Ransomware: Prevenzione e Soluzioni


Premessa

Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta


Cosa sono i ransomware?

Una nuova tipologia di trojan\worm che si sta diffondendo nel mondo a macchia d'olio. Anche se l'archetipo è dell'inizio degli anni '90 non voglio tediare con una inutile storia sull'evoluzione dell'infezione e scrivo direttamente cosa sono e come operano al giorno d'oggi. Il nome dice tutto, il ransomware cripta i dati dell'utente con un forte algoritmo e chiede un riscatto ( ransom ) per la chiave di decriptazione


Come operano i ransomware?

Di ransomware ne esistono centinaia di versioni, da questo momento in poi chiamate "varianti" e non seguono una procedura definita. Di solito hanno una lista di file da colpire ( txt, doc, jpeg etc. ) per evitare di compromettere l'operatività del sistema operativo, evitano le cartelle dei Programmi e di Windows, usano un algoritmo sicuro come RSA o AES con chiavi a 4096-2048-256 bit che hanno come unico punto debole la sicurezza\lunghezza della chiave stessa. Il bruteforce, unico metodo possibile in caso l'algoritmo sia stato implementato correttamente e non ci siano falle nel codice, non è nemmeno considerabile visto che vengono utilizzate chiavi molto lunghe, sicure e generate casualmente a volte base all'hardware del PC, conservate solo sui server degli autori-diffusori del malware. Il ransomware può accedere solo a directory a cui ha l'accesso l'utente in scrittura, compresi percorsi di rete ed unità non mappate.


Come faccio a sapere se sono infetto da un ransomware?

L'utente non riesce ad accedere i file, nella maggior parte dei casi li trova rinominati con una doppia estensione, nelle cartelle trova dei file di testo-html-immagini con le istruzioni per il pagamento tramite bitcoin con dei nomi esplicativi, ad esempio i file contengono la parola "decrypt", "recover", "help", "unlock" o simili. Quindi se rinominare il file criptato non ha effetto ( esistono anche i finti ransomware quindi è giusto fare un tentativo del genere ) e la situazione ti sembra familiare, il tuo PC è stato infettato da un ransomware.


Sono stato infettato da un ransomware, cosa devo fare?

In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze del'esatto contrario. La seconda è che qui non riceverai supporto, puoi chiudere tranquillamente questa pagina e non proseguire con la lettura.

Bisogna individuare come primo punto qual'è la variante che ti ha colpito. Se il file è stato rinominato controllare l'estensione, ad esempio file.txt.vvv
Con una semplice verifica su un motore di ricerca puoi scoprire a quale variante corrisponde, nel caso di .vvv è TeslaCrypt 2.0. Come alternativa al motore di ricerca c'è il sito ID Ransomware (https://id-ransomware.malwarehunterteam.com/). Se non riesci a trovare informazioni sull'estensione i casi sono due:

E' una estensione generata casualmente, esempio .abcdefg, oppure l'estensione è rimasta quella originale
E' una variante non ancora conosciuta o non molto diffusa

Nella stragrande maggioranza dei casi è il primo punto, quindi controllare nelle istruzioni lasciate dal ransomware se è indicato il nome dell'infezione, lo stesso vale anche se il file ha mantenuto l'estensione originale. Un ransomware che usa estensioni casuali ad esempio è CTB-Locker. Un ransomware che non usa estensioni e lascia quella originale è TeslaCrypt 4.0 e DMA Locker

Una lista incompleta delle possibili varianti presa da un software ad uso strettamente privato si trova alla fine di questo thread

Ora che sì è a conoscenza della variante, bisogna capire se è stata sconfitta e se per procedere alla decriptazione dei file è necessaria la presenza di determinati file/chiavi di registro sul PC. Anche in questo caso si può ricorrere ad un motore di ricerca oppure si può chiedere in questo thread. Cortesemente cercare nella discussione se è stata postata in precedenza una domanda simile e seguire le regole della discussione che si trovano alla fine di questo post.

Nell'eventualità dovessi accorgerti dell'infezione mentre il malware ancora deve terminare la routine spegnere-riavviare immediatamente il PC per cercare di salvare più file possibile. A quel punto avviare il PC in modalità provvisoria ( i programmi in avvio, tramite chiave Run o Attività pianificata, sono inabilitati e quindi l'infezione non può auto-eseguirsi e peggiorare la condizione dei file ) oppure se preferite tentare di accedere con un live cd di Linux per verificare la situazione. Se è il ransomware stesso a forzare una BSOD in tal caso NON riavviare ma spegnere direttamente il PC. Lo stesso discorso vale in caso il ransoware cerchi di riavviare il PC, non lasciare che completi l'operazione ma spegnere il PC in modo forzato ad esempio staccando l'alimentazione.


Quali varianti è possibile decriptare?

Alcune varianti sconfitte, almeno le più famose, sono:

BitCryptor
Coinvault (https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip)
Chimera (http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.exe)
CrypBoss
CryptInfinite
CryptoDefense
CryptoLocker
CryptoWall
CryptXXX 1.0\2.0 (http://support.kaspersky.com/viruses/disinfection/8547)
CrySis (http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip)
DMA Locker
DecryptorMax
EDA2
Gomasom
Globe (https://decrypter.emsisoft.com/globe3)
Hydracrypt
KeyBTC
LeChiffre
Locker
NanoLocker
Petya (https://github.com/leo-stone/hack-petya)
Radamant
Rannoh (http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip)
Rakhni (http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip)
Shade (http://media.kaspersky.com/utilities/VirusUtilities/EN/ShadeDecryptor.exe)
TeslaCrypt (https://github.com/Googulator/TeslaCrack)*
TorLocker
TorrentLocker
Umbrecrypt
WildFire (http://media.kaspersky.com/utilities/VirusUtilities/RU/WildfireDecryptor.zip)
Xorist \ Vandev (http://media.kaspersky.com/utilities/VirusUtilities/EN/xoristdecryptor.exe)

* .ecc .ezz .exx .xyz .zzz, aaa .abc .ccc .vvv, .xxx. Per .ttt, .micro, .mp3, senza estensione fare riferimento a questa pagina (http://support.eset.com/kb6051/)

In caso la variante non sia stata sconfitta si può procedere in due modi:

Una immagine del disco in modo che vengano preservati file/chiavi del ransomware e infine procedere alla rimozione dello stesso, vedi sezione dedicata
Una copia di backup dei soli file criptati e procedere alla rimozione del ransomware, vedi sezione dedicata

Per quanto il primo punto sia preferibile non è detto che sia necessario, nel caso di TeslaCrypt 2.0 ad esempio bastano i soli file criptati. La probabilità di decriptare i file delle varianti di nuova generazione ( CTB-Locker, Locky, Cerber e così via ) è estremamente bassa, si può solo sperare una una falla del codice, una errata implementazione dell'algoritmo crittografico oppure ad un ripensamento dell'autore che rilasci le chiavi come nel caso di Locker:


Hi,
I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never my intention to release this.

I uploaded the database to mega.co.nz containing "bitcoin address, public key, private key" as CSV. This is a dump of the complete database and most of the keys weren't even used. All distribution of new keys has been stopped.

Automatic decryption will start on 2nd of june at midnight.

Oppure di TeslaCrypt 3.0/4.0

Project closed
master key for decrypt

wait for other people make universal decrypt software

we are sorry!


Cosa posso tentare per recuperare i file?

I tentativi che si posso fare sono:

Ripristinare la vostra copia di backup se precedentemente effettuata
Controllare le copie shadow in caso non siano state eliminate dal ransomware, tramite il tasto destro sul file --> Proprietà --> Versioni precedenti oppure con un software come ShadowExplorer (http://www.shadowexplorer.com/downloads.html). Per quest'ultimo vi consiglio la versione "Portable .zip"
Controllare i file cancellati con PhotoRec della suite TestDisk (http://www.cgsecurity.org/wiki/TestDisk_Download), per una guida fare riferimento al link PhotoRec Passo Dopo Passo (http://www.cgsecurity.org/wiki/PhotoRec_Passo_Dopo_Passo). Oltre a tentare di recuperare i file, vi consiglio di tentare il recupero delle stesse copie shadow dalla director "System Volume Information" presente nella radice del disco
Se avete Dropbox ed è stata criptata anche quella directory si possono recuperare i file originali. Le istruzioni si trovano al link Come faccio a recuperare le versioni precedenti dei file? (https://www.dropbox.com/it/help/11) e I miei file sono stati danneggiati o rinominati da ransomware. Che cosa posso fare? (https://www.dropbox.com/it/help/8408)



Come rimuovere il ransomware?

Dipende dalle varianti ma software come HitmanPro (http://www.surfright.nl/en/downloads/), Malwarebytes Anti-Malware (https://it.malwarebytes.org/antimalware/) e Online Scanner come ESET (http://www.eset.com/us/online-scanner/)\Kaspersky (http://www.kaspersky.com/it/free-virus-scan) sono un buon inizio. Una soluzione drastica ma sicura al 100% è una formattazione completa del PC, vi ricordo che i ransomware sono sempre un passo avanti rispetto ai produttori di AV.


Ho rimosso il ransomware ma sul PC ho ancora dei file correlati, come precedere?

Se l'infezione è stata rimossa ma sul PC sono ancora presenti i vari file di testo-html-immagini nelle cartelle relative al virus procedere in questo modo:
Scaricare ed eseguire Old Files Manager (http://www.hwupgrade.it/forum/showthread.php?t=2444269). Come impostazioni selezionare il disco da scansionare, ad esempio C:\ con opzione "Includi sottocartelle", togliere le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca, aggiungere la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivere:
*nome_file*.html;*nome_file*.txt;*nome_file*.png
Sostituendo l'estensione con quella di interesse e "nome_file" con il nome anche parziale dei file in questione. Infine cliccare sul pulsante "Verifica". Al termine si possono spostare i file in una cartella oppure li cancellarli, a vostra personale scelta. Per altre informazioni sul programma c'è la prima pagina di quel thread che chiarisce ogni dubbio.

N.B. In caso OFM non riesca a cancellare\spostare i file non è un problema del programma ma dipende dalla configurazione del vostro account, ad esempio dai permessi di scrittura della directory ( tasto destro --> Proprietà --> Sicurezza --> Avanzate )


Quali sono i principali veicoli di infezione?

Sono principalmente due, email con phishing o finti allegati ( ad esempio fatture o rimborsi ) e exploit da siti compromessi, compresi ADS e banner, e nell'ultimo periodo anche il circuito .torrent soprattutto per il materiale illegale vedi RAUM . Considerati questi due fattori per prima cosa abilitare la visualizzazione delle estensioni ( Opzioni cartella --> Visualizzazione --> Nascondi le estensioni per i tipi di file conosciuti ) proprio perché i ransomware sono camuffati in allegato da altri file come i PDF. Quindi non aprire allegati sospetti, anche se il mittente sembra conosciuto, se si hanno delle incertezze leggere attentamente l'email che spesso ha errori ortografici. Aggiungere dei filtri al proprio software di gestione della posta per evitare allegati pericolosi come .exe .vbs .bat .js ( per quest'ultimo si può utilizzare NoScript (https://www.symantec.com/avcenter/noscript.exe) della Symantec ) ad esempio alcuni provider come GMail hanno questa protezione già inclusa. In secondo luogo evitare siti "particolari" e se proprio si ha questa necessità utilizzare ambienti virtuali senza collegamento tra Host, il tuo PC, e Guest cioè l'ambiente virtualizzato ( Virtualbox (https://www.virtualbox.org/), VMWare (http://www.vmware.com/it) ) o sandbox ( ToolWiz TimeFreeze (http://www.toolwiz.com/en/products/toolwiz-time-freeze/), Sandboxie (http://www.sandboxie.com/) ) in modo che anche in caso di infezione l'Host non verrà colpito. Un'alternativa può essere una qualsivoglia live di Linux.


Come configurare il PC per evitare infezioni da ransomware?

Scriverò un elenco di tutte le principali configurazioni da attuare:

Uno o più backup su HDD esterni non connessi al PC se non in uso
Windows sempre aggiornato così come i browser di terze parti
UAC attivo, meglio se al massimo
Editor criteri di gruppo locali aka gpedit.msc. Nello specifico:

Criteri restrizione software (https://technet.microsoft.com/it-it/library/hh994606.aspx)
Non eseguire le applicazioni Windows specificate (https://msdn.microsoft.com/it-it/library/ms811970.aspx)
Esegui solo applicazioni Windows specificate (https://msdn.microsoft.com/en-us/library/ms811966.aspx)
AppLocker (https://technet.microsoft.com/it-it/library/dd759117.aspx)¹

uBlock\AdBlock per bloccare gli ads
Disinstallare\Disabilitare Flash e Java²
Disabilitare le Macro di Office
L'utilizzo di un account standard, vedi sezione dedicata
Visualizzazione estensioni nascoste, come da sezione precedente
Disabilitare "Riavvia automaticamente" in caso di BSOD (https://technet.microsoft.com/en-us/library/cc976049.aspx)
EMET - The Enhanced Mitigation Experience Toolkit (https://support.microsoft.com/it-it/kb/2458544)³
MBRFilter (https://github.com/vrtadmin/MBRFilter/releases/tag/1.0)4


¹AppLocker non è disponibile per tutte le edizioni di Windows. Se si possiede Windows 10 Enterprise o Education in aggiunta si consiglia Device Guard (https://technet.microsoft.com/it-it/library/dn986865(v=vs.85).aspx)

² Flash e Java hanno spesso 0-day e falle quindi vi consiglio la rimozione. Per Flash in caso serva come alternativa c'è il plugin PepperFlash integrato in Chrome, per Java se si hanno particolari necessità ad esempio per l'esecuzione di un programma si può usare la versione portable. Una spiegazione d'uso corredata di esempio si trova a questo (http://www.hwupgrade.it/forum/showpost.php?p=32501120&postcount=1) indirizzo

³ EMET al momento non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy vedi Application Lockdown with Software Restriction Policies (https://technet.microsoft.com/en-us/magazine/2008.06.srp.aspx). Inoltre viene dichiarato, per le versioni di Windows 10 Enterprise o Education, che:

With Windows 10 we have implemented many features and mitigations that can make EMET unnecessary on devices running Windows 10. EMET is most useful to help protect down-level systems, legacy applications, and to provide Control Flow Guard (CFG) protection for 3rd party software that may not yet be recompiled using CFG.

Some of the Windows 10 features that provide equivalent (or better) mitigations than EMET are Device Guard, Control Flow Guard (CFG) and AppLocker

4 Si consiglia l'installazione ad utenti esperti


Quali software utilizzare per evitare infezioni da ransomware?

Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:

Malwarebytes Anti-Ransomware (https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/) ( beta )
Bitdefender Anti-Ransomware (https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/) ( gratuito )
HitmanPro.Alert (http://www.surfright.nl/en/alert) ( a pagamento )
CryptoPrevent (https://www.foolishit.com/cryptoprevent-malware-prevention/) ( gratuito \ a pagamento )
Privacy Fence (http://www.fortresgrand.com/products/pf/pf.htm) ( gratis )


Vi consiglio di guardare le caratteristiche e decidere in piena autonomia


Come configurare l'account standard?

Un account standard non evita l'infezione quindi si può considerare "facoltativo" però è possibile agire sui permessi delle directory in modo che il virus non infetti cartelle a cui non ha accesso in scrittura.

Dall'account amministratore tasto destro sulla directory --> Proprietà --> Sicurezza --> Avanzate. Se l'account amministratore non è proprietario della cartella cliccare su Cambia --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Applica --> OK

Rietrare nella schermata tramite il pulsante Avanzate --> Cambia autorizzazioni ( se presente ). A questo punto se vogliamo agire per il singolo utente cliccare su Aggiungi --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Consenti\Nega in base alle proprie necessità ( ad esempio negare i soli permessi in scrittura ) così come per la voce "Applica a: La cartella selezionata, le sottocartelle e i file". Se invece volessimo applicare al gruppo e non al singolo utente la voce da modificare è "Users (NOME_ADMIN\Users)" --> Consenti\Nega in base alle proprie necessità. Vi ricordo che le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti.

Se non si vuole usare l'interfaccia grafica per evitare tutti i passaggi si può usare, tramite CMD elevato come amministratore, l'utility ICACLS

Alcuni esempi:

ICACLS "X:\Cartella" /grant "NOME_UTENTE":(CI)(OI)RX
ICACLS "X:\Cartella" /deny "NOME_UTENTE":(CI)(OI)W
ICACLS "X:\Cartella" /deny Users:(CI)(OI)W


(CI): container inherit
(IO): inherit only
RX (read and execute access)
W (write-only access)

La prima stringa autorizza ( /grant ) l'utente ad avere solo accesso di lettura ed esecuzione alla cartella
La seconda stringa nega ( /deny ) l'utente i permessi di scrittura
La terza stringa nega ( /deny ) a tutti gli utenti standard che fanno parte del gruppo "Users" i permessi di scrittura

Anche in questo caso le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. La guida all'uso di Icacls (https://technet.microsoft.com/it-it/library/cc753525(v=ws.10).aspx) per ogni informazione


Perché il backup dei dati è così importante?

Perché il ransomware non è l'unica minaccia ai tuoi preziosi file, sono tante le cause che possono farti perdere i dati. Un altro tipo di virus, un danno hardware all'HDD, uno sbalzo di corrente durante le fasi di copia sono sono alcune possibilità. Se ci tieni alle foto di famiglia, ai tuoi documenti, ai tuoi ricordi fai una o più copie di backup su HDD esterni


Come posso scrivere\contribuire alla discussione?

Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte:

Variante:
Sistema Operativo:
Antivirus:
Livello UAC:
Anti-Ransomware e/o Criteri di gruppo:
Veicolo di infezione:
Provider di posta:
Macro di Office:
Ad-Block:
Flash:
Java:

Esempio:

Variante: .vvv - Teslacrypt 2.0
Sistema Operativo: Windows 7 Professional 64 Bit
Antivirus: Microsoft Security Essential
Livello UAC: Attivo - Standard
Anti-Ransomware e/o Criteri di gruppo: No
Veicolo di infezione: Allegato infetto
Provider di posta: Libero
Macro di Office: Si
Ad-Block: Si
Flash: Si
Java: No


In caso non si conosca la risposta, ad esempio per il veicolo di infezione, scrivere semplicemente "Sconosciuto"
Se non usi il modello non riceverai supporto per le tue domande, è necessario per capire la situazione di base del tuo PC al momento dell'infezione.


Esempi di estensioni utilizzate dai Ransomware


[CryptoSaver]
Date=29/03/2016
Ext=UNDETECTED
Path=C:\
[UnkwnowExts]
001=.1999
002=.33t
003=.0x0
004=.aaa
005=.abc
006=.biz
007=.cry
008=.ccc
009=.ecc
010=.enc
011=.etc
012=.exx
013=.ezz
014=.fff
015=.ha3
016=.net
017=.org
018=.r5a
019=.rdm
020=.rrk
021=.ttt
022=.vvv
023=.k2v
024=.xxx
025=.xyz
026=.zzz
027=.me
028=.it
029=.lv
030=.ctbl
031=.ctb2
032=.cpyt
033=.crinf
034=.crypt
035=.crypto
036=.eclr
037=.fuck
038=.good
039=.guru
040=.hb15
041=.locky
042=.micro
043=.magic
044=.pzdc
045=.rack
046=.trun
047=.sport
048=.vault
049=.xtbl
050=.ytbl
051=.xrnt
052=.amba
053=.aes256
054=.bleep
055=.bloked
056=.bitcryp1
057=.bitcryp2
058=.crypted
059=.crjoker
060=.cerber
061=.coverton
062=.cryptolocker
063=.darkness
064=.decbak
065=.encedrsa
066=.encrypted
067=.enciphered
068=.frtrss
069=.rokku
070=.him0m
071=.omg!
072=.lol!
073=.kraken
074=.locked
075=.lechiffre
076=.nochance
077=.73i87a
078=.oshit
079=.obleep
080=.poAr2w
081=.p5tkjw
082=.plague17
083=.sshxkej
084=.sanction
085=.surprise
086=.supercrypt
087=.toxcrypt
088=.keybtc*
089=.r16m01d05
090=.encryptedrsa
091=.better_call_saul
092=.hydracrypt_ID_*
093=.umbrecrypt_ID_*
094=.{cryptendblackdc}
[DoubleExts]
001=.mp3
002=.com
[Filename]
001=_crypt
002=.id-
[Header]
001=0:8:0x21444D414C4F434B
002=0:8:0x41424358595A3131



Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5 (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

grazie, qualche news ransomware-as-a-service...
http://www.lastampa.it/2016/03/30/italia/cronache/ho-comprato-un-virus-che-infetta-e-ricatta-i-vostri-pc-vi-spiego-come-funziona-4M7Po8sYe9X1cnuOLmvtCJ/pagina.html

Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.

Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table (https://it.wikipedia.org/wiki/Master_File_Table) ) infettando l'MBR
Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili.

Ringrazio delle preziose informazioni fornite !

La tecnologia 'reputazionale' messa in campo da Windows 10 per arginare il problema relativo all'incauta esecuzione di un file:

http://i65.tinypic.com/17wimd.jpg

Il problema, anche in questo caso, è che il blocco è facilmente aggirabile per cui se si è 'ostinati' si riuscirà ad eseguire il file a dispetto di qualsiasi allarme...

Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.

Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table (https://it.wikipedia.org/wiki/Master_File_Table) ) infettando l'MBR
Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili.

ed avendo un backup del MFT?

bon a parte che se hai un backup dei file sei a cavallo a priori

La tecnologia 'reputazionale' messa in campo da Windows 10 per arginare il problema relativo all'incauta esecuzione di un file:

http://i65.tinypic.com/17wimd.jpg

Il problema, anche in questo caso, è che il blocco è facilmente aggirabile per cui se si è 'ostinati' si riuscirà ad eseguire il file a dispetto di qualsiasi allarme...

bisognerebbe bloccare tutto tranne ciò che è permesso utilizzando Software Policy Restriction così :D

http://snag.gy/V6rmU.jpg

ed avendo un backup del MFT?

Chi è che ha un backup completo della Master File Table? Considera pure che in una situazione standard esiste già un backup ma solo parziale della tabella ( MFTMirr ) che immagino venga comunque eliminata dal ransomware.

Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux

Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati?
Ho tutti i file con estensione .locky
Se riuscite a darmi una mano/consiglio etc..anche in pm..
Grazie in anticipo

Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux

Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati?
Ho tutti i file con estensione .locky
Se riuscite a darmi una mano/consiglio etc..anche in pm..
Grazie in anticipo

è questo?

https://www.qnap.com/i/it/product/model.php?II=131&event=3

non vorrei dire una castronata (forse la dirò)

ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy?

Chi è che ha un backup completo della Master File Table? Considera pure che in una situazione standard esiste già un backup ma solo parziale della tabella ( MFTMirr ) che immagino venga comunque eliminata dal ransomware.

era una domanda scolastica :D

comunque ho visto in giro un programma che permette un backup del mft

Handy Backup is capable of performing MFT backup separately. This approach greatly saves time, if dealing with the case of only Master File Table being damaged (and not the whole disk).

LO UAC al massimo impedisce modifiche al MBR?

Le modifiche all'MBR richiedono diritti amministrativi quindi sì il prompt UAC appare e se è al massimo come consigliato non può essere bypassato da particolari procedure.

Le modifiche all'MBR richiedono diritti amministrativi quindi sì il prompt UAC appare e se è al massimo come consigliato non può essere bypassato da particolari procedure.

e questo è un bene :D

rilasciato Bitdefender Anti-Ransomware

http://www.ghacks.net/2016/03/29/bitdefender-anti-ransomware/

però non spiegano bene con quale meccanismo blocchino i vari ransomware

iscritto :D
tnx x_Master_x per il 3D

subito una domanda
condividi con noi questo? :)

http://www.hwupgrade.it/forum/showpost.php?p=43349802&postcount=779

Iscritto!


rilasciato Bitdefender Anti-Ransomware

http://www.ghacks.net/2016/03/29/bitdefender-anti-ransomware/



L'ho installato su una VM con Win 7. Vediamo che succede. Certo, non esiste nel sito ufficiale e Bitdefender lo considera parte del "Labs project", altra parole per dire che è una beta, forse.

Mi accodo a Paky e la sua richiesta! Grazie per le informazioni che vorrai condividere, x_Master_x :D

Iscritto!


L'ho installato su una VM con Win 7. Vediamo che succede. Certo, non esiste nel sito ufficiale e Bitdefender lo considera parte del "Labs project", altra parole per dire che è una beta, forse.

Mi accodo a Paky e la sua richiesta! Grazie per le informazioni che vorrai condividere, x_Master_x :D

mi sa che è più di una beta, l'ho installato nell'account amministratore ed è presente nel task manager mentre nell'account standard non si vede tra i processi nonostante sia impostato per partire con windows

bisogna lanciarlo a mano e richiede i permessi di amministratore il che francamente è assurdo, se devi far usare account standard per evitare manomissioni del sistema che fai? dai a tizio e caio la password di un amministratore per farlo partire?

Unax,
Bitdefender Anti-Ransomware era già presente nella lista dei software. Almeno voi "frequentatori" leggetelo il primo post nella sua interezza ;)

Paky e giovanni69,
Non riesco a stare dietro ad una release pubblica di un QUARTO programma, soprattutto di uno che deve essere aggiornato costantemente vista l'evoluzione continua dei ransomware. Mi dispiace ma devo rifiutare, di alternative gratuite ne esistono e ne esisteranno in ogni caso quindi non è in fondo una grande perdita.

Unax,
Bitdefender Anti-Ransomware era già presente nella lista dei software. Almeno voi "frequentatori" leggetelo il primo post nella sua interezza ;)



quando io ho letto la lista ce ne erano 3 :D

Non riesco a stare dietro ad una release pubblica di un QUARTO programma,CUT..

ah ok , grazie lo stesso
pensavo fosse qualcosa di meno elaborato utile per ogni occasione

Paky e giovanni69,
Non riesco a stare dietro ad una release pubblica ...... di alternative gratuite ne esistono e ne esisteranno in ogni caso quindi non è in fondo una grande perdita.

Ammettiamo che il ransomware non sia nelle 'firme' dei software in uso e nè il relativo comportamento venga rilevato nè direttamente e nè indirettamente (uso pesante CPU, rallentamenti, file visibilmente compromessi sul desktop).

Che alternative gratuite esistono in grado di verificare se esistono file criptati? Il tuo programma sembrava in grado di lavorare anche in questo senso con la lista estensioni. E non trovo nulla in tal senso in giro. :rolleyes:

giovanni , se ti cripta i file lo vedi subito

cartelle con file musicali, immagini ,video , documenti word ,excell , pdf
vengono tutti alterati

poi questi virus sono molto scenici
ti piazzano i file con il riscatto in qualsiasi cartella , desktop compreso
(e poi li esegue)

molto difficile non accorgersi dell'infezione

se invece ti riferivi a qualcosa che rilevi l'alterazione dei file nel durante
bho...
io qualcosa di alternativo a quello che ha realizzato x_Master_x non l'ho trovato

Vedi non posso semplicemente dire "ecco qua il link, buona fortuna" non si scherza con queste cose e con i file degli utenti. Il post che hai messo era la mia prima idea, monitorare tutto ed ogni nuova estensione dare una scelta all'utente da prendere in pochi secondi. Pensavo bastasse così ma...poi sì è evoluto in un database di estensioni a cui una persona quotidianamente dovrebbe dedicarci del tempo per verificare la situazione mondiale ( visto che non esiste un sito che li raggruppi tutte, quello che vedi è frutto di una ricerca tra vari siti ) poi sono usciti dei ransomware che utilizzano estensioni conosciute come i ".com" che non vengono salvate nel registro perché già presenti = altro aggiornamento, poi i ransomware senza modifica dell'estensione che ti obbligano alla verifica dell'header = altro aggiornamento...
Insomma se domani mattina mi stanco di starci dietro ( oppure un ransomware a cui tecnicamente non posso fare fronte ) e voglio buttare il codice nel cestino chissene, ma se lo rilascio non posso permettermelo per rispetto nei confronti degli utilizzatori e sono più che sicuro di non poterlo aggiornare costantemente perché la mia presenza qui, negli anni, non è mai stata continua. Spero che con questo lungo post ti abbia chiarito il perché alla fine non abbia rilasciato e non rilascerò un eseguibile pubblico, ripeto mi dispiace per questo :)

P.S. Ci sono diversi post sull'evoluzione di "CryptoSaver" nel vecchio thread, se ti interessa leggili tutti cercando il mio nome utente in quella discussione.

poi sono usciti dei ransomware che utilizzano estensioni conosciute come i ".com" che non vengono salvate nel registro perché già presenti

non avevo pensato a questa evenienza :stordita:

effettivamente loro sarebbero sempre un passo avanti, poi sarebbe impossibile tener conto di tutte le possibili combinazioni/estensioni

che poi è la triste storia degli antivirus , sempre un passo indietro al virus :D

giovanni , se ti cripta i file lo vedi subito

cartelle con file musicali, immagini ,video , documenti word ,excell , pdf
vengono tutti alterati

poi questi virus sono molto scenici
ti piazzano i file con il riscatto in qualsiasi cartella , desktop compreso
(e poi li esegue)

molto difficile non accorgersi dell'infezione

se invece ti riferivi a qualcosa che rilevi l'alterazione dei file nel durante
bho...
io qualcosa di alternativo a quello che ha realizzato x_Master_x non l'ho trovato

Ripeto, se hai i files in migliaia di cartelle (non in 'documenti') e non sul desktop non vedo nè file musicali, nè documenti di word, excel.. ecc

E perchè dovrei aspettare il momento in cui ha finito e mi appare la scenata? ;)

Per questo intendevo uno scanner in grado di verificare l'header dei files per vedere se sono criptati o normali.

Si è quel modello.. non conosco per nulla linux ragion per cui Vi chiedo aiuto..
Vi è qualche possibilità di recuperare file cancellati su quel tipo di dispositivo?
:confused: :confused: :confused:

"è questo?

https://www.qnap.com/i/it/product/mo...II=131&event=3

non vorrei dire una castronata (forse la dirò)

ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy?"

Nelle estensioni ci manca un *.locky, mio ultimo PC.

Per giunta ha cambiato il nome di tutti i files perciò non si sa cosa sono -> PC formattato brutalmente, per fortuna c'erano i backup :ciapet:

omihalcon veramente .locky c'è ma se leggi la premessa non ho intenzione di stare lì ad aggiornare quotidianamente, sarà una operazione una-tantum ogni x mesi per le varianti più famose-diffuse.

Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.

Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table (https://it.wikipedia.org/wiki/Master_File_Table) ) infettando l'MBR
Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili.

Giusto per chiarezza

http://www.hwupgrade.it/forum/showpost.php?p=43509326&postcount=1373

Chill-Out l'MBR é una cosa, l'MFT un'altra. Ripristinare l'MBR non modifica in alcun modo l'MFT perché l'MFT non si trova nell'MBR. La frase "se rispristini l'MBR ti giochi i dati" é valida solo se vuoi pagare il riscatto, cosa che nessuno dovrebbe fare, se lo ripristini non sei in grado appunto di inserire la chiave per decriptare la tabella. Ma vale per tutti i ransomware la frase "se rimuovi XYZ ti giochi i dati" nessuno escluso :D
Per il resto nessun dato viene effettivamente criptato, le possibilità di recupero dei file sono decisamente più alte rispetto ad un TeslaCrypt 3.0 per citarne uno. Di certo compromette l'operatività dell'OS in modo permanente a differenza degli altri e per questo non credo si diffonderà nel mondo consumer ma dipende dalla percentuale di persone "paganti" rispetto all'infezione stessa.

Chill-Out l'MBR é una cosa, l'MFT un'altra. Ripristinare l'MBR non modifica in alcun modo l'MFT perché l'MFT non si trova nell'MBR. La frase "se rispristini l'MBR ti giochi i dati" é valida solo se vuoi pagare il riscatto, cosa che nessuno dovrebbe fare, se lo ripristini non sei in grado appunto di inserire la chiave per decriptare la tabella. Ma vale per tutti i ransomware la frase "se rimuovi XYZ ti giochi i dati" nessuno escluso :D
Per il resto nessun dato viene effettivamente criptato, le possibilità di recupero dei file sono decisamente più alte rispetto ad un TeslaCrypt 3.0 per citarne uno. Di certo compromette l'operatività dell'OS in modo permanente a differenza degli altri e per questo non credo si diffonderà nel mondo consumer ma dipende dalla percentuale di persone "paganti" rispetto all'infezione stessa.

http://www.hwupgrade.it/forum/showpost.php?p=43509314&postcount=1372

Ammettiamo che il ransomware non sia nelle 'firme' dei software in uso e nè il relativo comportamento venga rilevato nè direttamente e nè indirettamente (uso pesante CPU, rallentamenti, file visibilmente compromessi sul desktop).

Che alternative gratuite esistono in grado di verificare se esistono file criptati? Il tuo programma sembrava in grado di lavorare anche in questo senso con la lista estensioni. E non trovo nulla in tal senso in giro. :rolleyes:

Non è la soluzione se la frittata è fatta ma puoi sempre creare e tenere da parte dei file sfv (https://en.wikipedia.org/wiki/Simple_file_verification) con per un controllo crc dei file, eventuali modifiche salterebbero all'occhio lanciando il programma che confronta il file.
Ovviamente i file svf devi averli fatti per tempo e averne copia al sicuro e le cartelle/file abbastanza statiche, ovvero non con modifiche costanti ai file se no diventa uno strazio.
Io controllo ogni tanto le cartelle delle fotografie che tipicamente finito l'anno non subiscono più modifiche e quindi posso creare il file sfv.
Non so se esista un software che monitori i cambiamenti dei file, ma penso sarebbe abbastanza invadente dal punto di vista prestazionale.

Come all'altra discussione, mi iscrivo e seguo interessato. Complimenti per l'ottimo lavoro!

Grazie assassino di aragoste. Chill-Out non ho capito ora cosa dovrei fare, l'analisi grammaticale o quella logica del mio messaggio? :asd:

Vedo veramente difficile criptare un intero HDD, incluso l'OS, dall'OS stesso
Petya non cripta né i dati né l'OS ma solo e soltanto l'MFT, quest'ultimo dato non di poco conto non presente nell'articolo che citava solo l'infezione dell'MBR ed affermava giustamente che i dati non venissero criptati. Confermo quanto detto.

Classificabile come ransomware solo perché chiede un riscatto ma alla fine i dati sono sempre accessibili
Con l'informazione mancate dell'MFT e solo quella dell'MBR ora come ora sostituirei "accessibili" con "recuperabili"

Forse basta solo ripristinare l'MBR o un software che rimuove i bootkit, sono solo ipotesi.
"Forse...sono solo ipotesi" ed erano solo ipotesi, infondate, che si poggiavano sulle informazioni di una settimana fa. Il ripristino dell'MBR non permette l'accesso ai file perché viene criptata l'MFT, ripeto dato non presente alla stesura dell'articolo e mio post, fine.

gianluca.f,
Software che monitorano le directory ne esistono, non sono affatto invadenti dal punto di vista prestazionale ed io stesso ne ho fatto uno quindi so di che parlo. Un esempio di programma che puoi provare è FolderChangesView (http://www.nirsoft.net/utils/folder_changes_view.html) così te ne rendi conto.

gianluca.f,
Software che monitorano le directory ne esistono, non sono affatto invadenti dal punto di vista prestazionale ed io stesso ne ho fatto uno quindi so di quello che parlo. Un esempio di programma che puoi provare è FolderChangesView (http://www.nirsoft.net/utils/folder_changes_view.html) così te ne rendi conto.


lo proverò sicuramente! Grazie

Questo tipo d'attacco, invece, mi mette già più in allarme (e non è la prima volta che accade):

http://s30.postimg.org/vtlgj7hwt/Image_1.jpg (http://postimg.org/image/vtlgj7hwt/)

A prescindere infatti dall'aver attaccato OS X (pur in un breve lasso di tempo e quello che volete), la S O S T I T U Z I O N E di un installer con una copia appositamente manipolata mi trova infatti particolarmente impreparato (specie nel caso in cui lo stesso sito del produttore ometta di identificarli univocamente con elementi come SHA256,...).

Si presume infatti d'aver scaricato un qualcosa d'assolutamente legittimo (al quale -come tale- accorderei tranquillamente maggiori privilegi ove richiesti neutralizzando pertanto lo 'spirito' dell'UAC)...e invece si scopre d'aver innescato un disastro (posto che non abbia altri moduli di tipo proattivo su cui poter contare o strumenti passivi come Backup)...

Semplice semplice, subdolo subdolo...

Questo tipo d'attacco, invece, mi mette già più in allarme (e non è la prima volta che accade):

http://s30.postimg.org/vtlgj7hwt/Image_1.jpg (http://postimg.org/image/vtlgj7hwt/)

A prescindere infatti dall'aver attaccato OS X (pur in un breve lasso di tempo e quello che volete), la S O S T I T U Z I O N E di un installer con una copia appositamente manipolata mi trova infatti particolarmente impreparato (specie nel caso in cui lo stesso sito del produttore ometta di identificarli univocamente con elementi come SHA256,...).

Si presume infatti d'aver scaricato un qualcosa d'assolutamente legittimo (al quale -come tale- accorderei tranquillamente maggiori privilegi ove richiesti neutralizzando pertanto lo 'spirito' dell'UAC)...e invece si scopre d'aver innescato un disastro (posto che non abbia altri moduli di tipo proattivo su cui poter contare o strumenti passivi come Backup)...

Semplice semplice, subdolo subdolo...

questo vale però per tutti i virus, se tu ti fidi di un eseguibile perchè è l'installer di un programma e lo hai scaricato dal sito del produttore tu lo esegui

poi se chi ha messo la versione maligna sul sito del produttore riesce a modificare la pagina web che contiene l'hash a quel punto anche una verifica tra hash dell'eseguibile e hash riportato sul sito del produttore combacerebbe generando ulteriore fiducia

Phoenix2005 più che un esercizio di "stile" era più un modo per dimostrare quanto sia "semplice" contrastarli con pochi mezzi. Immagina quelli che hanno i produttori di antivirus che avrebbero potuto fermare la diffusione dei ransomware alla nascita. Invece sono sempre lì ancorati ancora alle definizioni e tecniche oramai obsolete..e i ransomware dilagano incontrastati

P.S. Non ho mai fatto caso quanto consumasse in memoria, te lo farò sapere ma credo pochi mega. Sulla "resa" mai controllato con un vero ransomware ma dai test effettuati li rilevava in pochi secondi. Per il resto concordiamo in pratica su tutto

EDIT:
VM con XP e 2GB di RAM dedicati

http://i63.tinypic.com/30cy6pf.png

Grazie assassino di aragoste. Chill-Out non ho capito ora cosa dovrei fare, l'analisi grammaticale o quella logica del mio messaggio? :asd:


Non è una cosa facile, risparmiati sia l'una che l'altra!



Forse basta solo ripristinare l'MBR o un software che rimuove i bootkit, sono solo ipotesi.
"Forse...sono solo ipotesi" ed erano solo ipotesi, infondate, che si poggiavano sulle informazioni di una settimana fa. Il ripristino dell'MBR non permette l'accesso ai file perché viene criptata l'MFT, ripeto dato non presente alla stesura dell'articolo e mio post, fine.


Ma presente al sottoscritto

http://www.hwupgrade.it/forum/showpost.php?p=43509326&postcount=1373 :O

Petya decoder

https://hshrzd.wordpress.com/2016/03/31/petya-key-decoder/

Leggere attentamente >>>

Disclaimer: This tool is an experiment in unlocking a particular kind of Ransomware, neither Malwarebytes or Hasherezade promise this tool will help in your particular case. This tool should not be considered an official solution to the Petya problem. Any files destroyed, further encrypted or otherwise tampered with against the desire of the user are not the responsibility of the developers. Please use at your own risk.

Ma presente al sottoscritto :O

Aspetta ora che hai messo per la terza volta lo stesso identico messaggio, siamo vicini al record mondiale, forse ho capito l'antifona :D
Volevi dire che con la tua magica sfera di cristallo avevi intuito che Petya avrebbe avuto una falla nel codice, quindi sarebbe uscito un programma per decriptare l'MFT che nessuno allora sapeva che venisse criptata e che infine rimuovendo l'MBR non sarebbe stato più possibile inserire la chiave di decriptazione, infatti nel caso fosse stata ripristinata "ti saresti giocato i dati"! Ora tutto ha un senso :asd:

Scherzi a parte, nella guida in prima pagina alla sezione "Quali varianti è possibile decriptare?" ho messo già dalla prima stesura come prima alternativa preferibile, in caso la variante NON fosse stata sconfitta, una immagine del disco ransomware compreso.

Phoenix2005,
Nel mio precedente post trovi uno screenshot di quanto occupava "CryptoSaver" tanto per referenza

Aspetta ora che hai messo per la terza volta lo stesso identico messaggio, siamo vicini al record mondiale, forse ho capito l'antifona :D
Volevi dire che con la tua magica sfera di cristallo avevi intuito che Petya avrebbe avuto una falla nel codice, quindi sarebbe uscito un programma per decriptare l'MFT che nessuno allora sapeva che venisse criptata e che infine rimuovendo l'MBR non sarebbe stato più possibile inserire la chiave di decriptazione, infatti nel caso fosse stata ripristinata "ti saresti giocato i dati"! Ora tutto ha un senso :asd:


Il :mc: non è specialità olimpica e non ti riesce neppure bene, per cui dacci un taglio (antifona).

Forse non mi crederai ma davvero non ho capito cosa volessi dirmi con quei quote tutti uguali e su cosa mi arrampico, non ho nulla da nascondere e ho pensato ad un certo punto che scherzassi, fai tu. Visto che chiaramente non ci intendiamo e/o parliamo lingue diverse...non voglio fraintendimenti di nessun tipo ergo concordo sul dare un taglio alla discussione non produttiva. Andiamo avanti.

in merito al tool di BitDefender ho lasciato questo commento sul forum de il software

che ne pensate di queste considerazioni?

avevo pensato di creare un'operazione pianificata ma guardando in operazioni pianificate di windows 8.1 ho visto che c'è già una voce chiamata BDAntiCryptoWallTask creata dall'installer stesso

http://snag.gy/MMBxF.jpg

ma anche se è impostata per avviarsi all'accesso di ogni utente e nel task è previsto esegui con i privilegi più elevati se guardo se è attivata dopo essere entrato come utente standard leggo Ultima esecuzione Mai

http://snag.gy/fUFwM.jpg

inoltre il relativo processo nel task manager non compare

ho trovato anche questo questo commento su http://betanews.com/2016/03/29/free-ran ... rity-tool/

Doesn't work for the scenario where an Administrator installs it for users who are not administrators. The installer creates a Scheduled Task which launches the program upon logon of any user, but the the task requires elevation, so it fails to run when a non-administrative user logs on.

insomma se davvero l'utente standard non è protetto a meno di lanciare il programma come admin sarebbe un vulnus veramente grave, perchè l'uso dell'utente standard +UAC al massimo è uno dei pilastri per la sicurezza non solo per questo tipo di virus e di certo non si possono fornire le password di admin a tutti gli utenti standard

se nel proprio pc l'utilizzatore di un utente standard e l'admin coincidono no problem ma se il pc è usato da più persone dare a tutti la possibilità di lanciare programmi con privilegi elevati significherebbe vanificare la sicurezza

Visto che chiaramente non ci intendiamo e/o parliamo lingue diverse...

No no io ti intendo perfettamente, discorso chiuso.

che ne pensate di queste considerazioni?

Dipende se ha o non ha bisogno effettivamente dei diritti amministrativi per operare. In tal caso ha bisogno di un re-design totale per lavorare sotto standard

Dipende se ha o non ha bisogno effettivamente dei diritti amministrativi per operare. In tal caso ha bisogno di un re-design totale per lavorare sotto standard

quello che io ho appurato (come si vede nell'immagini) sul mio pc windows 8.1 64 bit è che nell'utente standard il processo non compare nel task manager e nonostante ci sia un'operazione pianificata che dovrebbe lanciarlo per tutti gli utenti al login con privilegi elevati ciò non avviene

volevo sapere se anche a voi si verifica una tale situazione? o se dipende da un errore nell'impostazioni dell'operazione pianificata.

magari impostando esegui indipendentemente dalla connessione degli utenti funzionerebbe (non ho mai avuto grande interesse per le operazioni pianificate nemmeno sotto xp)

io mi sarei aspettato da un tool del genere come minimo che si avviasse come servizio di windows e che la gui minimale permettesse modifiche solo all'utente amministratore

La questione é molto complessa. Ammesso che venisse lanciata come task ad ogni avvio, tutte le volte, dovresti mettere le credenziali di amministratore cosa che un utente standard non dovrebbe avere e\o semplicemente noioso se sei tu l'admin che usa l'account standard. Si potrebbero "salvare" i privilegi ed evitare il prompt della task però si apre una voragine che potrebbe essere sfruttata dai malware. Insomma il programma per come é ora non é adatto ad un account limtato, come hai detto una delle possibilità é avviarlo come servizio ma richiede un re-design dell'applicazione.

Ci siamo beccati cryptolocker qua in ufficio (lavoro in una segreteria scolastica) per colpa di una persona che ha aperto un allegato infetto su mail. Symantec cloud non ha rilevato nulla.
Per fortuna abbiamo ripristinato con i backup o saremmo stati rovinati. :stordita:
Mi fa specie che esistano aziende private che NON fanno backup.

Mi preoccupa però il fatto che ci sia il rischio che possa corrompere i volumi di backup.
Installo il cripto sulla postazione della posta va. :D

Tra tante 'divagazioni' quella che ritengo essere una risorsa (nel senso che quantomeno apporta un'utilità a favore di chi dovesse leggere):

List of Ransomware Support Topics, FAQs and News Articles (http://www.bleepingcomputer.com/forums/t/608773/list-of-ransomware-support-topics-faqs-and-news-articles/)
(forse da aggiungere anche in prima)...

Grazie X ottima guida mi iscrivo anche io spero di non dovrei mai seguire la disinfettazione :sofico:
Non ragioniam di lor, ma guarda e passa cit. Dante

La questione é molto complessa. Ammesso che venisse lanciata come task ad ogni avvio, tutte le volte, dovresti mettere le credenziali di amministratore cosa che un utente standard non dovrebbe avere e\o semplicemente noioso se sei tu l'admin che usa l'account standard. Si potrebbero "salvare" i privilegi ed evitare il prompt della task però si apre una voragine che potrebbe essere sfruttata dai malware. Insomma il programma per come é ora non é adatto ad un account limtato, come hai detto una delle possibilità é avviarlo come servizio ma richiede un re-design dell'applicazione.

ho modificato da amministratore le impostazioni del task creato dall'installer stesso come da immagine, effettivamente non mi chiede la password dell'utente admin e il processo compare nel task manager anche negli account standard, l'icona nella systray però non appare a meno di lanciare l'eseguibile tramite menu start con conseguente richiesta di privilegi admin

tu dici che questo crea una potenziale vulnerabilità? tenuto conto che:


il programma è installato nella cartella programmi e l'utente standard non ha la possibiltà di copiare file o modificare file senza che appaia la richiesta di privilegi elevati

nella libreria delle operazioni pianificate non compare il task se la si visualizza come utente standard

l'utente standard non riesce a terminare il processo da task manager senza avviare il task manager con credenziali admin


http://snag.gy/V0Sw8.jpg

in poche parole vorresti utilizzare questo thread generico per ricevere supporto personalizzato ad una soluzione indicata in prima pagina?
Mai pensato a cosa verrebbe fuori se ci si mettessero anche altri a fare domande su altri prodotti...o per un supporto ad personam??

Eppure hai qualche post sulle spalle, bah...

Direi che va più che bene: l'impatto sul sistema è praticamente nullo...del resto il software, correggimi se dovessi aver mal interpretato, va a controllare solo la regkey delle estensioni dei file...


Non è solo quello. Oltre alla verifica delle nuove estensioni nel registro c'è anche un monitor che ha dei trigger per la creazione di file, modifica etc. in questo modo copre anche le estensioni conosciute ( esempio test.pdf.com, test.pdf.mp3 ) e i ransomware che non appendono estensioni controllando la "firma" all'interno del file, esempio DMA Locker lascia 8 byte il cui contenuto è !DMALOCK, c'è sempre una costante da qualche parte quando si cripta un file per essere in grado di riconoscerlo successivamente per la decriptazione

Dovrebbe coprire il 99% dei ransomware ma il punto debole è sempre uno:
Per essere efficace deve essere aggiornato costantemente basandosi su un database. Per quanto il programma "avvisi" se una nuova estensione viene aggiunta al registro a prescindere che sia nel database oppure no, lo stesso non accade in caso di una "doppia" estensione conosciuta o ransomware che non aggiunge estensioni perchè richiedono un controllo aggiuntivo. Quindi per quanto efficace sei sempre un passo indietro e conscio di questo devi sempre stare lì ad aggiornare nella speranza non ti capiti una variante nuova nonostante tutto...richiede troppo tempo

L'unica soluzione, almeno dal mio punto di vista, se escludiamo un HIPS che purtroppo è ben al di sopra della capacità di gestione dell'utente medio, è un controllo proattivo basato sull'analisi dell'HASH dei file eseguita ''quasi'' in tempo reale in modo da limitare i danni; i vantaggi di un simile metodo sono più che evidenti: un software di sicurezza che non basa la propria efficacia tramite le oramai obsolete firme, aggiornamenti, Cloud e quant'altro ma solo sulle modifiche fisiche operate sui singoli file e non autorizzate dall'utente, è in grado di rilevare qualsiasi ransomware, anche 0-day, limitando i danni subiti, specie in un ambiente multi-utenza.

Come dicevo anche nel precedente post gli antivirus devono evolversi perché le minacce non sono più le stesse. Il problema della tua proposta è quanto pesa sul sistema una verifica del genere considerando che gli stessi AV sono pesanti già ora però rimane comunque una idea valida.


Tuttavia, e vorrei sottolineare il concetto con una certa enfasi, il problema non sono i tempi di rilevamento! anche il mio anti-ransomware rileva le modifiche in una manciata di secondi e mostra in tempo reale una tabella con l'elenco dei file colpiti + le relative differenze di HASH riscontrate, per poi eseguire uno shutdown programmabile: il problema sono i tempi di spegnimento del sistema che vengono dilatati dal sovraccarico computazionale che il ransomware causa sulla CPU e, finché il PC non si spegne (e possono trascorrere anche più di due minuti), il malware nel frattempo continua a cifrare i file, amplificando notevolmente il danno finale patito


C'è una sostanziale differenza tra il mio approccio e il tuo. Se il mio programma rileva qualcosa è sicuramente un ransomware. Non lo programmo ma eseguo immediatamente uno shutdown/logout forzato. Quando scrivo forzato intendo tutti i parametri possibili ( es. FORCEIFHUNG ) per far sì che avvenga nel tempo più rapido possibile. Quanto tempo passa dipende da tanti fattori, però...


per questo è importante eseguire test su strada ''reali'' e non limitarsi a modificare un valore sul registro o all'interno di un file per poi calcolare i tempi di reazione: la qualità di un vino la giudichi dopo averlo imbottigliato non dopo aver staccato l'uva dalla pianta e averla messa nel carretto! Lo stesso vale per la filiera creativa che dall'idea del primo abbozzo di codice porta al software compiuto.

Mi sembra che i tuoi test sono avvenuti in OS virtualizzato anche parzialmente. Per quanto potrei farli anche io non li reputo, mia modesta opinione, affidabili. Il Guest di per sè non ha le stesse prestazioni dell'Host e la mia macchina di suo non è un missile anzi ha qualche anno sulle spalle. Quindi anche se ci mettesse, per ipotesi, 5 minuti sarebbe un valore non reale perché se l'infezione colpisse l'Host poco ma sicuro impiegherebbe di meno proprio perché avrebbe a disposizione la piena potenza del PC

WELive,
Prego ed ho apprezzato la citazione ;)

Unax,
Ok il processo si avvia a prescindere dalla connessione degli utenti ma il programma a quel punto funziona correttamente con l'account standard? Lo svolge il suo ruolo? Il fatto che venga eseguito "fuori" dalla sessione utente ad alcuni programmi non piace e quindi in pratica funzionano a metà, non a caso manca l'icona nella systray. In caso contrario allora puoi anche continuare ad usarlo così. Io mi riferivo ad altro riguardo alla vulnerabilità cioè utilizzare Runas (https://technet.microsoft.com/it-it/library/cc771525(v=ws.10).aspx) e il parametro /savecred. Trovi delle guide sul web in merito se ti dovessero servire ma personalmente te lo sconsiglio.

in poche parole vorresti utilizzare questo thread generico per ricevere supporto personalizzato ad una soluzione indicata in prima pagina?
Mai pensato a cosa verrebbe fuori se ci si mettessero anche altri a fare domande su altri prodotti...o per un supporto ad personam??

Eppure hai qualche post sulle spalle, bah...

se stai rispondendo a me guarda che io sto parlando di un software indicato proprio nel primo post e che serve o servirebbe a mitigare i rischi di prendersi un ransomware

se nel primo post viene indicato Bitdefender Anti-Ransomware ( gratuito ) e questo software ha delle limitazioni di questo tipo è bene esplicitarle

qualora queste limitazioni possono essere eliminate senza che questo pregiudichi il sistema è bene esplicitarle

questa discussione si chiama Ransomware: Prevenzione e soluzioni

io sto discutendo di un software per la prevenzione di cui si dice nella sezione apposita

Vi consiglio di guardare le caratteristiche e decidere in piena autonomia

ecco la maggior parte degli utenti normali non ha la capacità di farlo, quindi se noi discutiamo dei vari software in questione e dei loro limiti in italiano rendiamo un servizio a tutti

Unax,
Ok il processo si avvia a prescindere dalla connessione degli utenti ma il programma a quel punto funziona correttamente con l'account standard? Lo svolge il suo ruolo? Il fatto che venga eseguito "fuori" dalla sessione utente ad alcuni programmi non piace e quindi in pratica funzionano a metà, non a caso manca l'icona nella systray. In caso contrario allora puoi anche continuare ad usarlo così. Io mi riferivo ad altro riguardo alla vulnerabilità cioè utilizzare Runas (https://technet.microsoft.com/it-it/library/cc771525(v=ws.10).aspx) e il parametro /savecred. Trovi delle guide sul web in merito se ti dovessero servire ma personalmente te lo sconsiglio.

su questo punto non posso rispondere, in quando dovrei lanciare un teslacrypt e verificare se viene bloccato :D

se qualcuno ha una macchina reale fisica su cui fare una prova in entrambe le condizioni potremmo scoprire se la modifica del task non inficia le capacità antiramsonware

ciò che è strano è che una casa di antivirus abbastanza seria come bitdefender abbia rilasciato un tool con questo funzionamento un po' discutibile

certo anche malwarebytes ha rilasciato una antiransomware ancora in beta e che presenta ancora qualche ruvidità

alla fine scopriremo che cryptoprevent che non ha bisogno di essere eseguito constantemente alla fine è la soluzione migliore

io mi sono fatto un piccolo programmino chiamato SPR che agisce sulle stesse chiavi di cryptoprevent ma in chiave ancora più paranoica ovvero blocca tutti gli exe tranne quelli cartelle di sistema e programmi + alcuni altri in white list

in caso di bisogno magari per installare un nuovo programma disattivo momentaneamente le Software policy restriction

Ho detto "okkio agli eseguibili!"

Risposta che sono gli eseguibili ? :asd:


La situazione del nostro cosidetto client di posta, dove ho messo criptoprevent

https://s23.postimg.org/sc7en3lvr/mail.jpg (https://postimg.org/image/sc7en3lvr/)

Ho cercato di categorizzare un pò e di eliminare lo spam..altrimenti avremmo più di 6000 messaggi di posta (causa spam delle aziende e comunicazioni ministeriali e dei docenti), tra le più svariate.
Con questa mole di messaggi basta una disattenzione e siamo fritti.

Una lettura interessante:
Petya – Taking Ransomware To The Low Level (blog.malwarebytes.org/threat-analysis/2016/04/petya-ransomware/)

Ho aggiunto la "Prevention Tip" in prima pagina anche se sinceramente invece di una BSOD un ransomware potrebbe più semplicemente forzare un riavvio, procedura che tra l'altro non richiede nessun diritto particolare da parte dell'eseguibile. Inoltre chi vede una BSOD difficilmente la associa ad un virus e riavvia il PC in modo "manuale" mandando in tal caso Petya nella cosiddetta "Fase 2" che non permette, ad oggi, un ripristino completo della MFT.

pare che il tool bitdefender protegga solo l'account admin, anche se lanciato da un utente standard elevando i privilegi trami lo uac ad essere protetto è il profilo dell'admin e non dell'utente standard

per quanto riguarda la modifica delle modalità di lancio dell'eseguibile tramite modifica del task in questa maniera http://snag.gy/V0Sw8.jpg
rimane sempre il dubbio dell'effettiva protezione

inoltre in un video su youtube https://www.youtube.com/watch?v=EBi0HfLb5Yk&feature=youtu.be

dimostra che il tool non ferma teslacrypt 3

insomma se le cose permangono così il tool della bitdefender non offre molte garanzie anzi potrebbe ingenerare una falsa sicurezza

Ma il criptoprevent settato in modalità default protegge?

No perchè ora come ora gli antivirus sono quasi totalmente inutili..e sperare che tutti quelli che lavorano in una rete non clicchino a caso è totalmente inutile. :D

Sto smanettando anche con questo-> http://www.sandboxie.com/

Non sarebbe utile sandoboxare outlook in modo da evitare danni con l'apertura degli allegati?
Sti ramsomware sono troppo devastanti..c'è qualcosa che non va.

Per un primo inizio su cosa ci ha infettato, e se è possibile recuperare i nostri file:

https://id-ransomware.malwarehunterteam.com/index.php

viene richiesto di uploadare un file del riscatto (ossia uno di quei file .png, .txt, .htm, ecc. con dentro le istruzioni su come pagare i pirati informatici con i bitcoin), ed un file cryptato qualsiasi, i file verranno analizzati e poi si vedrà.....:rolleyes: :rolleyes: :rolleyes:

bye

Phoenix2005,

1) Giusto
2) Strana scelta quella di puntaere l'MFT del solo disco in cui è presente il boot, magari è un limite stesso del tipo di infezione. Ad esempio se avessi un secondo HDD con i dati verrebbe ignorato da Petya quando tutti gli altri ransomware lo avrebbero criptato.
3) Non è proprio questione di fortuna. Nel codice è presente una API non documentata chiamata NtRaiseHardError che dovrebbe far crashare il sistema e quindi potrebbe causare una BSOD. Essendo appunto non documentata i risultati possono variare da tanti fattori, magari la mancanza di un AV come nel tuo caso non l'ha causata.
4) Buono a sapersi, mai avuto una scheda madre con quel tipo di protezione. Non è una feature molto diffusa e ad oggi non credo esista più con l'avvento dell'UEFI.
5) Personalmente ho consigliato TestDisk\PhotoRec rispetto a Recuva al #3 post riguardo a Petya e al primo in generale, ognuno ovviamente usa ciò che vuole\preferisce. Una cosa però non mi è chiara, sul recupero dei file non avevo dubbi ma senza MFT i dati non dovrebbero perdere ogni informazione e/o struttura delle cartelle?
6) Ovvio ma è giusto ricordarlo. Secondo me infezioni come Petya non si diffonderanno in ambito consumer, l'utente comune non è in grado di gestirlo avrebbe difficoltà a pagare se ad esempio ha un solo PC.

P.S. Grazie per i test che effettui e l'apporto che dai al thread. Ho letto la tua risposta al mio precedente post, potremmo argomentare ancora a lungo sull'argomento ma vorrei evitare di "monopolizzare" il thread ;)

FiorDiLatte,
Link già presente al primo post, ti invito ad una lettura. Inoltre quel sito non si occupa di decriptare i dati ne c'è una analisi particolare ( Can you decrypt my data? No ) ma ti aiuta solo a capire da quale variante sei stato colpito.

@ Phoenix2005

potresti fare un test con bitdefender antiransomware installato ed impostato in questa maniera affinchè si avvii per tutti gli utenti prima del logon?

http://snag.gy/V0Sw8.jpg

se puoi testarlo con vari ransomware così vediamo se la protezione funziona con tutti gli account e con quali tipologie

Senza starsi a complicare la vita con n-mila test di altrettante soluzioni discutibili, Sandboxie (che comunque personalmente non uso) e via:
a meno infatti di non imbattersi in un malware specificamente disegnato per bypassarlo o in un exploit specie se di tipo kernel mode, il tasso di successo di questa soluzione è prossimo al 100%...e contro qualsiasi tipologia di malware (ad eccezione dei keylogger se non si ricorre a particolari settaggi).
Questo, in particolare, a favore degli utenti che non sanno praticamente nulla di informatica (ha infatti una curva d'apprendimento bassissima).

Altrimenti, ed è una soluzione altrettanto straordinaria e collaudata, HitmanPro.Alert 3 (anche se nasce fondamentalmente come soluzione pensata per contrastare altre minacce tra cui anche)...


Non c'è bisogno d'altro...a meno di non essere braccini :read: e di stare a fare i pidocchiosi per 20€ circa l'anno (quando si va in pizzeria ogni 3x2, quando si spendono fior di quattrini per videogiochi o componenti hardware, ecc)

Ho fatto un pò di educational..spero abbiano capito..oggi ho anche parlato con il tecnico per chiedergli una soluzione al problema del backup (è un'unità mappata perennemente connessa al server)

Oggi è arrivata un'altra bastardella, sul mio piccì sfigato win xp senza antivirus che a breve mi verrà sostituito.
http://s22.postimg.org/8a130r6z1/RAMSOMWARE.jpg (http://postimg.org/image/8a130r6z1/)



--> mail reale pare un certo : vortexyro1@tin.it

Lo salvo in chiavetta e ci giochicchio da casa. :asd:


Il precedentente ramsomware che ci ha crittato l'universo (ma che non ha eliminato shadowcopy e backup) ha crittato tutto in *.MICRO , quindi sembrerebbe il teslacript 3.0..o almeno credo.

Phoenix2005,
Petya ha avuto come obiettivo le aziende tedesche e una azienda "normale" non lascia che gli utenti salvino i dati sul disco di boot, come minimo in percorsi di rete che in tal caso non vengono attaccati. Inoltre il fattore tempo è dalla sua parte, mostrando il finto Chkdsk che ci impieghi 30 secondi o 2 minuti l'utente medio aspetta che completi l'operazione, tanto o se ne accorge subito e spegne oppure non se ne accorge e lascia lavorare. Secondo me non sarà questa la strada dei ransomware del futuro proprio perché non rende la macchina utilizzabile, vedremo. Quando avevi detto "recuperati al 100%" avevo inteso altro, non essendoci l'MFT si perde la struttura delle cartelle e e tutte le informazioni sui file. Recuva riesce a darti delle estensioni precise perché guarda nell'Header, il software avrà sicuramente un database degli header più "famosi" quindi c'è un'alta possibilità di trovarsi dei file senza estensione.

P.S. Nell'articolo postato in precedenza non c'è traccia di uno Shutdown ma solo di uno BSOD intenzionale per entrare nella seconda fase, senza vedere il codice dobbiamo attenerci a quello. Infatti ho avuto i miei dubbi ma...

Ho aggiunto la "Prevention Tip" in prima pagina anche se sinceramente invece di una BSOD un ransomware potrebbe più semplicemente forzare un riavvio


zerothehero,
Sì .micro è TeslaCrypt 3.0, nessuna soluzione al momento.

Probabilmente sì ma non posso dirlo con la certezza del 100% per il semplice motivo che non l'ho mai provato concretamente nell'uso quotidiano continuato, poiché così come sono configurati miei OS risulterebbe ridondante e quindi superfluo...



Adesso ti svelo un segreto...epperò-mi-racco-mando...non dirlo in giro...;) altrimenti poi gli AV non li compra più nessuno e pensiamo un attimino anche a quei bravi padri di famiglia intenti a confezionare tutta quella costosa fuffa assieme alle colleghe marmotte...e all'improvviso? senza lavoro?! :cry:

Con Sandboxie puoi proteggere:

Browser Web
Client di Posta Elettronica
Qualsiasi suite da Ufficio (da Office a LibreOffice)
Java & SW collegati
Flash
Silverlight
Lettore/editor PDF
P2P
Player multimediali
etc.

L'unico limite è la fantasia e per finire (ma ripeto! non dirlo in giro, ricordati di quei bravi padri di famiglia)...e per finire, dicevo, all'interno di queste aree virtuali puoi far girare solo i programmi abilitati con permessi granulari ed impedire, al contempo, l'esecuzione di qualsivoglia eseguibile non precedentemente autorizzato. Deve essere però chiaro che Sandboxie è la punta dell'iceberg della difesa pro-attiva del sistema, il punto di inizio, non quello di arrivo.

Punta dell'iceberg?
Qua c'è da passà a nuttata.
Speriamo nel backup, in symantec cloud, criptoprevent e nell'Iddio misericordioso :asd:

zerothehero,
Sì .micro è TeslaCrypt 3.0, nessuna soluzione al momento.

Ma non ci ha fregato le shadowcopy, il tecnico ha detto che non ha neanche dovuto recuperare dal backup.
Possibile? :fagiano:
Cmq gli ho detto di tenere i file criptati sul server, anche se abbiamo recuperato tutto.
Dato che mi sto appassionando ai ramsom, mi porto il nuovo file per vedere che è se virus normale o ramsomware..almeno testo il criptoprevent..se serve a qualcosa..

ciao, sul pc di un cliente mi è capitato di trovare, per la prima volta, un ransomware...
Ha criptato tutti i file del computer. A differenza della quasi totalità delle esperienze (altrui) lette in rete, nel mio caso ai file non è stata cambiata estensione: i jpg sono rimasti .jpg, i pdf .pdf, ecc; tuttavia sono criptati.
in ogni cartella sono comparse le "istruzioni" su cos'è successo e su come pagare, in 3 versioni; png, html e in txt.
Nella descrizione parlano di chiave crittografica rsa4096.
Ho provato ad usare tesladecoder: lancio teslaviewer e vado a cercare un file criptato per poter leggere la parte di chiave pubblica; risultato, teslaviewer non mi visualizza come file supportato nessun di quelli criptati (forse perchè hanno ancora la corretta estensione e non è stata modificata?).
Tab proprietà-versioni precedenti ovviamente non compare nulla...
shadowexplorer se non erro non mi visualizza nulla...

Sono andato su id-ransomware e ho inserito il file "istruzioni" e un'immagine criptata e mi ha risposto "this ransomware has no known way of decrypting data at this time. It is recommended to backup your encrypted files, and hope for a solution in the future."

c'è qualche possibilità di recuperare qualcosa?
grazie...

ciao, sul pc di un cliente mi è capitato di trovare, per la prima volta, un ransomware...
Ha criptato tutti i file del computer. A differenza della quasi totalità delle esperienze (altrui) lette in rete, nel mio caso ai file non è stata cambiata estensione: i jpg sono rimasti .jpg, i pdf .pdf, ecc; tuttavia sono criptati.
in ogni cartella sono comparse le "istruzioni" su cos'è successo e su come pagare, in 3 versioni; png, html e in txt.
Nella descrizione parlano di chiave crittografica rsa4096.
Ho provato ad usare tesladecoder: lancio teslaviewer e vado a cercare un file criptato per poter leggere la parte di chiave pubblica; risultato, teslaviewer non mi visualizza come file supportato nessun di quelli criptati (forse perchè hanno ancora la corretta estensione e non è stata modificata?).
Tab proprietà-versioni precedenti ovviamente non compare nulla...
shadowexplorer se non erro non mi visualizza nulla...

Sono andato su id-ransomware e ho inserito il file "istruzioni" e un'immagine criptata e mi ha risposto "this ransomware has no known way of decrypting data at this time. It is recommended to backup your encrypted files, and hope for a solution in the future."

c'è qualche possibilità di recuperare qualcosa?
grazie...

questo è il file "istruzione" che mi compare in versione html, png e txt:
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

NOT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem)

What exactly that means?

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .

What exactly happened to your files ???

*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

What should you do next ?

There are several options for you to consider :
*** You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
*** You can start getting BitCoins right now and get access to your data quite fast .
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data.

In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below :
http://h3ds4.maconslab.com/2D6145D6FFBFE12F
http://aq3ef.goimocoa.at/2D6145D6FFBFE12F
http://fl43s.toabolt.at/2D6145D6FFBFE12F

If you can't access your personal homepage or the addresses are not working, complete the following steps:
*** Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en
*** Install TOR Browser and open TOR Browser
*** Insert the following link in the address bar: xzjvzkgjxebzreap.onion/2D6145D6FFBFE12F

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

***************IMPORTANT*****************INFORMATION********************

Your personal homepages
http://h3ds4.maconslab.com/2D6145D6FFBFE12F
http://aq3ef.goimocoa.at/2D6145D6FFBFE12F
http://fl43s.toabolt.at/2D6145D6FFBFE12F

Your personal homepage Tor-Browser xzjvzkgjxebzreap.onion/2D6145D6FFBFE12F
Your personal ID 2D6145D6FFBFE12F

.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'
.#479-!;48, ")6+2,/5)(284(,' 3'

Variante: Sconosciuto
Sistema Operativo: Windows 7
Antivirus: Avast
Livello UAC: default
Anti-Ransomware e/o Criteri di gruppo: Sconosciuto
Veicolo di infezione: Sconosciuto
Provider di posta: Sconosciuto
Macro di Office: Sconosciuto
Ad-Block: No
Flash: Sconosciuto
Java: Sconosciuto

purtroppo alcune informazioni non le conosco e non ho il computer sotto mano, in questo momento...

Bulldozer28,
Sarebbe utile se scrivi il "modello" come da prima pagina per le informazioni sulla configurazione del PC al momento dell'infezione. Posta inoltre il contenuto delle "istruzioni" meglio se sotto TAG http://hwupgrade.it/forum/images_hwu/editor/code.gif

EDIT: Non avevo visto il post. Avevi ragione tu, è TeslaCrypt ma solo alcune estensioni sono decriptabili e la tua non-estensione non rientra tra quelle per questo non viene riconosciuto da TeslaCrack e alternative. In prima pagina trovi le varianti riconosciute.

Bulldozer28,
Sarebbe utile se scrivi il "modello" come da prima pagina per le informazioni sulla configurazione del PC al momento dell'infezione. Posta inoltre il contenuto delle "istruzioni" meglio se sotto TAG http://hwupgrade.it/forum/images_hwu/editor/code.gif

EDIT: Avevi ragione tu, è TeslaCrypt ma solo alcune estensioni sono decriptabili e la tua non-estensione non rientra tra quelle per questo non viene riconosciuto. In prima pagina trovi le varianti riconosciute

rimodificato post precedente

Anche se incompleto il modello è sempre utile, grazie. Prima pagina, Cosa posso tentare per recuperare i file? e Quali varianti è possibile decriptare? Se un giorno ci saranno novità in merito alla tua variante ti basterà leggere questo thread, al momento non c'è una soluzione per decriptare i file.

rimodificato post precedente

TeslaCrypt 4.0 putroppo c'è poco da fare

Dilusione di diludendo..ho portato la bestiolina a casetta ed è un banale vairus. :cry:
Peggio ancora..me lo blocco il microzz security essential!
Speravo in roba più seria. :stordita:

http://s14.postimg.org/9exfuyvrx/delusione.jpg (http://postimg.org/image/9exfuyvrx/)

“

...e speriamo non sulla punta dell'iceberg! :D

Guarda..se qualcuno mandasse dei file word con macro indicando un preciso documento, camuffando l'indirizzo di arrivo con una nota società 3/4 delle scuole attiverebbero le macro immediatamente, col risultato (penso ad es. a petya) di perdere tutti i dati.
Il limite ai danni che puoi fare, a prescindere delle protezioni, è sapere bene come confezionare bene il tutto.. :D

Ma il criptoprevent settato in modalità default protegge?

No perchè ora come ora gli antivirus sono quasi totalmente inutili..e sperare che tutti quelli che lavorano in una rete non clicchino a caso è totalmente inutile. :D

Sto smanettando anche con questo-> http://www.sandboxie.com/

Non sarebbe utile sandoboxare outlook in modo da evitare danni con l'apertura degli allegati?
Sti ramsomware sono troppo devastanti..c'è qualcosa che non va.

Sandboxie è sicuramente un soluzione valida, utilizzare Outlook come client di posta decisamente NO.

Che suggerisci tenendo presente che non è che mi posso mettere a ravanare troppo sui computer (ho cmq avvisato il tecnico che ho messo il criptoprevent e non ha obiettato)? :D

Si tratta della versione 4.0 di TeslaCrypt. Sicuro di aver utilizzato l'ultima versione del decoder?


Magari fosse come è scritto nel changelog. Riesce a decriptare l'ultima versione ( o la 3.0 ) a patto di avere la chiave privata. Come fai ad avere la chiave privata? Pagando ovviamente il riscatto. Ad oggi sono solo le estensioni, parlando di TeslaCrypt, riportate in prima ad essere decriptabili senza pagare, purtroppo.

Che suggerisci tenendo presente che non è che mi posso mettere a ravanare troppo sui computer (ho cmq avvisato il tecnico che ho messo il criptoprevent e non ha obiettato)? :D

Per quanto "scomodo" leggere la posta dal WEB

PS: per la cronaca TeslaCrypt è giunto alla versione 4.1

Cmq il problema sta dilagando.
Oggi parlando con il tecnico mi ha raccontato che ha avuto non meno di 20 clienti con attacchi ramsomware e che sa che almeno 1 ha pagato intorno agli 800 euro per recuperare i dati.
Ovviamente visto le alte remunerazioni in gioco e la quasi totale impunità continueranno a lavorare su questo genere di prodotti..perchè non dovrebbero farlo?
E' molto remunerativa come attività.

Per quanto "scomodo" leggere la posta dal WEB

PS: per la cronaca TeslaCrypt è giunto alla versione 4.1

Non fattibile..outlook mi serve anche per categorizzare e archiviare i decretini che inviamo alla ragioneria. :D

Non fattibile..outlook mi serve anche per categorizzare e archiviare i decretini che inviamo alla ragioneria. :D

Non conosco per ovvi motivi le tue esigenze nello specifico.

Fino a poco tempo fa poi lo spazio era di soli 100 megabyte, ora si sono degnati di portarlo a 400 megabyte..sono molto umani.
Cmq nei giorni venturi presidio la posta anche solo per sperare di trovare qualche succoso ramsomware..oggi è andata buca. :D

Si tratta della versione 4.0 di TeslaCrypt. Sicuro di aver utilizzato l'ultima versione del decoder?

http://download.bleepingcomputer.com/BloodDolly/changelog.txt

http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt

Qui altre info:
http://www.ransomware.it/teslacrypt-4-0-estensione-file-criptati-non-modificata

si, l'ho scaricata stamattina proprio da quel link...
il problema è che apro teslaviewer, clicco su browse per cercare un file criptato e quando vado in una cartella qualsiasi, a prendere un qualsiasi file criptato, il programma non me li vede come file apribili dal programma (in pratica se in una cartella ci sono solo immagini criptate lui mi vede la cartella vuota e non ho nessun file da poter aprire nel programma)....

Dilusione di diludendo..ho portato la bestiolina a casetta ed è un banale vairus. :cry:

uh?

:asd:

Rokku (http://www.bleepingcomputer.com/news/security/rokku-ransomware-encrypts-each-file-with-its-own-unique-key/) (Siffredu??)(come praticamente tutti gli altri fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)...castrato proattivamente da Alert 3
http://i63.tinypic.com/ejd1xh.jpg
(e sicuramente da Sandboxie nonchè da qualsiasi altro antieseguibile)...

Non fattibile..outlook mi serve anche per categorizzare e archiviare i decretini che inviamo alla ragioneria. :D

...e poi c'è Outlook ed... Outlook. Certo che se stiamo parlando di Outlook di Windows XP vs Outlook di una suite di Office 2010/13/16 , credo che siamo in altro paio di maniche dato che per il primo non esiste più alcun supporto di sicurezza mentre per le seconde, almeno quelle, per quanto limitate in questo caso, sì.

è la 2010 se non ricordo male...cmq in settimana cambiamo le ultime due macchine con xp con seven...sono riuscito a farmi prendere due discrete macchine abbastanza moderne con ssd + i5 + ram abbondante (8 giga). :D

Sul sandboxie me lo uso a casa per imparare ad usarlo...male non fa.
In ufficio il criptoprevent (configurazione default ) pare non dare fastidio ai programmi...quindi lo metto anche sulle future 2 macchine.

uh?

:asd:

Rokku (http://www.bleepingcomputer.com/news/security/rokku-ransomware-encrypts-each-file-with-its-own-unique-key/) (Siffredu??)(come praticamente tutti gli altri fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)...castrato proattivamente da Alert 3
http://i63.tinypic.com/ejd1xh.jpg
(e sicuramente da Sandboxie nonchè da qualsiasi altro antieseguibile)...

averell te usi Hitman pro?che tu sappia Petya viene bloccato da Hitman?grazie

Tra le cose che installo per avere un ulteriore livello di protezione e vedo funzionare benino c'è anche k9webprotection.
http://www1.k9webprotection.com/

spesso quando qualcuno clicca un link su una mail ad un sito web malevolo, lui lo riconosce, si intromette e blocca la pagina.

il servizio è gratuito per uso personale.

Qualcuno sa se esistono altri prodotti simili che funzionano altrettanto bene?


PS: ieri mi è capitato di installarlo su un PC nuovo con Windows 7 e appena ho aperto una pagina è crashato windows, schermata blu su una DLL di k9webprotection.

averell te usi Hitman pro?che tu sappia Petya viene bloccato da Hitman?grazie

Più passano gli anni e più mi rendo conto di risultare evidentemente poco chiaro quando esprimo un qualsivoglia pensiero...

Se invece di questo

Rokku (http://www.bleepingcomputer.com/news/security/rokku-ransomware-encrypts-each-file-with-its-own-unique-key/) (come praticamente tutti gli altri fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)...castrato proattivamente da Alert 3

avessi scritto

Rokku (http://www.bleepingcomputer.com/news/security/rokku-ransomware-encrypts-each-file-with-its-own-unique-key/) castrato proattivamente da Alert 3 (come praticamente tutti gli altri [NDR: Ransomware] fatto salvo [al momento!] giusto Petya che non è cmq un Ransom in senso stretto)?

In poche parole, blocca (ad oggi) tutti i Ransom ad eccezione di Petya che non è un Ransomware in senso stretto (visto che i singoli file non vengono criptati)..
Ho aggiunto anche al momento! perchè, evidentemente, ci sono importanti novità all'orizzonte...

Chissà se stavolta il pensiero risulta sufficientemente chiaro...

perchè dici che non è un ransomware?

un ricattatore è un ricattatore indipendentemente dal metodo che usa

e quindi se un software ti chiede un riscatto per poter accedere agevolmente ai tuoi file è un ransomware

perchè non cripta i singoli file! (che rimangono quindi IN CHIARO!) ma l'elemento che gestisce l'organizzazione dei dati sul disco...e siccome Alert 3 (come MBAR) ha come fine impedire esclusivamente la codifica dei singoli file (e non...), va da se che*...

Ad ogni modo, a brevissimo implementeranno una tecnologia contro qualsiasi forma di file infector (e cosi' virus distruttivi come Sality saranno un ricordo anche per questa soluzione) più tante altre cose (per contrastare anche tecniche 'alla Petya')...

Il tutto, da un software che da fondamentalmente il meglio di se in qualità di AntiExploit...a 20€/l'anno


* o è necessario che prosegua perchè non ci si arriva da soli??

Fammi il disegnino :rolleyes: :p

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

perchè non cripta i singoli file! (che rimangono quindi IN CHIARO!) ma l'elemento che gestisce l'organizzazione dei dati sul disco...e siccome Alert 3 (come MBAR) ha come fine impedire esclusivamente la codifica dei singoli file (e non...), va da se che*...

Ad ogni modo, a brevissimo implementeranno una tecnologia contro qualsiasi forma di file infector (e cosi' virus distruttivi come Sality saranno un ricordo anche per questa soluzione) più tante altre cose (per contrastare anche tecniche 'alla Petya')...

Il tutto, da un software che da fondamentalmente il meglio di se in qualità di AntiExploit...a 20€/l'anno


* o è necessario che prosegua perchè non ci si arriva da soli??

che Peyta abbia un meccanismo diverso non ci piove ma ransomware significa letteralmente malware che chiede un riscatto

da wikipedia https://it.wikipedia.org/wiki/Ransomware

Un Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

come vedi la criptazione dei singoli file è uno solo dei metodi per forzare il pagamento di un riscatto

o come dici tu

* o è necessario che prosegua perchè non ci si arriva da soli??

bene, segnalalo direttamente agli sviluppatori perchè Wikipedia dice che il ransom in realtà è definito come...


E io che ci perdo anche tempo...

Prova così...prendi un qualsiasi file cifrato (assicurati che il file in questione lo sia realmente! magari lanciandolo con il programma ad esso collegato), ad es.

mio-file.jpg

dove "mio-file.jpg" è il nome del tuo file cifrato e rinominalo in:

mio-file.jpg.vvv

Poi caricalo con TeslaViewer.exe

Se ti esce fuori questo errore:
ERROR - Unknown or invalid format

...allora vuol dire che il formato non è attualmente supportato e quindi ti toccherà aspettare (e sperare).

si esce unknown or invalid format

bene, segnalalo direttamente agli sviluppatori perchè Wikipedia dice che il ransom in realtà è definito come...


E io che ci perdo anche tempo...

non è questione di perderci tempo o meno o wikipedia, solo che senza farci una questione etimologica è evidente che qualunque software che ti chiede un riscatto è un ransomware (la parola ransom vuol dire riscatto) indipendentemente dal metodo che usa per indurti a pagare, metodo che potrà essere più o meno efficace

quindi anche Peyta è un ransomware in senso stretto e in senso largo

che poi Alert 3 sia programmato solo per impedire di criptare i singoli file è irrilevante, non è mica Alert 3 che definisce una categoria di malware

mica un trojan cessa di essere un trojan solo perchè il tuo software di protezione ti protegge solo dai worm, così come un virus è un virus anche se il tuo antivirus non lo riconosce come tale

così come anche robin hood per la legge è un ladro anche se ruba ai ricchi per dare ai poveri e lo sceriffo è antipatico

questa opzione previene Petya?

http://s21.postimg.org/7iiq18txz/petia.jpg

credo dipende da come il malware peyta va a scriversi nel MBR

Assolutamente no, quell'opzione non protegge da modifiche all'MBR. Vi ricordo che tale modifica richiede diritti amministrativi, con UAC al massimo ( con Peyta anche standard, visto che non usa procedure di bypass dell'UAC ) bisogna cliccare su "Sì" ergo con il "cervello accesso" vedo difficile infettarsi a meno che non si clicchi a caso su ogni messaggio che appare. É inefficace con UEFI-GPT con o senza Secure Boot, meglio se attivo. Altri ransomware non hanno bisogno di tali diritti e sono quelli i più pericolosi a mio avviso.

Petya
@Bulldozer28
...per il momento allora non c'è nulla da fare.

per un eventuale speranza futura (anche se remota) basta conservare solo i file criptati oppure serve tenere qualcos'altro?

Bulldozer28,
Come da mio messaggio di qualche pagina fa:
Prima pagina, Cosa posso tentare per recuperare i file? e Quali varianti è possibile decriptare? Se un giorno ci saranno novità in merito alla tua variante ti basterà leggere questo thread, al momento non c'è una soluzione per decriptare i file.

Complimenti per il post.


Ransomware: Prevenzione e Soluzioni

[..]

[CENTER]Quali software utilizzare per evitare infezioni da ransomware?

Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:

Malwarebytes Anti-Ransomware (https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/) ( beta )
Bitdefender Anti-Ransomware (https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/) ( gratuito )
HitmanPro.Alert (http://www.surfright.nl/en/alert) ( a pagamento )
CryptoPrevent (https://www.foolishit.com/cryptoprevent-malware-prevention/) ( gratuito \ a pagamento )
WinAntiRansom (https://www.winpatrol.com/winantiransom/) ( a pagamento )


Vi consiglio di guardare le caratteristiche e decidere in piena autonomia



Sarebbe da aggiungere alla lista la versione a pagamento di VirIT eXplorer PRO che gia include il sistema anti crypto-malware contro svariate tipologie: TeslaCrypt, CTBLocker, CryptoLocker, Locky, CryptoWall etc.

Grazie. Su questo VirIT eXplorer ho qualche dubbio, tralasciando il fatto che non ne ho mai sentito parlare ( potrebbe essere una mia mancanza ) è il modo di agire che mi lascia un po' perplesso. Vedendo il filmato su youtube e TeslaCrypt 3.0 in pratica non blocca sul nascere l'infezione ma la ferma successivamente, qualche secondo dopo, infatti alcuni file vengono comunque criptati infatti il PC ha nelle directory i vari help_recover. Il fatto che riesca a successivamente a decriptarli oppure no è secondario, questo modo di agire fa in modo che il ransomware sia sempre un passo avanti perché c'è una sorta di protezione "specifica" e non "preventiva" come ad esempio fa CryptoPrevent per dirne uno. Se fossi infettato da una variante non riconosciuta dall'AV? Se non lo dovesse bloccare successivamente come avviene con TeslaCrypt?

Detto questo è anche un prodotto che ha antivirus, firewall, antimalware etc. non solo anti-ransomware come tutti quelli presenti nella lista quindi chi lo vuole utilizzare dovrebbe rimuovere il proprio AV, magari a pagamento, perché averne due non avrebbe senso. Mi rimangono più dubbi che certezze...

P.S. Magari mi sbaglio su tutta la linea però prima di aggiungerlo vorrei avere altre opinioni in merito, anche se spetta a me l'ultima parola se XYZ persone mi dicono il contrario non ho problemi a fare un passo indietro.

rispetto giusto perchè è un prodotto italiano...

cryptoprevent non può prevenire peyta perchè l'azione di questo malware avviene in due fasi

prima si autoscrive nel MBR, poi causa un riavvio per completare la sua azione

poi se il test lo esegui su xp con privilegi amministrativi è come andare in un bar gay completamenti nudi tipo Proctor in scuola di polizia

https://www.youtube.com/watch?v=jo3m2ATiomY

ti rifaccio la richiesta visto che sei in vena di test, puoi testare anche Bitdefender antiransomware visto che è citato tra i software

Grazie. Su questo VirIT eXplorer ho qualche dubbio, tralasciando il fatto che non ne ho mai sentito parlare ( potrebbe essere una mia mancanza ) è il modo di agire che mi lascia un po' perplesso. Vedendo il filmato su youtube e TeslaCrypt 3.0 in pratica non blocca sul nascere l'infezione ma la ferma successivamente, qualche secondo dopo, infatti alcuni file vengono comunque criptati infatti il PC ha nelle directory i vari help_recover. Il fatto che riesca a successivamente a decriptarli oppure no è secondario, questo modo di agire fa in modo che il ransomware sia sempre un passo avanti perché c'è una sorta di protezione "specifica" e non "preventiva" come ad esempio fa CryptoPrevent per dirne uno. Se fossi infettato da una variante non riconosciuta dall'AV? Se non lo dovesse bloccare successivamente come avviene con TeslaCrypt?

Detto questo è anche un prodotto che ha antivirus, firewall, antimalware etc. non solo anti-ransomware come tutti quelli presenti nella lista quindi chi lo vuole utilizzare dovrebbe rimuovere il proprio AV, magari a pagamento, perché averne due non avrebbe senso. Mi rimangono più dubbi che certezze...

P.S. Magari mi sbaglio su tutta la linea però prima di aggiungerlo vorrei avere altre opinioni in merito, anche se spetta a me l'ultima parola se XYZ persone mi dicono il contrario non ho problemi a fare un passo indietro.

è vero virit è poco conosciuto al grande pubblico, l'interfaccia è un po' strana, mi ricordo che in xp avevo installato la versione lite che consente le scansioni ma non ha la protezione in tempo reale

qui discutono di Peyta http://www.tgsoft.it/italy/news_archivio.asp?id=712

Come peraltro detto anche da x_Master, non si capisce perchè questo thread abbia preso (da subito) la deriva diventando di fatto Petya-centrico...quando di fatto questo particolare sample
• non circola in Italia e, di conseguenza, i veri rischi per gli utenti nostrani sono rappresentati da più 'banali' TeslaCrypt e fratelli
• su un OS un minimo più moderno di XP si ha un allarme proveniente già dall'UAC pur a default (quindi, non innova in nulla neppure a livello di bypass per cui l'unica sua 'novità' è rappresentata dal fatto che colpisce giusto il MFT)
• ecc...

Petya-centrico...ma evidentemente va bene cosi'

@ Unax:
e cmq, se te lo vuoi proprio sentir dire, Cryptoprevent è bell'e che obsoleto per quanto in linea di principio qualcuno possa trovarlo utile...
Bitdefender, invece, è una puttananta...

Come peraltro detto anche da x_Master, non si capisce perchè questo thread abbia preso (da subito) la deriva diventando di fatto Petya-centrico...quando di fatto questo particolare sample
• non circola in Italia e, di conseguenza, i veri rischi per gli utenti nostrani sono rappresentati da più 'banali' TeslaCrypt e fratelli
• su un OS un minimo più moderno di XP si ha un allarme proveniente già dall'UAC pur a default (quindi, non innova in nulla neppure a livello di bypass per cui l'unica sua 'novità' è rappresentata dal fatto che colpisce il MFT)
• ecc...

Petya-centrico...ma evidentemente va bene cosi'

@ Unax:
e cmq, se te lo vuoi proprio sentir dire, Cryptoprevent è bell'e che obsoleto per quanto in linea di principio qualcuno possa trovarlo utile...
Bitdefender, invece, è una puttananta...

abbiamo capito che sei innamorato di Alert 3 :D

comunque cryptoprevent + standard user + UAC al massimo + cervello acceso secondo me è uguale ad Alert 3 solamente che è gratis

per tutto il resto c'è san backup, santo protettore dei bit e dei bytes

per quanto riguarda bitdefender nemmeno io mi fido infatti l'ho installato solo per vedere come era e poi rimosso 2 giorni dopo ma dato che è inserito nell'elenco vedere come si comportano i vari software anti è utile al fine di scegliere la propria protezione

comunque cryptpprevent + standard user + UAC al massimo + cervello accesso secondo me è uguale ad Alert 3 solamente che è gratis
Hai dimostrato, tanto per iniziare e se ancora ce ne fosse stato bisogno, di non sapere minimamente cos'è Alert...

ma va bene cosi',
UGUALE...e gratis!

Hai dimostrato tanto per iniziare, e se ancora ce ne fosse stato bisogno, di non sapere minimamente cos'è Alert...

ma va bene cosi',
UGUALE...e gratis!

ma non ti riferivi a hitman alert? nel primo posto è scritto a pagamento

detto ciò io utilizzo un softwarino che blocca anche hitman anche usando un account amministratore :D

http://snag.gy/C1eqe.jpg

ma non ti riferivi a hitman alert? nel primo posto è scritto a pagamento

si...ma lasciamo perdere perchè la chat non interessa a nessuno.

Se vuoi ti informi e, quando e se hai capito, ne riparleremo

si...ma lasciamo perdere perchè la chat non interessa a nessuno.

Se vuoi ti informi e, quando e se hai capito, ne riparleremo

vedi se quel software ha funzioni a gratis lo dovresti dire così nel primo posto viene scritto

non sarebbe una semplice discussione tra noi due che può interessare solo a noi due e probabilmente nemmeno a noi due

poi sia chiaro nessuno mette in dubbio che hitman alert 3 sia un buon prodotto

vedi se qual software ha funzioni a gratis lo dovresti dire così nel primo posto viene scritto

cosa non capisci?? (dal primo post!)

http://i68.tinypic.com/2l9mmn9.jpg


Mi chiedo onestamente se sei presente o se vivi in un mondo tutto tuo...:mbe:

lo so che è a pagamento ed infatti io ho detto che con altri sistemi si può pervenire a bloccare le minacce non solo i ransomware


comunque cryptpprevent + standard user + UAC al massimo + cervello acceso secondo me è uguale ad Alert 3 solamente che è gratis

ciò che intendevo è hitman lo paghi mentre altri sistemi che ti proteggono sono gratis

poi ognuno può ritenere kaspersky avira hitman questo o quel hips il meglio che ci sia ma la maggior parte degli utenti (forse non è il tuo caso) pensano che utilizzando questi prodotti hanno sempre il sedere parato e così non è

che vuoi che ti dica se ti sfugge anche il concetto di identità o uguaglianza...

Per questa piazza, evidentemente, è anche troppo affermare che l'unica differenza è esclusivamente il fatto che uno sia a pagamento e l'altro gratis...

che vuoi che ti dica se ti sfugge anche il concetto di identità o uguaglianza...

Per questa piazza, evidentemente, è anche troppo affermare che l'unica differenza è esclusivamente il fatto che uno sia a pagamento e l'altro gratis...

vabbè se vuoi fare polemiche continue io la chiudo qui

che vuoi che ti dica se ti sfugge anche il concetto di identità o uguaglianza...

Per questa piazza, evidentemente, è anche troppo affermare che l'unica differenza è esclusivamente il fatto che uno sia a pagamento e l'altro gratis...

vabbè se vuoi fare polemiche continue io la chiudo qui

Facciamo basta!

Cambiando argomento...rokku era già presente nella mia lista quindi deve avere minimo un mese da quando é stato scoperto. Usa un algoritmo "debole" fattorizzato nel '99, nel 2001 é stato rifatto l'esperimento con un singolo PC ed hanno impiegato 72 giorni. Anche con macchine moderne ci vorrebbero giorni per una singola chiave per questo l'autore ha deciso di usare una chiave per ogni file rendendo impensabile quell'approccio. Si spera che la traccia lasciata nel file per riconoscere quale chiave usare sia di un certo aiuto ergo come al solito si spera in un errore di implementazione o falla nel codice

Vedendo il filmato su youtube e TeslaCrypt 3.0 in pratica non blocca sul nascere l'infezione ma la ferma successivamente, qualche secondo dopo, infatti alcuni file vengono comunque criptati infatti il PC ha nelle directory i vari help_recover.

VirIT usa il sistema di mitigazione. Quando il crypto-malware cifra un certo numero di file e viene superata la "soglia" impostata di VirIT, a questo ounto interviene VirIT e va a bloccare il processo malevole.

Nel video i file cifrati erano solo 8 e non 100,000!

Questo è un sistema "preventivo" secondo me, perche' blocca la cifratura dei rimanenti file.
E funziona non solo su TeslaCrypt, ma su tantissimi altri ransomware come CTBLocker, CryptoWall, CryptoLocker, Locky, come ho potute vedere con i miei occhi sui i clienti che utilizzano questo prodotto.

Preferisco avere 8 file cifrati nel cestino che avere tutto il computer + le condivisione cifrate.

Sul sito www.tgsoft.it trovi varie news sul funzionamento e se non ricordo male ci dovrebbe essere delle slide a riguardo.

Il fatto che riesca a successivamente a decriptarli oppure no è secondario, questo modo di agire fa in modo che il ransomware sia sempre un passo avanti perché c'è una sorta di protezione "specifica" e non "preventiva"

Penso che la decriptazione di ViriT sul TeslaCrypt sia una schiccheria.
Sicuramente non c'e' ne bisogno visto che va a mitigare l'attacco del TeslaCrypt ad una sola manciata di file.
Ma è sempre meglio avere un'arma in piu'.

Se fossi infettato da una variante non riconosciuta dall'AV? Se non lo dovesse bloccare successivamente come avviene con TeslaCrypt?

Il sistema anti-ransomware di VirIT non usa signature, ma è un approccio comportamentale sul processo malevole (euristico).
Analizza il comportamento del processo, se c'e' un processo che cifra i documenti oppure ha un comportamento simile ai cripto-malware va a inibire l'accesso al file system del processo malevole.

Quindi puo' bloccare anche nuove tipologie di crypto-malware.


Detto questo è anche un prodotto che ha antivirus, firewall, antimalware etc. non solo anti-ransomware come tutti quelli presenti nella lista quindi chi lo vuole utilizzare dovrebbe rimuovere il proprio AV, magari a pagamento, perché averne due non avrebbe senso. Mi rimangono più dubbi che certezze...

Siii è un antivirus... ma i ransomware non sono malware ?
Quindi un antivirus non può avere delle tecnologie integrate contro i ransomware.
Secondo me è un punto a loro favore.

Oggi circola solamente ransomware, mi stupisco che pochissimi antivirus integrano tecnologie anti-ransomware.


Ma questo "post" non dovrebbe fornire informazione, il titolo del "post" è "Ransomware: prevenzioni e soluzioni".

Se quelli della TG Soft hanno una soluzione contro i crypto-malware perche' non deve essere inserita in questo post ?

Se questo "post" vuole fare una corretta ed obiettiva informazione è un peccato non includerlo, perche' in questo caso si da solo un informazione parziale delle possibili soluzione presenti nel mercato.

Mi stupisco leggere su vari i blog "Malwarebytes anti-ransomware (in versione beta" pubblicizzato in ogni angolo come la "panacea" di tutti i mali, dove una azienda italiana ha gia realizzato un anno prima delle tecnologie analoghe.

Io seguo vari clienti per il supporto tecnico sui pc, ho visto molti casi in infezioni da ransomware. Nei casi dove il ransomware ha superato le signature dell'antivirus, la migliore protezione è stata data dalla protezione anti-ransomware di Virit.

Vi sono altri antivirus come Kaspersky che usa la tecnologia anti-ransomware, come puoi leggere dai loro blog, ma la protezione va attivata.
Per non parlare di Sophos che si è comprata HitMan pro.

Tutte le soluzioni anti-ransomware che hai indicato sono corrette, sta all'utente finale verificare se il prodotto scelto funzioni correttamente nel suo ambiente di lavoro senza generare falsi positivi su programmi gestionali o altri software.

Ad ogni modo io non voglio fare nessuna polemica, ho solo cercato di spiegare il mio punto di vista in base alla realta dei fatti che potuto toccare con mano.

Apprezzo i chiarimenti, betsubara.

per carità, se il problema deve essere quello di inserire o meno in lista anche VirIt, credo che x_Master impieghi giusto un paio di minuti per farlo...

In realtà credo che giustamente l'autore del thread si sia limitato a indicare i nomi dei prodotti specializzati a contrastare quel particolare tipo di minaccia (l'unico del lotto che fa infatti parrocchia a se è giusto HitmanPro.Alert che è un AntiExploit dotato anche di funzionalità atte a contrastare minacce di tipo diverso tra cui appunto i Ransomware) altrimenti nel novero dovresti inserire anche EmsiSoft (che ha un ottimo 'motore' contro questi rischi), Kaspersky come dicevi...e tanti altri.

Altrimenti, ed è stato detto 1000 volte, si usa il 'semplice' Sandboxie (noi si parla infatti dell'utenza domestica visto che per le aziende ci sono professionisti formati sulla carta anche allo scopo per cui non vedo a che prò doverli in qualche maniera aiutare in questa sede...) che cmq non garantisce l'invincibilità in qualsivoglia situazione (magari).

Tutto sta, allora, capire che utenti siamo e fare le opportune valutazioni su ciò che sia meglio.

Per dire, essendo io un certo tipo d'utente e riconoscendo di essere sottoposto a certi tipi di rischi e non altri, non uso Sandboxie ma (appunto) Alert...

betsubara e meno male che ho scritto che ero disposto a cambiare idea* :asd:
Tralasciando quello che ho già detto, i miei dubbi e perplessità, questo "Vir.IT eXplorer PRO" sbaglio o non si può provare in alcun modo? Nella pagina di download devi inserire la licenza e ti indirizza verso un'area riservata. Certo c'è la versione "Lite" ma è limitata/non offre una protezione in tempo reale quindi non contrasta i ransomware, argomento del thread, e tu stesso hai suggerito la "PRO" e non la versione gratuita. Quindi dovrei inserire nel post un prodotto a pagamento di cui non c'è una trial? Ammesso che sia il migliore al mondo chi mai leggendo la guida lo acquisterebbe a scatola chiusa senza provarlo, visto che appositamente non scrivo opinioni personali sui prodotti? Nessuno. Potrebbe succedere solo e soltanto in un caso, cioè che ci sia un buon numero di persone in questo thread che affermino la bontà del prodotto sulla base di fatti reali. Allora vedrai "Vir.IT eXplorer PRO" in prima pagina.

*

Magari mi sbaglio su tutta la linea però prima di aggiungerlo vorrei avere altre opinioni in merito, anche se spetta a me l'ultima parola se XYZ persone mi dicono il contrario non ho problemi a fare un passo indietro.

contro Peyta ero sicuro che bidfender non avrebbe mosso un dito :D

sono loro stessi che dicono che è attivo contro tesla locky ed altri

Locky (distribuito tanto via exploit → vedi anche il NB di questo riferimento (http://malware.dontneedcoffee.com/2016/03/flash-up-to-2000306.html) quanto attraverso il ben più banale canale della mail→ vedi anche l'articolo che segue) è capace di scalare privilegi su sistemi con UAC a default in OS < 10 utilizzando canali noti (cliconfg.exe/ntwdblib.dll) ma pur sempre pericolosi specie per chi ha appunto OS datati (e spesso e volentieri senza neppure l'UAC attivo)...

https://www.proofpoint.com/us/threat-insight/post/Locky-Ransomware-Cybercriminals-Introduce-New-RockLoader-Malware

Patch per flash player finalizzata ad evitare infezioni di ransomware veicolate da avvisi pubblicitari Flash based contenuti nei siti web infettati

http://www.hwupgrade.it/news/sistemi-operativi/adobe-flash-patch-di-emergenza-per-prevenire-attacchi-ransomware_62018.html

basterebbe portare l'utenza privata/aziendale ad un livello di conoscenza minima e necessaria per utilizzare con cognizione di causa un sistema informatico.

Commento solo questo aspetto: da un lato non c'è spesso la volonta di imparare ma solo la comodità di usare, specie per il privato. E dall'altro non essendo necessaria alcuna patente di utilizzo come avviene per un'auto, anche in azienda non si fa formazione e... spesso ad arte, per rendere critico poi l'intervento dell'IT di turno. Non me ne vogliano i professionisti seri ma è potere anche quello.

Fix universale 100% gratuito per risolvere una volta e per sempre tutte le vulnerabilità (passate, presenti, future) di Flash:
http://wisecleaner.com/wise-program-uninstaller.html

;)

fai prima a non installarlo, io comunque l'ho disattivato di default e viene attivato solo dove serve per forza

E' esattamente quello che uso da tempo senza essere costretto ad utilzzare il 'fix universale' (http://www.hwupgrade.it/forum/showpost.php?p=43556132&postcount=143) ;)
http://i.imgur.com/7CXWJ5h.png

ragazzi scusate, forse sono tonto io ma anche cercando in rete, non riesco ancora a capire quali di questi ransomware sono stati "sconfitti" e quali file possono essere decriptati con tool gratuiti. Nel primo post leggo:

"Quali varianti è possibile decriptare?" ed una lista di ransomware e ok ma come posso sapere con quale tool tentare il ripristino dei file?

Quando un ransomware viene sconfitto è difficile che continui ad essere distribuito nella versione originale, è estremamente improbabile essere colpito da una di quelle varianti. Ho lasciato il link del solo TeslaCrypt 1.0/2.0 perchè è stato uno dei più diffusi ma come sai o dovresti sapere ormai si è evoluto in 4.x che ad oggi non è possibile decriptare. Mettiamo caso che vieni infettato da LeChiffre, per dirne uno a caso, basta cercare su un motore di ricerca "LeChiffre decrypt" il primo risultato è Emsisoft Decrypter for LeChiffre (https://decrypter.emsisoft.com/lechiffre). Non c'è un "tool" generico ma una serie di software in base alla variante.

L'add-on inserisce un pulsante sulla barra superiore di Firefox dal quale si può abilitare/disabilitare con un click Flash (l'estensione va impostata: Flash = disabilitato all'avvio di Firefox).

ma non è ridondante visto che nei plugin lo si può impostare "attivo a richiesta"?

https://s14.postimg.org/3zc4uxpw1/flash.png

A quanto leggo Petya è stato definitivamente sconfitto:
hack-petya (https://github.com/leo-stone/hack-petya)

Non si parla di Fase 1 ma di "now there is only this red skull" quindi in Fase 2. Bastano pochi settori del disco per recuperare la chiave da utilizzare per decriptare l'MFT ed il tutto in tempo record, segno che l'algoritmo usato non é proprio militare come affermava il malware, anzi salsa10...Strano che in due giorni, data di rilascio su Github, nessuna testata online abbia riportato la notizia.

P.S. Sarebbe da provare se effettivamente funziona, diciamo che per ora mi "fido" e nell'eventualità lo aggiungo in prima tra le varianti sconfitte, addio Petya non ci mancherai :D

A quanto leggo Petya è stato definitivamente sconfitto:
hack-petya (https://github.com/leo-stone/hack-petya)

Non si parla di Fase 1 ma di "now there is only this red skull" quindi in Fase 2. Bastano pochi settori del disco per recuperare la chiave da utilizzare per decriptare l'MFT ed il tutto in tempo record, segno che l'algoritmo usato non é proprio militare come affermava il malware, anzi salsa10...Strano che in due giorni, data di rilascio su Github, nessuna testata online abbia riportato la notizia.

P.S. Sarebbe da provare se effettivamente funziona, diciamo che per ora mi "fido" e nell'eventualità lo aggiungo in prima tra le varianti sconfitte, addio Petya non ci mancherai :D

http://www.tgsoft.it/italy/news_archivio.asp?id=718

Da come é scritto l'articolo datato 10/4 ( vedi link di Github con data precedente ) con "autore" annesso, sembra farina del loro sacco quando si dovrebbe come minimo ( il tutto secondo me ) citare chi ha fatto quello che é stato definito "hard task" no? Spero sia una svista e non credo alle coincidenze...insomma citare le fonti oltre a non togliere nulla ad un eventuale approfondimento rispetto alla versione originale, se presente, rimane doveroso visto che loro vogliono esattamente lo stesso trattamento.

Petya Ransomware's Encryption Defeated and Password Generator Released

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Quando un ransomware viene sconfitto è difficile che continui ad essere distribuito nella versione originale, è estremamente improbabile essere colpito da una di quelle varianti. Ho lasciato il link del solo TeslaCrypt 1.0/2.0 perchè è stato uno dei più diffusi ma come sai o dovresti sapere ormai si è evoluto in 4.x che ad oggi non è possibile decriptare. Mettiamo caso che vieni infettato da LeChiffre, per dirne uno a caso, basta cercare su un motore di ricerca "LeChiffre decrypt" il primo risultato è Emsisoft Decrypter for LeChiffre (https://decrypter.emsisoft.com/lechiffre). Non c'è un "tool" generico ma una serie di software in base alla variante.

Grazie X! No perché leggo spesso anche qui nel thread "nei molti computer che ho avuto modo di analizzare ho fatto, ho preso..." ma una volta colpito il singolo computer da un ransomware, IMHO e da come affermi tu, c'è poco da fare se non eliminare (se già non si è auto eliminato) il virus...o mi manca qualcosa?

elimini il virus , quello è scontato

nel caso di file non decriptabili l'unica cosa che puoi fare (se sono importanti) è metterli da parte ,sperando che in un'imminente futuro esca qualcosa

vedi Petya

è stato sconfitto peyta versione preliminare che come tutte le versioni preliminari più facilmente hanno delle debolezze

inoltre la procedura per scovare la chiave (staccare l'hard disk attaccarlo ad un windows funzionante, e biribon biribon avanti ed indietro tra il sito e il Petya Sector Extractor) richiede comunque di avvalersi di qualcuno che è pratico

insomma se si dovesse diffondere la maggior parte delle persone dovrebbe rivolgersi a dei tecnici informatici (con relativa spennatura di euro) o a qualche conoscente del tipo senti tu che sei pratico di computer :D

se andate con IE in windows 8.1 o windows 10 a questo sito http://www.adobe.com/software/flash/about/

cosa vi dice? che avete l'ultima versione aggiornata di flash player?

come già detto l'ultima versione di flash player è stata rilasciata proprio delle vulnerabilità legate a possibile infezioni di ransomware

mi sa che microsoft non abbia intenzione di rilasciare la patch di flash fino a domani secondo martedì del mese, però intanto ha rilasciato aggiornamenti facoltativi legati al passaggio da winodws 8 a windows 10 cosa per loro più importante della sicurezza

se si riuscisse velocemente a bloccare il sito dove è presente il download
si eviterebbe il contagio ?

prendere la buona abitudine di usare i vari aiuti tipo uBlock origin /noscript sarebbe di grosso aiuto

scusatemi qualcuno sa per caso se installo HitmanPro con questa configurazione potrebbe crearmi conflitti crash problemi di vario tipo ?
Win 10 pro
Kaspersky Internet Security 15xxx
Malwarebyte Anti Malware
Malwarebyte Anti Exploit
Grazie a tutti in anticipo

scusatemi qualcuno sa per caso se installo HitmanPro con questa configurazione potrebbe crearmi conflitti crash problemi di vario tipo ?
Win 10 pro
Kaspersky Internet Security 15xxx
Malwarebyte Anti Malware
Malwarebyte Anti Exploit
Grazie a tutti in anticipo

Malwarebyte Anti Exploit e Hitman appartengono alla stessa categoria quindi è probabile/possibile che possano andare in conflitto, come avere due antivirus in tempo reale attivi o due firewall software attivi

anche se qui non specificano che ci sia un reale conflitto tra i due

https://forums.malwarebytes.org/topic/135127-known-issues-conflicts/

non è detto che con un aggiornamento di uno dei due non possano crearsi eventuali conflitti

leggendo qua e là qualcuno propugna l'accoppiata EMET + MBAE in quanto ci sarebbe una sinergia ma quanto questa sia effettiva non lo so

ma questo esula un po' dalla questione specifica ransomware ma attiene in generale a tutti i malware che utilizzano exploit come veicolo di diffusione

adesso si parla molto di ransomware in quanto sembra che ci sia un picco di questo tipo di malware e per il tipo di fastidi che causa ai malcapitati ma se guardassimo le statistiche delle varie tipologie probabilmente adware spyware trojan e virus sparaspam la fanno ancora da padrone

c'è stato il periodo in cui sembravano in auge i rookit ve lo ricordate gromozon che rese famoso al grande pubblico Marco Giuliani aka Eraser? :D

Grazie Unax avevo letto che non ci sono grandi problemi ma giustamente come detto da te ( ed io non avendo pensato ) a un futuro aggiornameto quindi evito
grazie ancora Unax

Nel weekend mi hanno portato un computer con file criptati per dargli un'occhiata.
Ho esaminato uno dei file su questo sito:
https://id-ransomware.malwarehunterteam.com/

Il responso è TeslaCrypt 4.0! :mc:
Visto che è la prima volta che ho a che fare con un ransomware, vi chiedo qualche consiglio.

Finora mi sono mosso così:
- ho avviato il PC solo in modalità provvisoria
- ho dato un'occhiata con Shadow Explorer ma non trova nessun file
- Recuva mi ha trovato un po' di file cancellati che sembrano recuperabili e li ho salvati su un disco esterno
- per sicurezza ho fatto un backup sullo stesso disco anche delle principali cartelle con i file criptati


Domande:
- il disco esterno su cui ho salvato i file potrebbe a sua volta infettare un pc pulito? come si diffonde il ransomware?
- un pc pulito collegato a una stessa rete con il pc infetto, quante possibilità ha di essere infettato a sua volta? può succedere anche in modalità provvisoria?
(il pc infetto era ovviamente un pc aziendale e non vorrei che la cosa si possa diffondere a macchia d'olio in tutta l'azienda)
- ho letto che ad ogni avvio del pc i file potrebbero essere criptati nuovamente, rendendo le cose sempre peggiori ad ogni riavvio.
Avendo lavorato solo in modalità provvisoria il malware non dovrebbe essere stato attivato altre volte, giusto?


Ora, detto ciò, farei nell'ordine:
1) ripulire il pc dall'infezione (ma devo ancora scegliere che tool utilizzare)
2) una volta ripulito, attaccherei l'hdd con il backup dei dati a questo stesso pc e farei una scansione di tutto per essere sicuro che sia pulito
3) fatto ciò, punterei a riformattare il pc, per sicurezza
4) il backup dei dati crittografati glielo farò mettere in un cassetto, chissà che tra un po' di tempo non si riescano a recuperare


Che mi dite? Sto facendo bene?
Trovate "falle evidenti" in quello che ho scritto? :)
Comunque, devastanti questi ransomware... il proprietario di questo pc non fa un backup da 2-3 mesi ed è davvero disperato..


---
Variante: TeslaCrypt 4.0
Sistema Operativo: Windows 7 Home Premium SP1
Antivirus: Avira (non ho idea di quanto fosse aggiornato)
Livello UAC: disattivato
Anti-Ransomware e/o Criteri di gruppo: -
Veicolo di infezione: ignoto
Provider di posta: posta aziendale
Macro di Office: -
Ad-Block: no
Flash: 19.0.0.245
Java:

Penso proprio di no...in genere si tratta di una manciata di Kb che vengono scaricati/eseguiti più o meno istantaneamente...

nella mia ignoranza credevo fosse un file più grande :confused:

3) fatto ciò, punterei a riformattare il pc, per sicurezza

scusa , ma se lo devi formattare tutto il resto che senso ha?


Comunque, devastanti questi ransomware... il proprietario di questo pc non fa un backup da 2-3 mesi ed è davvero disperato..

beh puoi dire al proprietario che i backup andrebbero fatti
e di non cliccare a cavolo sugli eseguibili che arrivano per mail

che poi.... con un servizio di posta decente gli EXE anche zippati ,non dovrebbero proprio passare

linko qui la news: http://www.hwupgrade.it/articoli/sicurezza-software/4616/ransomware-petya-crackato-file-crittografati-restituiti-senza-riscatto_index.html credo possa essere utile riportarla anche qui ;)

scusa , ma se lo devi formattare tutto il resto che senso ha?

In effetti, mi sono espresso male. Dipende tutto dall'efficacia della pulizia che riuscirei a fare sul pc; in base a quello decido se formattare o meno.

Una domanda:
Qual è il modo più sicuro per verificare se l'hdd esterno su cui ho copiato i dati è pulito o meno, senza correre il rischio di infettare un altro pc?
Mi consigliate una distribuzione live di linux da cui fare una scansione?
Se non volessi usare linux invece? Cosa consigliate?


beh puoi dire al proprietario che i backup andrebbero fatti
e di non cliccare a cavolo sugli eseguibili che arrivano per mail

che poi.... con un servizio di posta decente gli EXE anche zippati ,non dovrebbero proprio passare
Si, hai ragione, ma mettiti anche nei panni di un signore di 60 anni. Non è tutto così scontato; per quanto attento, può essere che una mail fatta bene lo abbia indotto a cliccare.

In ogni caso, il backup è obbligatorio, questo glielo ripeterò fino alla morte.. e penso che dopo quanto avvenuto, difficilmente se ne dimenticherà d'ora in poi! :D

linko qui la news
notizia vecchia (1 (http://www.hwupgrade.it/forum/showpost.php?p=43561586&postcount=150) e 2 (http://www.hwupgrade.it/forum/showpost.php?p=43562054&postcount=153)) anche se cmq non fa male ricordarlo centrico[/B] quando invece gli italiani si infettano di tutt'altro (vedi appunto l'esperienza di TeslaCrypt 4 raccontataci dall'utente Peach1200) e per quanto questo particolare malware non innovi in nulla se non giusto nell'oggetto che va ad attaccare: [I]chiunque dotato infatti di un minimo di scaltrezza informatica sarebbe capace di evitarlo rispondendo semplicemente NO alla richiesta di maggiori privilegi proveniente da un fantomatico .exe ubicato nello spazio utente]...

Teslacrypt 4, invece, fa parrocchia a se essendo decisamente più pericoloso (o si ha l'UAC al massimo o si viene bypassati su sistemi 10 TH2- con UAC a default) e reale.

Il caso descritto da Peach1200 (in particolare, la configurazione di sistema che ci presenta) evidenzia una situazione informatica della realtà di cui parla che è semplicemente disastrosa (UAC off perchè tanto non si sa neppure minimamente quale sia il suo scopo e di conseguenza come gestire gli eventuali pop-up, programmi non aggiornati per cui un exploit sul browser sarebbe sempre dietro l'angolo, ecc).

Sono sicuro che in una realtà come quella prima o poi ricaschino nel solito tranello anche se sono certo che, forti di quest'esperienza, siano indotti inevitabilmente a crescere informaticamente per cui dal male, talvolta, si può anche ricavare qualcosa di positivo...


In ogni caso, il backup è obbligatorio, questo glielo ripeterò fino alla morte.. e penso che dopo quanto avvenuto, difficilmente se ne dimenticherà d'ora in poi! :D
Appunto, i Ransomware loro malgrado costringono a diventare meno sprovveduti per cui: chapeau! :ave:

Dove non sono arrivate le raccomandazioni (e i forum, i tecnici, ...), sono arrivati loro...

Il sample di Petya in mio possesso ha una dimensione di 225 KiB, quindi:

...


Tremendo quante righe di codice saranno ? :eek:

io che uso l'home banking ho sempre più paura

Attualmente i ransomware (es. Locky) possono essere decisamente pericolosi per i possessori di criptomoneta, essendo in grado di cifrare i wallets. Altro discorso sono i classici trojan bancari a cui probabilmente ti riferivi...in linea di massima, per l'Home banking “blindato” consiglio Qubes Live USB (Qubes-R3.1-alpha1.1-x86_64-LIVE):

https://www.qubes-os.org/downloads

Scarichi l'iso, la masterizzi su DVD ottenendo un bel Live-DVD (ma volendo la puoi istallare anche su USB tramite Rufus e così otterai una Live-USB) che poi andrai ad usare per collegarti alla tua Banca all'interno di una sessione di lavoro virtualizzata temporanea chiamata DomO.

Qui il manuale e le FAQ d'uso:
https://www.qubes-os.org/doc

Il tutto è da usarsi preferibilmente su di un (vecchio) PC adibito solo ed esclusivamente allo scopo.


devo rivedere la mia configurazione

uso ubuntu su chiavetta per la banca e solo per quello

ma il pc lo win 7 lo uso per tutto mi serve excel per lavoro

Si profilano all'orizzonte tempi particolarmente foschi (nel senso che se fino ad oggi hanno scherzato, da domani potrebbero cominciare a fare sul serio):
Cryptoworm (capaci cioè di autoreplicarsi adottando 'vecchie' strategie...)
"What's past is prologue."
-- William Shakespeare, The Tempest

MEET THE CRYPTOWORM, THE FUTURE OF RANSOMWARE (https://threatpost.com/meet-the-cryptoworm-the-future-of-ransomware/117330/)

RANSOMWARE: PAST, PRESENT, AND FUTURE (http://blog.talosintel.com/2016/04/ransomware.html#toc)

[...]

La scelta migliore, finalizzata alla non ri-esecuzione accidentale del malware, resta quella di disabilitare da BIOS l'HD infetto per poi bootare tramite Live-CD Windows oppure, in alternativa, è possibile staccare l'hard disk infetto collegandolo ad una macchina pulita (ma con tutte le partizioni virtualizzate tramite tools specifici tipo ToolWiz Time Freeze) operazioni da effettuarsi sempre con il PC staccato fisicamente dalla rete.

Un'altra possibilità è quella di creare l'immagine del disco infetto tramite software specifici di backup (es. Macrium 6.x Free) da montare a piacimento come drive virtuale sul quale poi operare in sicurezza da altro PC: basta trasportare sul PC di lavoro il file .mrimg ed aprirlo tramite Macrium; in alternativa è possibile convertire l'immagine di backup (precedentemente creata con Macrium ma anche con altri software di backup) in VHD per poi montarla in VM (nel caso si trattasse del disco di boot verrà eseguita anche l'infezione, pur circoscritta alla VM stessa): in quest'ultimo caso, però, se si utilizza come VM specificatamente VMware Workstation occorrerà convertire il formato VHD tramite l'utility free “StarWind V2V Image Converter”; invece se come VM si utilizza VirtualBox quest'ultimo passaggio non è necessario, poiché VirtualBox è in grado di elaborare direttamente il formato VHD.

Ciao Phoenix2005,
Ti ringrazio tantissimo per la risposta, sei stato davvero esauriente! Grazie!!
Stanotte o domani mi ritaglio un po' di tempo e cerco di ripulire il pc in questione.
Vediamo come va, incrociamo le dita..

Tra l'altro, ne approfitterò per approfondire un po' dei tuoi suggerimenti.
ToolWiz Time Freeze, ad esempio, è un programma che non conoscevo assolutamente... e non avevo minimamente pensato alla possibilità di lavorare sull'immagine del disco per ripulirla.. insomma, grazie davvero per le dritte! :)

[...]

Sono sicuro che in una realtà come quella prima o poi ricaschino nel solito tranello anche se sono certo che, forti di quest'esperienza, siano indotti inevitabilmente a crescere informaticamente per cui dal male, talvolta, si può anche ricavare qualcosa di positivo...

Appunto, i Ransomware loro malgrado costringono a diventare meno sprovveduti per cui: chapeau! :ave:

Dove non sono arrivate le raccomandazioni (e i forum, i tecnici, ...), sono arrivati loro...
Da qualche giorno è iniziata una "gara al backup" nell'azienda del mio amico, dopo l'incidente.. TUTTI a fare backup e a cercare di capire cosa sia successo!
Insomma: una bella stangata ma sembra che qualche risvolto positivo si intraveda già..

Da qualche giorno è iniziata una "gara al backup" nell'azienda del mio amico, dopo l'incidente.. TUTTI a fare backup e a cercare di capire cosa sia successo!
Insomma: una bella stangata ma sembra che qualche risvolto positivo si intraveda già..


nel giro di tre mesi si scorderanno di tutto ;-)

nel giro di tre mesi si scorderanno di tutto ;-)

direi nel giro di 3 backup.... :asd:

3 giorni :D

e poi succederà di nuovo e diranno cavolo ho il backup vecchio di 3 anni

nel giro di tre mesi

nel giro di 3 backup....

3 giorni :D ... backup di 3 anni fa
:rotfl:

Uno dei veicoli di infezione è la posta elettronica per due ragioni:
- Allegati eseguibili (si viene infettati aprendo l'allegato)
- Script e codice html contenuto nelle email (si prende l'infezione semplicemente aprendo l'email)

Per il primo punto l'unica soluzione è evitare di aprire l'allegato.
Per il secondo punto invece conviene tenere il client di posta sempre aggiornato e magari bloccare l'esecuzione degli script.

Se le app di W8 e W10 sono sandboxed non dovrebbe esserci alcun problema ad aprire le email. La sandbox isola dal resto del sistema.
Stesso discorso per i browser eseguiti come app. Dovrebbero essere al sicuro da infezioni tramite banner.

In generale le app dovrebbero essere più sicure.

Vi trovate col ragionamento?

Uno dei veicoli di infezione è la posta elettronica per due ragioni:
- Allegati eseguibili (si viene infettati aprendo l'allegato)

cosa che al giorno d'oggi è quasi anacronistica dato che per mail non dovrebbero più passare


- Script e codice html contenuto nelle email (si prende l'infezione semplicemente aprendo l'email)

il client di posta che utilizzo non apre contenuto remoto html se non autorizzato esplicitamente

.

Edit

un sito che propone di scaricare un prodotto PCKeeper Antivirus Installer.exe che nel suo installer ha un pup

https://www.virustotal.com/it/file/1ef6cca5f59e4b5f539b4862ba49de5bbb0263ffe16eadfe8bda2e4739e87655/analysis/1460988530/

oppure propone di scaricare ParetoLogic PC Health Advisor.exe

https://www.virustotal.com/it/file/ede45033379af38aa351d8fcdb40ab74b3cb7e84a0b9af867d792604dce29bc6/analysis/1460988768/

o Pareto_DR_Setup_RW.exe

https://www.virustotal.com/it/file/919cd55afa5c841f2193352ce6f84f1a3dedc4825393f4aea25045e6db5ea157/analysis/1460989098/

che dire? un sito che dà proprio fiducia

cosa dite moderatori il post di sandrosit lo editiamo e lo banniamo a vita perpetua ed imperitura dato che secondo me si è registrato solo ed esclusivamente per publicizzare quel sito?

cosa dite moderatori il post di sandrosit lo editiamo e lo banniamo a vita perpetua ed imperitura dato che secondo me si è registrato solo ed esclusivamente per publicizzare quel sito?

Si segnala e non si quota, grazie.

Si segnala e non si quota, grazie.

ho quotato eliminando il link reale ed ho anche segnalato

.

http://s14.postimg.org/gbqxeisel/criptolocker.jpg (http://postimg.org/image/gbqxeisel/)


:D

doppio

:O

http://s14.postimg.org/4j0ijtrgt/virus.jpg (http://postimg.org/image/4j0ijtrgt/)

:O

http://s14.postimg.org/4j0ijtrgt/virus.jpg (http://postimg.org/image/4j0ijtrgt/)

dal link si scarica un exe o nella pagina html c'è qualche exploit?

Dovrebbe essere il classico cripto 3.0 zippato con eseguibile che cripta tuttp e elimina le shadow copy..non l'ho aperto, al massimo domani provo ad aprirlo da casa.
Spero che qualche mia collega dopo che gli ho messo il foglio sulla postazione con scritto "virus" non apra la mail :asd:

MBR-Encrypting Ransomware Petya Gets Bitdefender Vaccine

https://labs.bitdefender.com/2016/04/low-level-petya-ransomware-gets-bitdefender-vaccine/

Mi sono inviato il link..scarica un file zippato.

Un "banale" *.EXE scaricato da (link ancora attivo) -----http://portal.benganetworks.com/pdf/Equitalia/documento.accatiemmelle--- che con il nascondi estensione per i file conosciuti *sembra* un PDF.

http://s31.postimg.org/b50wma1lj/prova2.jpg (http://postimg.org/image/b50wma1lj/)

Edit:
Ora sono a casa.
La bestiola è bloccata dai criteri di gruppo (criptoprevent)..cmq ho eseguito su sandboxie (che devo imparare bene ad usare)

http://s31.postimg.org/5qaa720lz/niet.jpg (http://postimg.org/image/5qaa720lz/)
Notare la finezza della finta icona acrobat :asd:
Insomma una trappola per polli..ma purtroppo in molti ci cascano..anzi la mia collega ha detto che ha pure tentato di aprirlo :asd:

Superfluo dire che l'antivirus che ho free dorme tranquillo e asciutto (screen)
http://s31.postimg.org/p229gvyxj/dormi_aciutto.jpg (http://postimg.org/image/p229gvyxj/)

Mi sono inviato il link..scarica un file zippato. ..cut...

Superfluo dire che l'antivirus che ho free dorme tranquillo e asciutto (screen)

Proveresti a vedere che succede con il ben noto Malwarebytes Anti-exploit free (non l'Anti-Ransomware) che veniva propagandato come panacea nel 2014 per supplire alla fine del supporto di XP?

Se tutto va bene siamo rovinati...curioso di sapere di preciso che è l'ho fatto scansionare su virustotal.

Guardate che razza di caporetto. :stordita:

4/56

https://www.virustotal.com/it/file/ebd225e3af96475f4ecb211c304fd6b063288ce99be8f935e0a1a4e0dde86606/analysis/1461172517/

e quei 4 lo rilevano pure a cavolo :asd:

potrebbero essere benissimo interpretati come falsi positivi

Notare la finezza della finta icona acrobat :asd:
Insomma una trappola per polli..ma purtroppo in molti ci cascano..anzi la mia collega ha detto che ha pure tentato di aprirlo :asd:


:ciapet: :sbonk: :sbonk: :asd: :asd: :asd: :yeah: :angel:

analisi del virus di zero the hero ieri sera:Solo Kaspersky lo rilevava fra i famosi

http://s26.postimg.org/mq0uo62vp/IMG_4084.jpg (http://postimg.org/image/mq0uo62vp/)

scansione di stamane ore 6 lo rileva fra i famosi anche DR WEB e AVAST(non l'avrei mai detto)
kaspersky inoltre ora lo rileva come Ransomware Onion

http://s26.postimg.org/60zes96ad/IMG_4087.jpg (http://postimg.org/image/60zes96ad/)


sarei curioso di sapere se Hitman lo blocca.io ce l'ho ma non posso rischiare perche ho dati importanti sul pc

ho scaricato adesso il virus di the zero il nome è lo stesso ma cambia l'hash

solo 3 antivirus lo rilevano, mi pare utilizzando l'euristica

https://www.virustotal.com/it/file/66544be829079bd35fd4a0a0ed6eafdeab41770dda2691d7b6cb9d65062622ec/analysis/1461222005/

ecro puoi postare anche il link su virus total non occorre che fai lo screenshot :D

Hai ragione me ne accorgo ora ;)

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

Cmq sono delle.merde han.gia cambiato file mettendo.ko le varie firme digitali di quei.pochi av che lo beccavano.

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

Proveresti a vedere che succede con il ben noto Malwarebytes Anti-exploit free (non l'Anti-Ransomware) che veniva propagandato come panacea nel 2014 per supplire alla fine del supporto di XP?

perdonami per la crudezza della risposta nonchè se sembra che cerchi polemica ma, messa nei termini in cui l'hai posta (la domanda), è palese il fatto che non sai qual'è lo scopo di un programma Anti-Exploit...

Messa in termini da forum, per contrastare l'indiscriminata esecuzione di allegati alle mail non serve ad una mazza...e cmq nessun software è capace di impedire exploit al kernel il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC con un sistema discontinuato, di fatto è un °° che se le cerca indipendentemente dal fatto che l'hardware funzioni ugualmente...

un virus che ti arriva per email o che scarichi da un sito pensando sia un codec per vedere l'ultimo film a luci rosse non hanno bisogno di exploitare niente

se io dò le chiavi dell'auto al ladro lui non deve scassinare niente, un ransomware poi non nemmeno bisogno in assoluto di privilegi elevati

anche se uno ha quel minimo di accortezza di usare un account limitato è probabile che i documenti li tenga nel profilo in uso o in una partizione diversa da C o su un hard disk esterno

al ransomware basta ed avanza eseguirsi e trovare dei file da criptare, che siano importanti oppure no

è come una pesca a strascico qualcosa si tira su, qualcuno pagherà il riscatto

sinceramente non capisco nemmeno perchè alcuni di questi virus creino delle chiavi nel registro per autoeseguirsi il che fa scattare l'avviso uac o creino degli exe in determinate locazioni che possono essere bloccate da criptoprevent

ho scaricato adesso il virus di the zero il nome è lo stesso ma cambia l'hash

solo 3 antivirus lo rilevano, mi pare utilizzando l'euristica

https://www.virustotal.com/it/file/66544be829079bd35fd4a0a0ed6eafdeab41770dda2691d7b6cb9d65062622ec/analysis/1461222005/

ecro puoi postare anche il link su virus total non occorre che fai lo screenshot :D


A ogni modo criptoprevent impostato su default blocca il virus che ho postato, ho provato ad eseguirlo con sandboxie da casa e cmq viene bloccato già dal predetto programma (criptoprevent) che blocca l'esecuzione e pone delle restrizioni (ad es. impedisce l'eliminazione silent delle shadow copy..già così si limita di molto la pericolosità del virus).
Criptoprevent 1 - Virus 0.
L'antivirus (su win7 account administrator) avast non rileva niente..idem credo il simantec cloud che abbiamo qui a scuola(per ovvi motivi non ho controllato effettivamente se l'antivirus lo rileva :asd: )

Per cancellare le copie shadow, cosa che fanno praticamente tutti, hanno bisogno dei diritti amministrativi quindi sì hanno bisogno di privilegi elevati. Per avere i diritti amministrativi c'è sempre l'UAC di mezzo, alcuni visualizzano il prompt altri invece usano exploit per bypassarlo che sono inefficaci se l'UAC è al massimo. L'utilizzo del registro è facile da spiegare, se l'utente riavvia-spegne il PC per qualsiasi motivo l'infezione si blocca. Invece auto-avviandosi il problema è risolto e può continuare l'infezione. In ogni caso scrivere nella chiave "Run" non dovrebbe allertare nessun antivirus esempio OSD Clock scrive nel registro se si imposta l'esecuzione all'avvio, il tutto senza avere nessun diritto amministrativo.

altra performance disastrosa da quella massa di av col nuovo file scaricato dal link di zero:mc:

https://www.virustotal.com/en/file/14aa9b39329c94b90b3fd11d932381c186fdbf19ca78967d4b7a79442cd4a1e9/analysis/

perdonami per la crudezza della risposta nonchè se sembra che cerchi polemica ma, messa nei termini in cui l'hai posta (la domanda), è palese il fatto che non sai qual'è lo scopo di un programma Anti-Exploit...

Messa in termini da forum, per contrastare l'indiscriminata esecuzione di allegati alle mail non serve ad una mazza...e cmq nessun software è capace di impedire exploit al kernel il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC con un sistema discontinuato, di fatto è un °° che se le cerca indipendentemente dal fatto che l'hardware funzioni ugualmente...

Mi fa piacere che tu abbia risposto a dovere.
Il tuo commento si inserisce nella prospettiva che vedeva un noto sito del settore acconsentire al tipo di pubblicità fatta a suo tempo, ovviamente da parte di Malwarebytes a proposito dell'Anti-exploit.
Vedi questo articolo uscito nel 2014, in occasione dell'uscita di scena di XP:
http://www.zdnet.com/article/malwarebytes-anti-exploit-aims-to-stop-unknown-threats-to-windows/

Mi fa piacere che tu abbia risposto a dovere.
Il tuo commento si inserisce nella prospettiva che vedeva un noto sito del settore acconsentire al tipo di pubblicità fatta a suo tempo, ovviamente da parte di Malwarebytes a proposito dell'Anti-exploit.
Vedi questo articolo uscito nel 2014, in occasione dell'uscita di scena di XP:
http://www.zdnet.com/article/malwarebytes-anti-exploit-aims-to-stop-unknown-threats-to-windows/

Credo anche che l'articolo vada saputo leggere:
se si interpreta nel senso che MBAE=panacea (o 100% di successo indipendentemente dal tipo di malware/attacco considerato), allora è semplicemente FALSO (vedi appunto il malaugurato caso in cui ci si imbatta in un exploit al kernel ostacolati da...nessuno se non dall'OS stesso tramite apposite patch)

Se invece -come peraltro dovrebbe essere- l'articolo si legge nel senso che quel tipo di programma ostacola exploit portati sui programmi messi sotto la sua ala, allora volendo siamo già più nel campo del plausibile...

Ma una cosa sono gli RCE 'nati' dal browser semplicemente visitando un sito compromesso, e un'altra gli exploit dell'altro tipo...o un qualsivoglia virus annidato in una mail che si attivi con la semplice esecuzione dello stesso...

A ogni modo criptoprevent impostato su default blocca il virus che ho postato, ho provato ad eseguirlo con sandboxie da casa e cmq viene bloccato già dal predetto programma (criptoprevent) che blocca l'esecuzione e pone delle restrizioni (ad es. impedisce l'eliminazione silent delle shadow copy..già così si limita di molto la pericolosità del virus).
Criptoprevent 1 - Virus 0.
L'antivirus (su win7 account administrator) avast non rileva niente..idem credo il simantec cloud che abbiamo qui a scuola(per ovvi motivi non ho controllato effettivamente se l'antivirus lo rileva :asd: )

però io continuo a non capire perchè questi virus vanno a scrivere ed eseguirsi in quelle locazioni che cryptoprevent blocca

potrebbero copiarsi nella cartella documenti con l'attributo nascosto e da lì eseguirsi

però io continuo a non capire perchè questi virus vanno a scrivere ed eseguirsi in quelle locazioni che cryptoprevent blocca

potrebbero copiarsi nella cartella documenti con l'attributo nascosto e da lì eseguirsi

cryptoprevent blocca pure i file che finiscono con esempio .pdf.exe
credo sia questo il motivo x il quale è stato bloccato.
dovrebbe provare a rinominarlo togliendo quel .pdf davanti a exe e vedere se parte...

TeslaCrypt 4.1A (https://www.endgame.com/blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware-attack-chain) (20/4/2016)

http://s31.postimg.org/t0p8celdj/Image_1.jpg (http://postimg.org/image/t0p8celdj/)

ho scoperto che con Gmail sono stati bannati i file compressi.compresi quelli con password...

Non è così. Dipende sempre dal contenuto dei file compressi, con o senza password.
Alcuni tipi di file sono bloccati - Guida di Gmail (https://support.google.com/mail/answer/6590?hl=it)

ho scoperto che con Gmail sono stati bannati i file compressi.compresi quelli con password...

Come misura precauzionale per prevenire potenziali virus, Gmail non consente di inviare o ricevere file eseguibili (ossia file con estensione .exe), in quanto potrebbero contenere codici pericolosi che potrebbero causare il download di software dannoso nel computer. Inoltre, Gmail non consente di inviare o ricevere file danneggiati, ovvero file che non funzionano correttamente.

non solo gmail però, ho una casella simail gratuita vecchia di anni 50 mb (praticamente preistoria informatica) e provando ad inviare un exe zippato protetto da password rifiuta l'invio

a dire la verita un archivio 7z protetto da password e contenente un exe gmail lo lascia passare

https://snag.gy/JRP901

ora è vero che gli archivi 7z sono meno diffusi ma ormai tutti i programmi gratuiti e non permettono l'apertura dei 7z

ragazzi questa non me la spiego: pare che una società (se posso metto anche il link) sia riuscita a decriptare 2 file di un cliente dicendo che si, è possibile la decriptazione di tutti i suoi files. Solo che quest'ultimi hanno estensione *.encrypted...

Da che ne so, tale estensione si rifà al Cryptolocker e nessuno è ancora riuscito a decriptarli o mi sbaglio? Non riesco a trovare alcun tool a riguardo

Evitiamo pubblicità gratuita se non serve quindi non scrivere il nome della società. Ammesso che sia vero, comunque non li hanno decriptati risalendo alla chiave tramite bruteforce o sfruttando delle vulnerabilità ( perché ad oggi non esiste nulla per Crypt0L0cker altrimenti la notizia sarebbe già diffusa ) immagino invece che in passato abbiano fatto da "intermediari" per il pagamento del riscatto e quindi in qualche modo hanno un database di chiavi a disposizione e/o hanno tirato già qualche server con delle chiavi. Ad esempio bisogna vedere quanti soldi vogliono, molto spesso è più di quello che avresti pagato per il riscatto ed è questo che fa capire il ruolo di una azienda come "intermediario" che in pratica paga il riscatto al tuo posto e si prende una percentuale non insignificante per il "lavoro" svolto.

No no appunto io ho solo chiesto visto che manco li conoscevo loro e non compaiono quasi mai su Google se non cercando per bene! Ok volevo solo conferma che non sono matto io e che è stato solo un caso

“...il che, tradotto nuovamente, significa che se uno insiste nell'usare un PC” senza un minimo di competenza nessun OS sarà in grado di proteggerlo dai malware, né mai ne esisterà uno in grado di farlo. E la prova è davanti agli occhi di tutti: non è infrequente trovare gente anche su questo forum (patch o meno) che chiede aiuto perché si ritrova con W8/W10 infestato o con tutti i file cifrati.

Il problema è che il classico impiegato/avvocato/medico/libero professionista non conosce spesso concetti basilari come ad es. un eseguibile o cosa siano le stesse estensioni di un file.
E non è detto che siano persone stupide: semplicemente svolgono egregiamente il loro lavoro anche se non conoscono quel minimo indispensabile di informatica.
Per queste persone o blindi tutto o l'unica è dar loro dei sistemi modello cellullare dove poi scaricare solo "app" certificate nei marketplace.
Infatti mica per altro ci stiamo dirigendo verso questi modelli di sistema operativo, dove tutto è blindato per impedire che l'utente faccia danno.
Ora non se ne esce..dato che la maggioranza degli utenti pc anche nei luoghi di lavoro è così, bisogna prenderne atto e agire di conseguenza per minimizzare il rischio.

@ Phoenix2005:
non sono d'accordo ma, visto che la chat presumo interessi a pochi, mi limito solo a farlo presente...


Mi incuriosisce cmq l'idea di configurazione di sicurezza che proponi (/applichi?) (nel calderone, infatti, non ti sei fatto mancare nulla) :D ...

Il problema è che il classico impiegato/avvocato/medico/libero professionista non conosce spesso concetti basilari come ad es. un eseguibile o cosa siano le stesse estensioni di un file.
E non è detto che siano persone stupide: semplicemente svolgono egregiamente il loro lavoro anche se non conoscono quel minimo indispensabile di informatica.
Per queste persone o blindi tutto o l'unica è dar loro dei sistemi modello cellullare dove poi scaricare solo "app" certificate nei marketplace.
Infatti mica per altro ci stiamo dirigendo verso questi modelli di sistema operativo, dove tutto è blindato per impedire che l'utente faccia danno.
Ora non se ne esce..dato che la maggioranza degli utenti pc anche nei luoghi di lavoro è così, bisogna prenderne atto e agire di conseguenza per minimizzare il rischio.

però un sistema operativo o un client di posta che blocchi fattura.pdf.exe che è al 2000 per cento un virus non è che ci voglia molto

anche qualsiasi antivirus dovrebbe avere il blocco delle doppie estensioni farlocche, sai quante infezioni si sarebbero evitate con questa semplice impostazione daglia anni 90 in poi?

invece siamo ancora all'occultamento (stile star trek) di default delle estensioni

non dico che i produttori di antivirus creino i virus ma diciamo che certe situazioni hanno fatto comodo per poter vendere di più

Uscita nuova release:

http://i.imgur.com/zI42Pes.png

Uscita nuova release...
piuttosto che affidarmi ad una soluzione come quella mi tiro una martellata sui (ci si arriva da soli, no?)

Se vuoi argomentare perchè escluderlo dagli strumenti di prevenzione.. è sempre gradito.

Se vuoi argomentare perchè escluderlo dagli strumenti di prevenzione.. è sempre gradito.

che vuoi che ti dica?
C'è gente che usa Norton o McAfee con soddisfazione...

A me è venuto spontaneo dire la mia...

Beh, tra citare software alternativi sulla base di preferenze generiche ed affermare in modo lapidario quel 'piuttosto mi tiro una martellata sui..." c'è una certa differenza :rolleyes:

...c'è una certa differenza :rolleyes:

se lo dici te, contenti tutti (e segno del fatto che leggi giusto un post ogni tanto invece che partire da più lontano)...

si, peccato che la soluzione che proponi sia praticabile giusto per 10 persone su un forum di queste dimensioni...

Detto questo e posto che sia d'accordo con l'intera ricetta, mi interesserebbe il capitolo 'nomi' più che la mera teoria...

Grazie

esagerato :D

...
Detto questo e posto che sia d'accordo con l'intera ricetta, mi interesserebbe il capitolo 'nomi' più che la mera teoria...

Grazie




Questa è la mia configurazione di sicurezza e non un modello di sicurezza applicabile alla massa... cut...
Senza teoria difficilmente ci può essere quella che gli anglofoni definiscono “best practice”, ma ecco la pratica (*): ...cut..

Ecco, questa è un'argomentazione. Grazie Phoenix2005

Proseguendo il discorso si esula dallo scopo del thread (o si va troppo off-topic) oltre ad andare su un terreno estremamente complesso per chi, come me, non ha basi cosi' solide...

Siccome però sono sufficientemente lucido e capace di interpretare ciò che leggo oltrechè promotore dell'approccio 'proattivo' (che fa leva talvolta anche sull'impiego di strumenti 'di controllo' esterni al sistema ecc), è necessario che dia un minimo di contraddittorio a quanto asserito poc'anzi altrimenti l'immagine che se ne ricava è quello di un sistema inviolabile cosa evidentemente non vera.

Se quell'assunto fosse infatti matematicamente vero, sparirebbero semplicemente gli attacchi 'mirati' e gli APT (Advanced persistent threat)...

Pertanto, se non siamo oggetto dell'attenzione di qualcuno, ci possiamo sicuramente difendere nel 99,..% dei casi da malware di qualsivoglia natura con l'adozione di semplici strategie che, appunto, passano anche per l'impiego di software-esterni (non si dovrebbe infatti mai rinunciare alle tecnologie messe a disposizione dal sistema operativo come ad es l'UAC).

Per 'smontare' allora l'idea di inviolabilità che, perlomeno a me, è parso di cogliere nelle parole di Phoenix nonchè il suo 'eccesso di sicurezza' in quello che afferma, porto due testimonianze che non vengono certo dal primo barino di turno:

Sandbox roulette (https://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwjch_nIyanMAhUqCsAKHSAPD8cQFggoMAA&url=https%3A%2F%2Fmedia.blackhat.com%2Feu-13%2Fbriefings%2FWojtczuk%2Fbh-eu-13-thes-sandbox-wojtczuk-WP.pdf&usg=AFQjCNHpWYMB461xe0SmMYqS59XFCN6oGA), Application Sandboxes: A pen-tester’s perspective (https://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwiCvJnfyanMAhWLCsAKHdwhAcoQFggdMAA&url=https%3A%2F%2Fbromiumlabs.files.wordpress.com%2F2013%2F07%2Fapplication_sandboxes_a_pen_tester_s_perspective2.pdf&usg=AFQjCNEb4etSAPBiI8mvfH4OyxpZKyt8lA)


Sembrano stupidate ma il concetto di fondo è chiaro oltrechè doloroso e si applica evidentemente a qualsiasi software (o catena di software)...





Richiesta:
Se vuoi, apri una nuova discussione dove possiamo confrontarci senza inquinare ulteriormente questa,
saluti e grazie




Ulteriore EDIT per far capire quanto sia complesso il mondo in generale e, in questo caso, quello della sicurezza informatica (che non esiste se non giusto per i rischi di tipo 'quotidiano' come ad es i Ransomware e 1000 altre fattispecie di malware):
Bloatware considered harmful (http://securitygodmode.blogspot.it/2016/03/bloatware-considered-harmful.html)

[notare anzitutto il rimpallo delle responsabilità nonchè il fatto che sono processi (o risorse) che non è possibile non utilizzare se si ha una scheda madre ASUS...ma il discorso vale evidentemente per qualsiasi altro produttore dove semplicemente, invece di ASIO.sys/dll, ci sarà MSIO, AsRockIO o come diavolo si chiamano]

Semplice semplice...

Passano gli anni e i problemi di fondo restano immutati...

Tornando in tema, è uscito una nuova versione di 7ev3n che si chiama 7ev3n-HONE$T. E' il solito ransomware che aggiunge l'estensione .r5a ma la notizia, da quello che leggo in giro, è che non usa APPDATA a parte per i %TEMP% ma la directory "Pubblica" ed è in quest'ultima cartella c'è l'eseguibile che diffonde l'infezione. Ergo soluzioni come "CryptoPrevent" dovrebbero ( e sottolineo dovrebbero se le informazioni riportate sono corrette ) miseramente fallire.

Tornando in tema, è uscito una nuova versione di 7ev3n che si chiama 7ev3n-HONE$T. E' il solito ransomware che aggiunge l'estensione .r5a ma la notizia, da quello che leggo in giro, è che non usa APPDATA a parte per i %TEMP% ma la directory "Pubblica" ed è in quest'ultima cartella c'è l'eseguibile che diffonde l'infezione. Ergo soluzioni come "CryptoPrevent" dovrebbero ( e sottolineo dovrebbero se le informazioni riportate sono corrette ) miseramente fallire.

allora io sono tranquillo

https://snag.gy/u0x4Sf.jpg

allora io sono tranquillo

La cartella è C:\Users\Public non C:\Users\Public\Download solo per essere precisi.

La cartella è C:\Users\Public non C:\Users\Public\Download solo per essere precisi.

sarebbe stato uguale (qualunque cartella o sottocartella)

https://snag.gy/8BFaJx.jpg

uso l'approccio inverso a cryptoprevent

cryptoprevent blocca determinate locazioni e permette tutto il resto (per lo meno nella versione free)
io blocco tutto tranne determinate locazioni, sistema operativo programmi installati e poche altre esclusioni)

Unax che programma usi?

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

Unax che programma usi?

Inviato dal mio HUAWEI Y550-L01 utilizzando Tapatalk

Interessa anche a me !

allora io mi sono fatto un mio programmino visto che avendo la versione home non ho gpedit

se avete gpedit potete usare le policy per permettere l'esecuzione del sistema operativo e dei soli programmi installati o che si trovano in quei percorsi

potete anche usare un hips ed autorizzare solo alcuni programmi

allora io mi sono fatto un mio programmino visto che avendo la versione home non ho gpedit

se avete gpedit potete usare le policy per permettere l'esecuzione del sistema operativo e dei soli programmi installati o che si trovano in quei percorsi

potete anche usare un hips ed autorizzare solo alcuni programmi

non l'ho provata come soluzione ma anche creando un account standard e aggiungendo il controllo parentale a quell'account dovrebbe essere possibile limitare l'esecuzione solo a determinati programmi

ops non so come ho fatto a fare due post

Lo so che per te non cambiava nulla perché hai già detto in passato il tuo approccio, ho solo precisato per chi legge. In prima pagina ci sono i riferimenti a Gpedit per gli interessati, ovviamente é possibile agire da registro ma se possibile meglio passare dall'interfaccia grafica per avere maggiore controllo sulle modifiche.

Lo so che per te non cambiava nulla perché hai già detto in passato il tuo approccio, ho solo precisato per chi legge. In prima pagina ci sono i riferimenti a Gpedit per gli interessati, ovviamente é possibile agire da registro ma se possibile meglio passare dall'interfaccia grafica per avere maggiore controllo sulle modifiche.

anche io ho precisato non era per far polemica :D

chi non ha gpedit o usa il registro o usa un hips

devo ancora provare con un account standard + il blocco parentale

a proposito

http://www.ilsoftware.it/articoli.asp?tag=Android-attacco-drive-by-usato-per-installare-ransomware_13721

sempre per non far polemica, non è la crittografia che identifica un malware come ransomware ma lo scopo per cui si infetta un sistema, se il malware richiede un riscatto facendo leva su questo o su quel motivo è un ransomware

quelli con annessa crittografia dei file sono solo più bastardi

Anche se non é la crittografia che identifica un malware come ransomware, é proprio la crittografia che li ha resi pericolosi e distintivi per il pubblico. Un esempio di ransomware "famoso" in Italia prima di questa escalation era quello della polizia-gdf. Nessuno lo chiamava ransomware ma più genericamente "virus" o al massimo trojan però lo era visto che chiedeva soldi per "sbloccare" il PC. Oggi vale l'opposto, se si parla di ransomware la prima cosa che associ é la crittografia a prescindere se ne fa utilizzo ( come la stragrande maggioranza delle varianti, tutte quelle che trovi in prima pagina la usano ) oppure no.

Anche se non é la crittografia che identifica un malware come ransomware, é proprio la crittografia che li ha resi pericolosi e distintivi per il pubblico. Un esempio di ransomware "famoso" in Italia prima di questa escalation era quello della polizia-gdf. Nessuno lo chiamava ransomware ma più genericamente "virus" o al massimo trojan però lo era visto che chiedeva soldi per "sbloccare" il PC. Oggi vale l'opposto, se si parla di ransomware la prima cosa che associ é la crittografia a prescindere se ne fa utilizzo ( come la stragrande maggioranza delle varianti, tutte quelle che trovi in prima pagina la usano ) oppure no.

per quello che questi son più bastardi perchè minacciano un male reale, cioè quello di non rivedere più i tuoi file

ma sicuramente anche con i virus vecchi qualche sprovveduto ha pagato il "riscatto"

off topic

poi se vogliamo fare i pignoli anche quelle società che scovano gli ip da cui è stato scaricato materiale protetto da copyright e che ti dicono paga un tot ed eviti guai giudiziari attuano un "sorta di ricatto" ma loro lo chiamano legge mentre il pirata la chiama estorsione, questione di punti di vista :D

ID Ransomware

https://id-ransomware.malwarehunterteam.com/index.php?lang=it_IT

tradotto anche in Italiano

wow, tanta roba per un popolo (me compreso) capace di mettere giù giusto due parole d'inglese in croce :asd: ...

Anche se non é la crittografia che identifica un malware come ransomware, é proprio la crittografia che li ha resi pericolosi e distintivi per il pubblico. Un esempio di ransomware "famoso" in Italia prima di questa escalation era quello della polizia-gdf. Nessuno lo chiamava ransomware ma più genericamente "virus" o al massimo trojan però lo era visto che chiedeva soldi per "sbloccare" il PC. Oggi vale l'opposto, se si parla di ransomware la prima cosa che associ é la crittografia a prescindere se ne fa utilizzo ( come la stragrande maggioranza delle varianti, tutte quelle che trovi in prima pagina la usano ) oppure no.

Proprio poco fa, navigando, si è aperta una scheda del browser dove diceva che era stato bloccato il pc e criptato tutto per visualizzazione/possedimento di materiale illecito, poi apriva una finestra sopra la pagina con richiesta utente e password.
Anche questo di fatto quindi è un ransomware anche se di fatto l'unica cosa bloccata era il browser, che ho poi chiuso da gestione risorse e riavviato.
Nel pc è tutto come prima, anche le scansioni antivirus non hanno trovato nulla.

In pratica gioca sulla paura.

ht tp://penv.ginger max.info/watch ?v=YaAYEHxIGVgEDBR4H&list=BQJSAARQUgJUTloO &index=12

Questo il sito che si è aperto, assieme a quest'altro.

htt p://ww w.js-track .com/click?zone id=500034&zoneid=500 034

Forse qualcosa è successo invece, non mi sembra di aver mai visto questo avviso.

http://i66.tinypic.com/29gedk2.jpg

Se non ho capito male chiede i permessi d'amministratore, eppure sono sicuro che qualche scansione l'avevo già fatta su questo pc. Può essere stato modificato non da me? Oppure ho capito male?

è tutto in regola
il file host ha volutamente i permessi per l'user in sola lettura

quindi ti consiglia di avviare Hijackthis come amministratore per la scansioen di quel file

probabile qualcosa ti ha scritto li dentro
oppure è un falso positivo

posta il contenuto del file host così vediamo se c'è qualcosa di strano (aprilo col notepad)

L'Host è vuoto, ossia è scritto tutto dietro #, quindi non sono istruzioni.Giusto?

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

wow, tanta roba per un popolo (me compreso) capace di mettere giù giusto due parole d'inglese in croce :asd: ...

bisogna sapersi accontentare.

L'Host è vuoto, ossia è scritto tutto dietro #, quindi non sono istruzioni.Giusto?

no infatti , tutto regolare

ciao a tutti mi sono iscritto per reperire informazioni difensive contro i ransomware

ho da poco acquistato un pc nuovo e adesso sono da quello vecchio,volevo farmi consigliare quelli che secondo voi sono i software che bloccherebbero sicuro queste schifezze, io non apro mai allegati di posta sospetti quindi il rischio verrebbe da infezioni che si auto avviano dal browser, credo si chiamino rootkit o 0day, cosa combatte questo genere di minacce?

questo nuovo pc ha windows 8.1

Volevo farmi consigliare quelli che secondo voi sono i software che bloccherebbero sicuro queste schifezze

Nihil morte certius :O
La prima pagina è fatta apposta, leggila e capirai che non sono solo i software ( N.B. c'è pure un elenco tra cui scegliere ma consiglio prima un PC configurato al meglio ) che possono prevenire un'infezione da ransomware ma è uno "stile" di utilizzo del PC. Senza considerare che i ransomware non sono le uniche minacce...anzi.

si ho letto e capito che sicuramente è lo stile a fare la differenza ma scorrendo il post ho letto anche di utenti che pur apparentemente rispettando molte di queste precauzioni sono andate a prenderlo in modo random visitando siti web semi sicuri (almeno questo ho letto)

ovviamente il backup e ci mancherebbe lo faccio. per la scelta poi dei software non saprei perché non ne ho mai avuto a che fare. alzero al massimo il uac e aggiornero sia So che software.

questo tipo di infezioni sembra la piu strana perché ti crypta dati, ovvio se hai un backup puoi tornare indietro ma poi senza rimedi oltre alla prevenzione non si rischia di reinfettarsi ancora random senza aprire allegati ma visitando siti web?

Veramente ho sempre letto solo di utenti che sono stati infettati perché non usavano nessun software di sicurezza/senza UAC al massimo/allegati infetti o motivazioni molto simili. A questo scopo ho messo delle regole al thread per capire la metodologia di infezione e finora nessuno degli infetti usava metodi di protezione contro i ransomware. Per la navigazione su siti a "rischio" in prima pagina c'è scritto come comportarsi vedi Quali sono i principali veicoli di infezione? cioè l'utilizzo di ambiente virtualizzato o sandbox.
Riguardo ai software, posso pure dirti usa "CryptoPrevent" per dirne uno ma non credere di dormire sonni tranquilli perché lo usi, il concetto ti deve essere chiaro:
I ransomware sono sempre un passo avanti.

ti ringrazio dei suggerimenti di cui terrò conto :)

usando sandboxie e simili dunque su siti incerti non passa l'infezione all'host e rimane circoscritta a quell'area da quanto capisco, ma si sanno per caso alcuni dei siti che i ransomware hanno compromesso e che sono veicoli di infezione?

... cioè l'utilizzo di ambiente virtualizzato...

..si intende ad esempio una VM ma senza l'uso del NAT per isolare meglio?

Chiedo questo dettaglio perchè da me se nella VM Vmware c'è qualche file sospetto, Eset Smart Security che gira invece sull'host se ne accorge. :rolleyes:

La cosa fondamentale é il Guest non abbia accesso all'Host con l'utilizzo ad esempio di shared folder e nel tuo caso non é così se l'antivirus rileva le infezioni nel Guest. NAT o Bridge é relativo e nessun metodo di connessione é sicuro al 100% in caso di attacchi mirati.

salve scrivo per dirvi che sono incappato in questa infezione con un tablet windows 10 delle mediacom avevo attivo il uac al massimo e ho installato tutti gli aggiornamenti di sistema
ora ho ripristinato da partizione nascosta azzerando tutto ma vi chiedo una cosa
visto che il tablet possiede solo 1 giga di ram se metto un software anti randomsware non mi ciuccia troppe risorse per fare la protezione realtime se insieme uso anche un browser con più schede aperte? apparecchi come tablet senza troppa ram non rischiano rispetto a veri e propri pc di rimanere scoperti di protezione proprio perché il quantitativo ram è esiguo e non si può tenere costantemente aperto un software che ciuccia ram mentre si naviga?

Se leggi in prima pagina ( e anche la sezione Come posso scrivere\contribuire alla discussione? ) troverai software che non sono in real-temp vedi CryptoPrevent. Comunque fammi capire, con UAC al massimo NON ti è apparso nessun avviso nell'ultimo periodo? Sicuro? Non hai installato nulla? Hai usato il provider di posta? Alcune varianti di ransomware sono "dormienti" e non si attivano subito.

Se leggi in prima pagina ( e anche la sezione Come posso scrivere\contribuire alla discussione? ) troverai software che non sono in real-temp vedi CryptoPrevent. Comunque fammi capire, con UAC al massimo NON ti è apparso nessun avviso nell'ultimo periodo? Sicuro? Non hai installato nulla? Hai usato il provider di posta? Alcune varianti di ransomware sono "dormienti" e non si attivano subito.

si esatto avevo uac al massimo livello e non ho ricevuto nessuna videata da confermare o negare i permessi di amministratore che di solito invece chiederebbe. sempre installato gli aggiornamenti di windows 10 e non apro mai allegati di posta farlocchi ho solo firefox skype e poco altro sul tablet

mettiamo che uno si infetta con sto randomware e tiene documenti importanti su hd esterno che in quel momento è collegato al pc perché uno li sta consultando quei documenti e li sta modificando e passando il backup identico su un secondo hd
se l'infezione entra fa in tempo a cryptare sia il pc che i due hd senza nessuna salvezza visto che proprio per fare manutenzione e backup uno aveva i due hd collegati al pc?
caso assurdo ma credo possa essere anche plausibile

se l'infezione entra fa in tempo a cryptare sia il pc che i due hd senza nessuna salvezza visto che proprio per fare manutenzione e backup uno aveva i due hd collegati al pc?

Esatto.

Una misura preventiva, avendo il PC "pulito", potrebbbe essere quella di disconnettersi da internet durante l'effettuazione del backup.

si esatto avevo uac al massimo livello e non ho ricevuto nessuna videata da confermare o negare i permessi di amministratore che di solito invece chiederebbe. sempre installato gli aggiornamenti di windows 10 e non apro mai allegati di posta farlocchi ho solo firefox skype e poco altro sul tablet

usavi l'account admin?

comunque questi ransomware non hanno bisogno di apportare modifiche al sistema quindi non è detto che appaia lo uac

in effetti mi sbagliavo nemmeno scrivere nella chiave del registro run fa scattare lo UAC



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce



se tu non hai installato niente o eseguito allegati mail, potrebbere essere che sia stata sfruttata una vulnerabilità java o di flash player per scaricare l'eseguibile maligno e lanciarlo

Unax come ti ho già detto l'altra volta per eliminare le copie shadow sono necessari i diritti amministrativi e tutte le varianti ormai hanno questo step. Ora per ottenere i diritti hanno due possibilità:
1) Semplice richiesta di privilegi
2) Escalation di privilegi tramite bypass dell'UAC

Il secondo caso ( per farla breve perché la questione é più complessa e dipende anche dal sistema in uso ) é possibile solo in caso che l'UAC non sia al massimo. Se l'utente non ha avuto nessun prompt é perché il ransomware potrebbe aver sfruttato delle vulnerabilità tramite flash/java/macro di office però bisognerebbe sapere il PC come era configurato prima dell'infezione, se gigantebueno scrivesse il modello da prima pagina fatto apposta..

Permettetemi di essere scettico sul fantomatico bypass dell'UAC (oltretutto impostato al massimo) di cui si parla da stamani...a meno che l'utente in questione non sia incorso in un exploit del kernel ma, personalmente, la vedo una cosa ai limiti della fantascienza per un'utenza domestica...

Chiedo scusa lo completo subito

Variante: ?
Sistema Operativo: Microsoft Windows 10 Home x32
Antivirus: Avira Antivir
Livello UAC: Massimo
Anti-Ransomware e/o Criteri di gruppo: Nessuno/ non so
Veicolo di infezione: Credo da browser
Provider di posta: Mozilla Thun derbird aggiornato all'ultima release
Macro di Office: Non lo uso Office
Ad-Block: attivo da firefox
Flash: attivo
Java: attivo

Averell,
Mai detto quello che affermi anzi il contrario. Però visto che l'utente ha sia Flash che Java grazie alle varie vulnerabilità/0day* è possibile eseguire un codice arbitrario con i livelli di SYSTEM quindi in tal caso l'UAC non è coinvolto

gigantebueno,
Davvero non sai da che variante sei stato colpito? Avresti dovuto informati prima di formattare giusto per capire da cosa sei stato infettato ma ormai è tardi. Per il resto grazie delle informazioni.

*Ad esempio CVE-2016-1019 (https://helpx.adobe.com/security/products/flash-player/apsb16-10.html) per dirne una recente

ok, ti dico io molto più banalmente come è andata.

Al di là del fatto che su 32bit (il tuo caso...) si perdono diverse peculiarità della versione a 64 (KPP e molte altre), l'UAC (pur al massimo) non c'incastra nulla.

Il motivo, molto semplicemente, risiede nel fatto che l'UAC non interviene quando sono in esecuzione malware di tipo user-mode (e ci sono una marea di varianti anche di Ransomware che non necessitano di diritti amministrativi per raggiungere il loro scopo).

L'UAC, in sostanza, in questi casi è come se non ci fosse o non servisse a nulla.

Te, giustamente, ti sei accorto dell'infezione in atto (con un Ransomware, infatti, è impossibile non accorgersene) e, avendo l'UAC come l'avevi, ti sei legittimamente chiesto come sia stato possibile (spiegato però poc'anzi).

Si, se sei sicuro di non aver lanciato nulla in maniera arbitraria, ti è 'passato' sicuramente via browser per effetto di una pagina infetta (exploit).

...

Ci gioco qualsiasi cifra sulla ricostruzione proposta

Averell,
Mai detto quello che affermi anzi il contrario. Però visto che l'utente ha sia Flash che Java grazie alle varie vulnerabilità/0day* è possibile eseguire un codice arbitrario con i livelli di SYSTEM quindi in tal caso l'UAC non è coinvolto

gigantebueno,
Davvero non sai da che variante sei stato colpito? Avresti dovuto informati prima di formattare giusto per capire da cosa sei stato infettato ma ormai è tardi. Per il resto grazie delle informazioni.

*Ad esempio CVE-2016-1019 (https://helpx.adobe.com/security/products/flash-player/apsb16-10.html) per dirne una recente

purtroppo no però ricordo bene uscivano come gli altri casi letti reindirizzava alla pagina con immagine dicendo in inglese di pagare un riscatto dunque se è passato come credevo da browser con codice infetto la precauzione ideale per non ripetersi sarebbe per forza disattivare flash e java? in alcuni ambiti però è difficile dato che mi servirebbe sempre nella navigazione