Se sei già registrato           oppure    

Orario: 21/03/2019 12:46:47  

 

Energia Alternativa ed Energia Fai Da Te > Sistemi operativi, hardware e programmazione.

VISUALIZZA L'ALBUM

Pagine: (14)   [1]   2   3   4   5   6   7   8   9   10   11   12   13   14    (Ultimo Msg)


Virus Cryptolocker, Cos'è, cosa combina , come evitarlo e come risolvere ...
FinePagina

Bolle

Avatar
GigaWatt


Gruppo:AMMINISTRATORE
Messaggi:5481

Stato:



Inviato il: 06/02/2016 04:54:58

Ne avevo sentito parlare, questa estate...poi una persona del forum (LINK), poi un collega era stato colpito ...ed ora un mio parente ha praticamente quasi tutti i file del pc criptati.

Cos'è questo virus? Praticamente cancella il file originale lasciando il file criptato secondo una codifica attualmente non decifrabile.Questa cosa avviene praticamente per ogni file che incontra...documenti foto etc.

Al mio parente ha lasciato un file con estensione html dove si chiede praticamente un riscatto per avere i file originali...con tanto di utente e password da collegare ad un sito di un paese dell'est!!

Per evitare problemi o limitare i danni occorre fare frequenti backup...cioè salvataggi dei dati su altre periferiche.

Al momento il virus sembra abbia più di 20 diverse varianti....alcuni segnalano lo scherzetto con un banner ...alcuni al riavvio del pc...insomma ce ne è per tutti i gusti.

Nel seguente filmato viene mostrato come funzica il virus:





Dicono si diffonda mediante email...ma non è detto che non abbiamo trovato un bug sui sistemi operativi e quindi le possibilità di contagio sono praticamente illimitate...

E' possibile recuperare i dati? Sto verificando alcune cosette...il diavolo fa le pentole ma non i coperchi...



Modificato da Bolle - 06/02/2016, 05:19:37


---------------
Un risultato se non è ripetibile non esiste (by qqcreafis).

 

tgsimo_a

Avatar
GigaWatt


Gruppo:Utente
Messaggi:1508

Stato:



Inviato il: 06/02/2016 09:18:18

Guarda anche qui LINK



Modificato da tgsimo_a - 06/02/2016, 09:35:31


---------------
Signore dammi la pazienza... perché se mi dai la forza spacco tutto!!!

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3034

Stato:



Inviato il: 06/02/2016 09:47:19

La cosa più brutta del virus è che non si limita a criptare solo i file del PC infetto ma va a spasso per la rete LAN a cui il PC è connesso e non esiste difesa attiva a questo modo di operare !

Il virus sta ben attento a criptare solo i dati utente, lasciando integro il sistema operativo (quindi .doc, .pdf, .jpg, etc.) ma non è escluso che il virus salti la cartella "windows".

Ma come ho detto prima il problema è la rete LAN: ipotizziamo una rete di un'azienda con 100 PC con server, NAS e varie cartelle condivise (comprese macchine Linux, per i fans...). Il virus va su una risorsa condivisa, apre il file, cripta il contenuto quindi salva.

La macchina che ospita il file non può sapere se il file (.doc, ad esempio) lo sta aprendo lecitamente un utente per aggiungere contenuto o un virus per criptarlo...

Attualmente le uniche possibilità sembrano 3:

- pagare il riscatto (300 euro entro una settimana, 600 euro dopo una settimana);
- avere un backup dei file;
- rinunciare al recupero.

Da notare che il virus potrebbe criptare anche i backup... Quindi questi, per essere validi, devono risultare non accessibili dal virus.

Nelle reti che gestisco, generalmente tendo a dividere i dati in zone con livelli di sicurezza diversi... Ad esempio l'unità di backup è accessibile solo dal server che effettua il backup e, in caso particolari, solo dal programma che risiede sul server !

Stesso dicasi per le risorse condivise, cerco di creare delle aree di competenza degli operatori in modo da ridurre al minimo i danni in caso di attacchi di ogni tipo.

Se Bolle trova la quarta alternativa... Diventa ricco !!!

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

Claudio

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:6183

Stato:



Inviato il: 06/02/2016 12:41:55

Bella Eli ho letto di sprovveduti che hanno pagato ma non hanno risolto il problema, una volta criptati e ricevuto il pagamento che interesse hanno gli autori a ridarti possesso dei file, nessuno quindi chi ha dato a dato chi ha avuto ha avuto saluti e baci.
Un amico si è beccato la famosa pagina anti crimine, ha pagato e poi è corso da me perché il PC non si sbloccava.
Il loro scopo è avere il denaro, il resto non esiste.



Immagine Allegata: virus-polizia.JPG
 
ForumEA/H/virus-polizia.JPG



---------------
Inverter PIP4048MS, 15 pannelli 250W, 500A FIAMM 12FIT100

 

Claudio

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:6183

Stato:



Inviato il: 06/02/2016 12:53:32

Ho letto, ma non ci credo, che dopo la criptatura la chiave di sblocco viene trasferita in automatico all'ideatore della truffa e sul PC rimane solo un riferimento a quella chiave che se viene cancellata con anti virus o altro rende il tutto irrecuperabile anche dopo il pagamento.
Si diffonde anche per mail, avete mai ricevuto mail che vi avvisano che la vostra spedizione è pronta prego scaricare la fattura, o il vostro ordine è errato prego scaricare e correggere l'ordine, arriva anche così.



---------------
Inverter PIP4048MS, 15 pannelli 250W, 500A FIAMM 12FIT100

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3034

Stato:



Inviato il: 06/02/2016 15:32:57

Qui parliamo di un virus in particolare, CryptoLocker, che agisce in un modo tutto suo.

Conosco bene il virus della polizia postale, ma quella è tutta un'altra storia, virus semplice e banale, le prime versioni erano rimovibili senza strumenti avviando da modalità provvisoria...

Questo è molto più subdolo e complesso: il virus lascia 2 file in ogni cartella contenente file criptati chiamati "COME_RIPRISTINARE_I_MIEI_FILE.TXT" e .HTML contenenti le indicazioni su come procedere.

Per ogni utente infettato viene creato un account, con tanto di Username e Password, su una piattaforma web creata su circuito TOR (quindi anonima) in cui c'è la situazione dell'utente tra cui: importo da pagare, numero di file infetti, tempo rimanente al raddoppio del riscatto, etc.
Sempre nella piattaforma è presente una sezione dove è possibile caricare un file criptato che viene decriptato e reso disponibile per il download ! Naturalmente è possibile decriptare 1 solo file per account...

Infine c'è una sezione FAQ e, nientemeno che, una sezione supporto dove è possibile rivolgere domande ai malviventi.

Da notare, infine, almeno nella versione in cui mi sono imbattuto, ovvero CryptoL0cker, che tutte le informazioni sono scritte in italiano perfetto, non ci sono tracce di errori ortografici o grammaticali (e sai come sono pignolo...) benché i costrutti utilizzati siano semplici e poco articolati.

Onestamente non so se pagando si riceva la chiave, ma il mio intuito mi dice di si è, generalmente, su queste questioni ci becco sempre...

Elix



Modificato da BellaEli - 06/02/2016, 15:39:03


---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

RAUNARDE
GigaWatt


Gruppo:Utente
Messaggi:1089

Stato:



Inviato il: 06/02/2016 20:36:54

confermo che se paghi ti restituiscono il tutto.
La criptazione è a 2048bit in pratica impossibile da decifrare.
ultimamente arriva tramite account infettati che sembrano mail perfette da mittenti a noi conosciuti e con un allegato che viene riconosciuto dai sistemi windows come PDF anche se in realtà è un nome_documento.pdf.exe
i sistemi windows leggendo .pdf ti fanno apparire l'icona adobe anche se è un .exe così chi clicka su quel file inizia l'infezione e dopo un tempo variabile ti blocca tutto ciò che hai sottoforma di immgini, cartella documenti e document setting.

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3034

Stato:



Inviato il: 06/02/2016 21:40:09

Quindi hai certezza che ti danno la chiave ???

Confermo le email, sia con XP che con Win7 e antivirus robusto.

Naturalmente l'utente era più robusto !!!

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

Roero

Avatar
PetaWatt


Gruppo:MODERATORE
Messaggi:10293

Stato:



Inviato il: 06/02/2016 23:46:41

IL mio kaspersky finora risulta inviolabile, è riuscito a bloccare tutto, certo che solo aprire una mail e rimanere infettati mi girerebbero le trottole, confido nella fortuna.



Modificato da Roero - 07/02/2016, 00:00:12


---------------
Correttezza, lealtà e sempre a testa alta.

 

BellaEli

Avatar
GigaWatt


Gruppo:MODERATORE
Messaggi:3034

Stato:



Inviato il: 07/02/2016 10:12:59

Purtroppo, Roero, ti posso confermare che il virus ha fatto danni anche su macchine con Kaspersky installato... Non ho ben capito come, su una c'era XP, versione vecchia di Kaspersky, su un'altra Windows 7 e Kaspersky ultima release è aggiornata.

Per le email non basta aprirle, bisogna aprire l'allegato per far danni...

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!

 

Luca450Mhz

Avatar
GigaWatt


Gruppo:Utente
Messaggi:2962

Stato:



Inviato il: 07/02/2016 16:45:25

Avete mai sentito di un virus simile ma su tablet? E' quello che è successo oggi a mia suocera. Tablet Samsung Tab 2 con Android 4.2. La schermata è bloccata su una immagine che simula un sito web, con intestazione Polizia Penitenziaria. Ma chiedono la stessa cosa: il pagamento di 100 euro entro 48 in quanto i file sono stati crittografati. Ora non c'è modo di sbloccare il tablet, e ho paura a spegnerlo, che magari non si riaccende neanche.
Avete qualche idea?



---------------
Pannelli: 3195 Wp policristallini. Inverter UPS PSW7 6kW 48V toroidale con switch comandato dal mio sistema di domotica (ESP8266). Regolatore di carica: EpSolar 40A (in sostituzione dello sfortunato PCM8048).
Batterie: 24 elementi trazione pesante 315Ah C5 48V
Impianto illuminazione giardino: 300Wp amorfi, regolatore MPPT EpSolar 20A, inverter onda pura 300W, 100Ah batterie auto

 

Luca450Mhz

Avatar
GigaWatt


Gruppo:Utente
Messaggi:2962

Stato:



Inviato il: 07/02/2016 17:23:07

Ho risolto per fortuna.. giusto per informazione bisogna far partire il tablet in modalità provvisoria (ahah non ce l'ha solo Windows..) e disinstallare l'applicazione malevola che più o meno si è installata da sola



---------------
Pannelli: 3195 Wp policristallini. Inverter UPS PSW7 6kW 48V toroidale con switch comandato dal mio sistema di domotica (ESP8266). Regolatore di carica: EpSolar 40A (in sostituzione dello sfortunato PCM8048).
Batterie: 24 elementi trazione pesante 315Ah C5 48V
Impianto illuminazione giardino: 300Wp amorfi, regolatore MPPT EpSolar 20A, inverter onda pura 300W, 100Ah batterie auto

 

Roero

Avatar
PetaWatt


Gruppo:MODERATORE
Messaggi:10293

Stato:



Inviato il: 07/02/2016 22:02:19

Ma la polizia postale se chiamata, interverrebbe?



---------------
Correttezza, lealtà e sempre a testa alta.

 

qqcreafis

Avatar
GigaWatt


Gruppo:Utente
Messaggi:8987

Stato:



Inviato il: 07/02/2016 22:03:39

e agire direttamente sul disco con software di ripristino recupero o simili.

Comunque l'antivirus reagisce solo a software conosciuto, se infettato poi l'antivirus è ingannato miseramente

comunque un tempo per sicurezza per blocacre il virus avevo fatto dei file .bat che cancellavano alcuni file del virus e le avevo messi in una voce di avvio del registro. (non poteva andare in modalità provvisoria in quanto il virus si difende)
Comunque setto l'antivirus con avvio dal registro prima possibile (prima dei virus) l'avvio è lento ma è più sicuro.

insomma se si riesce a bloccare il processo del virus si ha possibilità di provvedere ai danni se il virus è attivo non c'è storia.

MSCONFIG è un programma di vindows che permette di gestire avvio provvisorio e modificare l'avvio



---------------
Al peggio non esiste limite

 

qqcreafis

Avatar
GigaWatt


Gruppo:Utente
Messaggi:8987

Stato:



Inviato il: 07/02/2016 22:08:07

una modalità drastica per difendersi è usare quei sW che fanno una specie di virtualizzazione del disco e una volta riavviato ritornano ad un punto fisso

http://www.faronics.com/en-uk/products/deep-freeze/enterprise/

il sw trasforma una ferrari in una punto ma... ti protegge

faraonisc agisce su MBR (N.B. windows da xp in su ha inibito i comandi per settare l'MBR ma di solito i virus possono!!)



Modificato da qqcreafis - 07/02/2016, 22:14:41


---------------
Al peggio non esiste limite

 
 InizioPagina
 

Pagine: (14)   [1]   2   3   4   5   6   7   8   9   10   11   12   13   14    (Ultimo Msg)

Versione Mobile!

Home page       TOP100-SOLAR      Home page forum