Cryptolocker, nuova ondata di attacchi anche in Italia...

[gouf]

...occhi aperti, anche se credo che chi legge qui non abbocca a certi scherzetti...

Cryptolocker | Nuovi attacchi in Italia | Ransomware

 

[vince61]

sempre attento Gouf

 

[ERG]

sempre attento Gouf

MICA TROPPO.....

http://www.finanzaonline.com/forum/42397723-post37.html

 

[gouf]

MICA TROPPO.....

http://www.finanzaonline.com/forum/42397723-post37.html

Oppese...

 

[Garrone_71]

La prevenzione e' tutto in questo caso.

CryptoPrevent | Foolish IT

 

[Vincent Vеga]

La prevenzione e' tutto in questo caso.

CryptoPrevent | Foolish IT

se sono riuscito a "bucarlo" io per sbaglio in 5 minuti non è il massimo dell'affidabilità

la buon vecchia VM isolata e via andare

 

[Garrone_71]

se sono riuscito a "bucarlo" io per sbaglio in 5 minuti non è il massimo dell'affidabilità

la buon vecchia VM isolata e via andare

Le doppie estensioni del Cryptolooker le blocca.

Serve a quello.

L'hai testata con un ramsoware ?

CryptoLocker, copycat, and other ransomware protection (malware that encrypts your files for a ransom.)
Definitions based protection system for executable file types (v7.3 and above.)
Protection from fake file extensions and other attacks found in most trojan based malware.

 

[Vincent Vеga]

quel programma blocca l'avvio di .exe in cartelle dove non dovrebbero essere avviati.
peccato che se io a mano creo una sottocartella ai suoi indirizzi predefiniti lo frego e posso avviare quel che mi pare anche se l'ho impostato così

prova ad avviare un .exe in %localappdata%.
Te lo blocca.
Se invece crei una sottocartella a %localappdata% e gli butti dentro l'.exe, il programma parte regolarmente.
Guarda quante cartelle hai dentro a %localappdata% e dimmi te se è affidabile una cosa del genere o una falsa sicurezza.
Sta cosa delle doppie estensioni è un pò bizzarra, basta abilitare la visualizzazioni delle estensioni conosciute; mi piacerebbe vedere se blocca un file con "forzatura da destra a sinistra".
Non ho provato la versione a pagamento, se permette di bloccare anche sottocartelle e tutti gli indirizzi che ti pare è un must buy, così è inutile un pò perchè devi disabilitarlo ognivolta che installi qualcosa e poi rimane comunque una protezione aggirabile anche da un bambino.

Se la virtual machine non è un opzione gradita, c'è sempre la sandboxie in versione gratuita (settatata a dovere ) per evitare di spaccarsi la testa con diversi programmi e ottimizzazioni da mettere e togliere

 

[Garrone_71]

Perdonami ma qua si parla di Cryptolocker e visto che si diffonde con una mail che viene aperta e che dietro una apparente estensione pdf cela in verità l'exe tipo compendio.pdf_________.exe, questo programma e' perfetto visto che un file con doppia estensione non viene mai eseguito a prescindere dalla posizione da dove viene avviato.

Inoltre una mail o un file scaricato in maniera automatica visitando una pagina infetta, scrive solo su certe cartelle e non su sottocartelle come nel tuo esempio.

Ovvio che la soluzione VM e' migliore dal punto di vista della sicurezza, ma ricorda che il 99% della gente non usa affatto le VM e che ripristinare una VM pulita dopo che quella in uso e' stata infettata comporta costi per le aziende.

Personalmente l'ho installato in diversi pc perche' almeno con i ransoware in giro "al momento" si e' coperti.


Se vuoi bloccare %localappdata%\* devi abilitare la massima protezione ma a quel punto non riusciresti piu' ad installare nulla nel pc.

Tanto vale passare a Linux e ti scordi anche le VM.
I limiti di windows sono quelli, e quindi c'e' poco da fare...

 

[street_hassle]

ho un a domanda moooolto 'gnorante

l'estensione exe deve obbligatoriamente essere presente, intendo dire proprio scritta perchè il file possa eseguire qualcosa oppure potrebbe essere mascherata , al di la del trucco della doppia estensione?

osservazione relativa : ho notato che (di default?) moltissima gente ha le estensioni dei file nascoste da sistema
personalmente trovo l'impostazione scomoda e trovo anche che renda più facile il clikkare su malware senza rendersene conto

 

[Garrone_71]

Exe, com, bat, pif, scr

Queste sono le estensioni che possono avviare programmi eseguibili.


Ovviamente il file deve obbligatoriamente avere una di queste alla fine del file.


Riconoscere tipi di file pericolosi

 

[street_hassle]

Exe, com, bat, pif, scr

Queste sono le estensioni che possono avviare programmi eseguibili.


Ovviamente il file deve obbligatoriamente avere una di queste alla fine del file.


Riconoscere tipi di file pericolosi

si , ho scritto solo .exe per brevità
intendevo tutte le eseguibili
quindi mi certifichi che (mascheratsa dalla doppia estensione o meno) deve proprio essere scritta e non può essere in nessun modo mistificata in altra dicitura oppure fatta eseguire in automatico da altro , tipèo estrazione di uno zip o rar o altro?

 

[Tercio]

Versione rinnovata di CTB-Locker | Usiamo la Parola per Salvare il Mondo | Blog Ufficiale in italiano del Kaspersky Lab

 

[Garrone_71]

Che io sappia per cryptolooker no.

Ci sono poi le vulnerabilità di alcuni file tipo i doc o gli xls che possono contenere script con codice eseguibile, sottoforma di script VBS e anche i file html.

 

[Vincent Vеga]

Personalmente l'ho installato in diversi pc perche' almeno con i ransoware in giro "al momento" si e' coperti.

quasi qualsiasi AV copre quello che è successo fino a ieri.
se vuoi darci un'occhiata c'è anche questo
HitmanPro.Alert CryptoGuard - SurfRight <-- questo programma è la panacea di chi è un pò sbadato, ma non capisco cosa costa

Inoltre una mail o un file scaricato in maniera automatica visitando una pagina infetta, scrive solo su certe cartelle e non su sottocartelle come nel tuo esempio.

non ci hai guardato dentro a %localappdata% e %temp% vero?

ognitanto qualche pagina infetta la visito anch'io di proposito e per ora ho sempre ricevuto un'avviso grande come una casa che stavo scaricando qualcosa.

Tanto vale passare a Linux e ti scordi anche le VM.
I limiti di windows sono quelli, e quindi c'e' poco da fare...

mi è stato dimostrato che linux non è il paradiso del punta e clicca, è dal buon vecchio win 98SE che uinciozz mi tiene compagnia e ormai mi tengo quello

l'estensione exe deve obbligatoriamente essere presente, intendo dire proprio scritta perchè il file possa eseguire qualcosa oppure potrebbe essere mascherata , al di la del trucco della doppia estensione?

ho provato a replicare questa cosa con la calcolatrice ma da me non parte l'.exe. Ha l'icona bianca e mi chiede con cosa voglio provare ad aprire quel file
Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi

osservazione relativa : ho notato che (di default?) moltissima gente ha le estensioni dei file nascoste da sistema
personalmente trovo l'impostazione scomoda e trovo anche che renda più facile il clikkare su malware senza rendersene conto

quoto, senza le estensioni non si capisce molto

 

[Garrone_71]

quasi qualsiasi AV copre quello che è successo fino a ieri.

Sarà ma ho ad oggi 5 clienti infettati di cui 3 con AVG professional con licenza e 1 con Bitdefender ovviamente con licenza anche lui.

 

[Vincent Vеga]

se stavano senza AV come me dici che si salvavano?

per curiosità, come lo tratti un PC messo così.
per le prime varianti c'era un sito che forniva la key
https://www.decryptcryptolocker.com/

 

[Garrone_71]

se stavano senza AV come me dici che si salvavano?

per curiosità, come lo tratti un PC messo così.
per le prime varianti c'era un sito che forniva la key
https://www.decryptcryptolocker.com/

Hai letto male.

Dei 5 clienti infetti:

3 avevano avg internet security con licenza
1 aveva bitdefender con licenza (addirittura la versione centralizzata).

Il quinto non so che antivirus ha, il collega andrà domani a vedere la situazione...

Dove hai letto che erano senza antivirus ?

E non si sono mica salvati...

...se non era per i backup addio !!!

 

[Vincent Vеga]

Hai letto male.

Dei 5 clienti infetti:

3 avevano avg internet security con licenza
1 aveva bitdefender con licenza (addirittura la versione centralizzata).

Il quinto non so che antivirus ha, il collega andrà domani a vedere la situazione...

Dove hai letto che erano senza antivirus ?

E non si sono mica salvati...

...se non era per i backup addio !!!

mi sarò espresso male

 

[Fiber]

Hai letto male.

Dei 5 clienti infetti:

3 avevano avg internet security con licenza
1 aveva bitdefender con licenza (addirittura la versione centralizzata).

Il quinto non so che antivirus ha, il collega andrà domani a vedere la situazione...

Dove hai letto che erano senza antivirus ?

E non si sono mica salvati...

...se non era per i backup addio !!!

ma ai 5 clienti infetti nn si poteva abilitare la visualizzazione delle estensioni dei files togliendo la stupida spunta in opzioni cartelle .... ma soprattutto dirgli di non salvare sul disco e aprire mai un file allegato proveniente da indirizzi email non affidabili ?

se a questo stesso target di utenza capitasse di navigare su qualche sito strano che gli proponesse di scaricare ed installare un aggiornamento di Flash Player con la solita balla colossale che altrimenti nn possono vedere i contenuti di quello stesso sito, e invece non fosse l'installer .exe di Flash Player ma fosse quello di un malware , se lo facessero si ritroverebbero con la stessa solfa

contro l'ingegneria sociale nn esiste sistema operativo che possa tenere

la soluzione e' istruire l'utente con 3 regole base di comportamento sul web