|
|
inviato il 31 Luglio 2015 ore 10:34
“ Certo, l'utonto tanto clicca sempre sul link ed il virus su quel pc è ormai preso. „
Da un mio cliente sono arrivate alcune mail di quel genere stranamente sfuggite all'antispam. Un utonto ha provato in tutti i modi ad aprirle ma grazie a policy ed antivirus non c'è riuscito.
Alla fine, scoraggiato, le ha inoltrate alla moglie per vedere se almeno lei a casa riusciva ad aprirle.
Inutile dire che grazie alla scarsa sicurezza che aveva a casa c'è riuscita e così gli hanno crittato i dati dei pc di casa.
Contro gli utonti non si può vincere. |
|
|
inviato il 31 Luglio 2015 ore 10:37
“ Cmq fai come ho fatto io, ho perso le prime 30-40 ore a cercare una soluzione (inutile), e poi quando mancano 24 ore, paga e sistema il tutto. „
Di sicuro 30-40 ore di lavoro costano più dei 300€ richiesti di riscatto.
E' brutto da dire ma in mancanza di backup utili conviene pagare e riavere i dati piuttosto che perdere giornate, e magari anche nottate, di lavoro col rischio di non recuperare nulla.
|
|
|
inviato il 31 Luglio 2015 ore 10:43
Mv82, a noi è arrivata una mail dell'ENEL con il codice cliente CORRETTO. La signora dell'amministrazione (che domani va in pensione) ovviamente l'ha aperta.. |
|
|
inviato il 31 Luglio 2015 ore 10:56
Anche a noi ENEL!!! |
|
|
inviato il 31 Luglio 2015 ore 11:38
Proprio ieri la polizia postale ha chiuso 17 falsi siti Enel...... |
|
|
inviato il 31 Luglio 2015 ore 12:04
Avesse bloccato quello vero... |
user2860
|
inviato il 31 Luglio 2015 ore 12:41
Con una attenta applicazione di policies aziendali ed opportuni interventi sui vari layers si riesce a rendere difficile la vita a questi × ma la schermatura 100% è di difficile attuazione.
Un po' di regole che adotto io qui in azienda e che, per il momento, mi hanno salvato da forti mal di testa e momenti poco piacevoli.
Firewall perimetrale opportunamente configurato. Consigliata di cuore l'adozione di una soluzione UTM con webblocker, IPS e se possibile, motore APT.
Limitare i diritti degli utenti impostandoli a user e non administrators.
Adozione di un buon endpoint antivirus (webroot è un ottimo prodotto).
Definizione di adeguate group policies da distribuire nel dominio AD.
Adesso arrivano però i consigli più importanti:
1) BACKUP BACKUP BACKUP BACKUP che non siano attaccabili dal mostriciattolo
2) Formazione agli utenti!!!!!!! Settimanalmente mando una mail all'intera azienda (100 persone) dove esorto ognuno a non cliccare selvaggiamente e a contattarmi per ogni dubbio PRIMA di eventualmente procedere autonomamente.
Devo dire che dalla comparsa di questo genere di virus (Settembre 2013 se non erro), i risultati ci sono stati. In circa 2 anni UN SOLO click di troppo da parte di un utente sbadato che fortunatamente si è concluso con un nulla di fatto visto che il firewall ha bloccato IN USCITA le richieste di accesso alla botnet da parte del virus.
Ad ogni modo, se non avete nessun backup, l'unica è quella di pagare.......
|
|
|
inviato il 31 Luglio 2015 ore 13:01
Due miei clienti si sono beccati due ransomware differenti: Cryptolocker e Cryptowall 3.0.
Da quello che ho notato, è un virus che colpisce solo le aziende e l'unico sistema di protezione affidabile, al di là del pagare il riscatto, sono i backup storici, perché i backup un giorno per l'altro vengono compromessi, in quanto spesso si scopre di avere preso il virus dopo 24/48 ore.
Le aree per i backup devono essere accessibili solo agli amministratori di sistema o di dominio, inoltre i backup devono essere eseguiti dai server su cui nessuno ci può mettere le mani escluso il sistemista amministratore.
Il fatto che esistano le varie release dello stesso virus, mi fa pensare che viene aggiornato di continuo per sfuggire ai controlli antivirus, infatti il Cryptowall 3.0 non è stato rilevato da Avast! quando l'utente lo ha preso, ma due giorni dopo lo rilevava tranquillamente (quando il danno era fatto).
Da quello che ho visto, Cryptolocker aggiunge l'estensione .Ecrypted su tutti i file criptati, mentre Cryptowall 3.0 cripta file di Office, i PDF e gli Zip, senza modificare nome e data, ma aggiunge quattro file nelle cartelle dove è passato:
- HELP_DECRYPT.HTML
- HELP_DECRYPT.PNG
- HELP_DECRYPT.TXT
- HELP_DECRYPT (questoè un semplice link)
Come agisce il Cryptowall 3.0 (da quello che ho visto dal mio cliente):
inizia a criptare i file utente di Office, (tranne il PST di Outlook) PDF, file compressi e non so quali altri, nel profilo dell'utente, per estendersi in tutto l'HD (anche i modelli di Word nelle cartelle ) dove l'utente ha i diritti di lettura/scrittura, poi passa alle chiavette e HD esterni. Infine procede con le unità di rete mappate, sempre dove l'utente ha diritti di lettura/scrittura.
Dal mio cliente, il virus ha lasciato fuori le condivisioni non mappate, ma credo perché avrebbe richiesto troppo tempo scansionare le condivisioni computer per computer e/o perché non aveva diritti di lettura/scrittura.
Ho inoltre notato che dopo 48 ore cessa l'azione del virus ed arriva l'email all'utente che l'ha preso (ecco perché viene risparmiato il PST ), ma il virus è sempre presente caricato nella RAM del computer.
Fortunatamente non ho nessun titolare che ha i diritti amministrativi sui server, ma forse perché se il titolare non ha delle competenze, cerco di terrorizzarlo sulle conseguenze di attività errate sui suoi sistemi, quindi preferisce evitare e, al limite, utilizzare l'account amministratore all'occorrenza.
Comunque non sono per nulla tranquillo sugli sviluppi di questo fenomeno, anche perché dietro questi virus non c'è il solito hacker smanettone, ma autentiche organizzazioni criminali internazionali (mafie & c.), credo le stesse che che fanno narcotraffico ed altro, che possono pagare anche degli interpreti, visto che il messaggio per il riscatto è scritto in perfetto italiano (non è tradotto con Google o simili), ma non credo che l'organizzazione sia italiana.
Ho letto che ultimamente si stanno raffinando anche selezionando a priori le vittime per studiarne contatti (clienti/fornitori) per una azione più efficace.
Giorgio B. |
|
|
inviato il 31 Luglio 2015 ore 13:03
IO: “ Ho letto che ultimamente si stanno raffinando anche selezionando a priori le vittime per studiarne contatti (clienti/fornitori) per una azione più efficace „
MV82:“ Mv82, a noi è arrivata una mail dell'ENEL con il codice cliente CORRETTO. La signora dell'amministrazione (che domani va in pensione) ovviamente l'ha aperta.. „
Come volevasi dimostrare. |
|
|
inviato il 31 Luglio 2015 ore 13:08
“ Con una attenta applicazione di policies aziendali ed opportuni interventi sui vari layers si riesce a rendere difficile la vita a questi × ma la schermatura 100% è di difficile attuazione.
Un po' di regole che adotto io qui in azienda e che, per il momento, mi hanno salvato da forti mal di testa e momenti poco piacevoli.
Firewall perimetrale opportunamente configurato. Consigliata di cuore l'adozione di una soluzione UTM con webblocker, IPS e se possibile, motore APT.
Limitare i diritti degli utenti impostandoli a user e non administrators.
Adozione di un buon endpoint antivirus (webroot è un ottimo prodotto).
Definizione di adeguate group policies da distribuire nel dominio AD.
Adesso arrivano però i consigli più importanti:
1) BACKUP BACKUP BACKUP BACKUP che non siano attaccabili dal mostriciattolo
2) Formazione agli utenti!!!!!!! Settimanalmente mando una mail all'intera azienda (100 persone) dove esorto ognuno a non cliccare selvaggiamente e a contattarmi per ogni dubbio PRIMA di eventualmente procedere autonomamente.
Devo dire che dalla comparsa di questo genere di virus (Settembre 2013 se non erro), i risultati ci sono stati. In circa 2 anni UN SOLO click di troppo da parte di un utente sbadato che fortunatamente si è concluso con un nulla di fatto visto che il firewall ha bloccato IN USCITA le richieste di accesso alla botnet da parte del virus.
Ad ogni modo, se non avete nessun backup, l'unica è quella di pagare....... „
Efficace, peccato che è difficile da attuarsi in tutte le aziende, soprattutto se non c'è un sistemista interno che può occuparsene. |
user2860
|
inviato il 31 Luglio 2015 ore 13:12
E' chiaro che stiamo parlando di organizzazioni criminali e non di singoli individui smanettoni visti i milioni di $ che già hanno incassato!
Il fenomeno, concordo con Giobol, è assolutamente preoccupante e in costante crescita. Attenzione che l'allegato infetto NON è' l'unica forma di infezione. Attenti anche a cliccare su link contenuti all'interno della mail.
Per utenze private/piccole realtà, usate questo: www.foolishit.com/cryptoprevent-malware-prevention/ congiuntamente ad un buon antivirus e , a costo di essere noioso, BACKUPATE su supporti non accessibili pubblicamente. Se il vs. pc può accedere in scrittura ad una share di rete, allora altrettanto può anche il virus!
|
user2860
|
inviato il 31 Luglio 2015 ore 13:18
“
Efficace, peccato che è difficile da attuarsi in tutte le aziende, soprattutto se non c'è un sistemista interno che può occuparsene.
„
In effetti è un bel lavoraccio. La soluzione a questo incubo in realtà si chiamerebbe whitelist software.....magari al rientro dalle ferie userò qualche client come cavia ;-)
|
|
|
inviato il 31 Luglio 2015 ore 14:39
Quali sono i metodi di infezione ?
I file allegati hanno l'estensione .exe?
Esiste un modo per non far scaricare allegati .exe?
|
|
|
inviato il 31 Luglio 2015 ore 14:53
Ragazzi scusate, nessuno che mi sa indicare un sito dove posso acquistare bitcoin? |
user2860
|
inviato il 31 Luglio 2015 ore 15:06
Patrick, mi spiace non ti so aiutare. Mi sembra parlino discretamente bene di bitboat.
Rapt8: i metodi di infezione sono i soliti.....un allegato spesso e volentieri zippato che al suo interno contiene il file magari con doppia estensione tipo .doc.exe oppure .pdf.scr. Windows ti fa vedere l'iconetta classica di word o del pdf e tu ci clicchi sopra senza renderti conto che in realtà è un virus. Alternativamente ti possono arrivare mails che ti invitano a cliccare sul link in allegato per scaricarti, ad esempio, l'ultima bolletta Enel. Il link è ovviamente t*faldino e vieni spedito su un sito dal quale scaricare il virus vero e proprio.
Ci sono svariati metodi di protezione attuabili. In ambito aziendale qualsiasi soluzione antispam permette un filtraggio degli allegati. Alla fine comunque, ricordatevi sempre che il miglior meccanismo di protezione non è software ma umano.......siete Voi e la Vs. testa ! 
|
Che cosa ne pensi di questo argomento?
Vuoi dire la tua? Per partecipare alla discussione iscriviti a JuzaPhoto, è semplice e gratuito!
Non solo: iscrivendoti potrai creare una tua pagina personale, pubblicare foto, ricevere commenti e sfruttare tutte le funzionalità di JuzaPhoto.
Con oltre 259000 iscritti, c'è spazio per tutti, dal principiante al professionista. |
Metti la tua pubblicità su JuzaPhoto (info) |
JuzaPhoto contiene link affiliati Amazon ed Ebay e riceve una commissione in caso di acquisto attraverso link affiliati.
