Il programma che simula attacchi ransomware

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Il programma che simula attacchi ransomware

Messaggio da crazy.cat »

Ho trovato questo programma, che non conoscevo, che simula comportamenti ransomware nel vostro computer.
https://www.knowbe4.com/typ-ransim-form ... 138d63198b
Il vostro software di protezione dovrebbe intervenire e bloccarli.
Più sotto vedete i risultati del test con avast e windows defender con la sola protezione base, appena su wd si attiva l'anti manomissione e l'anti ransom, il test non si avvia nemmeno perhé ne blocca l'attività.
Anche kaspersky antivirus in versione trial blocca tutto.
Alcuni antivirus potrebbero impedire il download del file d'installazione o impedirne l'avvio, non è un virus
https://www.virustotal.com/gui/file/121 ... /detection
Se decidete di provarlo mettetelo nella lista esclusioni.

Importante: La password dell'archivio che scaricate è knowbe4.

Immagine

Non mi è del tutto chiaro se sia un giochetto o qualcosa di utile, dopo proverò con qualche altro antivirus e se lo provate datemi qualche riscontro.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Il programma che simula attacchi ransomware

Messaggio da System » sab ago 10, 2019 5:56 am


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Il programma che simula attacchi ransomware

Messaggio da crazy.cat »

Sono sempre più incerto...

Questo è bitdefender free
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Il programma che simula attacchi ransomware

Messaggio da Matilda12 »

Ciao crazy.cat! :)
Ho fatto alcune prove ed ecco gli esiti, non immagino però quanto utili o interessanti. Valuterai tu.

Elaboratore n. 1, equipaggiato (essenzialmente) con:
  • AVG AntiVirus Free v. 19.6.3098;
  • Comodo firewall v. 12.0.0.6882;
  • Kaspersky Anti-Ransomware Tool for Business v. 4.0.0.861.0.100.0.
Con le protezioni attive, immediatamente i vari moduli di Comodo impediscono l'esecuzione del programma (non ho realizzato alcuna screenshot in proposito).
Dopo gli allarmi di Comodo arriva anche l'avviso di Kaspersky Anti-Ransomware Tool for Business.
Immagine
Quindi ho aggiunto il programma nella lista delle eccezioni di Comodo, disattivato la protezione di AVG e chiuso la protezione di Kaspersky; ciò nonostante il programma non riesce ad essere eseguito.
Immagine


Elaboratore n. 2, equipaggiato (essenzialmente) con:
  • Kaspersky Free v. 19.0.0.1088(g);
  • Comodo firewall v. 12.0.0.6882;
  • AppCheck Anti-Ransomware v. 2.5.33.5.
Con le protezioni attive è un rincorrersi di messaggi di allarme di Kaspersky e Comodo (ho prodotto solo le screenshot di Kaspersky).
(a)
Immagine
(b)
Immagine
Aggiunto il programma nella lista delle esclusioni di Kaspersky e di Comodo, ma lasciato AppCheck Anti-Ransomware attivo, è possibile installare ed eseguire il programma.
(c)
Immagine
Dopo parecchi minuti, il risultato che ottengo è il seguente.
(d)
Immagine

Una brevissima considerazione sul risultato "pulito" ottenuto e sul fatto che AppCheck non sia andato in allarme e che, forse, trova un'unica spiegazione.
Se non ho compreso male, il programma di simulazione del ransomware KnowBe4 RanSim Tool non ha dato esiti, cioè non ha trovato nulla su cui simulare l'attacco. Infatti, ogni mio file importante, dai documenti alle immagini, passando per video e musica, non è nelle cartelle canoniche di Windows, né in altre cartelle del disco C:\.
Questo potrebbe giustificare il fatto che AppCheck, non essendo intervenuto alcun movimento sospetto, non sia scattato.
AppCheck entra in azione nel caso in cui qualcosa inizia ad operare su grandi quantità di dati. Posso confermare questa affermazione in quanto, tempo addietro, copiando e incollando da una cartella all'altra numerosi documenti, pure in sostituzione di quelli già presenti, appena il processo è partito (gestito da un apposito software per copiare), AppCheck ha bloccato tutto sul nascere, chiedendo che cosa avesse dovuto fare in tale circostanza.


Eventualmente posso fare qualche ulteriore tentativo con il primo portatile; non soltanto disattivando l'antivirus, ma inserendo il programma nella lista delle esclusioni. Infatti, già in passato, era capitato che la semplice disattivazione dell'antivirus (così come la chiusura di Comodo e dei suoi moduli) non fosse sufficiente: dovevo cioè proprio espressamente dire al mio sistema di sicurezza di non considerare quanto accadesse in quella cartella o intorno a quel determinato programma.
:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Il programma che simula attacchi ransomware

Messaggio da Matilda12 »

Ho eseguito un'altra prova e semmai fossi stato confuso prima, adesso non ci capisco nulla in pieno.

Il test è stato fatto con l'laboratore n. 1, equipaggiato (essenzialmente) con (ripeto):
  • AVG AntiVirus Free v. 19.6.3098;
  • Comodo firewall v. 12.0.0.6882;
  • Kaspersky Anti-Ransomware Tool for Business v. 4.0.0.861.0.100.0.
Per AVG ho aggiunto la cartella dove si trova KnowBe4 RanSim Tool tra le esclusioni. Non è stato tuttavia sufficiente, in quanto una volta installato ed eseguito il programma, almeno in una circostanza AVG è andato in allarme e ho dovuto aggiungere un'eccezione al volo.
Per Comodo, dopo i primi allarmi, ho aggiunto KnowBe4 RanSim Tool tra le eccezioni di tutti i moduli.
Kaspersky Anti-Ransomware Tool for Business chiuso in partenza.

Ecco gli esiti.

(1)
Immagine

(2)
Immagine

:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Il programma che simula attacchi ransomware

Messaggio da Matilda12 »

Stavo pensando e chiedo un'opinione: se per installare e lanciare un programma che simula un attacco ransomware, bisogna escludere (come nel mio caso) l'antivirus, il firewall con i suoi moduli aggiuntivi di protezione, eventuali ulteriori "scudi" ad hoc predisposti ... beh, allora vuol dire che, almeno sulla carta, ci sono le misure minime per stare tranquilli, no? :thinking
... ovviamente, senza prescindere da un uso accorto dell'elaboratore ... :yes
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Il programma che simula attacchi ransomware

Messaggio da crazy.cat »

Matilda12 ha scritto: sab ago 10, 2019 4:52 pm Ho fatto alcune prove ed ecco gli esiti, non immagino però quanto utili o interessanti. Valuterai tu.
Molto utili e ti ringrazio tanto, mi sono quasi convinto ad affondare l'idea di una recensione.
Matilda12 ha scritto: sab ago 10, 2019 4:52 pmDopo parecchi minuti, il risultato che ottengo è il seguente.
Lo stesso risultato è uscito a me con la versione di prova di kaspersky antivirus
Matilda12 ha scritto: sab ago 10, 2019 4:52 pmQuesto potrebbe giustificare il fatto che AppCheck, non essendo intervenuto alcun movimento sospetto, non sia scattato.
Il simulatore agisce sui file all'interno di una propria cartella in appdata.
Se io aggiungo quella cartella in quelle controllate da windows defender il test fallisce perché viene bloccato subito.
Matilda12 ha scritto: sab ago 10, 2019 4:52 pmbisogna escludere (come nel mio caso) l'antivirus,
Non sarebbe da escludere, deve intervenire per bloccare le attività del simulatore.

Grazie per le prove fatte, il simulatore è un bel giochino ma forse nulla più, devo leggere meglio le pagine delle istruzioni e poi deciderò cosa farne.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Il programma che simula attacchi ransomware

Messaggio da Matilda12 »

crazy.cat ha scritto: sab ago 10, 2019 6:00 pm
Matilda12 ha scritto: sab ago 10, 2019 4:52 pm Ho fatto alcune prove ed ecco gli esiti, non immagino però quanto utili o interessanti. Valuterai tu.
Molto utili e ti ringrazio tanto, mi sono quasi convinto ad affondare l'idea di una recensione.
Felicissimo di aver dato un minimo contributo! :brindisi
Quando posso, per quel che posso, mi fa sempre davvero molto piacere dare spazio alla curiosità. :approvo
crazy.cat ha scritto: sab ago 10, 2019 6:00 pm
Matilda12 ha scritto: sab ago 10, 2019 4:52 pmbisogna escludere (come nel mio caso) l'antivirus,
Non sarebbe da escludere, deve intervenire per bloccare le attività del simulatore.
Con la protezione residente di AVG "soltanto" disattivata ("Protezione ATTIVA - OFF"), senza cioè aver inserito il programma KnowBe4 RanSim Tool tra le esclusioni (sebbene inserito tra le eccezioni di Comodo), ottengo un generico errore "Impossibile accedere al dispositivo, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie.".
Immagine

Se, invece, il programma KnowBe4 RanSim Tool è tra le esclusioni, sia di AVG sia di Comodo, dopo l'installazione e durante la fase di simulazione, sia AVG (un messaggio - uno solo - di allarme che blocca il processo, salvo creare una specifica eccezione) sia Comodo (con numerosi e ripetuti messaggi) continuano a mettere in guardia l'utente.

Sono contorto, lo so :imbarazzo: ... spero comunque di essermi spiegato. ;)
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Sabato Maiello
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 523
Iscritto il: sab apr 08, 2017 12:01 pm

Re: Il programma che simula attacchi ransomware

Messaggio da Sabato Maiello »

Per come la vedo io ,da solo,Comodo configurato a dovere è sufficiente (stiamo parlando di ransomware)
Trovo paradossale l'anti di Kav (e anche AVG,l'antivirus di Comodo insieme all' euristica configurati a dovere,credo diano ottimi risultati)

In sintesi la suite CIS (che oltretutto ha anche una sandboxie) non fa a pugni con le componentistiche miste,è leggera e segue una logica che veramente non ne ho mai viste.

Il neo è che a Windows 10 non gli è tanto simpatico (ingrato!).
Una volta non si avvia in tray,un altra volta non viene visualizzato nel centro sicurezza (da li partono poi notifiche ,dove uno si deve mettere a vedere se o non se ) ecc ecc
Non voglio fare la scienza ma lato Firewall e AV sappiamo tutti che tutto è possibile,lato ransomware l'HIPS di Comodo è invalicabile; a meno che tra qualche tempo non ci saranno i ransomware con firma digitale.
Fino ad allora,al momento non c'è ransomware capace di insinuarsi in un sistema dove c'è Comodo. (se si sa bene rispondere agli avvisi,si intende)

PS. Scusate per la sviolinata (non voleva essere) io adoro quel programma,purtroppo mi hanno fatto passare la voglia.
Al momento >

https://i.postimg.cc/GhyBgKdQ/2019-09-15-18h18-41.png
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Il programma che simula attacchi ransomware

Messaggio da System » dom set 15, 2019 6:22 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio