Ransomware: Prevenzione e soluzioni

[cagnaluia]

una domanda banale:

non si può semplicemente disabilitare l'esecuzione di qualsiasi file eseguibile, da tutte le cartelle del profilo utente?

[Syk]

se non sbaglio se ne era parlato di limitare a un solo eseguibile (o insieme di eseguibili) uno specifico utente, ma non saprei da che parte farmi

[x_Master_x]

cagnaluia,
Ne ho parlato tante volte nei post precedenti riguardo alla creazione di una whitelist invece di una blacklist cioè bloccare l'esecuzione di eseguibili da determinate cartelle.

[cagnaluia]

Quote:

Originariamente inviato da x_Master_x

cagnaluia,
Ne ho parlato tante volte nei post precedenti riguardo alla creazione di una whitelist invece di una blacklist cioè bloccare l'esecuzione di eseguibili da determinate cartelle.

ecco, non riesco a capire perché ciò che trovo, mi riferisco alle gpo con i path da bloccare, non siano mai ricorsivi... dalla root all'ultima foglia.

Quindi tu proponi l'esatto contrario.


vi lascio questo link, http://www.questiondriven.com/2016/0...re-infections/
se non l'avete mai visto è ricco di spunti per la prevenzione.

[x_Master_x]

Ti faccio una domanda:
É più facile ( e sicuro ) lasciare una sola strada percorribile o mettersi a chiudere centinaia di possibili vulnerabilità? Sì AppData é usata dai malware ma non é un obbligo ma piuttosto una scelta di stile. Potrebbero usare una qualsiasi cartella a cui l'utente ha accesso in scrittura e sono appunto centinaia di percorsi, se non migliaia.

[cagnaluia]

si, si esatto! non metto in dubbio, anzi ottima proposta/idea.

[Jedi82]

Una domanda forse stupida ma...per eliminarli una volta che uno si è reso conto di averne preso uno, basta un programma antimalware qualsiasi o bisogna seguire procedure particolari? Può bastare un Hitmanpro?

La scansione bisognerà farla da pc avviato o sempre e solo prima dell'avvio vero e proprio?

[BrydkoHer]

Grazie per il link e per le informazioni! ho cercato per questo.

[Averell]

qui la gente dura dal tramonto all'alba mentre nel thread 'Aspettando Zen', beh amici miei ...

[cagnaluia]

edit

[Averell]

posto che in questo thread sia possibile deviare dalle mere lamentele di chi è rimasto vittima di un ransom cosi' da dar spazio anche al capitolo prevenzione -peraltro decisamente più interessante oltrechè utile- 10 CU metterà in campo anche questa restrizione (ottima per tutelare i nabbi o i PC condivisi con nabbi):
https://www.tenforums.com/tutorials/...dows-10-a.html

L'esempio concreto (tratto evidentemente online): http://www.hwupgrade.it/forum/showpo...ostcount=21273

[Averell]

Per ora semplice PoC finalizzato a mettere a nudo certe debolezze, domani?

UEFI Ransomware: Full Disclosure at Black Hat Asia (con video)



La storia cmq è più complessa perchè bypassa anche tecnologie del mondo Enterprise...

...e, come si vede anche dal diagramma che mostra il flusso dell'attacco, è tutt'altro che banale.

Si, se si guarda il video si nota che la sua attuale implementazione incontra un limite nel consent prompt dell'UAC ma ritengo evidentemente che fossero interessati esclusivamente a mostrare l'attacco più che ad un modo per scalare privilegi in maniera invisibile (insomma, dietro ci sono delle teste che non vanno certo in crisi per quel problema).


Va beh, per l'ambito home è decisamente più vitale evitare di aprire alla fava lupus email che non 'spaventarsi' per questi discorsi...

[Averell]

Giusto per completezza anche se era indicato nel link precedente:






Intel® SGX
Requirements and deployment planning guidelines for Device Guard

[Syk]

chi ha l'MBR si salva?

[Averell]

Quote:

Originariamente inviato da Syk

chi ha l'MBR si salva?

chi ha l'MBR è tecnologicamente parlando indietro, ad ogni modo si...perchè il test è pensato per colpire esclusivamente gli ultimi ritrovati tecnologici e trascura di conseguenza ciò che è classificabile come obsoleto.




Se proprio si deve ricavare qualcosa da quello che ho postato stamani, direi che il messaggio è che esiste una relazione sempre più stretta tra hardware & software (il primo, infatti, va in soccorso del secondo con tutto quello che ne discende in termini di costi)...

IMO

[cagnaluia]

https://imgur.com/w1W5zex


Ma... possibile? è un software http://www.vialibera.it/ del Sole24Ore / TeamSystem...

Sarà un falso positivo ?

[veditu]

Mio fratello ha un pc bloccato con Crypt0l0ker (quello con gli 0 anzichè le O). Purtroppo l'ultimo back-up non è molto recente.

Nelle varie cartelle c'è una immagine in italiano con le istruzioni / link per pagare il riscatto e liberare i files.

C'è qualcosa che possiamo fare?

Leggendo le varie pagine mi pare di capire che - purtroppo - c'è molto poco da fare se non formattare tutto. C'è qualche speranza di recupeare i file?

Grazie mille a tutti!

[bio.hazard]

Quote:

Originariamente inviato da veditu

Mio fratello ha un pc bloccato con Crypt0l0ker (quello con gli 0 anzichè le O). Purtroppo l'ultimo back-up non è molto recente.
Nelle varie cartelle c'è una immagine in italiano con le istruzioni / link per pagare il riscatto e liberare i files.
C'è qualcosa che possiamo fare?
Leggendo le varie pagine mi pare di capire che - purtroppo - c'è molto poco da fare se non formattare tutto. C'è qualche speranza di recupeare i file?

Se c'è qualcosa che è possibile fare per quella versione, è indicato nel primo post della prima pagina della discussione, ci hai per caso già dato uno sguardo?

[veditu]

Quote:

Originariamente inviato da bio.hazard

Se c'è qualcosa che è possibile fare per quella versione, è indicato nel primo post della prima pagina della discussione, ci hai per caso già dato uno sguardo?

Ci ho dato un occhio ma purtroppo non ho trovato nulla di interessante in prima pagina... la mia variante non viene menzionata!

[x_Master_x]

Vengono menzionate solo le varianti sconfitte e la tua non rientra tra queste. Per questi casi dei tentativi da fare ci sono a prescindere dalla famiglia che di fatto non importa