Ransomware: Prevenzione e Soluzioni
Ransomware: Prevenzione e Soluzioni Premessa Questo post ha come unico scopo informare a compasso allargato su tutto quello che riguarda i ransomware. Non verrà aggiornato costantemente ad ogni nuova variante vista la cadenza quasi giornaliera di nuove versioni ma piuttosto si deve considerare come un vademecum sull'argomento. Si consiglia una lettura completa prima di scrivere nella discussione e di rispettare le regole imposte nel rispetto in primis degli utenti che qui troverete pronti ad aiutarvi. Non si offre supporto ad aziende e/o rappresentanti specializzati del settore come da regolamento del forum visto che rientra nella pubblicità diretta e/o indiretta Cosa sono i ransomware? Una nuova tipologia di trojan\worm che si sta diffondendo nel mondo a macchia d'olio. Anche se l'archetipo è dell'inizio degli anni '90 non voglio tediare con una inutile storia sull'evoluzione dell'infezione e scrivo direttamente cosa sono e come operano al giorno d'oggi. Il nome dice tutto, il ransomware cripta i dati dell'utente con un forte algoritmo e chiede un riscatto ( ransom ) per la chiave di decriptazione Come operano i ransomware? Di ransomware ne esistono centinaia di versioni, da questo momento in poi chiamate "varianti" e non seguono una procedura definita. Di solito hanno una lista di file da colpire ( txt, doc, jpeg etc. ) per evitare di compromettere l'operatività del sistema operativo, evitano le cartelle dei Programmi e di Windows, usano un algoritmo sicuro come RSA o AES con chiavi a 4096-2048-256 bit che hanno come unico punto debole la sicurezza\lunghezza della chiave stessa. Il bruteforce, unico metodo possibile in caso l'algoritmo sia stato implementato correttamente e non ci siano falle nel codice, non è nemmeno considerabile visto che vengono utilizzate chiavi molto lunghe, sicure e generate casualmente a volte base all'hardware del PC, conservate solo sui server degli autori-diffusori del malware. Il ransomware può accedere solo a directory a cui ha l'accesso l'utente in scrittura, compresi percorsi di rete ed unità non mappate. Come faccio a sapere se sono infetto da un ransomware? L'utente non riesce ad accedere i file, nella maggior parte dei casi li trova rinominati con una doppia estensione, nelle cartelle trova dei file di testo-html-immagini con le istruzioni per il pagamento tramite bitcoin con dei nomi esplicativi, ad esempio i file contengono la parola "decrypt", "recover", "help", "unlock" o simili. Quindi se rinominare il file criptato non ha effetto ( esistono anche i finti ransomware quindi è giusto fare un tentativo del genere ) e la situazione ti sembra familiare, il tuo PC è stato infettato da un ransomware. Sono stato infettato da un ransomware, cosa devo fare? In primis non pagare il riscatto. Mai, in nessun caso, non mi interessa quanto erano importanti quei file. Se hai intenzione di pagare devi sapere un paio di cose, la prima è che non fai altro che alimentare un mercato illegale che grazie ai tuoi soldi non farà altro che diffondersi ancora di più, diventando sempre più difficile da debellare, senza dimenticare che non c'è nessuna sicurezza nel recupero dei dati anzi si trovano testimonianze del'esatto contrario. La seconda è che qui non riceverai supporto, puoi chiudere tranquillamente questa pagina e non proseguire con la lettura. Bisogna individuare come primo punto qual'è la variante che ti ha colpito. Se il file è stato rinominato controllare l'estensione, ad esempio file.txt.vvv Con una semplice verifica su un motore di ricerca puoi scoprire a quale variante corrisponde, nel caso di .vvv è TeslaCrypt 2.0. Come alternativa al motore di ricerca c'è il sito ID Ransomware. Se non riesci a trovare informazioni sull'estensione i casi sono due:
Una lista incompleta delle possibili varianti presa da un software ad uso strettamente privato si trova alla fine di questo thread Ora che sì è a conoscenza della variante, bisogna capire se è stata sconfitta e se per procedere alla decriptazione dei file è necessaria la presenza di determinati file/chiavi di registro sul PC. Anche in questo caso si può ricorrere ad un motore di ricerca oppure si può chiedere in questo thread. Cortesemente cercare nella discussione se è stata postata in precedenza una domanda simile e seguire le regole della discussione che si trovano alla fine di questo post. Nell'eventualità dovessi accorgerti dell'infezione mentre il malware ancora deve terminare la routine spegnere-riavviare immediatamente il PC per cercare di salvare più file possibile. A quel punto avviare il PC in modalità provvisoria ( i programmi in avvio, tramite chiave Run o Attività pianificata, sono inabilitati e quindi l'infezione non può auto-eseguirsi e peggiorare la condizione dei file ) oppure se preferite tentare di accedere con un live cd di Linux per verificare la situazione. Se è il ransomware stesso a forzare una BSOD in tal caso NON riavviare ma spegnere direttamente il PC. Lo stesso discorso vale in caso il ransoware cerchi di riavviare il PC, non lasciare che completi l'operazione ma spegnere il PC in modo forzato ad esempio staccando l'alimentazione. Quali varianti è possibile decriptare? Alcune varianti sconfitte, almeno le più famose, sono:
In caso la variante non sia stata sconfitta si può procedere in due modi:
Quote:
Quote:
Cosa posso tentare per recuperare i file? I tentativi che si posso fare sono:
Come rimuovere il ransomware? Dipende dalle varianti ma software come HitmanPro, Malwarebytes Anti-Malware e Online Scanner come ESET\Kaspersky sono un buon inizio. Una soluzione drastica ma sicura al 100% è una formattazione completa del PC, vi ricordo che i ransomware sono sempre un passo avanti rispetto ai produttori di AV. Ho rimosso il ransomware ma sul PC ho ancora dei file correlati, come precedere? Se l'infezione è stata rimossa ma sul PC sono ancora presenti i vari file di testo-html-immagini nelle cartelle relative al virus procedere in questo modo: Scaricare ed eseguire Old Files Manager. Come impostazioni selezionare il disco da scansionare, ad esempio C:\ con opzione "Includi sottocartelle", togliere le voci Dimensioni-Tipo-Data per velocizzare al massimo la ricerca, aggiungere la checkbox a "Includi la parola(e) ... dalla ricerca" e scrivere: Codice:
*nome_file*.html;*nome_file*.txt;*nome_file*.png N.B. In caso OFM non riesca a cancellare\spostare i file non è un problema del programma ma dipende dalla configurazione del vostro account, ad esempio dai permessi di scrittura della directory ( tasto destro --> Proprietà --> Sicurezza --> Avanzate ) Quali sono i principali veicoli di infezione? Sono principalmente due, email con phishing o finti allegati ( ad esempio fatture o rimborsi ) e exploit da siti compromessi, compresi ADS e banner, e nell'ultimo periodo anche il circuito .torrent soprattutto per il materiale illegale vedi RAUM . Considerati questi due fattori per prima cosa abilitare la visualizzazione delle estensioni ( Opzioni cartella --> Visualizzazione --> Nascondi le estensioni per i tipi di file conosciuti ) proprio perché i ransomware sono camuffati in allegato da altri file come i PDF. Quindi non aprire allegati sospetti, anche se il mittente sembra conosciuto, se si hanno delle incertezze leggere attentamente l'email che spesso ha errori ortografici. Aggiungere dei filtri al proprio software di gestione della posta per evitare allegati pericolosi come .exe .vbs .bat .js ( per quest'ultimo si può utilizzare NoScript della Symantec ) ad esempio alcuni provider come GMail hanno questa protezione già inclusa. In secondo luogo evitare siti "particolari" e se proprio si ha questa necessità utilizzare ambienti virtuali senza collegamento tra Host, il tuo PC, e Guest cioè l'ambiente virtualizzato ( Virtualbox, VMWare ) o sandbox ( ToolWiz TimeFreeze, Sandboxie ) in modo che anche in caso di infezione l'Host non verrà colpito. Un'alternativa può essere una qualsivoglia live di Linux. Come configurare il PC per evitare infezioni da ransomware? Scriverò un elenco di tutte le principali configurazioni da attuare:
¹AppLocker non è disponibile per tutte le edizioni di Windows. Se si possiede Windows 10 Enterprise o Education in aggiunta si consiglia Device Guard ² Flash e Java hanno spesso 0-day e falle quindi vi consiglio la rimozione. Per Flash in caso serva come alternativa c'è il plugin PepperFlash integrato in Chrome, per Java se si hanno particolari necessità ad esempio per l'esecuzione di un programma si può usare la versione portable. Una spiegazione d'uso corredata di esempio si trova a questo indirizzo ³ EMET al momento non ha una funzionalità di Application Lockdown, a cui si può trarre rimedio con il registro/policy vedi Application Lockdown with Software Restriction Policies. Inoltre viene dichiarato, per le versioni di Windows 10 Enterprise o Education, che: Quote:
Quali software utilizzare per evitare infezioni da ransomware? Si consiglia innanzitutto di configurare il PC come da sezione precedente. La scelta ad oggi ricade tra:
Vi consiglio di guardare le caratteristiche e decidere in piena autonomia Come configurare l'account standard? Un account standard non evita l'infezione quindi si può considerare "facoltativo" però è possibile agire sui permessi delle directory in modo che il virus non infetti cartelle a cui non ha accesso in scrittura. Dall'account amministratore tasto destro sulla directory --> Proprietà --> Sicurezza --> Avanzate. Se l'account amministratore non è proprietario della cartella cliccare su Cambia --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Applica --> OK Rietrare nella schermata tramite il pulsante Avanzate --> Cambia autorizzazioni ( se presente ). A questo punto se vogliamo agire per il singolo utente cliccare su Aggiungi --> Scrivere il NOME_UTENTE --> Controlla nomi --> OK --> Consenti\Nega in base alle proprie necessità ( ad esempio negare i soli permessi in scrittura ) così come per la voce "Applica a: La cartella selezionata, le sottocartelle e i file". Se invece volessimo applicare al gruppo e non al singolo utente la voce da modificare è "Users (NOME_ADMIN\Users)" --> Consenti\Nega in base alle proprie necessità. Vi ricordo che le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. Se non si vuole usare l'interfaccia grafica per evitare tutti i passaggi si può usare, tramite CMD elevato come amministratore, l'utility ICACLS Alcuni esempi: Codice:
ICACLS "X:\Cartella" /grant "NOME_UTENTE":(CI)(OI)RX (IO): inherit only RX (read and execute access) W (write-only access) La prima stringa autorizza ( /grant ) l'utente ad avere solo accesso di lettura ed esecuzione alla cartella La seconda stringa nega ( /deny ) l'utente i permessi di scrittura La terza stringa nega ( /deny ) a tutti gli utenti standard che fanno parte del gruppo "Users" i permessi di scrittura Anche in questo caso le autorizzazioni negate prevalgono su quelle concesse anche se l'utente fa parte di due gruppi distinti. La guida all'uso di Icacls per ogni informazione Perché il backup dei dati è così importante? Perché il ransomware non è l'unica minaccia ai tuoi preziosi file, sono tante le cause che possono farti perdere i dati. Un altro tipo di virus, un danno hardware all'HDD, uno sbalzo di corrente durante le fasi di copia sono sono alcune possibilità. Se ci tieni alle foto di famiglia, ai tuoi documenti, ai tuoi ricordi fai una o più copie di backup su HDD esterni Come posso scrivere\contribuire alla discussione? Se sei stato infetto da un ransomware, vuoi semplicemente postare la tua esperienza o porre delle domande inerenti alla tua situazione scrivere almeno un post utilizzando questo modello, da riempire in ogni sua parte: Variante: Sistema Operativo: Antivirus: Livello UAC: Anti-Ransomware e/o Criteri di gruppo: Veicolo di infezione: Provider di posta: Macro di Office: Ad-Block: Flash: Java: Esempio: Codice:
Variante: .vvv - Teslacrypt 2.0 Se non usi il modello non riceverai supporto per le tue domande, è necessario per capire la situazione di base del tuo PC al momento dell'infezione. Esempi di estensioni utilizzate dai Ransomware Codice:
[CryptoSaver] |
grazie, qualche news ransomware-as-a-service...
http://www.lastampa.it/2016/03/30/it...CJ/pagina.html |
Articolo interessante ma è una cosa risaputa, non a caso nel post sopra parlo non solo di autori ma anche dei "diffusori" del malware. I virus di ogni genere vengono venduti/affittati sulla darknet, magari il vero autore del codice si limita solo a vendere il prodotto senza esporsi personalmente al "ricatto" dietro i ransomware.
Per quanto riguarda Petya, ransomware diffuso per ora solo alle aziende in germania, non cripta i file ma direttamente la MFT ( Master File Table ) infettando l'MBR Quindi solo chi è su MBR e BIOS può essere colpito, sono immuni i PC con GPT e UEFI. Inoltre si può tentare traquillamente un recupero di tutti file ( vedi PhotoRec\TestDisk ) ma senza MFT si perde la struttura delle cartelle ed ogni informazione relativa ai dati ma almeno non essendo criptati con un lungo, lunghissimo lavoro sono ripristinabili. |
Ringrazio delle preziose informazioni fornite !
|
La tecnologia 'reputazionale' messa in campo da Windows 10 per arginare il problema relativo all'incauta esecuzione di un file:
Il problema, anche in questo caso, è che il blocco è facilmente aggirabile per cui se si è 'ostinati' si riuscirà ad eseguire il file a dispetto di qualsiasi allarme... |
Quote:
bon a parte che se hai un backup dei file sei a cavallo a priori |
Quote:
|
Quote:
|
Con programmi tipo ShadowExplorer non riesco a recuperare i dati del nas che è modello QNAP TS-212 credo che abbia come s.o. Linux
Sapete se vi è un modo per recuperare i file cancellati dal Nas (che poi sono stati sostituiti con quelli criptati? Ho tutti i file con estensione .locky Se riuscite a darmi una mano/consiglio etc..anche in pm.. Grazie in anticipo |
Quote:
https://www.qnap.com/i/it/product/mo...II=131&event=3 non vorrei dire una castronata (forse la dirò) ma se nel NAS c'era linux o altro sistema operativo come avrebbero dovuto crearsi le shadow copy? |
Quote:
comunque ho visto in giro un programma che permette un backup del mft Handy Backup is capable of performing MFT backup separately. This approach greatly saves time, if dealing with the case of only Master File Table being damaged (and not the whole disk). LO UAC al massimo impedisce modifiche al MBR? |
Le modifiche all'MBR richiedono diritti amministrativi quindi sì il prompt UAC appare e se è al massimo come consigliato non può essere bypassato da particolari procedure.
|
Quote:
rilasciato Bitdefender Anti-Ransomware http://www.ghacks.net/2016/03/29/bit...ti-ransomware/ però non spiegano bene con quale meccanismo blocchino i vari ransomware |
iscritto :D
tnx x_Master_x per il 3D subito una domanda condividi con noi questo? :) http://www.hwupgrade.it/forum/showpo...&postcount=779 |
Iscritto!
Quote:
Mi accodo a Paky e la sua richiesta! Grazie per le informazioni che vorrai condividere, x_Master_x :D |
Quote:
bisogna lanciarlo a mano e richiede i permessi di amministratore il che francamente è assurdo, se devi far usare account standard per evitare manomissioni del sistema che fai? dai a tizio e caio la password di un amministratore per farlo partire? |
Unax,
Bitdefender Anti-Ransomware era già presente nella lista dei software. Almeno voi "frequentatori" leggetelo il primo post nella sua interezza ;) Paky e giovanni69, Non riesco a stare dietro ad una release pubblica di un QUARTO programma, soprattutto di uno che deve essere aggiornato costantemente vista l'evoluzione continua dei ransomware. Mi dispiace ma devo rifiutare, di alternative gratuite ne esistono e ne esisteranno in ogni caso quindi non è in fondo una grande perdita. |
Quote:
|
Quote:
pensavo fosse qualcosa di meno elaborato utile per ogni occasione |
Quote:
Che alternative gratuite esistono in grado di verificare se esistono file criptati? Il tuo programma sembrava in grado di lavorare anche in questo senso con la lista estensioni. E non trovo nulla in tal senso in giro. :rolleyes: |
Tutti gli orari sono GMT +1. Ora sono le: 07:17. |
Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.