Sistemi operativi, hardware e programmazione.
Virus Cryptolocker ,Cos'è, cosa combina , come evitarlo e come risolvere ...

VISUALIZZA L'ALBUM

Pag: (14)   [1]   2   3   4   5   6  ...>    (Ultimo Msg)


FinePagina

Bolle

Avatar
PetaWatt


AMMINISTRATORE
Msg:10060

Stato:



Inviato il: 06/02/2016 04:54:58

Ne avevo sentito parlare, questa estate...poi una persona del forum (LINK), poi un collega era stato colpito ...ed ora un mio parente ha praticamente quasi tutti i file del pc criptati.

Cos'è questo virus? Praticamente cancella il file originale lasciando il file criptato secondo una codifica attualmente non decifrabile.Questa cosa avviene praticamente per ogni file che incontra...documenti foto etc.

Al mio parente ha lasciato un file con estensione html dove si chiede praticamente un riscatto per avere i file originali...con tanto di utente e password da collegare ad un sito di un paese dell'est!!

Per evitare problemi o limitare i danni occorre fare frequenti backup...cioè salvataggi dei dati su altre periferiche.

Al momento il virus sembra abbia più di 20 diverse varianti....alcuni segnalano lo scherzetto con un banner ...alcuni al riavvio del pc...insomma ce ne è per tutti i gusti.

Nel seguente filmato viene mostrato come funzica il virus:





Dicono si diffonda mediante email...ma non è detto che non abbiamo trovato un bug sui sistemi operativi e quindi le possibilità di contagio sono praticamente illimitate...

E' possibile recuperare i dati? Sto verificando alcune cosette...il diavolo fa le pentole ma non i coperchi...



Modificato da Bolle - 06/02/2016, 05:19:37


---------------
Un risultato se non è ripetibile non esiste (by qqcreafis).




 

tgsimo_a

Avatar
GigaWatt


Utente
Msg:1508

Stato:



Inviato il: 06/02/2016 09:18:18

Guarda anche qui LINK



Modificato da tgsimo_a - 06/02/2016, 09:35:31


---------------
Signore dammi la pazienza... perché se mi dai la forza spacco tutto!!!




 

BellaEli

Avatar
GigaWatt


MODERATORE
Msg:3286

Stato:



Inviato il: 06/02/2016 09:47:19

La cosa più brutta del virus è che non si limita a criptare solo i file del PC infetto ma va a spasso per la rete LAN a cui il PC è connesso e non esiste difesa attiva a questo modo di operare !

Il virus sta ben attento a criptare solo i dati utente, lasciando integro il sistema operativo (quindi .doc, .pdf, .jpg, etc.) ma non è escluso che il virus salti la cartella "windows".

Ma come ho detto prima il problema è la rete LAN: ipotizziamo una rete di un'azienda con 100 PC con server, NAS e varie cartelle condivise (comprese macchine Linux, per i fans...). Il virus va su una risorsa condivisa, apre il file, cripta il contenuto quindi salva.

La macchina che ospita il file non può sapere se il file (.doc, ad esempio) lo sta aprendo lecitamente un utente per aggiungere contenuto o un virus per criptarlo...

Attualmente le uniche possibilità sembrano 3:

- pagare il riscatto (300 euro entro una settimana, 600 euro dopo una settimana);
- avere un backup dei file;
- rinunciare al recupero.

Da notare che il virus potrebbe criptare anche i backup... Quindi questi, per essere validi, devono risultare non accessibili dal virus.

Nelle reti che gestisco, generalmente tendo a dividere i dati in zone con livelli di sicurezza diversi... Ad esempio l'unità di backup è accessibile solo dal server che effettua il backup e, in caso particolari, solo dal programma che risiede sul server !

Stesso dicasi per le risorse condivise, cerco di creare delle aree di competenza degli operatori in modo da ridurre al minimo i danni in caso di attacchi di ogni tipo.

Se Bolle trova la quarta alternativa... Diventa ricco !!!

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!






 

Claudio

Avatar
PetaWatt


MODERATORE
Msg:15260

Stato:



Inviato il: 06/02/2016 12:41:55

Bella Eli ho letto di sprovveduti che hanno pagato ma non hanno risolto il problema, una volta criptati e ricevuto il pagamento che interesse hanno gli autori a ridarti possesso dei file, nessuno quindi chi ha dato a dato chi ha avuto ha avuto saluti e baci.
Un amico si è beccato la famosa pagina anti crimine, ha pagato e poi è corso da me perché il PC non si sbloccava.
Il loro scopo è avere il denaro, il resto non esiste.



Immagine Allegata: virus-polizia.JPG
 
ForumEA/H/virus-polizia.JPG



---------------
Inverter Sofar Solar HYD6000-EP, 5250W pannelli, 14kWh lifepo4.





...

 

Claudio

Avatar
PetaWatt


MODERATORE
Msg:15260

Stato:



Inviato il: 06/02/2016 12:53:32

Ho letto, ma non ci credo, che dopo la criptatura la chiave di sblocco viene trasferita in automatico all'ideatore della truffa e sul PC rimane solo un riferimento a quella chiave che se viene cancellata con anti virus o altro rende il tutto irrecuperabile anche dopo il pagamento.
Si diffonde anche per mail, avete mai ricevuto mail che vi avvisano che la vostra spedizione è pronta prego scaricare la fattura, o il vostro ordine è errato prego scaricare e correggere l'ordine, arriva anche così.



---------------
Inverter Sofar Solar HYD6000-EP, 5250W pannelli, 14kWh lifepo4.





...

 

BellaEli

Avatar
GigaWatt


MODERATORE
Msg:3286

Stato:



Inviato il: 06/02/2016 15:32:57

Qui parliamo di un virus in particolare, CryptoLocker, che agisce in un modo tutto suo.

Conosco bene il virus della polizia postale, ma quella è tutta un'altra storia, virus semplice e banale, le prime versioni erano rimovibili senza strumenti avviando da modalità provvisoria...

Questo è molto più subdolo e complesso: il virus lascia 2 file in ogni cartella contenente file criptati chiamati "COME_RIPRISTINARE_I_MIEI_FILE.TXT" e .HTML contenenti le indicazioni su come procedere.

Per ogni utente infettato viene creato un account, con tanto di Username e Password, su una piattaforma web creata su circuito TOR (quindi anonima) in cui c'è la situazione dell'utente tra cui: importo da pagare, numero di file infetti, tempo rimanente al raddoppio del riscatto, etc.
Sempre nella piattaforma è presente una sezione dove è possibile caricare un file criptato che viene decriptato e reso disponibile per il download ! Naturalmente è possibile decriptare 1 solo file per account...

Infine c'è una sezione FAQ e, nientemeno che, una sezione supporto dove è possibile rivolgere domande ai malviventi.

Da notare, infine, almeno nella versione in cui mi sono imbattuto, ovvero CryptoL0cker, che tutte le informazioni sono scritte in italiano perfetto, non ci sono tracce di errori ortografici o grammaticali (e sai come sono pignolo...) benché i costrutti utilizzati siano semplici e poco articolati.

Onestamente non so se pagando si riceva la chiave, ma il mio intuito mi dice di si è, generalmente, su queste questioni ci becco sempre...

Elix



Modificato da BellaEli - 06/02/2016, 15:39:03


---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!






 

RAUNARDE
GigaWatt


Utente
Msg:1225

Stato:



Inviato il: 06/02/2016 20:36:54

confermo che se paghi ti restituiscono il tutto.
La criptazione è a 2048bit in pratica impossibile da decifrare.
ultimamente arriva tramite account infettati che sembrano mail perfette da mittenti a noi conosciuti e con un allegato che viene riconosciuto dai sistemi windows come PDF anche se in realtà è un nome_documento.pdf.exe
i sistemi windows leggendo .pdf ti fanno apparire l'icona adobe anche se è un .exe così chi clicka su quel file inizia l'infezione e dopo un tempo variabile ti blocca tutto ciò che hai sottoforma di immgini, cartella documenti e document setting.



---------------



 

BellaEli

Avatar
GigaWatt


MODERATORE
Msg:3286

Stato:



Inviato il: 06/02/2016 21:40:09

Quindi hai certezza che ti danno la chiave ???

Confermo le email, sia con XP che con Win7 e antivirus robusto.

Naturalmente l'utente era più robusto !!!

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!






 

Roero

Avatar
PetaWatt


MODERATORE
Msg:10299

Stato:



Inviato il: 06/02/2016 23:46:41

IL mio kaspersky finora risulta inviolabile, è riuscito a bloccare tutto, certo che solo aprire una mail e rimanere infettati mi girerebbero le trottole, confido nella fortuna.



Modificato da Roero - 07/02/2016, 00:00:12


---------------
Correttezza, lealtà e sempre a testa alta.




 

BellaEli

Avatar
GigaWatt


MODERATORE
Msg:3286

Stato:



Inviato il: 07/02/2016 10:12:59

Purtroppo, Roero, ti posso confermare che il virus ha fatto danni anche su macchine con Kaspersky installato... Non ho ben capito come, su una c'era XP, versione vecchia di Kaspersky, su un'altra Windows 7 e Kaspersky ultima release è aggiornata.

Per le email non basta aprirle, bisogna aprire l'allegato per far danni...

Elix



---------------
C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!






 

Luca450Mhz

Avatar
GigaWatt


Utente
Msg:3204

Stato:



Inviato il: 07/02/2016 16:45:25

Avete mai sentito di un virus simile ma su tablet? E' quello che è successo oggi a mia suocera. Tablet Samsung Tab 2 con Android 4.2. La schermata è bloccata su una immagine che simula un sito web, con intestazione Polizia Penitenziaria. Ma chiedono la stessa cosa: il pagamento di 100 euro entro 48 in quanto i file sono stati crittografati. Ora non c'è modo di sbloccare il tablet, e ho paura a spegnerlo, che magari non si riaccende neanche.
Avete qualche idea?



---------------
Pannelli: 6975 Wp (poli e mono). Inverter UPS PSW7 6kW 48V toroidale con switch comandato dal mio si...

 

Luca450Mhz

Avatar
GigaWatt


Utente
Msg:3204

Stato:



Inviato il: 07/02/2016 17:23:07

Ho risolto per fortuna.. giusto per informazione bisogna far partire il tablet in modalità provvisoria (ahah non ce l'ha solo Windows..) e disinstallare l'applicazione malevola che più o meno si è installata da sola



---------------
Pannelli: 6975 Wp (poli e mono). Inverter UPS PSW7 6kW 48V toroidale con switch comandato dal mio si...

 

Roero

Avatar
PetaWatt


MODERATORE
Msg:10299

Stato:



Inviato il: 07/02/2016 22:02:19

Ma la polizia postale se chiamata, interverrebbe?



---------------
Correttezza, lealtà e sempre a testa alta.




 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 07/02/2016 22:03:39

e agire direttamente sul disco con software di ripristino recupero o simili.

Comunque l'antivirus reagisce solo a software conosciuto, se infettato poi l'antivirus è ingannato miseramente

comunque un tempo per sicurezza per blocacre il virus avevo fatto dei file .bat che cancellavano alcuni file del virus e le avevo messi in una voce di avvio del registro. (non poteva andare in modalità provvisoria in quanto il virus si difende)
Comunque setto l'antivirus con avvio dal registro prima possibile (prima dei virus) l'avvio è lento ma è più sicuro.

insomma se si riesce a bloccare il processo del virus si ha possibilità di provvedere ai danni se il virus è attivo non c'è storia.

MSCONFIG è un programma di vindows che permette di gestire avvio provvisorio e modificare l'avvio



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 07/02/2016 22:08:07

una modalità drastica per difendersi è usare quei sW che fanno una specie di virtualizzazione del disco e una volta riavviato ritornano ad un punto fisso

http://www.faronics.com/en-uk/products/deep-freeze/enterprise/

il sw trasforma una ferrari in una punto ma... ti protegge

faraonisc agisce su MBR (N.B. windows da xp in su ha inibito i comandi per settare l'MBR ma di solito i virus possono!!)



Modificato da qqcreafis - 07/02/2016, 22:14:41


---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 
 InizioPagina
 

Pag: (14)   [1]   2   3   4   5   6  ...>    (Ultimo Msg)

Versione Completa!

Home page     TOP100-SOLAR    Home page forum