| Bolle
| Inviato il: 06/02/2016 04:54:58
|
Ne avevo sentito parlare, questa estate...poi una persona del forum (LINK), poi un collega era stato colpito ...ed ora un mio parente ha praticamente quasi tutti i file del pc criptati.
Cos'è questo virus? Praticamente cancella il file originale lasciando il file criptato secondo una codifica attualmente non decifrabile.Questa cosa avviene praticamente per ogni file che incontra...documenti foto etc.
Al mio parente ha lasciato un file con estensione html dove si chiede praticamente un riscatto per avere i file originali...con tanto di utente e password da collegare ad un sito di un paese dell'est!!
Per evitare problemi o limitare i danni occorre fare frequenti backup...cioè salvataggi dei dati su altre periferiche.
Al momento il virus sembra abbia più di 20 diverse varianti....alcuni segnalano lo scherzetto con un banner ...alcuni al riavvio del pc...insomma ce ne è per tutti i gusti.
Nel seguente filmato viene mostrato come funzica il virus:
Dicono si diffonda mediante email...ma non è detto che non abbiamo trovato un bug sui sistemi operativi e quindi le possibilità di contagio sono praticamente illimitate...
E' possibile recuperare i dati? Sto verificando alcune cosette...il diavolo fa le pentole ma non i coperchi...
Modificato da Bolle - 06/02/2016, 05:19:37
--------------- Un risultato se non è ripetibile non esiste (by qqcreafis).
| | | | tgsimo_a
| Inviato il: 06/02/2016 09:18:18
|
Guarda anche qui LINK
Modificato da tgsimo_a - 06/02/2016, 09:35:31
--------------- Signore dammi la pazienza... perché se mi dai la forza spacco tutto!!!
| | | | BellaEli
| Inviato il: 06/02/2016 09:47:19
|
La cosa più brutta del virus è che non si limita a criptare solo i file del PC infetto ma va a spasso per la rete LAN a cui il PC è connesso e non esiste difesa attiva a questo modo di operare !
Il virus sta ben attento a criptare solo i dati utente, lasciando integro il sistema operativo (quindi .doc, .pdf, .jpg, etc.) ma non è escluso che il virus salti la cartella "windows".
Ma come ho detto prima il problema è la rete LAN: ipotizziamo una rete di un'azienda con 100 PC con server, NAS e varie cartelle condivise (comprese macchine Linux, per i fans...). Il virus va su una risorsa condivisa, apre il file, cripta il contenuto quindi salva.
La macchina che ospita il file non può sapere se il file (.doc, ad esempio) lo sta aprendo lecitamente un utente per aggiungere contenuto o un virus per criptarlo...
Attualmente le uniche possibilità sembrano 3:
- pagare il riscatto (300 euro entro una settimana, 600 euro dopo una settimana);
- avere un backup dei file;
- rinunciare al recupero.
Da notare che il virus potrebbe criptare anche i backup... Quindi questi, per essere validi, devono risultare non accessibili dal virus.
Nelle reti che gestisco, generalmente tendo a dividere i dati in zone con livelli di sicurezza diversi... Ad esempio l'unità di backup è accessibile solo dal server che effettua il backup e, in caso particolari, solo dal programma che risiede sul server !
Stesso dicasi per le risorse condivise, cerco di creare delle aree di competenza degli operatori in modo da ridurre al minimo i danni in caso di attacchi di ogni tipo.
Se Bolle trova la quarta alternativa... Diventa ricco !!!
Elix
--------------- C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!
| | | | Claudio
| Inviato il: 06/02/2016 12:41:55
|
Bella Eli ho letto di sprovveduti che hanno pagato ma non hanno risolto il problema, una volta criptati e ricevuto il pagamento che interesse hanno gli autori a ridarti possesso dei file, nessuno quindi chi ha dato a dato chi ha avuto ha avuto saluti e baci.
Un amico si è beccato la famosa pagina anti crimine, ha pagato e poi è corso da me perché il PC non si sbloccava.
Il loro scopo è avere il denaro, il resto non esiste.
Immagine Allegata: virus-polizia.JPG
--------------- Inverter Sofar Solar HYD6000-EP, 5250W pannelli, 14kWh lifepo4.
...
| | | | Claudio
| Inviato il: 06/02/2016 12:53:32
|
Ho letto, ma non ci credo, che dopo la criptatura la chiave di sblocco viene trasferita in automatico all'ideatore della truffa e sul PC rimane solo un riferimento a quella chiave che se viene cancellata con anti virus o altro rende il tutto irrecuperabile anche dopo il pagamento.
Si diffonde anche per mail, avete mai ricevuto mail che vi avvisano che la vostra spedizione è pronta prego scaricare la fattura, o il vostro ordine è errato prego scaricare e correggere l'ordine, arriva anche così.
--------------- Inverter Sofar Solar HYD6000-EP, 5250W pannelli, 14kWh lifepo4.
...
| | | | BellaEli
| Inviato il: 06/02/2016 15:32:57
|
Qui parliamo di un virus in particolare, CryptoLocker, che agisce in un modo tutto suo.
Conosco bene il virus della polizia postale, ma quella è tutta un'altra storia, virus semplice e banale, le prime versioni erano rimovibili senza strumenti avviando da modalità provvisoria...
Questo è molto più subdolo e complesso: il virus lascia 2 file in ogni cartella contenente file criptati chiamati "COME_RIPRISTINARE_I_MIEI_FILE.TXT" e .HTML contenenti le indicazioni su come procedere.
Per ogni utente infettato viene creato un account, con tanto di Username e Password, su una piattaforma web creata su circuito TOR (quindi anonima) in cui c'è la situazione dell'utente tra cui: importo da pagare, numero di file infetti, tempo rimanente al raddoppio del riscatto, etc.
Sempre nella piattaforma è presente una sezione dove è possibile caricare un file criptato che viene decriptato e reso disponibile per il download ! Naturalmente è possibile decriptare 1 solo file per account...
Infine c'è una sezione FAQ e, nientemeno che, una sezione supporto dove è possibile rivolgere domande ai malviventi.
Da notare, infine, almeno nella versione in cui mi sono imbattuto, ovvero CryptoL0cker, che tutte le informazioni sono scritte in italiano perfetto, non ci sono tracce di errori ortografici o grammaticali (e sai come sono pignolo...) benché i costrutti utilizzati siano semplici e poco articolati.
Onestamente non so se pagando si riceva la chiave, ma il mio intuito mi dice di si è, generalmente, su queste questioni ci becco sempre...
Elix
Modificato da BellaEli - 06/02/2016, 15:39:03
--------------- C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!
| | | | RAUNARDE
| Inviato il: 06/02/2016 20:36:54
|
confermo che se paghi ti restituiscono il tutto.
La criptazione è a 2048bit in pratica impossibile da decifrare.
ultimamente arriva tramite account infettati che sembrano mail perfette da mittenti a noi conosciuti e con un allegato che viene riconosciuto dai sistemi windows come PDF anche se in realtà è un nome_documento.pdf.exe
i sistemi windows leggendo .pdf ti fanno apparire l'icona adobe anche se è un .exe così chi clicka su quel file inizia l'infezione e dopo un tempo variabile ti blocca tutto ciò che hai sottoforma di immgini, cartella documenti e document setting.
---------------
| | | | BellaEli
| Inviato il: 06/02/2016 21:40:09
|
Quindi hai certezza che ti danno la chiave ???
Confermo le email, sia con XP che con Win7 e antivirus robusto.
Naturalmente l'utente era più robusto !!!
Elix
--------------- C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!
| | | | Roero
| Inviato il: 06/02/2016 23:46:41
|
IL mio kaspersky finora risulta inviolabile, è riuscito a bloccare tutto, certo che solo aprire una mail e rimanere infettati mi girerebbero le trottole, confido nella fortuna.
Modificato da Roero - 07/02/2016, 00:00:12
--------------- Correttezza, lealtà e sempre a testa alta.
| | | | BellaEli
| Inviato il: 07/02/2016 10:12:59
|
Purtroppo, Roero, ti posso confermare che il virus ha fatto danni anche su macchine con Kaspersky installato... Non ho ben capito come, su una c'era XP, versione vecchia di Kaspersky, su un'altra Windows 7 e Kaspersky ultima release è aggiornata.
Per le email non basta aprirle, bisogna aprire l'allegato per far danni...
Elix
--------------- C'è un limite al fai da te ???
Si, ma lo stabiliamo noi !!!
| | | | Luca450Mhz
| Inviato il: 07/02/2016 16:45:25
|
Avete mai sentito di un virus simile ma su tablet? E' quello che è successo oggi a mia suocera. Tablet Samsung Tab 2 con Android 4.2. La schermata è bloccata su una immagine che simula un sito web, con intestazione Polizia Penitenziaria. Ma chiedono la stessa cosa: il pagamento di 100 euro entro 48 in quanto i file sono stati crittografati. Ora non c'è modo di sbloccare il tablet, e ho paura a spegnerlo, che magari non si riaccende neanche.
Avete qualche idea?
--------------- Pannelli: 6975 Wp (poli e mono). Inverter UPS PSW7 6kW 48V toroidale con switch comandato dal mio si...
| | | | Luca450Mhz
| Inviato il: 07/02/2016 17:23:07
|
Ho risolto per fortuna.. giusto per informazione bisogna far partire il tablet in modalità provvisoria (ahah non ce l'ha solo Windows..) e disinstallare l'applicazione malevola che più o meno si è installata da sola
--------------- Pannelli: 6975 Wp (poli e mono). Inverter UPS PSW7 6kW 48V toroidale con switch comandato dal mio si...
| | | | Roero
| Inviato il: 07/02/2016 22:02:19
|
Ma la polizia postale se chiamata, interverrebbe?
--------------- Correttezza, lealtà e sempre a testa alta.
| | | | qqcreafis
| Inviato il: 07/02/2016 22:03:39
|
e agire direttamente sul disco con software di ripristino recupero o simili.
Comunque l'antivirus reagisce solo a software conosciuto, se infettato poi l'antivirus è ingannato miseramente
comunque un tempo per sicurezza per blocacre il virus avevo fatto dei file .bat che cancellavano alcuni file del virus e le avevo messi in una voce di avvio del registro. (non poteva andare in modalità provvisoria in quanto il virus si difende)
Comunque setto l'antivirus con avvio dal registro prima possibile (prima dei virus) l'avvio è lento ma è più sicuro.
insomma se si riesce a bloccare il processo del virus si ha possibilità di provvedere ai danni se il virus è attivo non c'è storia.
MSCONFIG è un programma di vindows che permette di gestire avvio provvisorio e modificare l'avvio
--------------- ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...
| | | | qqcreafis
| Inviato il: 07/02/2016 22:08:07
|
una modalità drastica per difendersi è usare quei sW che fanno una specie di virtualizzazione del disco e una volta riavviato ritornano ad un punto fisso
http://www.faronics.com/en-uk/products/deep-freeze/enterprise/
il sw trasforma una ferrari in una punto ma... ti protegge
faraonisc agisce su MBR (N.B. windows da xp in su ha inibito i comandi per settare l'MBR ma di solito i virus possono!!)
Modificato da qqcreafis - 07/02/2016, 22:14:41
--------------- ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...
| |
| | |
|
Versione Completa!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|