per inciso costa grosso modo a partire da 600 euro più i dischi, nelle prossime puntate
vedremo come mettere nella nostra rete un file server (in gruppo di lavoro, per ora) che

1) se ne frega dei ransomstikazzi
2) mostra i dati come erano ieri, l'altro ieri eccetera. Se per sbaglio cancello un file, niente paura, se è passata più di un'ora
da quando è stato scritto lo riprendo
3) mi dà la garanzia assoluta, e sottolineo assoluta, che quando passo il test di integrità positivamente i miei dati non sono corrotti.
4) mi spedisce le email di verifica da solo (tipicamente una volta alla settimana)
5) lo "programmo" da browser web (oddio, non è proprio l'interfaccia più amichevole, comunque ci si fa la mano)
6) non esiste più scandisk o fsck. se, per dire, tolgo la corrente mentre sta scrivendo, e lo riaccendo,
riparte immediatamente, non sta lì magari un pomeriggio a controllare l'integrità del disco
7) posso fare degli snapshot del sistema operativo prima degli aggiornamenti.
In pratica al riavvio del SO posso scegliere di "tornare indietro" prima degli aggiornamenti che ho installato
http://i65.tinypic.com/sdinua.jpg
Come qualsiasi sistemista sa bene l'aggiornamento di un sistema è sempre un potenziale dramma.
Qui, no

Dopo tutto questo gran pippone ecco l'esempino

ho creato una condivisione

http://i66.tinypic.com/14wzih4.jpg


essa appare come una normalissima condivisione di rete Windows
http://i64.tinypic.com/1447cxz.jpg

Loggandosi come utente root è possibile dare da Windows i diritti
agli utenti; nell'esempio tutto a everyone


Ho impostato 3 livelli di snapshot:
uno ogni 10 minuti (mantenuto per un giorno)
uno ogni ora (mantenuti per una settimana)
uno al giorno (mantenuto per un anno)

http://i67.tinypic.com/6j2883.jpg
http://i67.tinypic.com/rw2f4m.jpg

Nel mentre gli snapshot vanno avanti da soli...
http://i64.tinypic.com/1zh1mis.jpg

... sono visibili come "versioni precedenti" di Windows
http://i68.tinypic.com/vywpdv.jpg

Ora carichiamo un poco di dati...
http://i63.tinypic.com/k394bk.jpg

SDIIINAGGG... qui facciamo finta che un ransom brutto e cattivo
abbia non solo cambiato i file, ma addirittura li abbia cancellati
(non ho un ransom vero sotto mano, ma pazienza)

http://i66.tinypic.com/16ib4ao.jpg

Adesso devo cercare uno snapshot in cui i dati sono integri.
Come faccio? Banale, appare una finta cartella .zfs
dentro cui si trova una snapshot, con dentro tante cartelle
quanti snapshot ci sono.
Aprendole ne scelgo una prima dell'intervento del ransom
http://i63.tinypic.com/10r34tx.jpg

A questo punto già potrei fare un copia-incolla di tutto quanto
su altro server eccetera.
Però me ne frego, e vado dritto...

In questo caso vado proprio di rollback
http://i66.tinypic.com/2r4u7ax.jpg

... e il ransom non c'è più...
http://i63.tinypic.com/28m2tj7.jpg

Spero si capisca grosso modo come il "babau" in realtà è banale da eradicare.

Il video non l'ho fatto, casomai qualche moderatore me lo facesse secco di nuovo, ma il tempo di rollback è praticamente immediato (fidatevi sulla parola, oppure provate, che devo dire?).
A dir la verità su sistemi con migliaia di snapshot possono essere necessari anche un 10/20 secondi.

Prima o poi (visti gli entusiastici commenti direi poi tendenti al mai) la situazione con dominio, FreeBSD/FreeNAS, e server Windows ospitati su NFS o iSCSI (personalmente preferisco di gran lunga il primo)

https://s27.postimg.org/k7n43z1q7/Image_1.jpg (https://postimg.org/image/k7n43z1q7/)


:D

Gli snapshot esistono da una vita e sono integrati in soluzioni aziendali ancor prima che i ransomware fossero inventati, ma rimane una mitigazione del rischio.
Bisogna specificare che chi è stato infettato e non ha la possibilità di ripristinare una copia precedente del file rimane fregato (praticamente tutti gli utenti sulla faccia della terra, sono pochi già quelli che fanno un backup su hdd esterno... pensa quelli che fanno gli snapshot :mc:), inoltre si deve sostenere un costo minimo per la creazione di un nas (cosa che magari l'utente medio che usa il pc per guardare lo streaming dell'ultimo cinepanettone non vuole fare ma soprattutto non saprebbe nemmeno da che parte cominciare per mettere su una soluzione del genere).
Ed ecco che le soluzioni postate ad inizio thread risultano già abbastanza efficaci per mitigare il rischio infezione da ransomware a costo zero (o quasi se magari si considera l'acquisto di un software anti-ransomware o di altri software che applicano le restrizioni in automatico) pur restando la soluzione degli snapshot ottima.

Per chi è stato infettato dagli ultimi ransom ed ha i propri dati criptati non avendo attuato nessuna soluzione precedente non c'è via di scampo, aspetta che qualcuno trovi la soluzione (a pagamento o meno) che possa essere la masterkey, il reverse engineering o altro per riappropriarsi dei dati.
EDIT: quasi dimenticavo, ormai i ransomware si diffondono anche sulle smart tv (android) quindi non so fino a che punto qualsiasi tipo di soluzione attuata oggi possa essere utile e come l'evoluzione di questi attacchi possa portare all'IoT.

PS: mi raccomando, rispondi con il classico tono da tuttologo a cui ci hai sfortunatamente abituati :/

Se ti riferisci a me non sono un tuttologo.
Sono solo un dottore informatico con 30 anni di esperienza che lavora da 17 anni per tribunali in mezza Italia, anzi diciamo da 200km a nord di Milano fino a Taranto e amministra server in mezzo mondo.
Per il resto Hic rhodus Hic salta.
E salto molto in lungo. Ma proprio tanto.
Tu lo chiami mitigazione.
Io eradicazione
Se non ci credi ti do accesso a una macchina dove puoi farci quello che vuoi e vediamo in quanto tempo la ripristino.
Per rendere più interessante mentre accarezzo un gatto bianco topo blofeld

Conosco bene il tipo, ho avuto modo di leggere le tue perle di saggezza in diverse sezioni e non c'è bisogno che ripeti sempre la solita cosa (la laurea in informatica non ce l'hai solo tu, non hai lavorato per i tribunali solo tu, non hai 20 collaboratori/collaboratrici ragionieri programmatori/programmatrici di cui sinceramente non ho capito ancora il sesso solo tu, roba fujitsu tutto made in germany non la maneggi solo tu, etc. etc. certo poi l'ultima volta hai detto che arrivavi anche a Palermo mentre adesso a Taranto... ma va bene così).
Quello che non capisco è che ogni volta che si muove mezza critica/pensiero differente dal tuo inizi a fare così... penso che si faccia sentire la crisi di mezza età e l'andropausa.
Il resto non mi interessa, l'eradicazione e la sicurezza totale non esiste (anche perché sono di altre vedute, che avere un personale formato e capace di sapere utilizzare una macchina inizia già ad essere più avanzato di uno snapshot perché arrivare ad infettare un server pur avendo le giuste precauzioni per me è semplicemente un buco enorme all'interno del sistema, che è fatto anche di persone).

Non sei attento, ho clienti fino a Palermo, ma ctu oltre Taranto finora non ne ho fatte.
Ma il punto è : con quanto ho scritto i ransomstikazzi sono banali da eradicare oppure no?
Invece di attaccarmi personalmente, commenta quanto affermo
Perché di dilettanti ne conosco tanti, anche presidi di grandi facoltà di ingegneria.
Quindi o commenti tecnicamente, se ne sei in grado, o magari scegli un forum sui felini

Si può essere CTU solo nel tribunale del luogo dove si risiede e non random in giro per l'Italia, poi boh avrai la multiresidenza (operare da Milano a Taranto, CTU solo a Taranto, un po' vago ma era comunque una cosa che non ti avevo chiesto).
Al di là del fatto che non ti ho attaccato personalmente nel primo post, se poi te la prendi così per un pensiero differente dal tuo non posso farci nulla.
Non ho nominato comunque la facoltà di ingegneria o altro (ti rode che sei informatico? :asd:) e ti avevo specificato il perché non è una eradicazione ma una mitigazione del rischio, se poi vuoi fare come con l'utente precedente nel cercare di difendere il tuo operato (che avevo anche dato come ottima soluzione per inciso) inizi a girare e rigirare le parole a piacimento mi dispiace ma hai sbagliato persona.
Per il resto quando vorrai scendere da quel piedistallo che ti sei costruito, principessa, sono libero di mostrarti altri casi dove di il "metodo di eradicazione" con snapshot zfs non si può attuare (e ti avevo dato pure l'indizio prima con le smart tv e l'iot).

'Ottima soluzione' mi basta.
Sul resto non hai le idee ben chiare, ma non voglio andare ot oltremisura.

Ritieni che sia possibile garantire con gli accorgimenti menzionati dallo utente cui i 'tecnici' avrebbero garantito la immunità dai ransom?
Basta un si o un no.
Per me banalmente no.

scusate per bloccare TUTTE LE MACRO va bene impostato cosi word?

LINK->
https://postimg.org/image/ock1ryaad/

scusate per bloccare TUTTE LE MACRO va bene impostato cosi word?

LINK->
https://postimg.org/image/ock1ryaad/
direi di sì

'Ottima soluzione' mi basta.
Sul resto non hai le idee ben chiare, ma non voglio andare ot oltremisura.

Ritieni che sia possibile garantire con gli accorgimenti menzionati dallo utente cui i 'tecnici' avrebbero garantito la immunità dai ransom?
Basta un si o un no.
Per me banalmente no.
Se concepisci il ransomware solo come cryptoware mi sa che devi allargare un po' gli orizzonti, quasi tutti stanno parlando ormai di ransomware a livello IoT.

Per quel che riguarda la soluzione che hanno dato all'utente, se permetti:
1- Se sono riusciti a decriptare i file di un ransomware di cui ancora nessuno ne ha avuto la possibilità, sono da ammirare;
2- L'immunità non esiste nel campo della sicurezza informatica, se poi loro intendono per immunità riprendere lo stesso ransomware con la stessa capacità di decriptare di nuovo i dati non so che dire;
3- Per dare un giudizio sulla capacità di mitigare il rischio di infezione dovrei capire dove e cosa hanno fatto nello specifico (EDIT: che per inciso significa fare dei backup giornalieri su cloud e non in locale tramite snapshot e aver ridotto i privilegi sulle varie macchine).

Ora se permetti vado a fare due foto alla nevicata, evento più che raro dalle mie parti.

3- Per dare un giudizio sulla capacità di mitigare il rischio di infezione dovrei capire dove e cosa hanno fatto nello specifico (EDIT: che per inciso significa fare dei backup giornalieri su cloud e non in locale tramite snapshot e aver ridotto i privilegi sulle varie macchine).

E a cosa servono i backup su cloud (che poi vorrei vedere come fanno a farli se parliamo di terabyte, anche per questi ho ovviamente la tecnica più efficiente) ?
Se il ransomstikazzi mi cripta, quando faccio il backup esso, di nuovo, sarà criptato (cioè invierò dati criptati).

E se non sono molto fortunato rischio che il backup remoto venga a sua volta sovrascritto prima che mi accorga del problema (es. in caso di ferie).

Quindi non è che sia tanto convinto (eufemisticamente) da approcci del genere.

Ovviamente una parte della risposta è che il server remoto, a sua volta, deve fare gli snapshot dei backup :D
E che il meccanismo di copia deve essere versionato e soprattutto SOLO in append, così da poter truncare brutalmente i dati aggiunti ma criptati e quindi inutili :D :D

Insomma: si fa presto a dire "cloud", come si fa presto a dire "backup" o "ransom".

Non credo però di poter aprire qui un post su come si fanno "bene" i backup cloud a prova di ransomstikazzi, mi sa che il primo moderatore che passa piallerà di nuovo

Te lo ripeto, senza maggiori informazioni non è che si possa fare chissà quale ragionamento.
Considera che alcuni vanno di crashplan su cloud e viene offerta come soluzione sempre per mitigare il rischio, quindi...

Te lo ripeto, senza maggiori informazioni non è che si possa fare chissà quale ragionamento.
Considera che alcuni vanno di crashplan su cloud e viene offerta come soluzione sempre per mitigare il rischio, quindi...
non conosco questi termini così evoluti (crashplan?) e neppure so bene cosa sia cloud, anche perchè non è che me ne intenda poi molto.
sono comunque d'accordo: se i tipi non dettagliano esattamente come e cosa vogliono fare è difficile dare giudizi.
che però per default sono negativi, salvo prova contraria.

Meno presa per il :ciapet: , grazie :stordita:

Meno presa per il :ciapet: , grazie :stordita:Guarda che nel mio caso tutto è consentito, quindi sentiti pur libero in tal senso: qualsiasi cosa scrivi sarà considerata dai moderatori appropriata, comprese le manifeste ingiurie. Addirittura se le segnalo in privato vengo sospeso per aver fatto proprio quanto prevede il regolamento.
Quindi non temere... vedrai che prima o prima qualcuno interverrà sul kattivone.

Vuoi un avvocato adesso?

Guarda che nel mio caso tutto è consentito, quindi sentiti pur libero in tal senso: qualsiasi cosa scrivi sarà considerata dai moderatori appropriata, comprese le manifeste ingiurie. Addirittura se le segnalo in privato vengo sospeso per aver fatto proprio quanto prevede il regolamento.
Quindi non temere... vedrai che prima o prima qualcuno interverrà sul kattivone.

Sbagliato! Non è tutto consentito, per cui l'utenza viene bannata a titolo definitivo.

peccato sia finita cosi', in certi pensieri si rinvenivano spunti decisamente preziosi per l'utenza domestica :asd:...
Il gatto (http://www.hwupgrade.it/forum/showpost.php?p=44361212&postcount=738), peraltro, non aveva ancora finito la cura del corpo...


:D

Nuova forma di ransomware chiamata Doxware, una sorta di fusione tra i termini ransomware e doxing. Per farla breve oltre alla classica natura del ransomware, criptare i dati e chiedere il riscatto, il doxware si distingue nel minacciare di diffondere dati personali-aziendali, contatti, email, password, cronologia etc. della vittima in caso di mancato pagamento.

rilasciato cryptoprevent versione 8

https://www.foolishit.com/cryptoprevent-malware-prevention/

onestamente non ha mai catturato il mio interesse per quanto magari sul campo possa anche dire la sua in più circostanze.

In realtà l'unica cosa che mi spaventa on-line (anche perchè col tempo sono diventato decisamente più consapevole nell'uso del mezzo) è tutto ciò che potenzialmente si attiva senza il mio consenso (exploit), il resto quindi non lo considero un rischio perchè certo di essere in grado di gestirlo (anche grazie all'aiuto degli strumenti interni al mio sistema operativo come UAC, Smartscreen,...).

Sbagliato! Non è tutto consentito, per cui l'utenza viene bannata a titolo definitivo.

QED

tra le tante cose che mi mancano vi rientra di sicuro anche il significato dell'acronimo di cui sopra...

QED

Users are not allowed to use clones

tra le tante cose che mi mancano vi rientra di sicuro anche il significato dell'acronimo di cui sopra...

vuole dire come volevasi dimostrare in latino.
cmq usi Hitman Pro alert?

Salve a tutti,.... anche io entro a far parte dei colpiti dai virus e non mi ha fatto un solo pc ma due. Uno porta estensione .9560 e l'altro .vilkzgdg....
potreste darmi qualche soluzione?

giancai,
Inizia a capire la variante seguendo le indicazioni in prima pagina, se sei stato "fortunato" e la variante è stata sconfitta allora puoi recuperare tutti i dati, altrimenti hai dei tentativi da fare tra copie shadow, software di recupero etc. comunque è tutto scritto al primo post.

Ragazzi, io vorrei insistere su un punto anche se solo indirettamente legato all'oggetto del thread:
perchè è importante dotarsi di un sistema operativo recente e aggiornato (più che uno obsoleto se pur aggiornato) e perchè trovo di conseguenza ridicolo che una persona sensibile al problema-sicurezza si affidi a tanti castelli fondati però su un terreno instabile.

Ecco, la risposta ci viene dal Malware Protection Center di MS:
Hardening Windows 10 with zero-day exploit mitigations (https://blogs.technet.microsoft.com/mmpc/2017/01/13/hardening-windows-10-with-zero-day-exploit-mitigations/?platform=hootsuite)

Cosa ci dice ancora una volta?
Che tutti i sistemi (pur della stessa casa) NON sono evidentemente uguali e dunque reagiscono in modo diverso se sottoposti alla stessa pressione...

E questa cosa evidente come la dimostra?
Portando in dote due casi REALI che hanno permesso a gruppi mossi da interessi poco trasparenti di condurre indisturbati le loro azioni...

Certo, l'utente comune non è sottoposto al solito rischio di un'istituzione governativa ma i soliti meccanismi, magari solo un filo meno sofisticati, si rilevano con una certa frequenza anche negli attacchi portati alle masse (cioè noi) per la sottrazione di dati sensibili (penso ai codici delle carte di credito) e quant'altro.


Quindi:
10 AU (la versione insomma rilasciata in Agosto) è l'unica che, allo stato, dovrebbe essere presa in considerazione.





Mi sono peraltro sempre chiesto una cosa (prendiamo il caso del CVE-2016-7255 discusso nell'articolo e risolto successivamente con la patch MS16-135 (https://technet.microsoft.com/library/security/MS16-135)):
perchè, se 10 AU è immune, rilasciano comunque una patch ANCHE per quel sistema?

E la risposta che mi sono dato (gradirei peraltro conferma anche da altri):
perchè il sottostante [tale tagWND.strName, vedi anche il paragrafo Mitigating tagWND exploits with stronger validation] presenta effettivamente quel limite ma, grazie alle nuove tecnologie su cui può contare (stronger validation che esercita additional checks su...), impedisce...(e infatti affermano che These exploits instead cause exceptions and subsequent BSoD).


(il BSoD che, una volta tanto, ha accezione positiva :D dovrebbe essere questo: cucù (http://www.hwupgrade.it/forum/showpost.php?p=43694843&postcount=101))

Come principio di base sono d'accordo che l'utilizzo di un sistema operativo più aggiornato, a prescindere da opinioni personali, sia sul fronte della sicurezza migliore di uno con svariati anni sulle spalle visto che bisogna considerarlo una evoluzione del precedente.

Ma credo anche sia ora che Microsoft riveda la gestione dell'UAC, rimasto praticamente uguale dai tempi di Vista quindi 9 anni fa, a fronte anche di nuove minacce come ransomware ed exploit vari. Ad esempio:

1) Due soli livelli di UAC, attivo ( che sarebbe il livello massimo attuale ) e disattivo. Non lasciare la possibilità all'utente di disattivare l'UAC tramite interfaccia ma solo via policy
2) Il semplice consent Si/No ha fatto il suo tempo. Oltre a chiedere l'esecuzione in base ai privilegi semplici/amministrativi ci vorrebbero delle informative su cosa effettivamente fa quell'eseguibile. Esempio vuole scrivere nella cartella Documenti? Vuole controllare i contatti? Vuole eliminare i file? Insomma quattro righe che permettano all'utente di avere dei dubbi sull'eseguibile che sta per lanciare a prescindere dal tipo di privilegi, tanto le API sono sempre quelle. Anche un .exe senza privilegi di amministratore può eliminare tutti i file personali...
3) Sandbox e/o disabilitazione degli eseguibili da percorsi non standard come Temp e AppData
4) Disabilitazione di default di file con doppie estensioni associate ad eseguibili ed avviso relativo

Ci sarebbe dell'altro ma come base pochi semplici modifiche che renderebbero i ransomware "inefficaci" di default.

Le idee che proponi a proposito degli scarni avvisi dell'UAC (N°2) sarebbero francamente SUPER gradite ma, per quanto qualcosa sia stato fatto nel corso del tempo per superare certe situazioni che si facevano beffa dell'impostazione di default, sembra di capire che chi è preposto a curarlo non abbia le idee troppo chiare per cui se già in partenza la situazione è questa...

Sull'altro campo che ho brevemente illustrato poc'anzi, invece, MS ha schierato le sue 'teste migliori' (molti peraltro di derivazione EMET come ad es Matt Miller)...e infatti si vedono i risultati.

Microsoft si perde sempre in un bicchiere d'acqua. Insomma le "doppie estensioni" sono secoli che celano dietro solo e soltanto i malware, lo sanno tutti sassi compresi eppure la scelta di NON mostrare le estensioni rimane quella di default. Ora non vuoi mostrare le estensioni perché è brutto visivamente*? Benissimo ma almeno blocca i file che hanno due o più punti ed exe\com\vbs\bat\ps1 nel nome ( inteso come *.*.exe ) o metti un bel messaggio di avviso tipo "Caro utente inesperto sei sicuro di voler lanciare pippo.pdf.exe? Non è un file PDF ma un eseguibile e potrebbe essere un virus malvagio"
Non richiede chissà quale competenza o modifiche del kernel, non blocca nessuna funzionalità importante o cambia l'esperienza utente, eppure...

*Stendiamo un velo pietoso sulle interfaccia utente e i gusti tra mattonelle e colori tinta unita accesi a tutto schermo che bruciano la retina

per le doppie estensioni ci pensa cryptoprevent (e anche per cartelle temp e appdata)

Se é per questo quel programma si basa sulle policy di Windows quindi sono opzioni già presenti nel sistema ma io mi riferivo ad un re-design di default che ogni utente dovrebbe avere a prescindere dalle sue scelte e non configurare. Bastano poche cose fatte a monte ed ho fatto alcuni esempi che se fossero impiegati da Microsoft avrebbero reso i ransomware decisamente meno pericolosi per chiunque, non solo per chi configura il PC ad hoc.

Neanche a farlo apposta, a proposito di UAC impostato a default e le 'evoluzioni' che subisce nel tempo, è di poche ore fa questo post su Twitter:

https://s24.postimg.org/9anru7545/Image_1.jpg

Nell'attesa di un presumibile aggiornamento della sua tavola sintetica, vi rilascio il link dal quale eventualmente seguire le dinamiche: https://github.com/hfiref0x/UACME
(altra fonte di notizie preziose: http://www.fuzzysecurity.com/tutorials/27.html)


Il messaggio, cmq, è che

per quanto MS abbia migliorato nel tempo la 'resistenza' dell'UAC contro tecniche capaci di bypassarne l'impostazione di default,

è opportuno continuare a tenerlo sul livello MASSIMO in quanto esistono metodi (chiamati 'FileLess') che non si scontrano con le limitazioni intrinseche nei metodi + o - tradizionali presi in esame poc'anzi,
https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/

https://s28.postimg.org/urxw1u1jh/Image_1.jpg


Se il pop-up integrasse quindi i suggerimenti di x_Master (trasformandolo da semplice strumento utile in uno che è anche informativo),...

Ma qui effettivamente si va sul difficile :asd: ...

ragazzi, io spero di non annoiare dando queste informazioni (che sono palesemente OT per quanto secondo me preziosissime perchè aiutano ad inquadrare le varie dinamiche che subiscono certi elementi del sistema operativo, nel caso al limite me lo segnalate e la finisco qui), ad ogni modo

https://s28.postimg.org/re7q8rtd9/Image_1.jpg
1 (https://breakingmalware.com/vulnerabilities/elastic-boundaries-elevating-privileges-by-environment-variables-expansion/), 2 (https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited/)


Nel frattempo anche la stampa comincia a riprendere le notizie che avevo sintetizzato qui (http://www.hwupgrade.it/forum/showpost.php?p=44386166&postcount=765),
theregister (http://www.theregister.co.uk/2017/01/16/windows_10_anniversary_update_crushed_exploits_without_need_of_patches/)/zdnet (http://www.zdnet.com/article/windows-10-security-so-good-it-can-block-zero-days-without-being-patched/)...



Vi rinnovo inoltre l'invito a dire la vostra (se volete anche in privato) a proposito della domanda che mi ero posto alla fine del mio intervento di qualche giorno fà (http://www.hwupgrade.it/forum/showpost.php?p=44386166&postcount=765),
Mi sono peraltro sempre chiesto una cosa (prendiamo il caso del CVE...)

Dai, uno sforzo,
Grazie :)

Beh la "soluzione" è già data in quell'articolo quindi UAC sempre abilitato e account locale non amministratore nell'attesa che mamma microsoft cambi idea.
Certo mi chiedo se questa cosa possa funzionare anche in una sandbox mhm...

ragazzi, io spero di non annoiare dando queste informazioni (che sono palesemente OT per quanto secondo me preziosissime perchè aiutano ad inquadrare le varie dinamiche che subiscono certi elementi del sistema operativo, nel caso al limite me lo segnalate e la finisco qui)

Appunto!

giusto, meglio rimanere ignoranti :p

giusto, meglio rimanere ignoranti :p

Questione decisamente soggettiva.

ragazzi, ma voi lo avete installato il toll CryptoPrevent nuovo (versione 8)? Io lo sto provando sul mio pc e non sembra dare problemi. Stando a quanto leggo dal loro sito beh, sembra essere un ottimo livello in più di protezione no?

Se ho ben capito, va semplicemente installato e dimenticarlo o sbaglio qualcosa?

Iscritto.

Bella discussione ;)

è opportuno continuare a tenerlo sul livello MASSIMO in quanto esistono metodi (chiamati 'FileLess') che non si scontrano con le limitazioni intrinseche nei metodi + o - tradizionali presi in esame poc'anzi,
https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/la vecchia soluzione rimane attualissima :)
peccato non sia così di default.

Salve vi ho letto per quanto nelle mie capacità informatiche alcuni dubbi sulla configurazione rimangono.

Ho messo UAC al massimo, dovrei impedire il riavvio in automatico al BSoD seguendo questa guida?:
https://technet.microsoft.com/en-us/library/cc976049.aspx

Cosa potrei fare ancora per la configurazione della macchina?
Cosa potrei installare di gratuito, semplice ed efficace?

Ho una macchina con W7Pro 64bit, Avira Free e il firewall di windows.

Grazie

ci sono cascato come un pivello.
ero su milannews.it e da li ero curioso di leggere di un personaggio, sono andato sul suo sito e mi chiedeva di installare un pack di font per la visualizzazione ed io, come un cretino, gli ho detto pure di entrare :)

risultato SPORA RANSOMWARE, una variante abbastamza recente che mi ha fottuto tutto l'hd ed anche un hd esterno che tenevo come archivio e due sd.

non ho perso tanti dati perchè ho altre copie ma ho un problema. per lavoro faccio perizie e in due giorni circa 800 foto che devo ancora elaborare e consegnare. ho visto che quelle fatte oggi non sono state ancora criptate quindi le ho copiate su una SD, dalla scheda della fotocamera ho recuperato le altre 400 di ieri, quindi dati persi niente (solo un paio d'ore di lavoro). il problema ora è
1) devo pulire il computer e tutte le memorie infettate
2) come posso essere sicuro di non infettare altri computer dove porto le SD?

ho letto che al momento, non è possibile recuperare file criptati, quindi ho deciso di staccare l'hd e sostituirlo con un altro, tra qualche tempo vedremo se posos recuperare qualcosa.

AGGIORNAMENTO

Ho copiato i file che mi servivano con una distro linux (puppy) su una chiavetta sicuramente pulita.

ho sostituito l'hd infetto con un ssd, per ora lo tengo in stanbdy nella speranza che tra qualche tempo trovino le chiavi per il decript

ora mi serve un antivirus che sia sicuro nel rilevare la minaccia cosi da poter utilizzare nuovamente l'hd esterno di archivio (musica e video che non ha criptato)

nod32?

Perché nessuno legge la prima pagina? Gli antivirus sono inefficaci contro questo genere di minacce quindi bisogna prevenire configurando il PC ad hoc in modo da evitare del tutto una possibile infezione da ransomware ( e non solo )

Perché nessuno legge la prima pagina? Gli antivirus sono inefficaci contro questo genere di minacce quindi bisogna prevenire configurando il PC ad hoc in modo da evitare del tutto una possibile infezione da ransomware ( e non solo )

Ciao,
sicuramente hai ragione da vendere vista la quantità di richieste simili alla precedente, ma comunque c'è da dire che stando solo ai link nella sezione in apertura per la configurazione del pc un utente medio, che ha il suo pc in casa e lo usa non come un professionista IT beh direi che un pò di inpasse ci stia, non credi?

Magari una piccola guida per utenti ( o utonti:D ) come me non sfigurerebbe in prima, ed eviterebbe il solito giro di domande basiche.

Grazie

Salve a tutti!

Ho letto un po' le pagine di questa discussione e ho anche fatto una ricerca mirata con Google, ma non trovo nessun riferimento al software della Cybereason "Ransomfree".

Su hwupgrade se ne parla solo qui:
http://www.hwupgrade.it/forum/showthread.php?p=44322201

Poiché l'ho installato su un PC per provarlo e vedere come funziona, volevo confrontarmi con qualcuno per capire se il software è valido e la Cybereason società seria.

Certamente si tratta di un programma di prevenzione e non di cura.

Ecco i riferimenti al suo sito, con anche un articolo illustrativo (ovviamente "di parte"):

https://ransomfree.cybereason.com/

https://www.cybereason.com/blog-cybereason-ransomfree-protecting-your-data-from-being-held-hostage/

Per ora non no notato rallentamenti di sorta con il servizio attivato e l'icona nella traybar [nota: il pc è abbastanza datato].

Tuttavia, anche come specificato in fase di installazione, ho notato che installa "strani" files di documenti, diciamo così, "immaginari" in cartelle nascoste in ogni partizione dei dischi rigidi. E sembra che questi documenti cambino ad ogni aggiornamento del software.

Se qualcuno fosse interessato, mi piacerebbe parlarne.

Ciao.

Rastakhan,
Permettimi di dissentire. Nello specifico riguardo alla sezione "Come configurare il PC per evitare infezioni da ransomware?" te li analizzo punto per punto:

Backup, se non lo sai fare non usare il PC
Windows e compagnia aggiornati, anche qui nulla di particolare
UAC al massimo, pannello di controllo
uBlock\AdBlock si installano facilmente
Disinstallare\Disabilitare Flash e Java, pannello di controllo
Disabilitare le Macro di Office, guida in linea del programma
Account standard, sezione dedicata
Visualizzazione estensioni nascoste, opzioni cartella
Disabilitare "Riavvia automaticamente" in caso di BSOD, come da guida
EMET e MBRFilter alla fine sono programmi

L'unica cosa più complessa é l'utilizzo dell'Editor criteri di gruppo locali ma c'é la guida di Microsoft e quante ne vuoi sul web, poi c'é il forum se proprio da solo non ci riesci. Ma il resto...davvero non ci vedo nulla di particolare o difficile, solo buona volontà

Soter74,
La maggior parte degli utenti di questo thread, almeno da quello che leggo, non usa programmi anti-ransomware dedicati solo a quella funzione. Qualcuno usa CryptoPrevent. Difficile giudicare i software di quel tipo ci vorrebbe uno studio di terze parti senza scopo di lucro con test seri sulle varianti principali

X_Master, ma quando parli/parlate di UAC al massimo ti chiedo:

se un utente si ritrova un pc con Windows installato, nel 99% dei casi avrà il solo account amministratore. Mi dici che converrebbe subito creargli un nuovo account standard ed alzare al massimo UAC? Così facendo però non si dovranno reinstallare alcuni programmi? Non è un po' uno sbattimento?

è si, le cose sono destinate a non cambiare per molto tempo:
su Windows, complici evidentemente le persone, la gente si infetterà sempre...e queste ultime testimonianze ne sono la prova lampante.

UAC al massimo a prescindere dall'utilizzo di account standard o amministratore. É l'unico modo per evitare, per quanto possibile, le tecniche di bypass dell'UAC e relativa escalation di privilegi. La stragrande maggioranza dei ransomware ha bisogno dei diritti di amministratore completi ( vedi eliminazione delle copie shadow ) ed ha due strade:

1) Te li chiede sfruttando social engineering, phishing etc. invogliando l'utente a cliccare sul "Sì" basandosi sull'inganno-fiducia
2) Non te li chiede e qui entra in gioco l'UAC come spiegavo in precedenza

Riguardo all'account standard non devi re-installare nulla. I fase di installazione dei software bisogna scegliere l'installazione per tutti gli utenti. Se questa scelta non é presente, di default é per tutti gli utenti della macchina, presenti e futuri. Fai una prova e vedrai, crea un nuovo account standard di "prova" e poi lo elimini se vuoi così ti rendi conto da solo.

Rastakhan,
Permettimi di dissentire.
E ci mancherebbe, altrimenti avrei lasciato senza replicare, il confronto aiuta a capire e crescere.;)

Nello specifico riguardo alla sezione "Come configurare il PC per evitare infezioni da ransomware?" te li analizzo punto per punto:
Cerco di specificare come sto messo, se vuoi mi dirai cosa e come aggiornarmi.

Backup, se non lo sai fare non usare il PC
Lo faccio con Macrium Reflect Free, però basico, non automatico ne incrementale, ogni tot quando mi ricordo o prima di modifiche/installazioni importanti.
Non uso il sistema di backup di Windows.

Windows e compagnia aggiornati, anche qui nulla di particolare
Tutto ok su questo fronte, W7Pro 64bit aggiornato e originale.

UAC al massimo, pannello di controllo
UAC al massimo, tanto che un sw installato e funzionannte ad ogni avvio del pc mi chiede sempre se avviarlo..., quasi una scocciatura se non fosse per la comodità del sw stesso...

uBlock\AdBlock si installano facilmente
AsBlockPlus installato su Firefox che riceve aggiornamenti in automatico.
uBlock non so cosa sia, mi informo, è da installare insieme ad AdBlock?
Alcuni siti non ti fanno navigare al loro interno se non elimini la restrizione dei banner...

Disinstallare\Disabilitare Flash e Java, pannello di controllo
Anche quì come la mettiamo?
Ci sono sw che necessitano di Flash e Java, se non ho capito male mettere una portable implica ad ogni uso di sw che richiede uno di questi 2 di avviarli a manina?

Disabilitare le Macro di Office, guida in linea del programma
Ok per le Macro di Office..., tanto non ci lavoro...

Account standard, sezione dedicata
Quindi con account standrd non si ha nessun tipo di limitazione nell'uso della macchina anche se questa fino ad ora è stata usata e configurata da Amministratore?
Visualizzazione estensioni nascoste, opzioni cartella
Questo è già fatto!

Disabilitare "Riavvia automaticamente" in caso di BSOD, come da guida
Questo è da fare, con questa guida?:
https://technet.microsoft.com/en-us/library/cc976049.aspx

EMET e MBRFilter alla fine sono programmi
Questi 2 programmi sono da installare assieme?
Come Amministratore?

L'unica cosa più complessa é l'utilizzo dell'Editor criteri di gruppo locali ma c'é la guida di Microsoft e quante ne vuoi sul web, poi c'é il forum se proprio da solo non ci riesci. Ma il resto...davvero non ci vedo nulla di particolare o difficile, solo buona volontà
....
Questo davvero è una cosa difficile per le mie capacità.

Poi volevo chiederti/chiedere, se tipo nella mia piccola rete domestica dovrei fare tutto ciò su tutti i pc della stessa, NAS compresi (se come?).

Grazie

Gentile x_Master_x,
grazie per la tua risposta.



Soter74,
La maggior parte degli utenti di questo thread, almeno da quello che leggo, non usa programmi anti-ransomware dedicati solo a quella funzione.

Beh... se qualcuno usa Ransomfree della Cybereason mi piacerebbe conoscerne i pareri e discuterne l'utilizzo.
Del resto, non mi piacciono le suite factotum: grandi, pesanti e macchinose.
Prediligo software mirati, leggeri e, possibilmente, free.

A tal proposito, inizio a riflettere sul fatto che se è sbagliato pagare per un "riscatto" e riottenere (forse) i propri files, allora è sbagliato anche pagare per essere o sentirsi protetti. Il business del "fenomeno-ransom" da quasi 1 miliardo di $ (se non sbaglio le cifre) ha il rovescio della medaglia nel business della "protezione a tutti i costi" (paga e stai tranquillo :rolleyes: ).
Sarò un visionario illuso, ma il web non dovrebbe fondarsi su condivisione della conoscenza, libertà e gratuità?
In merito a ciò, trovo di grande saggezza e utilità tutte le indicazioni che dai a proposito dei settaggi di Windows ed in generale sull'atteggiamento da assumere quando ci si accosta al mondo dell'informatica e del Web in particolar modo.



Qualcuno usa CryptoPrevent.

Conosco CryptoPrevent, ma tra le proposte free ho preferito provare prima il software della Cybereason. A proposito... sembra una softwarehouse dalle ottime credenziali, che dite?



Difficile giudicare i software di quel tipo ci vorrebbe uno studio di terze parti senza scopo di lucro con test seri sulle varianti principali

Non chiedevo niente di tanto complesso... :) ma solo un confronto tra utenti più o meno smanettoni con il PC :cool:

Ho trovato un articolo in inglese in cui se ne parla bene...
http://www.pcworld.com/article/3150748/security/this-free-software-protects-your-pc-against-ransomware.html

E qui ho trovato una video-prova (sempre in inglese) che dura ben 56 minuti!
https://malwaretips.com/threads/cybereason-ransomfree-2-1-anti-ransomware-security-test.66817/

Qui, invece, una pagina in italiano dove ne parlano bene:
http://www.navigaweb.net/2016/01/6-anti-ransomware-contro-virus-crypto.html

Comunque, resto sempre in attesa di eventuali riscontri dai colleghi qui sul forum.


Infine, una riflessione leggendo gli ultimi interventi di questo thread: in Italia non manca soltanto un bel po' di cultura informatica (nel senso di teoria, conoscenze di base ed utilizzo di SO e software) quanto soprattutto la consapevolezza dell'uso dei mezzi informatici e dei relativi software (e mi riferisco a due ambiti principali: privacy e sicurezza).
E questo non solo da parte di noi utenti "normali", ma soprattutto da parte delle istituzioni.
Basti soltanto dire che, a proposito del tuo consiglio di disattivare Java e Flash (ottimo consiglio!:read: ), soltanto un paio di anni fa le applicazioni di alcuni concorsi pubblici (se non sbaglio sul sito del ministero dell'istruzione) giravano proprio solo con Java e Flash. Quindi, volenti o nolenti, bisognava attivarli ed utilizzarli intensivamente, per scelta ed imposizione "dall'alto", altrimenti niente test.

Scusate la digressione, un saluto a tutti.