Ciao a tutti,
Cryptolock, TeslaCrypt etc etc sono sempre più frequenti e praticamente 1 nabbo su 2 li prende.
Ad ora mi sembra di aver capito che non ci sia modo di recuperare i dati cryptati se non per alcune protoversioni che avevano delle falle all'interno.
La mia domanda è: c'è modo almeno di prevenire, a parte istruire i nabbi a non aprire allegati strani?

Oramai sono anni che circolano, possibile che non ci sia difesa?

Le varie suite di protezione anti-malware dovrebbero individuarli e bloccarli, ma se si becca una nuova variante...
Un file criptato con chiavi lunghe non è che puoi sperare di aprirlo di forza bruta... c'è chi offre servizi di scriptazione, ma mi vien da pensare che possano farlo solo perché son loro che spargono l'infezione ed hanno appunto le chiavi.


Prevenzione e backup off-site (perché se ti cripta pure il backup...)

La mia domanda è: c'è modo almeno di prevenire, a parte istruire i nabbi a non aprire allegati strani?



Non dargli un account con privilegi di admin è l'unico modo :asd:
Il rovescio della medaglia è che poi ti stressano per ogni fesseria, però almeno non devi risolvere l'irrisolvibile :bua:

in 2 giorni 3 uffici per i quali lavoro l'hanno preso :rotfl:

- - - Aggiornato - - -


Le varie suite di protezione anti-malware dovrebbero individuarli e bloccarli, ma se si becca una nuova variante...
Un file criptato con chiavi lunghe non è che puoi sperare di aprirlo di forza bruta... c'è chi offre servizi di scriptazione, ma mi vien da pensare che possano farlo solo perché son loro che spargono l'infezione ed hanno appunto le chiavi.



Prevenzione e backup off-site (perché se ti cripta pure il backup...)

mi dici un nome valido?

Di suite anti-virus/tutto? Boh... le solite suppongo: Kaspersky, Bitdefender, Avira, AVG, Avast...

http://www.tgsoft.it/italy/news_archivio.asp?id=684

:alesisi:

occhio :asd:

comunque su avira non garantirei dato che su due di questi pc c'era installato

Ma la modalità d'infezione? Hanno ricevuto e-mail con pdf/eseguibile?
Non è che gli diceva pure di disabilitare momentaneamente l'antivirus? Cioè farebbe ridere, se non fosse un consiglio che si trova anche con software legittimo...

aumento la statistica a 7 "conoscenti" infetti per un 10-12 computer :alesisi:

un'ecatombe

- - - Aggiornato - - -


Ma la modalità d'infezione? Hanno ricevuto e-mail con pdf/eseguibile?
Non è che gli diceva pure di disabilitare momentaneamente l'antivirus? Cioè farebbe ridere, se non fosse un consiglio che si trova anche con software legittimo...

sai tutti ti dicono sempre "non ho fatto niente e non vado su siti strani" poi li trovi su lupoporno un giorno si e un giorno no.... Comunque penso che la quasi totalità abbia ricevuto ed aperto uno zip per email

Anche PDF via mail con macro al seguito è un classico, con tipica dicitura fattura del... gioia di diversi commercialisti :sisi: (rigorosamente senza back-up offline aggiornato :crasd: )

Inviato dal mio Nexus 4 utilizzando Tapatalk

ma sono arrivati solo a firenze? da voi nulla? :asd:

La USL di Rimini ha avuto i suoi casi, siamo ad almeno una decina confermati

:facepalm:

Ho trovato una versione beta di un anti ransonware sviluppato dalla Malwarebytes. È una versione beta, l'ho installata in qualche computer vi farò sapere

https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/

Anche PDF via mail con macro al seguito è un classico, con tipica dicitura fattura del... gioia di diversi commercialisti :sisi: (rigorosamente senza back-up offline aggiornato :crasd: )

Inviato dal mio Nexus 4 utilizzando Tapatalk

Oddio non sapevo che pure i PDF erano possibile veicolo di vairus :pippotto:

Oddio non sapevo che pure i PDF erano possibile veicolo di vairus :pippotto:

Tutti i file che possono eseguire codice più o meno nascosto tramite linguaggi di scripting vari possono veicolare virus. Mi pare anche certi tipi di immagini costruite ad arte pr lo scopo siano in grado di spargere zozzerie, ma non ricordo se solo visualizzate attraverso un browser o anche da sole.

La maggior parte delle volte son file camuffati accompagnati da file ICO per sembrare PDF, o qualsiasi altra cosa. Se uno non va a guardarsi l'estensione prima di aprirli e non si insospettisce per l'uac che spunta fuori (ammesso che non sia disattivata perche "dava fastidio"), è fatto.

Ma un periodo giravano proprio file PDF effettivi che sfruttavano falle di protezione tra reader, flash e java per tirare giù il payload.
Falle che però dovrebbero essere chiuse da un bel po' di tempo ormai.

Insomma se uno, tiene tutto sempre aggiornato e sta attento agli allegati che apre dovrebbe essere 'relativamente' tranquillo.










Inviato dal mio Nexus 4 utilizzando Tapatalk

Sorry doppio

Le varie suite di protezione anti-malware dovrebbero individuarli e bloccarli, ma se si becca una nuova variante...
Un file criptato con chiavi lunghe non è che puoi sperare di aprirlo di forza bruta...

per curiosità, ma le forze dell'ordine sono messe anche loro a 90 se gli capita sta cosa su uno dei loro computer? (lascia perdere eventuali backup)

Si spera che le infrastutture siano un "pelino" sopra il livello di una lan casalinga o di un SoHo :asd:

Si spera che le infrastutture siano un "pelino" sopra il livello di una lan casalinga o di un SoHo :asd:

Potrei usare il classico "ho visto cose...", ma sarebbe così mainstream :sisi:

L'ha preso mio padre a natale sul notebook che usa in ufficio... al quale aveva attaccato l'hdd esterno per i backup. Chiaramente tutto criptato.

Ieri mia mamma mi fa vedere, incavolata, che ha ricevuto un file via mail e dal cellulare non riusciva ad aprirlo
Controllo la mail
Mittente una sua conoscente, 20 persone come destinatari, nessun oggetto, nessun testo se non una data, e allegato un file zip chiamato tipo scp.zip.. e lei insisteva che voleva aprirlo per vedere cos'è :facepalm:
Ma meno male che tutti ormai controllano la posta da mobile e non corrono rischi, ma come si fa ad essere così idioti da voler aprire un allegato di una mail che non aspettavi, che non contiene descrizioni o altri, per puro sfizio di vedere cos'è? :facepalm:

Ma meno male che tutti ormai controllano la posta da mobile e non corrono rischiSe va bene aggiungere un per adesso.

- - - Aggiornato - - -


Ho trovato una versione beta di un anti ransonware sviluppato dalla Malwarebytes. È una versione beta, l'ho installata in qualche computer vi farò sapere

https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/Provato? Risultati?

Ieri mia mamma mi fa vedere, incavolata, che ha ricevuto un file via mail e dal cellulare non riusciva ad aprirlo
Controllo la mail
Mittente una sua conoscente, 20 persone come destinatari, nessun oggetto, nessun testo se non una data, e allegato un file zip chiamato tipo scp.zip.. e lei insisteva che voleva aprirlo per vedere cos'è :facepalm:
Ma meno male che tutti ormai controllano la posta da mobile e non corrono rischi, ma come si fa ad essere così idioti da voler aprire un allegato di una mail che non aspettavi, che non contiene descrizioni o altri, per puro sfizio di vedere cos'è? :facepalm:
Dopo aver passato una settimana da incubo ti posso assicurare che è la normalità :facepalm:

Per fortuna i miei, soprattutto mia mamma, hanno il terrore dei virus (li ho istruiti bene :asd:). Mia mamma non apre le e-mail di cui non conosce già il contenuto, e spesso aspetta il weekend per chiedermi se può aprirla o meno.

I miei zii si sono beccati la nuova versione di TeslaCrypt.

Sapete di antivirus che lo riconoscono? Avira non lo ha beccato.
Voglio provare a pulirgli il pc e tentare di recuperare qualche file con Recuva o assimilabile.
E' un tentativo debole ma meglio che pagare 1000$ e comunque è un pc nuovo, quindi non ci hanno messo molto.

Comunque non so che mettergli dopo come protezione, a parte quello che già avevano (Avira e Adblock sul browser).
Forse potrei mettergli Comodo con Auto-Sandbox di tutti i programmi sconosciuti e del browser, disabilitare il firewall (che non saprebbero gestire) e configurargli l'HIPS nel modo meno invasivo possibile per creare una cartella di backup protetta da Comodo dall'accesso di programmi sconosciuti, ma non so quanto possa funzionare.

Puoi provare quello che ho linkato su però ovviamente è solo per prevenire un prossimo attacco e non per recuperare i files criptati

Io ho messo che salvino tutta la roba importante su OneDrive e Dropbox... nel caso si va a ripristinare le versioni precedenti.

Io capisco le aziende/pc aziendali ma un privato che cosa potrà mai avere su un PC personale di così fondamentale da pagare 1000€?

Io l'unica cosa che ho di valore inestimabile per me é la tesi di dottorato che devo ancora discutere (e ovviamente ho in 5000 backup), ma tipo mia mamma sul computer di casa al max ha le foto del suo cane e un paio di dichiarazioni dei redditi vecchie (peraltro recuperabilissime dal caf del sindacato)...

Cioè se domani mi becco un ransomware la mia risposta é "sticazzi" e formatto tutto

Beh le foto dispiace sempre perderle

Certo che dispiace, ma mille euro? Anche no.

Anche perché poi mica è detto che te li ripristinino, io ho ancora dei dubbi

L'ha preso mio padre a natale sul notebook che usa in ufficio... al quale aveva attaccato l'hdd esterno per i backup. Chiaramente tutto criptato.

Mio padre l'ha ripreso ieri... nella stessa mianiera identica di come lo prese a Natale!! La prima volta era mascherata da fattura .zip di sky, stavolta da fattura .rar di telecom. Non ho parole.

Qualche genio di mio collega suggerisce, come soluzione ai clienti, di pagare e vedere se vengono sbloccati.

Per me è follia, alimentare in questo modo il "mercato" lo trovo stupido.

Dal thread pirateria domestica:


gente questa settimana cryptolocker (e varie derivazioni) ha fatto stragi.
da quel che ho letto usando TOR e sapendo dove andare si può comprare una versione personalizzata del malware. c'è un tariffario con vari step, gli step più bassi.... bhe... non prevedono che i file criptati vengano restituiti.
da quel che mi è stato detto rende tra i 40.000 e i 130.000 € al GIORNO! cazzo al giorno.
una persona che conosco e che lo ha preso è andata alla postale a fare denuncia (come se servisse a qualcosa). le hanno detto che dai privati per questo tipo di attacchi non accettano più denuncie, solo da ditte e professionisti.

backup... questo termine sconosciuto ai più.

Conoscendo il genere umano ho come l'impressione che lo step base rappresenti la maggioranza , quindi anche pagando.. :bua:

Qualche genio di mio collega suggerisce, come soluzione ai clienti, di pagare e vedere se vengono sbloccati.

Per me è follia, alimentare in questo modo il "mercato" lo trovo stupido.


perderanno anche i soldi così :asd:

In realtà l'unico cliente che ha provato a pagare (BitCoin versati su un conto trovato usando Tor) ha riavuto i dati, e i colleghi si sono ringalluzziti perché la loro soluzione ha funzionato. Per me son scemi e basta.

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/


devono aver fatto incazzare qualcuno di veramente grosso :alesisi:

:bua:

Purtroppo i primi CTB-Locker ancora non li ha decriptati nessuno!!

Appena beccato uno. Tutti i file scaricati andati aputtane (amen) i documenti e le foto invece tutto ok stranamente. X i file amen ma ora come faccio a debellarlo? I file diventano .crypt , dai log credo anche che abbia messo della merda in esecuzione automatica. Per ora ho killato il processo è staccato la lan, pare che sia fermo adesso. Intanto sto scannando tutto con avira.

Capito come lo hai beccato?

Allora, per essere onesti online armor mi ha chiesto di autorizzare due eseguibili dalla cartella temp a fare qualcosa, evidentemente sbagliando gli ho dato l'ok ma nn è che posso sapere a memoria tutte le dll che ci sono su un pc a cosa fanno riferimento. Come siano arrivati sul mio disco cmq rimane un mistero, sicuramente nn via mail.

- - - Aggiornato - - -

E di mia sponte cmq nn ho eseguito nulla, è roba che apparentemente si è avviata da sola

Allora parrebbe sia cryptxxx. Kasperksi ha un tool che potrebbe decriptare la roba, alternativamente proverei con recuva (*in realtà mi interessa solo un certo file txt, il resto posso riscaricarlo). Prima però devo essere sicuro di averlo rimosso. Avira mi ha trovato qualche schifezza fra cui un certo tr/ad.kovter.y.3 che potrebbe essere il responsabile.

In bocca al lupo per decriptare, con i due Ransomware presi da mio padre non ci sono riuscito! E anche Recuva non è detto funzioni, dipende da che Ransomware hai beccato... se è uno che cancella il file originale rimpiazzandolo con quello nuovo, puoi provare a recuparere qualcosa, altrimenti se cripta direttamente il file originale, nisba.

Alcuni clienti hanno avuto fortuna e siamo riusciti a decriptare tutto ma la maggior parte ha perso tutti i files :bua:

Fatevi sempre un backup su un disco esterno scollegandolo poi dal pc, è l'unica soluzione sicura.

Io ho usato il tesladecryptor con successo in questi giorni.

Certo la gente dopo mesi se ne fa di poco...

come detto a me ha sminchiato solo roba scaricata, quindi film, telefilm e musica (+ qualche file di giochi steam ma pochi e amen).

a parte sto file txt che era una roba che mi serviva (ma che son riuscito a recuperare dai file temporanei) quindi nessun danno se non la rottura di cazzo di dover riscaricare la roba che mi interessa- poca cmq visto che avevo un sacco di cose parcheggiate lì a far nulla. Di buona parte avevo cmq un backup.

In pratica mi ha scagato due dischi ma non c: , non so se è stato un caso e/o come agiscano per scegliere da quali file partire...