Rastakhan,
1) Usa quello che preferisci per i backup, é indifferente. L'importante é farli e tenere i file al sicuro al di fuori del PC o su altra unità non accessibile
2) Ok
3) Se usi l'account amministratore puoi lanciare l'applicazione tramite l'Utilità di pianificazione senza prompt UAC. Svariate guide online, é off-topic
4) Basta un solo programma alla volta, se ti piace AdsBlockPlus usa quello però uBlock é più leggero ed efficiente:
https://github.com/gorhill/uBlock/wiki/uBlock-vs.-ABP:-efficiency-compared
5) Su Flash e Java se ne parlava qualche pagina fa, da utilizzare solo all'occorrenza esempio PepperFlash + Chrome Portable.
6) Ok
7) Creare un account standard non ti costa nulla, prova e vedi. Se proprio non ti trovi lo elimini e continui ad usare l'account amminstratore
8) OK
9) Non puoi farlo da interfaccia? Computer --> Tasto destro --> Proprietà --> Impostazioni di sistema Avanzate --> Avvio e ripristino --> Impostazioni --> Togli la flag a "Riavvia Automaticamente"
10) Vedi prima pagina, consiglio l'installazione di MBRFilter allo stato attuale solo ad utenti esperti

L'editor dei criteri di gruppo locali é una parte fondamentale della guida. La creazione di una whitelist ( l'esecuzione solo dei programmi che fanno parte di un elenco ) oppure al limite di una blacklist ( bloccare l'esecuzione di programmi da determinati percorsi ) evita di fatto l'infezione da ransomware perché non riesce ad eseguirsi per via delle limitazioni imposte. Se proprio per te é difficile usa un programma anti-ransomware, vedi prima pagina.

P.S. Per il NAS non lasciare l'accesso libero, devi inserire ogni volta le credenziali per accedere. Ricorda che i ransomware criptano i file a cui tu hai accesso in lettura-scrittura

Soter74,
Mi trovi d'accordo sulla questione monetaria e cultura informatica. Così come gli antivirus sono inefficcaci contro questo tipo di infezione, i vari anti-ransomware possono essere tranquillamente sostituiti da un PC configurato come si deve. Ho fatto l'esempio della whitelist non a caso, non avendo l'eseguibile la possibilità di eseguirsi non può infetare la macchina e criptare i dati.

ragazzi, un mio pc (tra l'altro DC di una piccola rete) è stato infettato da Cerberos, quello che lascia le istruzioni in .HTA e cripta con estensioni casuali

dite che ho qualche possibilità di decriptare?

Gli 0 day sono il problema e l'incubo di ogni software anti-virus\malware\ransomware con protezione in tempo reale soprattutto se si basano su euristica. La prevenzione è e rimane l'unica arma realmente efficace.

P.S. La ricerca in sé non dovrebbe far scattare nessun trigger, non si può considerare come attività sospetta, ma le continue letture-scritture in fase di crittografia dei dati quello sì. Un vero ransomware usa anche altre tecniche ( basta guardare i vari reverse dei sorgenti di EMET etc. ) ed inoltre elimina le copie shadow prima di iniziare

Dark345,
Non al momento

In base ai test da me effettuati posso affermare che RansomFree non funziona come dovrebbe, anche se vorrei premettere che la prova portata avanti sul prodotto è decisamente atipica

[...]

E Cybereason RansomFree? Anche RansomFree (versione 2.2.3.0) non si è accorto di nulla

[...]

Spero sinceramente, con questo mio piccolo intervento, di aver fornito degli spunti di riflessione concreti su AV e antiransomware: una porta blindata di cartone è una porta blindata...solo a parole.

Grazie, bella prova.
A questo punto ti chiedo: solo RansomFree non serve a nulla oppure è un problema di tutti gli antiransom?
Mi consigliate di provare altro? E che cosa? CryptoPrevent?

La pagina di report di VirusTotal è sconcertante a vederla, anche se è risaputo che i normali antivirus poco possono fare per intercettare un ransomware: ma a vedere un report di tal genere ci si spaventa. :eek:

Perchè non provi a sottoporre questo tuo test sul sito della Cybereason o di altre softwarehouse? Potrebbe essere un passo avanti nella ricerca della prevenzione. :cool:


La prevenzione è e rimane l'unica arma realmente efficace.


D'accordo: il vecchio adagio che il migliore antivirus per un PC è la persona che lo utilizza. (Sperando di essere sempre lucidi e di non commettere mai cazzate :fagiano: ).

É una cosa risaputa che i ransomware hanno un bassissimo numero di rilevazioni ( non é che uno scrive a caso dell'inefficacia degli AV ) vedi mia risposta poco sopra su quale antivirus usare per questo genere di malware. CryptoPrevent agisce in modo diverso, sfrutta tra l'altro le policy di gruppo per evitare l'esecuzione dei ransomware a differenza delle protezioni "real-time" che monitorizzano costantemente il sistema in cerca di tracce, sintomi, di possibili infezioni per bloccarle. In sintesi non esiste un software magico che ti fa dormire sonni tranquilli, poco ma sicuro.

Phoenix2005,
Per la tua routine di ricerca immagino tu abbia usato FindFirstFile\FindNextFile che saranno tra le API più usate al mondo. Se lo scopo alla fine è "consentire all'utente di aggiungere l'eventuale processo legittimo in whitelist" tanto vale farsela da solo questa whitelist tramite l'Editor criteri di gruppo locali senza avere bisogno di un programma che constantemente giri in background, utilizzando risorse e annoiando ogni tot con continui avvisi ( e si sa che gli avvisi in piacciono agli utenti vedi UAC che a stento è digerito e spesso disattivato )

Poi bisogna considerare che esistono altri modi per avere la lista dei file come CMD, il File Search di Windows, l'MFT, WMI, Powershell, VBS e altro ancora. Processi che sarebbero nella tua "whitelist" ma che verrebbero alla fine sfruttati dal ransomware in totale tranquillità. No, non ritengo che sia efficace come strada; piuttosto le CryptoAPI di Microsoft, monitorare le directory per eventuali sovrascrizioni\attivita sospette in breve lasso di tempo, copie shadow, nuove estensioni sconosciute etc. anche se, ripeto, un PC configurato come si deve i ransomware non li vedrà mai.

Ho creato un secondo utente, non amministratore, con password ed effettivamente i programmi si aprono senza problemi. Ho impostato al massimo l'UAC e sto giocando un po' sul sistema e in effetti per ogni santa cosa che fai ti chiede di accettare tramite avviso ed inserire la pass dell'amministratore...

Tutto molto bello e sicuro ma all'utente medio...questa configurazione...così invasiva quanto può durare? Secondo me si stuferà dopo uno richiedendo il ripristino della situazione immediato no?

Ma soprattutto, davvero pensate (certo sarebbe bello) che si mettono li a leggere e capire ogni avviso piuttosto che prendere e cliccare sempre e solo sul si direttamente?

Purtroppo però non vedo alternative valide per proteggere a pieno un sistema :(

UAC al massimo a prescindere dall'utilizzo di account standard o amministratore. É l'unico modo per evitare, per quanto possibile, le tecniche di bypass dell'UAC e relativa escalation di privilegi. La stragrande maggioranza dei ransomware ha bisogno dei diritti di amministratore completi ( vedi eliminazione delle copie shadow ) ed ha due strade:

1) Te li chiede sfruttando social engineering, phishing etc. invogliando l'utente a cliccare sul "Sì" basandosi sull'inganno-fiducia
2) Non te li chiede e qui entra in gioco l'UAC come spiegavo in precedenza

Riguardo all'account standard non devi re-installare nulla. I fase di installazione dei software bisogna scegliere l'installazione per tutti gli utenti. Se questa scelta non é presente, di default é per tutti gli utenti della macchina, presenti e futuri. Fai una prova e vedrai, crea un nuovo account standard di "prova" e poi lo elimini se vuoi così ti rendi conto da solo.

Jedi82,
Che concetto hai di "utente medio"? Il mio é leggere la posta tramite programma o interfaccia, navigare sul web, salvare documenti, utilizzare l'editor di scrittura, cose di questo tipo. Tutte operazioni che non richiedono alcuna elevazione.

L'utilizzo dell'account standard, parlando di ransomware, ha come scopo separare i dati ( ad esempio di utenze diverse ) in modo che A in caso di infezione non tocchi i file B. L'UAC al massimo invece é stato ampiamente trattato sulle motivazioni e si comporta allo stesso modo anche su account amministratore. Se uno clicca a caso su "Sì" senza porsi nessuna domanda non ci posso fare nulla e francamente non mi riguarda, il PC é uno strumento che non si può sostituire in tutto e completamente all'utente.

Tutto molto bello e sicuro ma all'utente medio...questa configurazione...così invasiva quanto può durare?

ma infatti l'utente semplice lo si imposta su macchine uso ufficio/utonto
dove l'utilizzatore NON deve conoscere la password e NON deve poter modificare o eseguire un tubo oltre quei 4 programmi in croce che gli servono per lavoro :D

Phoenix2005 non puoi usare l'Utilità di pianificazione in quel modo su account standard ma solo su quelli di tipo amministratore, il discorso per gli utenti limitati é totalmente diverso ma non é il thread adatto per discuterne.

Se usi l'account amministratore puoi lanciare l'applicazione tramite l'Utilità di pianificazione senza prompt UAC. Svariate guide online, é off-topic

Ho creato un secondo utente, non amministratore, con password ed effettivamente i programmi si aprono senza problemi. Ho impostato al massimo l'UAC e sto giocando un po' sul sistema e in effetti per ogni santa cosa che fai ti chiede di accettare tramite avviso ed inserire la pass dell'amministratore...



Mi sembra un po' strano che ti chieda spesso la password. Ma ti chiede quella del profilo con privilegi amministratore o quella del profilo senza privilegi?
Se ti chiede la prima, allora è quasi inutile stare in un ambiente Win come utente "non amministratore" ed utilizzare applicazioni con password amministratore (scusate il gioco di parole): sei comunque esposto a pericoli.
Mi sa che hai confuso un po' la creazione e l'utilizzo dei profili.
In un contesto "utente semplice" si utilizzano solo le applicazioni più comuni e di routine: nessuna, tranne in casi rarissimi, ti chiede password con privilegi di amministratore.
Di sicuro sono molto meno esperto e pratico di x_Master_x e di Phoenix2005 (a cui vanno i miei complimenti per l'interessante discussione), ma credo che essi possono confermare tale ipotesi.




Tutto molto bello e sicuro ma all'utente medio...questa configurazione...così invasiva quanto può durare? Secondo me si stuferà dopo uno richiedendo il ripristino della situazione immediato no?

Ma soprattutto, davvero pensate (certo sarebbe bello) che si mettono li a leggere e capire ogni avviso piuttosto che prendere e cliccare sempre e solo sul si direttamente?

Purtroppo però non vedo alternative valide per proteggere a pieno un sistema :(

Già in ambiente android (quindi è tutto dire!), quando si installano le app, viene fuori un avviso in cui si rende chiaro tutti i dati e le funzionalità a cui avrà accesso quella certa app, in modo che l'utente ne sia consapevole.
Come dice x_Master_x, anche UAC dovrebbe avere avvisi di tal genere e non un semplice "Sì-No".

Di fatto, come dicevo in un post precedente, manca soprattutto la consapevolezza nell'utilizzo di SO, software ed internet... :(

vedi che se crei un utente standard , e i programmi che usi sono scritti in modo balordo (da richiedere alcuni privilegi elevati) , automaticamente comparirà il popup di password amministratore

è una cosa normalissima

sul collegamento di questi programmi l'icona è "scudata" (di diverso colore in base al tipo di privilegio richiesto)

RunasSPC é molto meno sicuro di quello che si possa pensare dalla descrizione del programma. Se guardi qualche pagina prima di questa ti rendi conto il perché ti dico che é off-topic, inoltre diventerebbe una discussione sull'UAC perché il discorso é troppo ampio per essere affrontato in pochi post riassuntivi.

Buongiorno,
quindi a parte "account standard", Java e Flash, credevo di non averlo installato (e ho controllato anche) ma installando da interfaccia grafica i driver per una stampante mi sono accorto che partiva una interfaccia in Flash, sto apposto, visto che MBRFilter non fa per me.

Poi per Editor di Criteri di Gruppo potresti linkarmi una guida o percorso da seguire come utente domestico?

Il NAS a differenza di quello che è il suo reale utilizzo lo tengo spento quando non in uso.

Grazie

Se guardi qualche pagina prima di questa ti rendi conto il perché ti dico che é off-topic, inoltre diventerebbe una discussione sull'UAC perché il discorso é troppo ampio per essere affrontato in pochi post riassuntivi.
a causa di ciò è impossibile intavolare una discussione esaustiva; appena si esce dal seminato: ah no è off topic
ma così si tratta solo della punta dell'iceberg

a causa di ciò è impossibile intavolare una discussione esaustiva; appena si esce dal seminato: ah no è off topic
ma così si tratta solo della punta dell'iceberg

anche perchè personalmente avrei altre cose da aggiungere ma, vista la parata...

Syk,
E io che ci posso fare? Anche se dal un punto di vista delle "regole" posso anche capire il perché, se entro nel thread dei ransomware mi aspetto di leggere di ransomware. Sull'UAC tra diverse configurazioni sulle varie tipologie di account, motivazioni, possibili vulnerabilità non se ne esce davvero più, non si esaurisce in pochi post e si perde il del tutto il filo con l'argomento principale. Nessuno ti vieta di aprire un thread sull'UAC, ammesso che non esista, e discuterne se ti va

Rastakhan,
Ad esempio:
http://www.hwupgrade.it/forum/showpost.php?p=38736310&postcount=2

Scusate xche i ransom si annidano in appdata o temp?x fare piu danno?

Inviato dal mio ALE-L21 utilizzando Tapatalk

Perché sono cartelle a cui l'utente ha sicuramente diritti di accesso completi. Potrebbero usare allo stesso modo il Desktop o i Documenti ma sarebbero "visibili" e l'utente medio si insospettirebbe se un .exe compare magicamente in una cartella che conosce, nessuno si mette a guardare i temporanei o AppData senza motivo. Molti malware usano quelle directory.

Syk,
E io che ci posso fare? Anche se dal un punto di vista delle "regole" posso anche capire il perché, se entro nel thread dei ransomware mi aspetto di leggere di ransomware. Sull'UAC tra diverse configurazioni sulle varie tipologie di account, motivazioni, possibili vulnerabilità non se ne esce davvero più, non si esaurisce in pochi post e si perde il del tutto il filo con l'argomento principale. Nessuno ti vieta di aprire un thread sull'UAC, ammesso che non esista, e discuterne se ti va

Rastakhan,
Ad esempio:
http://www.hwupgrade.it/forum/showpost.php?p=38736310&postcount=2

Grazie!;)

Preso oggi in azienda un certo "Crypt0L0cker", una collega ha aperto un allegato mail (una fattura falsa) ed il ransomware oltre a criptare il suo pc ha criptato anche le unità di rete mappate.
Il danno non è grave, tanti file criptati sono doppi, però...
Leggo che questa variante è simile ad un certo "Torrentlocker" e al momento non ha tool di decriptazione funzionanti, voi ne sapete di più?
Ho provato con il tool "Torrentunlocker" ma il file è risultato danneggiato.

Curiosamente nel mio pc avevo installato "CryptoPrevent" v8 ma le cartelle condivise sono state criptate senza problemi e senza avvisare...ho poi scoperto guardando bene il programma che la versione free non permette di proteggere le cartelle condivise, ma solo quelle locali più sensibili. Speravo almeno in un messaggio di allerta.

DrWeb è un sito russo che parrebbe essere in grado di decifrare alla modica cifra di 150euro.

Preso oggi in azienda un certo "Crypt0L0cker", una collega ha aperto un allegato mail (una fattura falsa) ed il ransomware oltre a criptare il suo pc ha criptato anche le unità di rete mappate.
Il danno non è grave, tanti file criptati sono doppi, però...
Leggo che questa variante è simile ad un certo "Torrentlocker" e al momento non ha tool di decriptazione funzionanti, voi ne sapete di più?
Ho provato con il tool "Torrentunlocker" ma il file è risultato danneggiato.

Curiosamente nel mio pc avevo installato "CryptoPrevent" v8 ma le cartelle condivise sono state criptate senza problemi e senza avvisare...ho poi scoperto guardando bene il programma che la versione free non permette di proteggere le cartelle condivise, ma solo quelle locali più sensibili. Speravo almeno in un messaggio di allerta.

DrWeb è un sito russo che parrebbe essere in grado di decifrare alla modica cifra di 150euro.



Ma non avete backup??

Curiosamente nel mio pc avevo installato "CryptoPrevent" v8 ma le cartelle condivise sono state criptate senza problemi e senza avvisare...ho poi scoperto guardando bene il programma che la versione free non permette di proteggere le cartelle condivise, ma solo quelle locali più sensibili. Speravo almeno in un messaggio di allerta..

cryptoprevent doveva essere installato pure sul suo altrimenti non fa effetto

Ma non avete backup??

Si, non aggiornatissimi, perderemo un po' di ore di lavoro ma poteva andare peggio.

cryptoprevent doveva essere installato pure sul suo altrimenti non fa effetto

Già, sto provvedendo a mettere una pezza.

ad oggi, a livello aziendale, come siamo messi con le Best Practices di prevenzione?


cosa state adottando?

ad oggi, a livello aziendale, come siamo messi con le Best Practices di prevenzione?


cosa state adottando?

Abbiamo diverse soluzioni, ma la "Hopes in God" è quella che stiamo adottando attualmente...:mc:
Scherzi a parte, l'azienda è piccola, non c'è una figura specifica che si occupi prevalentemente di IT, ci sono io che con il tempo risultante dalla produzione (la sera e buchi vari durante la giornata) faccio quello che posso.
Per i backup abbiamo appena ordinato una soluzione tramite RDX, per la posta abbiamo il nostro provider locale che blocca le email dei clienti e lascia passare i virus (spesso litigo con questi soggetti), i pc in rete hanno tutti antivirus e antispyware aggiornati, ma il parco macchine è diversamente recente, per cui le policy di sicurezza e scambio dati sono ai minimi termini.
I colleghi sono più o meno addestrati a riconoscere mail pericolose, anche se purtroppo è capitato di aprire una mail palesemente farlocca...sfiga vuole che quel pc con le password delle condivisioni di rete era un muletto che di solito uso in caso di guasti, per cui il virus ha potuto fare qualche danno.:muro:

una domanda banale:

non si può semplicemente disabilitare l'esecuzione di qualsiasi file eseguibile, da tutte le cartelle del profilo utente?

se non sbaglio se ne era parlato di limitare a un solo eseguibile (o insieme di eseguibili) uno specifico utente, ma non saprei da che parte farmi

cagnaluia,
Ne ho parlato tante volte nei post precedenti riguardo alla creazione di una whitelist invece di una blacklist cioè bloccare l'esecuzione di eseguibili da determinate cartelle.

cagnaluia,
Ne ho parlato tante volte nei post precedenti riguardo alla creazione di una whitelist invece di una blacklist cioè bloccare l'esecuzione di eseguibili da determinate cartelle.

ecco, non riesco a capire perché ciò che trovo, mi riferisco alle gpo con i path da bloccare, non siano mai ricorsivi... dalla root all'ultima foglia.

Quindi tu proponi l'esatto contrario.


vi lascio questo link, http://www.questiondriven.com/2016/03/07/how-to-prevent-ransomware-infections/
se non l'avete mai visto è ricco di spunti per la prevenzione.

Ti faccio una domanda:
É più facile ( e sicuro ) lasciare una sola strada percorribile o mettersi a chiudere centinaia di possibili vulnerabilità? Sì AppData é usata dai malware ma non é un obbligo ma piuttosto una scelta di stile. Potrebbero usare una qualsiasi cartella a cui l'utente ha accesso in scrittura e sono appunto centinaia di percorsi, se non migliaia.

si, si esatto! non metto in dubbio, anzi ottima proposta/idea.

Una domanda forse stupida ma...per eliminarli una volta che uno si è reso conto di averne preso uno, basta un programma antimalware qualsiasi o bisogna seguire procedure particolari? Può bastare un Hitmanpro?

La scansione bisognerà farla da pc avviato o sempre e solo prima dell'avvio vero e proprio?

Grazie per il link e per le informazioni! ho cercato per questo.

qui la gente dura dal tramonto all'alba mentre nel thread 'Aspettando Zen', beh amici miei :D ...

edit

posto che in questo thread sia possibile deviare dalle mere lamentele di chi è rimasto vittima di un ransom cosi' da dar spazio anche al capitolo prevenzione -peraltro decisamente più interessante oltrechè utile- 10 CU metterà in campo anche questa restrizione (ottima per tutelare i nabbi o i PC condivisi con nabbi):
https://www.tenforums.com/tutorials/78213-apps-choose-where-can-installed-windows-10-a.html

L'esempio concreto (tratto evidentemente online): http://www.hwupgrade.it/forum/showpost.php?p=44518524&postcount=21273

Per ora semplice PoC finalizzato a mettere a nudo certe debolezze, domani?

UEFI Ransomware: Full Disclosure at Black Hat Asia (https://www.cylance.com/en_us/blog/uefi-ransomware-full-disclosure-at-black-hat-asia.html) (con video)

https://s15.postimg.org/xwk4qablj/Image_1.jpg (https://postimg.org/image/xwk4qablj/)

La storia cmq è più complessa perchè bypassa anche tecnologie del mondo Enterprise...
https://s16.postimg.org/6onc6blw5/Image_2.jpg
...e, come si vede anche dal diagramma che mostra il flusso dell'attacco, è tutt'altro che banale.

Si, se si guarda il video si nota che la sua attuale implementazione incontra un limite nel consent prompt dell'UAC ma ritengo evidentemente che fossero interessati esclusivamente a mostrare l'attacco più che ad un modo per scalare privilegi in maniera invisibile (insomma, dietro ci sono delle teste che non vanno certo in crisi per quel problema).


Va beh, per l'ambito home è decisamente più vitale evitare di aprire alla fava lupus email che non 'spaventarsi' per questi discorsi...

Giusto per completezza anche se era indicato nel link precedente:
https://s2.postimg.org/7ky0ggzll/Image_6.jpg

https://s11.postimg.org/5hs4yt2en/Image_4.jpg (https://postimg.org/image/5hs4yt2en/)



Intel® SGX (https://software.intel.com/en-us/sgx)
Requirements and deployment planning guidelines for Device Guard (https://technet.microsoft.com/en-us/itpro/windows/keep-secure/requirements-and-deployment-planning-guidelines-for-device-guard)

chi ha l'MBR si salva?

chi ha l'MBR si salva?

chi ha l'MBR è tecnologicamente parlando indietro, ad ogni modo si...perchè il test è pensato per colpire esclusivamente gli ultimi ritrovati tecnologici e trascura di conseguenza ciò che è classificabile come obsoleto.




Se proprio si deve ricavare qualcosa da quello che ho postato stamani, direi che il messaggio è che esiste una relazione sempre più stretta tra hardware & software (il primo, infatti, va in soccorso del secondo con tutto quello che ne discende in termini di costi)...

IMO

https://i.imgur.com/w1W5zex.png

https://imgur.com/w1W5zex


Ma... possibile? è un software http://www.vialibera.it/ del Sole24Ore / TeamSystem...

Sarà un falso positivo ?

Mio fratello ha un pc bloccato con Crypt0l0ker (quello con gli 0 anzichè le O). Purtroppo l'ultimo back-up non è molto recente.

Nelle varie cartelle c'è una immagine in italiano con le istruzioni / link per pagare il riscatto e liberare i files.

C'è qualcosa che possiamo fare?

Leggendo le varie pagine mi pare di capire che - purtroppo - c'è molto poco da fare se non formattare tutto. C'è qualche speranza di recupeare i file?

Grazie mille a tutti!

Mio fratello ha un pc bloccato con Crypt0l0ker (quello con gli 0 anzichè le O). Purtroppo l'ultimo back-up non è molto recente.
Nelle varie cartelle c'è una immagine in italiano con le istruzioni / link per pagare il riscatto e liberare i files.
C'è qualcosa che possiamo fare?
Leggendo le varie pagine mi pare di capire che - purtroppo - c'è molto poco da fare se non formattare tutto. C'è qualche speranza di recupeare i file?


Se c'è qualcosa che è possibile fare per quella versione, è indicato nel primo post della prima pagina della discussione, ci hai per caso già dato uno sguardo?
;)

Se c'è qualcosa che è possibile fare per quella versione, è indicato nel primo post della prima pagina della discussione, ci hai per caso già dato uno sguardo?
;)

Ci ho dato un occhio ma purtroppo non ho trovato nulla di interessante in prima pagina... la mia variante non viene menzionata! :(

Vengono menzionate solo le varianti sconfitte e la tua non rientra tra queste. Per questi casi dei tentativi da fare ci sono a prescindere dalla famiglia che di fatto non importa

Su un PC ho un utente amministratore con password di accesso e permessi totali, non utilizzato mai se non in rari casi di necessità di manutenzione, e un utente di lavoro con permessi limitati al massimo (uac al massimo).
Inoltre ho impostato un backup dei file o altro in una cartella dove può scrivere solo l'amministratore, su un hard disk esterno che posso disconnettere.
L''utente normale può solo visualizzare, eseguire i file di tale cartella ma non può cancellarli, se non inserendo la password dell'amministratore.
Un eventuale virus Cryptolocker preso quando si è connessi come utente normale e disconnessi come amministratore, me li può criptare o cancellare?

Su un PC ho un utente amministratore con password di accesso e permessi totali, non utilizzato mai se non in rari casi di necessità di manutenzione, e un utente di lavoro con permessi limitati al massimo (uac al massimo).
Inoltre ho impostato un backup dei file o altro in una cartella dove può scrivere solo l'amministratore, su un hard disk esterno che posso disconnettere.
L''utente normale può solo visualizzare, eseguire i file di tale cartella ma non può cancellarli, se non inserendo la password dell'amministratore.
Un eventuale virus Cryptolocker preso quando si è connessi come utente normale e disconnessi come amministratore, me li può criptare o cancellare?

se l'utente infettato da cryptqualcosa non può scrivere, allora anche cryptqualcosa non potrà scrivere.


(.... a meno che non abbiano inventato una variante che riesce a leggere la lista degli utenti, trovare un amministratore, provare tutte le password possibili, identificare quella giusta e allora si che sei spacciato... però per ora non esiste, stai tranquillo).

Meglio così. Grazie

Non é detto che sia esattamente così ed in ogni caso, dipende. Se la variante si auto-eleva con i diritti amminitrativi, tramite escalation di privilegi o più semplicemente social engineering, lo farà con l'utente amministratore del tuo PC e quindi avrà l'accesso alle directory a cui quell'account può accedere. Per concludere affidarsi al solo account standard + uac al massimo é affidabile quanto l'utente che é davanti al PC.

ma come può un utente standard autoelevarsi amministratore?

:eek:

socialEng a parte...

Il semplice tasto destro su un eseguibile --> Esegui come amministratore basta come esempio pratico? Letteralmente viene "eseguito come amministratore" quindi con account amministrativo con tutti gli annessi e connessi anche se si usa un account diverso.

Il semplice tasto destro su un eseguibile --> Esegui come amministratore basta come esempio pratico? Letteralmente viene "eseguito come amministratore" quindi con account amministrativo con tutti gli annessi e connessi anche se si usa un account diverso.

Questo in caso non sia stata impostata una password per l'account, e anche lì credo debba passare comunque per l'uac che chiede conferma...

Infatti io parlavo di:

...tramite escalation di privilegi o più semplicemente social engineering...

"Esegui come amministratore" era solo un esempio per far capire che è possibile utilizzare i diritti amministrativi di altro account anche se si usa un account standard, tutto qui.

Comunque è necessario digitare il tasto esegui e digitare successivamente la password. Sarebbe più difficile diventare amministratore. Dovrei fare questi 2 passaggi prima che il virus possa fare qualcosa. Giusto? In mia assenza di attacca?

Se parliamo di social engineering sì ma in casi diversi i virus non digitano una mazza, della password se ne fregano. Le tecniche di bypass, di privilege escalation, code injection e compagnia sono estremamente complesse di certo non spiegabili in poche righe di un post.

si ma senza recuperare una password non faranno mai nulla.

Cmq uno dei problemi più grossi rimane sempre l'utente e la non conoscenza di elementi basilari di informatica.
Da me ad es. ho 4 persone su 6 che NON conoscono cosa siano le estensioni. (un .doc .js etc). Li ho dovuti catechizzare io, proprio per evitare che per la seconda volta colpisse un ramsomware (la prima l'abbiamo sfangata con il backup)

Altra fonte di attacco che però non riguarda tanto i ramsomware è il phishing...con false mail e falsi siti in cui volontariamente la persona dà tutte le informazioni a sua disposizione (carta di credito, dati personali etc,etc).

Ora che l'informatica è l'uso dello smartphone le cose andranno anche peggio. :D

Password? I privilegi di SYSTEM non hanno nessuna "password" quindi assolutamente NO, ripeto ancora che i virus che hanno bisogno di password sono quelli "semplici" che si basano, solo e soltanto, sull'inganno e l'ingenuità dell'utente. Ti invito ad informarti sull'argomento e poi eventualmente ne riparliamo, ti si aprirà un mondo diverso da ciò che credi ora.

Ci sono passato anche io. Avevo diversi siti web sotto stesso hosting infetti. Sembrava un incubo. Ma con calma ho cercato di leggere tutte le guide possibili e qui il post relativo alle istruzioni è strutturato molto bene. Anche se però a dirvi la verità ho scelto la strada di affidarmi a qualcuno. Cioè ho pagato un tizio che mi ha ripulito lui tutti i siti web e quindi il mio hosting.

Password? I privilegi di SYSTEM non hanno nessuna "password" quindi assolutamente NO, ripeto ancora che i virus che hanno bisogno di password sono quelli "semplici" che si basano, solo e soltanto, sull'inganno e l'ingenuità dell'utente. Ti invito ad informarti sull'argomento e poi eventualmente ne riparliamo, ti si aprirà un mondo diverso da ciò che credi ora.

si magari, mi dai qualche riferimento, thx.


sul discorso utenti, io sono sempre dell'idea che l'utente deve rimanere ignorante e deve anche sbagliare, continuamente.
Sono i professionisti e gli sviluppatori che devono prendersi carico di creare sistemi e interfacce a prova di utente.

salve raga...

è qui che so parla di wannacry???

l'attacco è sempre per allegato email???

per xp qualcuno ha provato a patchare con la patch per posready xp embedded???

salve raga...

è qui che so parla di wannacry???

l'attacco è sempre per allegato email???

per xp qualcuno ha provato a patchare con la patch per posready xp embedded???

La patch per xp e tutto il resto è qui
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

altre info qui https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

my 2 cents: rido per tutta la gente che si è arrabattata in tutti i modi per disattivare windows update pensando di fare un screzio alla microsoft e ora ha ciò che si merita

Diciamo che MS ce l'ha messa tutta per portare quanti più utenti possibili a disattivare WU.
Io l'ho disattivato e installo "manualmente" gli aggiornamenti per la sicurezza.

Diciamo che MS ce l'ha messa tutta per portare quanti più utenti possibili a disattivare WU.
Io l'ho disattivato e installo "manualmente" gli aggiornamenti per la sicurezza.

Ma anche no, a cosa ti riferisci scusa? Parli dei sistemi operativi mezzi disastrati con mille problemi in cui a volte un windows update, forse, mandava in palla qualcosa? Ah beh allora ok..

La patch per xp e tutto il resto è qui
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

scaricata la KB4012598
basta questa per XP?

altra domanda , perchè con win 8.1 da winupdate non viene proposta?

@marcolpasini
Mi riferisco al fatto che fino a un certo punto WU funzionava bene (più o meno), dopo che MS ha cambiato il sistema di "impacchettamento" degli aggiornamenti l'update impiegava parecchie ore.

altra domanda , perchè con win 8.1 da winupdate non viene proposta?

ok come non detto , è stata già fixata con gli update di marzo

@Phoenix2005
Esattamente quello che avrei scritto io... se non fossi tremendamente pigro :D

Se permetti, visto l'argomento, avrei anch'io qualche centesimo da spendere…

...sono partiti da qui:

Windows 10 avrà gli aggiornamenti obbligatori
https://www.wired.it/gadget/computer/2015/07/27/windows-10-aggiornamenti-obbligatori

...per poi correggere il tiro senza però centrare il bersaglio (a meno che il target non fosse quello di far spostare l'utenza da Windows a Linux):

Windows 10 CU, alcuni aggiornamenti forzati anche su connessioni a consumo
http://www.hwupgrade.it/news/sistemi-operativi/windows-10-cu-alcuni-aggiornamenti-forzati-anche-su-connessioni-a-consumo_67776.html

E, più in generale, che dire delle famigerate patch cumulative prive di qualsivoglia documentazione tecnica degna di questo nome? incubo notturno ricorrente di qualsiasi amministratore di sistema degno di questo nome:

http://www.infoworld.com/article/2995594/microsoft-windows/why-you-should-worry-about-windows-10-cumulative-updates.html

http://www.infoworld.com/article/2994120/microsoft-windows/petition-asks-microsoft-to-fix-two-glaring-shortfalls-in-windows-10.html

Non mi stupisce, quindi, se torme di utenti indispettiti cerchino in tutti i modi di bloccare Windows update. E che dire di quelli che sono rimasti volutamente sotto XP? È colpa loro? I ransomware se li sono cercati? no. È colpa della MicroSoft che non ha saputo rinnovarsi venendo incontro alle reali esigenze dell'utenza, specie di quella evoluta che desiderava un sistema snello, pulito ed efficiente e non uno spyware mascherato da crapware che mima in malo modo un sistema operativo. Ma la cosa assurda è che dopo tutto questo hanno pensato bene di impestare con gli aggiornamenti della telemetria anche i precedenti OS, rendendo di fatto improponibile per molti la migrazione dall'obsoleto XP a W7/W8. I ransomware sono la naturale conseguenza di questo stato di cose: da un lato un'utenza evoluta che non vuole avere nulla a che fare con questi obbrobri spioni e dall'altra un'utenza non formata che accetta supinamente tutto e il contrario di tutto, che si sta volutamente spingendo a forza in una sorta di walled garden “as service” poco presidiato e mal patchato, perennemente in beta e per nulla conosciuto da chi lo utilizza. Il risultato di cotanta “innovazione” lo abbiamo appena intravisto fra ieri ed oggi.

Quindi fammi capire, mettono aggiornamenti obbligatori perché hanno visto che la maggior parte degli utenti pensava subito a disabilitarli pensando di fare una gran furbata -> non va bene

Non li avessero messi obbligatori -> gli utenti avrebbero gridato" microsoft non pensa alla sicurezza"

Windows 10 CU, alcuni aggiornamenti forzati con connessione a consumo -> sei collegato a internet, sei esposto a minacce, si parla di aggiornamenti critici infatti. Quindi si vuole che magicamente windows si autopatchi da solo ? O forse meglio collegarsi e poi piangere che microsoft non fixa? Non si è mai contenti.

amministratore di sistema degno di questo nome? -> ha minimo dei sistemi di prova su cui fare test approfonditi con il software esistente prima di approvarlo nella rete interna. un amministratore degno di questo nome fa questo in giorni, non in anni per poi lamentarsi.

Chi è rimasto su windows xp non se la è cercata? :sofico: Microsoft cessa il supporto a Windows XP dopo più di 10 anni.. Cosa ti aspettavi? Sempre magie?

Quindi fammi capire, l'utente medio si lamenta di microsoft spiona quindi usa mille tools vari per restare nel paleolitico ma non riesce ad usare quelle ore che passa per capirlo piuttosto che a capire come bloccare la telemetria di windows che è una cosa 1:10 più semplice? :muro:

Il risultato di cotanta involuzione lo abbiamo visto ieri e oggi.

Tutta la rete in ufficio, casa mia, casa dei genitori e di tutti gli amici che aiuto stranamente nessun problema. Ah ma ho barattato la mia "privacy" con os e software aggiornati con patch costanti e di sicurezza. Ora torno a Windows 95 per rimediare :eek:

Opinioni molto diverse. Se non si vuole usare prodotti Microsoft ci sono valide alternative.. Qui ci si lamenta sempre e comunque e si vuole moglie ubriaca e botte piena.

grazie per le risposte...

la patch PosReady funziona :)
ieri notte l ho installata ed ora sono qui a scrivere quindi è ok :D risulta installata
non capisco come ho fatto a non vedere direttamente quella per xp sp3...

cmq per infettarsi con uno 0-day occorre visitare siti che ti infettano al solo aprire la pagina giusto?

io ho installato Cryptoprevent, è gratuito... una volta ho provato a lanciare un exe da sotto una cartella protetta e l'ha bloccato...

---
PS: anche io navigo a consumo... basta solo pensare che un aggiornamento per office era circa 300 mb... scaricato, non sono riuscito ad installarlo (non ricordo perchè)

qualcuno ha dovuto patchare Windows server 2008 datacenter?

la KB4012598 non se la prende

Non basta avere l'antivirus aggiornato?
Tant'è che ho letto il link alla Microsoft di wannacry inserito alcuni post fa e parla di Windows Defender, non di patch da mettere sul sistema operativo o con windows update.

forse ti è sfuggito
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://s13.postimg.org/ce4wov747/Sito.jpg (https://postimg.org/image/piah1jz5v/)

Non funziona. :D

devi riprovare , i server questi giorni sono stracarichi

Ho un pc in famiglia con Win 10 ultima versione ma non sono al momento fisicamente presente per poter verificare : mi pare di ricordare che si aggiorna in automatico senza alcun bisogno di intervento dell'utente e che l'aggiornamento stesso non si puo' nemmeno disabilitare, corretto ?

forse ti è sfuggito
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

scusate ma windows 7 non è affetto?

sempre dai link postati in precedenza
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

qualcosa non torna
secondo quello specchio ,la patch di sicurezza MS17-010 rilasciata a Marzo per Windows 8.1 dovrebbe essere localizzata nella KB ..

For all supported x64-based editions of Windows 8.1:
Windows8.1-KB4012213-x64.msu
Security only

For all supported x64-based editions of Windows 8.1:
Windows8.1-KB4012216-x64.msu
Monthly rollup

Il mio Win 8.1 è regolarmente aggiornato , ma di KB che iniziano per 40 vedo solo queste :rolleyes:

https://s2.postimg.org/k7yl27l21/KB_microsoft.png

https://s13.postimg.org/ce4wov747/Sito.jpg (https://postimg.org/image/piah1jz5v/)

Non funziona. :D

Credo sia accessibile solo con IE (un'altra geniale trovata di MS), la schermata mi pare di Firefox (e infatti anche a me non funge).

fa così anche con IE....

Ditemi che con windows 10 sono al sicuro.
Sono al sicuro?

Credo sia accessibile solo con IE (un'altra geniale trovata di MS), la schermata mi pare di Firefox (e infatti anche a me non funge).

Si, è proprio di Firefox. Vaffanbroda Microsoft... :rolleyes:

..cut...
No. Per determinare se il tuo PC presenta delle porte vulnerabili dovresti eseguire uno scanport completo. SHIELDS UP!:

https://www.grc.com/default.htm

1) Nel caso di porte aperte questa situazione è sempre da considerarsi una grave vulnerabilità.

2) Anche porte chiuse ma visibili dall'esterno sono da considerarsi una potenziale vulnerabilità.
...cut...

Se pensi che di default il Sercomm VD625 di Tim è messo così:
http://www.hwupgrade.it/forum/showpost.php?p=44523244&postcount=712

Ditemi che con windows 10 sono al sicuro.
Sono al sicuro?

Se è stato aggiornato almeno sino a marzo 2017 direi di si, assolutamente al sicuro.

si come il mio 8.1 :rolleyes:

;)

come ha detto Phoenix , vai di WDDc (il Netbios non disabilitarlo da qui se hai esigenze di LAN , altrimenti il sistema non ti risponde più ne tramite nome UNC che IP)
ed aggiungo anche Xp antispy -> https://xp-antispy.org/en/download/

un router che funzioni a dovere ..... e dormi sogni tranquilli

il mio serverino torrent con XP è acceso 24/24 da anni
e non ha raccolto mai nulla

full stealth su ShieldsUP da sempre

ovviamente scarica la patch KB4012598
c'è , non vedo perché non metterla

Le porte dalla 1 alla 65535 devono risultare invisibili ad un attaccante esterno

Come fai a scansionare tutte le porte? Io ho sempre fatto il test delle prime 1056, se cerco di aumentare il range mi dice che può esamirare solo 64 porte alla volta.

Come fai a scansionare tutte le porte? Io ho sempre fatto il test delle prime 1056, se cerco di aumentare il range mi dice che può esamirare solo 64 porte alla volta.


che poi in quel frangente si allerta anche il router
il mio va in port-scan già come fai il test delle prime 1056


-La porta 554 risulta l'unica aperta da grc.com ma non saprei come chiuderla
Questo perchè non ho software istallati che usano il protocollo rtsp e non capisco perchè risulti aperta


quel che non torna è il perchè risulti aperta dall'esterno
se il firewall del router funziona e non l'hai mappata tu non può essere aperta

a meno che ....non hai upnp attivo sul router (e qualcosa sul sistema che la mappa in auto)

-Sulla porta 135: da grc.com risulta chiusa ma dal comando netstat risulta in ascolto
È per questo che chiedevo...immagino risulti in ascolto per via del servizio ( rpc endpoint mapper )attivo

-La porta 554 risulta l'unica aperta da grc.com ma non saprei come chiuderla
Questo perchè non ho software istallati che usano il protocollo rtsp e non capisco perchè risulti aperta

Come ti avevo già detto da altra parte :D la 135 è chiusa quindi nessun problema, anche se il servizio è attivo e quindi in ascolto.

Invece la porta 554 aperta potrebbe dipendere anche dal router.

Sul Sercomm di Tim per esempio è stato segnalato che la 554 risulta aperta

http://www.hwupgrade.it/forum/showpost.php?p=44585718&postcount=894

Ottima osservazione: sul sito esiste il portscan esteso su range personalizzato: il pulsante si trova sotto a “common ports” e si chiama “User-Specified Custom Port Probe”.

si ma limita sempre ad un range di 64 porte

Scusate l'intromissione, una rapida domanda volante: Windows Vista 32x, service pack 1. Sono a rischio?
Non trovo il mio sistema negli elenchi con le patch: vuol dire che non ci sono patch o che semplicemente non sono a rischio?

Questo è un limite voluto perché se uno sul sito gli fa uno portscan completo e poi arriva un altro e fa la stessa cosa e poi un altro e poi un altro...peggio di un attacco DDOS!? Come dicevo prima, se il PC supera il range di “common ports” e poi magari a campione 2 – 3 range custom consecutivi tramite “User-Specified Custom Port Probe” sì è più che blindati: ciò equivale ad un port scan completo (mi riferisco sempre a firewall hardware, quindi esterno al PC).

ah ok ,perdonami ma da quel che avevi scritto capivo che eri riuscito a fare uno scan unico (e mi suonava appunto strano)
Scusate l'intromissione, una rapida domanda volante: Windows Vista 32x, service pack 1. Sono a rischio?
Non trovo il mio sistema negli elenchi con le patch: vuol dire che non ci sono patch o che semplicemente non sono a rischio?

c'è c'è guarda meglio nei link postati in precedenza

c'è c'è guarda meglio nei link postati in precedenza

Hmm non trovo esplicitato qualcosa per il SP1. Ovunque in giro leggo che Vista è coinvolto ma solo con SP2. Vuol dire che devo aggiornare il SP?
Io nel mentre ho il Windows Update impallato da mesi che inutilmente cerca aggiornamenti e non finisce mai la ricerca, quindi al momento ho ben poco da provare...

li c'è scritto per tutte le versioni , al limite se non è compatibile non si installa
scarichi sp2 lo installi e riprovi

per il problema di windowsupdate la soluzione la trovi qui -> http://www.hwupgrade.it/forum/showthread.php?t=2792746

Ok grazie, faccio una prova.

Prova questi:
https://pentest-tools.com
https://nmap.org

Onestamente, non ho idea di come o cosa fare.

Mettiamo che uno esegua questo virus su Windows aggiornato, senza antivirus. Cosa succede ?

Il virus viene del tutto inattivato ? Ossia non puo' neanche cifrare il computer ? O semplicemente viene solo inibita la possibilità che si diffonda agli altri pc della rete ?...

il virus è un mezzo che viene veicolato e avviato usando l'expoit
la patch mette solo una pezza al buco

quindi a tua insaputa (per ora) non possono fartelo scaricare e avviare

ma se il virus wanadecryptor te lo mandano per posta e lo esegui (senza le dovute protezioni) il PC te lo trovi cryptato comunque

confondi il servizio UPnP con l'uPnP del router sono 2 cose diverse
se l'upnp del router è attivo il test di GRC non può verificarlo

cosa fa UPmP del router se attivo ?
Quando un'applicazione del sistema ne fa richiesta ,crea delle regole temporanee nel firewall

bello , comodo
ma un mezzo suicidio

una delle prime cose da disabilitare nei router (e non si capisce perchè di default è attivo su tutti)


Comunque..
se hai le porte CLOSED il firewall non sta funzionando
entra nel tuo ADB e vedi se è stato disabilitato o se il MAC (o iP) della postazione da cui fai i test è impostato come DMZ

Seguo! ;) Speriamo bene per questo wanna cry. Già mi è venuta la paranoia :cry:

Scusate, ma se si lavora in remoto, collegandosi in terminal server con un PC di studio dove è installato windows 10 pro, come ci si protegge? Cosa dovrei fare per stare tranquillo?

Tecnicamente non è un semplice virus ma un virus con funzionalità di rete, ovvero un worm con connessione su IP causale e diretta: PC infetto > tuo PC. Se il tuo PC risponde al portscan del worm ed è vulnerabile si infetta in maniera automatizzata e silente. Poi l'infezione si spande attraverso la rete a tutte le altre macchine (se le hai) ed inizia a cifrare i file. Nel frattempo, il worm genera una serie di IP casuali per ogni macchina infettata ed utilizza il tuo PC “zombificato” (o i tuoi PC) per scandagliare internet, contattare altri PC ed infettarli (se vulnerabili). E così via, in una sorta di catena di S. Antonio digitale. Ecco spiegato l'incredibile numero di infezioni: 220.000 (o più?) in poche ore. A questo punto, dati alla mano, possiamo tranquillamente affermare che l'email non è il vettore di infezione privilegiato, anzi, alcuni ricercatori lo valutano come statisticamente insignificante: ciò non vuol dire che nelle prossime campagne Wcry non possa essere spedito anche via email.


Questo se non si è fixata la falla in questione, suppongo, altrimenti come fa a trasmettersi?
Capisco il criptare le share di rete perchè si ha accesso in scrittura, ma infettare n'altra macchina e lanciare un processo in maniera autonoma me lo spiego solo con una falla grossa come una casa...

Ma alla fine si è capito come wcry infetta il 1º PC, prima della propagazione sulla rete locale sfruttando il buco nel protocollo SMB?

beh certo

Io non sto in una rete ma se però volessi comunque star tranqullo, oltre alla patch tocca disattivare?

patchi tutti i pc
ed eviti di cliccare sugli allegati delle mail :D

scharzavo dai
era per dire: " se hai patchato, il virus teoricamente non può essere iniettato dall'esterno , ma lo puoi raccogliere autonomamente con un suicidio volontario" :D

Intendevo dire: prima della propagazione sulla rete locale (che sappiamo sfrutta SMBv1) come è entrato nel 1ºPC se in questo caso non ha usato le classiche mail?

è entrato perchè il pc era vulnerabile
mi sembra logico
se patchi (per ora) non possono più bucarti e iniettare software a tua insaputa

che poi... come dice Phoenix , se ci sono tutti gli accorgimenti del caso (firewall soft e router) è difficile che le porte 139 ecc... siano accessibili dall'esterno , quindi l'exploit comunque non può essere attuato

Ritornando invece all'hotfix, quest'ultimo dovrebbe proteggerti (se applicato con successo), tuttavia, in generale, per questo tipo di minacce (Worm+ransomware), la cosa più sicura è:

- chiudere tutte le porte in entrata ed in uscita
- Aprire solo le porte realmente utilizzate (banalissimo esempio: 80, 443 per il browser)

Questo lo si ottiene in 4 modi:

1) Router (l'apparato deve consentire la gestione delle porte)
2) Firewall Hardware
3) PC-Firewall Hardware tramite distro linux
4) Firewall Software (va bene anche quello di Windows)
Io ho il Firewall software che ogni nuovo tentativo di connessione mi chiede se essere abilitato.(Uso la parte firewall di Roboscan, anche se l'antivirus è disattivato in quanto non più aggiornato). Quindi dovrei essere relativamente tranquillo?

Pentest-tools ti fornisce tutta una serie di tools per verificare la sicurezza della tua rete, tra cui portscan dalla 1 alla 65535...nel mio caso si blocca quasi subito (probabilmente perché sul mio firewall hardware sono impostati i parametri anti-flood & anti-ping TCP/UDP

Primo test TCP:
Starting Nmap ( http://nmap.org ) at 2017-05-17 14:27 EEST
Initiating Ping Scan at 14:27
Scanning [...] [4 ports]
Completed Ping Scan at 14:27, 1.34s elapsed (1 total hosts)

[+] Nmap scan report for [...] [host down]
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

Nmap done: 1 IP address (0 hosts up) scanned in 1.41 seconds
Raw packets sent: 8 (304B) | Rcvd: 76 (4.969KB)
Test rifatto con il parametro -Pn:
Starting Nmap ( http://nmap.org ) at 2017-05-17 14:32 EEST
Initiating SYN Stealth Scan at 14:32
Scanning [...] [65535 ports]
SYN Stealth Scan Timing: About 1.49% done; ETC: 15:07 (0:34:03 remaining)
SYN Stealth Scan Timing: About 3.92% done; ETC: 15:06 (0:32:15 remaining)
SYN Stealth Scan Timing: About 8.17% done; ETC: 15:06 (0:30:32 remaining)
SYN Stealth Scan Timing: About 13.01% done; ETC: 15:06 (0:28:52 remaining)
SYN Stealth Scan Timing: About 17.86% done; ETC: 15:06 (0:27:12 remaining)
SYN Stealth Scan Timing: About 22.87% done; ETC: 15:05 (0:25:31 remaining)
Discovered open port 30005/tcp on [...]
SYN Stealth Scan Timing: About 28.86% done; ETC: 15:06 (0:23:43 remaining)
SYN Stealth Scan Timing: About 51.82% done; ETC: 14:52 (0:09:24 remaining)
SYN Stealth Scan Timing: About 87.70% done; ETC: 14:44 (0:01:29 remaining)
Completed SYN Stealth Scan at 14:43, 645.53s elapsed (65535 total ports)

[+] Nmap scan report for [...]
Host is up (0.073s latency).
Not shown: 65534 filtered ports

PORT STATE SERVICE
30005/tcp open unknown


Nmap done: 1 IP address (1 host up) scanned in 645.66 seconds
Raw packets sent: 131123 (5.769MB) | Rcvd: 1544 (178.857KB)

Test UDP (sempre con il parametro -Pn):
Test result:
Starting Nmap 6.00 ( http://nmap.org ) at 2017-05-17 14:58 EEST
Initiating UDP Scan at 14:58
Scanning [...] [65535 ports]
UDP Scan Timing: About 3.05% done; ETC: 15:15 (0:16:24 remaining)
UDP Scan Timing: About 6.70% done; ETC: 15:14 (0:15:33 remaining)
UDP Scan Timing: About 11.54% done; ETC: 15:14 (0:14:41 remaining)
UDP Scan Timing: About 16.69% done; ETC: 15:14 (0:13:49 remaining)
UDP Scan Timing: About 21.84% done; ETC: 15:14 (0:12:57 remaining)
UDP Scan Timing: About 26.99% done; ETC: 15:14 (0:12:05 remaining)
UDP Scan Timing: About 32.11% done; ETC: 15:14 (0:11:14 remaining)
UDP Scan Timing: About 37.29% done; ETC: 15:14 (0:10:22 remaining)
UDP Scan Timing: About 41.09% done; ETC: 15:17 (0:11:17 remaining)
UDP Scan Timing: About 47.60% done; ETC: 15:17 (0:10:15 remaining)
UDP Scan Timing: About 53.36% done; ETC: 15:16 (0:08:35 remaining)
Completed UDP Scan at 15:08, 616.59s elapsed (65535 total ports)
[+] Nmap scan report for [...]
Host is up (0.075s latency).
Not shown: 65534 open|filtered ports
PORT STATE SERVICE
161/udp closed snmp
Nmap done: 1 IP address (1 host up) scanned in 616.68 seconds
Raw packets sent: 65561 (1.838MB) | Rcvd: 4542 (307.342KB)

Da quello che leggo la porta 30005 è aperta, non so il perché.
Come dovrei interpretare le altre righe che ho evidenziato in viola?

open|filtered = il portscan non riesce a determinare con certezza lo stato della porta: ''dovresti'' essere protetto…
Ah, "dovrei" ('nnamo bene!)

161/udp closed snmp: è chiusa, quindi grandi pericoli non ce ne sono: dovrebbe essere collegata a qualche apparato hardware legittimo
https://www.speedguide.net/port.php?port=161
C'è modo di capire di cosa si tratta? Potrebbe essere l'UPS?

PORT STATE SERVICE
30005/tcp open unknown

Ci sono buone probabilità che sia un trojan: se hai un secondo PC installaci sopra un Win da zero e prova ad effettuare lo stesso test sulla 30005
https://www.speedguide.net/port.php?port=30005
Uhm... mi sembra molto strano che ci sia un trojan, sono abbastanza "prudente" (leggi paranoico), scansiono spesso con antivirus (Avast) e antimalware (EEK).
Da una veloce ricerca in Rete mi pare di capire che su moltissimi router ci sia una porta aperta "dedicata" al TR-069 (e sui TP-Link (come il mio) sembra che la porta prescelta sia quella).
Non ho un secondo PC su cui installare Windows.
Seguendo le indicazioni del link, volevo disattivare 'sto TR-069 ma pare non sia possibile, quindi ho settato LAN al posto di WAN, cambiato le password e creato un Virtual Server con un IP locale non utilizzato.
In questo modo la porta in questione risulta Closed (non Stealth) su ShieldsUP.

Consigli ulteriori?

Scusate, ma se si lavora in remoto, collegandosi in terminal server con un PC di studio dove è installato windows 10 pro, come ci si protegge? Cosa dovrei fare per stare tranquillo?

Soluzioni?

ma non era stata postata la procedura per disattivare smb ?

forse ti è sfuggita
e comunque su google è pieno di articoli che spiegano come fare

scusate la domanda forse banale, io ho aggiornato i miei pc ma volevo chiedere con adsl con router (netgear)che ha firewall integrato sono cmq protetto?Grazie

Infatti. Penso di essere stato fortunato. Sul pc/server con Windows 10 pro (sempre aggiornato) ho kaspersky total 2017 sempre aggiornato. Sul router è aperta la porta per oltre terminal server rdp per windows. Come potrei essere sicuro di non avere intrusi? Sempre se si possa essere sicuri.

ovviamente scarica la patch KB4012598
c'è , non vedo perché non metterla

Ho appena visto che c'è anche per XP. :)

te l'ho segnalata appunto per quello
anche porchè per gli altri sistemi ha numero diverso

A me risulta che anche per Windows 8 è uguale il numero.

si , per 8 , vista , xp e server 2008

Ottima scelta il Netgear. :)

Se il firewall integrato è attivo dovresti essere protetto ma per esserne sicuro al 100% sarebbe necessario valutare i paramenti di configurazione interna delle porte in entrata/uscita. In alternativa, la cosa più semplice è fare un portscan in modo da capire se hai porte aperte:
https://www.grc.com/default.htm

sono apposto?
https://s26.postimg.org/4q1g55vyt/portscan.jpg (https://postimg.org/image/4q1g55vyt/)

grazie

sei a posto per il servizio upnp , ma quello non è esposto all'esterno da windows vista

era più che altro un problema di XP

non avere una rete locale e avere il firewall su rete pubblica è sicuro?
è opportuno attivare anche il firewall del router Telecom?

il pc non è in rete, si può vedere anche sulle impostazioni di sicurezza
è meglio abilitare quindi il firewall hardware del router di Alice?

quasi quasi opto per .....
"subito".....
in pratica poi viene rimbalzato qualunque tentativo di connessione?

in teoria attivando il firewall, con poche eccezioni si può essere molto più tranquilli però, no?

Ho chiesto nelle varie sezioni del forum e per ora hanno risposto in 2 con lo stesso router (che purtroppo avbiamo in pochi) e lo stesso risultato del port scan: 554 (rtsp) aperta!

allora fa la cosa più semplice
crea una regola nel firewall e bloccala

perfettamente daccordo, che un uso combinato faccia la forza

Il firewall di windows 7 e windows 10, conviene SEMPRE tenerlo attivo o no?
Inoltre quale è il " miglior " antivirus che ci fa stare un po più tranquilli da questi attacchi? Kaspersky e nod32?

no , intendevo nel router

per Bitorrent occorre impostarla, no?

----------
EDIT:
----------

WanaDecrypt, ecco il metodo per liberare i pc attaccati da Wannacry senza pagare il riscatto
http://www.repubblica.it/tecnologia/sicurezza/2017/05/19/news/wanadecrypt_ecco_il_metodo_per_liberare_i_pc_attaccati_da_wannacry_senza_pagare_il_riscatto-165854774

No ma questa è fantastica!!! Il primo sistema opertativo dove è stato reso innocuo anche dopo il suo lavoro è Windows XP!
:D

Ransomware: Prevenzione e Soluzioni


Premessa

Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta



Complimenti per la guida, super completa e dettagliata. Per dare ancora più enfasi a quanto hai detto e scritto, aggiungo solo le parole riportate nel comunicato del CERT (agenzia per l'italia digitale):
"La campagna ransomware WannaCry sta provocando danni in termini di informazioni che non sarà più possibile recuperare."
(fonte: EDIT])
Cioè andate per sempre.
E questo mi ricorda tanto alcune puntate di Mr. Robot
Purtroppo troppe persone non hanno ancora piena consapevolezza di cos'è una cyber war e di cosa significhi.
La mappa in tempo reale di Norse Corp è inquietante.
http://map.norsecorp.com/
Spero di aver dato un piccolo contributo alla discussione.

@MrRobot20

Per cortesia, non quotare l'intera guida laddove non serve.
Se non ti è chiaro un punto cita con il quote, od altro, il singolo punto...se no si allunga senza motivo la discussione.

Grazie. :)

Ragazzi...a me il test TCP Port Scan di Pentest-tools va sempre in "Tool execution timed out".
Il setting impostato è da porta 1 a 65535 e paremetro Don't ping host (-Pn)

Arriva a circa il 60% e si ferma...

Idee? :)

Grazie


EDIT: ovviamente il parametro -Pn lo attivo perché senza ricevo "Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn"

fallo in 2 o 3 trance

1) spesso si pianta il servizio
2) probabile il router rileva il port scan e blocca

fallo in 2 o 3 trance


Sono proprio rincoccò.
Non ci avevo pensato.
Quanto sono belli i forum! :cincin:

Ho usato questa guida per disabilitare Smbv1 e Smbv2
https://support.microsoft.com/it-it/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server
Volevo farlo pure io dal registro di sistema ma in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters non c'è SMB1 (neanche SMB2).

Qualche suggerimento? :help: :help: :help:

si , di postare nel 3d del tuo router , credo sia più appropriato

Ciao ragazzi, lato TCP tutto ok.

Lato UDP, con il famoso pentest-tools:

Starting Nmap 6.00 ( http://nmap.org ) at 2017-05-23 17:27 EEST
Initiating UDP Scan at 17:27
Scanning xxxxxxxxxxxxxxxxxxxx (xx.xxx.xxx.xxx) [21845 ports]
UDP Scan Timing: About 9.40% done; ETC: 17:33 (0:04:59 remaining)
UDP Scan Timing: About 18.49% done; ETC: 17:33 (0:04:29 remaining)
UDP Scan Timing: About 27.57% done; ETC: 17:33 (0:03:59 remaining)
UDP Scan Timing: About 36.68% done; ETC: 17:33 (0:03:29 remaining)
UDP Scan Timing: About 64.35% done; ETC: 17:31 (0:01:24 remaining)
Completed UDP Scan at 17:30, 158.83s elapsed (21845 total ports)

[+] Nmap scan report for xxxxxxxxxxxxxxxxxxxx (xx.xxx.xxx.xxx))
Host is up (0.056s latency).
Not shown: 21844 open|filtered ports

PORT STATE SERVICE
161/udp closed snmp


Nmap done: 1 IP address (1 host up) scanned in 158.90 seconds
Raw packets sent: 21857 (613.407KB) | Rcvd: 292 (31.830KB)



Per la porta 161 ho già letto, ma non saprei in cosa identificare l'hardware per determinare quale la userebbe, pur essendo chiusa stando allo scan.

Per le 21844 lì segnalate (ho fatto tre scansioni 1-21845/21845-43690/43690-65535) è in uso solo il Firewall di un modem/router Tp-Link Archer D5 che di base è settato in:

This device can restrict Internet activity for specified LAN hosts. You can set and combine access control rules to effectively manage your network.

Enable Firewall Flaggato.


Default Filtering Rules
Allow the packets not specified by any filtering rules to passthrough this device.
Deny the packets not specified by any filtering rules to passthrough this device.

Note: The device will match the incoming packet with the enabled filtering rules one by one down the list and apply to the first matching rule. If the packet is not specified by any filtering rules within the list, then the Default Filtering Rule will take effect.

Attualmente è flaggata la voce ALLOW.
Non ci sono regole sottostanti né per allow né per deny.
Dovrei impostare su Deny e poi abilitare i vari IP della LAN a ricevere o non ricevere dati su determinate porte X da me configurate?


Oltre al Firewall di Windows 10 Pro x64, che è tenuto a default e qualche programma, lecito, mi ha chiesto l'accesso alla rete.

C'è modo di testare con altri tool le suddette porte o averle chiuse in maniera certa?

Grazie.

Ho fatto lo scan anch'io, anche perchè non riesco ad installare la patch per WCY.
Il risultato è questo.

https://s24.postimg.org/kdyq3m9px/TCP_Port_Scan_with_Nmap_Online_Penetration_Testi.jpg

Risulta aperta solo la 21 se non ho capito male.

e tutte le altre elencate dopo sono visibili anche se chiuse

è un problema?

Scusate, ma oltre la patch per Windows n° KB4012598 , è uscito anche un pacchetto che la include?
Perchè sono riuscito ad avviare Windows update che avevo bloccato, ma nei vari aggiornamenti che mi ha trovato non risulta. Inoltre se provo ad installarla da sola mi esce errore "Programma di installazione Windows update autonomo. Impossibile installare l'aggiornamento"

si è inglobata in altre

Buongiorno,
scusate se mi intrometto, ma sono praticamente bloccato da quasi UN anno in una situazione simile.

Cioè questa qui:
- http://www.hwupgrade.it/forum/showthread.php?t=2786332

Dispongo di una copia dei file corrotti e NON ho mai formattato il PC sui cui è avvenuta questa strage di file.

Pensate che riuscirò mai a recuperare i miei file?

Grazie in anticipo e scusate l'intromissione.

Se uso una LIVE, e mi becco un ransomware, può arrivare ai dischi? Stessa domanda per un sistema virtualizzato.

Salve a tutti,

è qualche giorno che sono particolarmente preoccupato per la questione dei ransomware.

In pratica a casa mia abbiamo 4 computer collegati alla rete wi-fi attraverso un router. Due dei quali li controllo io, quindi mi sento relativamente sicuro. Utilizzo tutte le classiche precauzioni.

Mentre ci sono altri due PC di cui non ho il controllo, vengono utilizzati da persone inesperte...

Nella rete in questione non ci sono cartelle condivise, c'è solo una stampante.

Nel momento in cui un ransomware riuscisse a colpire uno di questi PC, che probabilità ci sono che tutti i computer collegati alla rete vengano infettati?
C'è un modo per "isolare" i computer mantenendo comunque la condivisione della stampante?

Grazie a chiunque mi darà una mano

Nel momento in cui un ransomware riuscisse a colpire uno di questi PC, che probabilità ci sono che tutti i computer collegati alla rete vengano infettati?



è proprio quello che fa il penultimo "famoso" petya, prima di "crittografare" controlla tutta la LAN in cerca di PC in rete...

Quindi non c'è modo di tutelarsi nel momento in cui viene infettato un pc?

Quindi non c'è modo di tutelarsi nel momento in cui viene infettato un pc?

Non sono un esperto, attendi qualcuno più preparato di me.
Però ti cito cosa fa(ceva) Petya una volta insidiatosi nel PC:

IP address and credential gathering
Petya builds a list of IP addresses to spread to, which includes primarily addresses on the local area network (LAN) but also remote IPs. The full list is built as follows:

All IP addresses and DHCP servers of all network adaptors
All DHCP clients of the DHCP server if ports 445/139 are open
All IP addresses within the subnet as defined by the subnet mask if ports 445/139 are open
All computers you have a current open network connection with
All computers in the ARP cache
All resources in Active Directory
All server and workstation resources in Network Neighborhood
All resources in the Windows Credential Manager (including Remote Desktop Terminal Services computers)
Once the list of target computers has been identified, Petya builds out a list of user names and passwords it can use to spread to those targets. The list of user names and passwords is stored in memory. It uses two methods to gather credentials:

Gathers user names and passwords from Windows Credential Manager
Drops and executes a 32bit or 64bit credential dumper


Quindi prima di eseguire il riavvio del PC con il finto controllo del disco, che in realtà va a crittografare...lui fa tutte quelle operazioni, anche LAN/di rete, al fine di costruirsi una lista di macchine da infettare.

Quindi non c'è modo di tutelarsi nel momento in cui viene infettato un pc?

Se non c'è una condivisione attiva dubito che un ransomware riesca a crittografare altri pc in una rete lan.


bye

Pensate che riuscirò mai a recuperare i miei file?

Grazie in anticipo e scusate l'intromissione.

Prova questo tool chissà che..............


https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor#collapseSix


bye

non so se è già stato segnalato

https://blog.360totalsecurity.com/en/ransomware-decryption-tool-petya-wannacry-released/

Nessuna novità per Cerber non v1??

forse non ha senso segnalarlo perché mi pare che quella variante risolta non giri più (il thread è del 2015), ma lascio la valutazione all'autore del thread se inserirlo o no nella lista:
PClock cryptolocker

https://www.bleepingcomputer.com/forums/t/561970/new-pclock-cryptolocker-ransomware-discovered/

(so per certo che il tool funziona perché l'ho usato personalmente, e cmq Fabian e bleepingcomputer sono una garanzia)

Pc ufficio (non gestito da me ) che fa anche da server infettato. L'estensione è
.NO_MORE_RANSOM . Evidentemente all'autore non manca il senso dell'umorismo. In rete ho trovato un tool ma la email dell'autore è diversa.
Per vostra esperienza l'uso di non tools appropriati compromette altri tentativi di recupero tipo eventuali files originali cancellati?

Pc ufficio (non gestito da me ) che fa anche da server infettato. L'estensione è
.NO_MORE_RANSOM . Evidentemente all'autore non manca il senso dell'umorismo. In rete ho trovato un tool ma la email dell'autore è diversa.
Per vostra esperienza l'uso di non tools appropriati compromette altri tentativi di recupero tipo eventuali files originali cancellati?

hmm secondo me no

Pc ufficio (non gestito da me ) che fa anche da server infettato. L'estensione è
.NO_MORE_RANSOM . Evidentemente all'autore non manca il senso dell'umorismo. In rete ho trovato un tool ma la email dell'autore è diversa.
Per vostra esperienza l'uso di non tools appropriati compromette altri tentativi di recupero tipo eventuali files originali cancellati?

certo che potrebbe.
Se il tool prende i file infetti e li sovrascrive tentando di decrittare con algoritmi sbagliati al posto del file ti trovi un guazzabuglio che non recupererai mai più. Non tutti i tool sono evoluti e fanno tutti i check che vorresti.

@Frix00 se non siamo sicuri di ciò che diciamo in questi casi delicati è meglio tacere. Ricordo quando presi anni (before it was cool) fa un ransomware in un forum di sicurezza un tizio disse testualmente "massì puoi formattare la partizione del SO, tanto i file nell'altra partizione sempre lì sono" :doh: :doh:

Salve a tutti ragazzi, sono stato colpito anche io da un ransomware. In particolare ad essere colpito non è stato il mio PC ma il NAS D-Link DNS-320 che possiedo e che aveva una falla conosciuta proprio a questo tipo di malware. Fatto sta che mi ha bloccato tutti i files di immagini, i files word, i pdf e quant'altro. Fortunatamente avevo una copia di backup di buona parte del contenuto del nas, tuttavia parecchie cose purtroppo non avevo fatto in tempo a salvare e ora sono impossibili da aprire. Le estensioni non sono state modificate, pertanto non sono riuscito a capire che tipo di ransomware si sia insediato nel NAS e se è possibile decriptare i files. Qualcuno può darmi una mano a capirci di più?

è possibile che questo tipo di minaccia attacchi senza nessun tipo di interazione con l' utente?
(allegati, siti pericolosi ecc.....)

Salve a tutti,di recente sono stato anch'io infettato da questo virus;praticamente ha colpito i miei file musicali e video.Ha praticamente aggiunto ad ogni file l'estensione .IGDM.Ho fatto fare le varie scansioni a diversi antivirus citati nei vari siti,ma nulla tutto trovano tranne questo stra maledetto virus;ho provato a guardare i vari processi attivi sul pc,ma nulla.Qualcuno di voi,ha già avuto a che fare con questa variante? Grazie

Salve a tutti,di recente sono stato anch'io infettato da questo virus;praticamente ha colpito i miei file musicali e video.Ha praticamente aggiunto ad ogni file l'estensione .IGDM.Ho fatto fare le varie scanzioni a diversi antivirus citati nei vari siti,ma nulla tutto trovano tranne questo stra maledetto virus;ho provato a guardare i vari processi attivi sul pc,ma nulla.Qualcuno di voi,ha già avuto a che fare con questa variante? Grazie

non è assolutamtne detto che trovi un virus in esecuzione... il file che ha criptato tutto potrebbe essere già cancellato e non cì'è bisogno che sia in esecuzione una volta che ha criptato tutto... sul pc dovresti trovare però traccia del ransom, ovvero un file dove ti viene chiesto denaro per decriptare...

ad ogni modo qui

https://www.free-uninstall.org/how-to-remove-igdm-ransomware-and-decrypt-igdm-files/?lang=it

https://www.google.it/search?q=igdm+ransomware&ie=utf-8&oe=utf-8

trattano l'argomento, pare che si riesca a decriptare... in bocca al lupo e facci sapere :D

Il pc del mio cognato è stato infettato con un ramsoware.

Gli aveva persino corrotto il bootloader :stordita:

Corretto quello sono riuscito a rientrare nella macchina, ma da quel che ho visto è praticamente tutto criptato.

Il ramsoware foxsocy encryptor e dai motori di ricerca online mi sembra non ci sia niente da fare per decriptare i file.. :doh:

facendo una rapida ricerca si troverebbe un certo combo cleaner... provato??


https://www.pcrisk.it/guide-per-la-rimozione/9438-fuxsocy-encryptor-ransomware

Ci sono alcuni ransomware verso i quali non si può far nulla per recuperare i files criptati...ad esempio CryptoLocker....lo beccai nel lontano 2014 sono passati 6 anni e i files restano sul pc criptati :(

facendo una rapida ricerca si troverebbe un certo combo cleaner... provato??


https://www.pcrisk.it/guide-per-la-rimozione/9438-fuxsocy-encryptor-ransomware

per ora quello che ho fatto è stato, entrare in modalità provvisoria e disabilitare l'avvio in automatico di un software che si era autoaggiunto.

Messo windows 10 sopra windows 7 in modo da riparare i file di registro che erano stati corrotti.

Fare un check con malwarebytes e eset scanner online (trovato qualcosa come 300 file pericolosi..)

Installatogli adblocker come estensione di chrome

Ora faccio la scansione con questo cc cleaner.

Vi aggiorno grazie :D

Ci sono alcuni ransomware verso i quali non si può far nulla per recuperare i files criptati...ad esempio CryptoLocker....lo beccai nel lontano 2014 sono passati 6 anni e i files restano sul pc criptati :(

Scusami ma immagino che siano uscite diverse soluzioni nei successivi 7 anni dal moemento in cui è stato effettuato il reverse engineering da parte di Kyrus Technologies.

Scusami ma immagino che siano uscite diverse soluzioni nei successivi 7 anni dal moemento in cui è stato effettuato il reverse engineering da parte di Kyrus Technologies.

Giovanni e dove? Non ho mai trovato nulla in rete!

All'epoca c'era pure un sito su cui caricare il file e cercava di decriptarlo. Adesso forse il tutto è stato sostituito da società che fanno il lavoro oppure è stato chiuso (FireEye / Fox-IT ) . Dipende quanto sono importanti quei files per te.

https://www.thewindowsclub.com/list-ransomware-decryptor-tools
https://www.bynarycodes.com/decrypt-files-encrypted-by-cryptolocker-ransomware/
https://heimdalsecurity.com/blog/ransomware-decryption-tools/

Iscriviti a qualche blog o forum specifico (es. Kaspersky Club) per vedere se ci sono state evoluzioni.

O prova con un file criptato caricandolo qui:
https://www.emsisoft.com/ransomware-decryption-tools/

All'epoca c'era pure un sito su cui caricare il file e cercava di decriptarlo. Adesso forse il tutto è stato sostituito da società che fanno il lavoro oppure è stato chiuso (FireEye / Fox-IT ) . Dipende quanto sono importanti quei files per te.



O prova con un file criptato caricandolo qui:
https://www.emsisoft.com/ransomware-decryption-tools/

Ci sono diverse versioni di Cryptolocker all'epoca beccai una versione più recente: CTB-locker e dall'analisi sul sito emsisoft risulta non ancora decriptabile.

buongiorno ragazzi,

spero di essere nella sezione giusta ..

da un po' di tempo quando eseguo la scansione con il mio Malware Bytes Free trovo sempre Trovigo e company..

le mie domande, prevedibilmente, sono:

come posso averlo preso dato che sono attentissimo a scaricare e cliccare in giro

2. se è come mi sembra nella cartella di chrome basta disinstallare Google Chrome e poi installarlo di nuovo per eliminarlo?

3. che cos'è esattamente?

4. Domanda Fondamentale: mi può spiare le cartelle in C? non credo sia un ransomware né una cosa grave: il mio dubbio principale è che questo o altri file possano spiare in qualche modo anche i documenti nelle cartelle offline ..

sarei disposto ad attivare anche una versione a pagamento di un buon programma se fossi sicuro che può garantirmi protezione attiva. Il problema è che a quanto pare tutti i programmi stanno andando in versione abbonamento tot al mese anziché con la vecchia licenza lifetime.
capisco il loro interesse ma per me da cliente è una cosa che non posso accettare..

inoltre ho letto che la combo win 10 defender + malwarebytes free è comunque ottima.. giusto?


Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data scansione: 18/08/21
Ora scansione: 19:29
File di log: *******-****-****-****-************.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1292
Aggiorna versione pacchetto: 1.0.44226
Licenza: Free

-Informazioni sistema-
SO: Windows 10 (Build 19043.1165)
CPU: x64
File system: NTFS
Utente: *******\****

-Riepilogo scansione-
Tipo di scansione: Ricerca elementi nocivi
Scansione avviata da: Manuale
Risultati: Completata
Elementi analizzati: 375237
Minacce rilevate: 4
Minacce messe in quarantena: 0
Tempo impiegato: 9 min, 18 sec

-Opzioni di scansione-
Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Analisi euristica: Attivata
PUP: Rilevare
PUM: Rilevare

-Dettagli scansione-
Processo: 0
(Nessun elemento nocivo rilevato)

Modulo: 0
(Nessun elemento nocivo rilevato)

Chiave di registro: 0
(Nessun elemento nocivo rilevato)

Valore di registro: 0
(Nessun elemento nocivo rilevato)

Dati di registro: 0
(Nessun elemento nocivo rilevato)

Flusso di dati: 0
(Nessun elemento nocivo rilevato)

Cartella: 1
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Nessuna azione intrapresa, 473, 455258, , , , , ,

File: 3
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nessuna azione intrapresa, 473, 455258, 1.0.44226, , ame, , 7DDED1AC1B79A268FB832E2DF73641BA, 8FEC87087F9168C1D6CC86F82C916771B73435F4EA32FBDE140A7CE105DC0679
PUP.Optional.Trovigo, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Nessuna azione intrapresa, 473, 455258, 1.0.44226, , ame, , 841D3FB81EDBD9298703BBB9DD8C36B8, 4C139C6F377D7C3D0B7231C57CC097063F2EB4810784E4F2894FD21544486659
PUP.Optional.Conduit, C:\USERS\****\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Nessuna azione intrapresa, 193, 454832, 1.0.44226, , ame, , 7DDED1AC1B79A268FB832E2DF73641BA, 8FEC87087F9168C1D6CC86F82C916771B73435F4EA32FBDE140A7CE105DC0679

Settore fisico: 0
(Nessun elemento nocivo rilevato)

WMI: 0
(Nessun elemento nocivo rilevato)


(end)


grazie

No, non saresti nella sezione corretta, non essendo un ransomware quello presente nel tuo PC.

Dovresti aprire un 3d in questa sezione, non un post in questa discussione.

Detto ciò; stai "tranquillo", non è nulla di troppo serio (per quanto tutto ciò che riguarda la sicurezza sia serio).

Lo scopo di quanto hai presente nel PC è farti apparire pubblicità et similia, facendo guadagnare chi gestisce poi tali situazioni. Etc.

Innanzitutto rimuovi le estensioni che non riconosci dalle impostazioni di Chrome. Idem se trovi programmi nel Pannello di Controllo (ma dubito).
Ripristina il motore di ricerca dalle impostazioni di Chrome.

Malwarebytes vedo che indica "nessuna azione intrapresa", cosa che dovrebbe poter fare anche in versione free, forse hai skippato l'azione in tal senso.

In ogni caso c'è il buon HitmanPro (32/64bit) a questo link, che cerca anche i PUP. https://www.hitmanpro.com/en-us/hmp
La versione free per 30 giorni la attivi semplicemente fornendo un indirizzo email (non ti arriva spam, ma hai capito che se basta una mail...).

Come ultima opzione c'è anche il ripristino totale delle impostazioni di Chrome.

No, non saresti nella sezione corretta, non essendo un ransomware quello presente nel tuo PC.

Dovresti aprire un 3d in questa sezione, non un post in questa discussione.

Detto ciò; stai "tranquillo", non è nulla di troppo serio (per quanto tutto ciò che riguarda la sicurezza sia serio).

Lo scopo di quanto hai presente nel PC è farti apparire pubblicità et similia, facendo guadagnare chi gestisce poi tali situazioni. Etc.

Innanzitutto rimuovi le estensioni che non riconosci dalle impostazioni di Chrome. Idem se trovi programmi nel Pannello di Controllo (ma dubito).
Ripristina il motore di ricerca dalle impostazioni di Chrome.

Malwarebytes vedo che indica "nessuna azione intrapresa", cosa che dovrebbe poter fare anche in versione free, forse hai skippato l'azione in tal senso.

In ogni caso c'è il buon HitmanPro (32/64bit) a questo link, che cerca anche i PUP. https://www.hitmanpro.com/en-us/hmp
La versione free per 30 giorni la attivi semplicemente fornendo un indirizzo email (non ti arriva spam, ma hai capito che se basta una mail...).

Come ultima opzione c'è anche il ripristino totale delle impostazioni di Chrome.


grazie,

per quanto riguarda estensioni non ce n'erano e per sicurezza ho tolto anche quelle che già conoscevo tipo screenshot e robe varie;
chrome non lo uso proprio come browser cmq adesso controllo di re-impostare motore di ricerca e robe varie. Uso firefox o brave per youtube.
nessuna azione intrapresa forse perché per salvare il file poi mi sono dimenticato di mettere in quarantena
adesso vedo questo che mi hai consigliato, grazie

@x_Master_x , volevo farti notare che il link sotto la voce " Disabilitare "Riavvia automaticamente " in caso di BSOD ", non è più disponibile ;)
Lo stesso per: https://www.winpatrol.com/winantiransom

@x_Master_x , volevo farti notare che il link sotto la voce " Disabilitare "Riavvia automaticamente " in caso di BSOD ", non è più disponibile ;)


Aperta ora, si apre appunto senza problemi


Lo stesso per: https://www.winpatrol.com/winantiransom

Rimosso, il software e il sito web non sono più disponibili.

Grazie

Perché non usare l'accesso controllato alle cartelle di windows stesso?




https://i.postimg.cc/k6KPmCz7/controled.png (https://postimg.cc/k6KPmCz7)