Denifito come CryptoWall 2.0, sembrerebbe una sorta di evoluzione della specie che mima il comportamento del più famoso CryptoLocker. In azienda abbiamo avuto purtroppo una macchina colpita che, prima che venisse individuata e bloccata, nel giro di 10 min ha codificato il contenuto di alcune share di rete. Il danno è stato relativo poiché grazie ai backup e alle copie shadow (una utilissima feature del vituperato ripristino configurazione) abbiamo avuto un livello di danni prossimo allo zero (solo la postazione da reinstallare).
Nel nostro caso è giunto come link da cui scaricare l'allegato infetto che ha purtroppo passato la difesa perimetrale poiché l'antivirus (come moltissimi altri altrettanto noti) in quel momento non riconosceva ancora la minaccia.
Una volta infettata la macchina, il malware (non un virus poiché sembra non replicarsi) codifica, con chiave RSA a 2048, tutto ciò che gli capita a tiro cancellando gli originali. Come conseguenza dell'attacco, all'interno di ogni cartella presa di mira, oltre ai file con estensione ecrypted (per esempio testo.doc diventa testo.doc.encrypted) viene creato il file DECRYPT_INSTRUCTIONS.html con le istruzioni per pagare il riscatto.
Aggiungo che il team che ha studiato il file lo classifica come appartenente alla tipologia di CryptoLocker anche se la mia personalissima valutazione (da profano) mi porta a credere che si tratti della variante del CryptoWall di cui si parla su Register.
Per i più curiosi, metto di seguito il codice html del file
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8"/>
<title>IMPORTANTE</title>
<style type="text/css">
* {
margin: 0;
padding: 0;
}
body {
font-size: 10pt;
font-family:Trebuchet MS;
width: 100%;
background-image: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAQAAAAECAIAAAAmkwkpAAAAI0lEQVQImT3GoQEAMAzDMK84/19qnrEI6bVVAeC2JLeptwEfx3UO4c8MKp0AAAAASUVORK5CYII=);
}
a{
color:#0097F2;
}
.wrapper {
width: 1024px;
margin: 0 auto;
}
/* Header
-----------------------------------------------------------------------------*/
.header {
}
.top {
width:826px;
margin:65px auto 15px auto;
font-family:Trebuchet MS;
text-align:center;
font-size:22pt;
font-weight:bold;
color:#000000;
}
/* Middle
-----------------------------------------------------------------------------*/
.content {
width:800px;
margin:auto;
padding:15px;
border:10px solid #ffffff;
background:#f3f3f3;
}
.desc {
width:750px;
height:116px;
margin:25px auto 25px auto;
border:1px solid #f9c011;
-webkit-border-radius: 5pt;
-moz-border-radius: 5pt;
border-radius: 5pt;
background-color:#ffffff;
background-image: url("data:image/png;base64,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");
background-position: left 15px top 15px;
background-repeat: no-repeat;
}
.desc p{
padding-left:70px;
padding-right:15px;
padding-top:15px;
}
h2 {
font-weight:normal;
font-size:20px;
padding-top:5px;
margin-bottom:10px;
}
.aq {
margin-top:1px;
background:#ffffff;
padding:15px;
}
.aq a{
font-size:13pt;
color:#0097F2;
text-decoration:none;
}
#toggleText {
padding:15px;
background:#f3f3f3;
}
#toggleText1 {
padding:15px;
background:#f3f3f3;
}
#toggleText2 {
padding:15px;
background:#f3f3f3;
}
#toggleText3 {
padding:15px;
background:#f3f3f3;
}
.butvw {
margin:14px auto 0px auto;
width:281px;
height:63px;
background-image: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAARkAAAA/CAYAAADUkryIAAAACXBIWXMAAA7DAAAOwwHHb6hkAAAKT2lDQ1BQaG90b3Nob3AgSUNDIHByb2ZpbGUAAHjanVNnVFPpFj333vRCS4iAlEtvUhUIIFJCi4AUkSYqIQkQSoghodkVUcERRUUEG8igiAOOjoCMFVEsDIoK2AfkIaKOg6OIisr74Xuja9a89+bN/rXXPues852zzwfACAyWSDNRNYAMqUIeEeCDx8TG4eQuQIEKJHAAEAizZCFz/SMBAPh+PDwrIsAHvgABeNMLCADATZvAMByH/w/qQplcAYCEAcB0kThLCIAUAEB6jkKmAEBGAYCdmCZTAKAEAGDLY2LjAFAtAGAnf+bTAICd+Jl7AQBblCEVAaCRACATZYhEAGg7AKzPVopFAFgwABRmS8Q5ANgtADBJV2ZIALC3AMDOEAuyAAgMADBRiIUpAAR7AGDIIyN4AISZABRG8lc88SuuEOcqAAB4mbI8uSQ5RYFbCC1xB1dXLh4ozkkXKxQ2YQJhmkAuwnmZGTKBNA/g88wAAKCRFRHgg/P9eM4Ors7ONo62Dl8t6r8G/yJiYuP+5c+rcEAAAOF0ftH+LC+zGoA7BoBt/qIl7gRoXgugdfeLZrIPQLUAoOnaV/Nw+H48PEWhkLnZ2eXk5NhKxEJbYcpXff5nwl/AV/1s+X48/Pf14L7iJIEyXYFHBPjgwsz0TKUcz5IJhGLc5o9H/LcL//wd0yLESWK5WCoU41EScY5EmozzMqUiiUKSKcUl0v9k4t8s+wM+3zUAsGo+AXuRLahdYwP2SycQWHTA4vcAAPK7b8HUKAgDgGiD4c93/+8//UegJQCAZkmScQAAXkQkLlTKsz/HCAAARKCBKrBBG/TBGCzABhzBBdzBC/xgNoRCJMTCQhBCCmSAHHJgKayCQiiGzbAdKmAv1EAdNMBRaIaTcA4uwlW4Dj1wD/phCJ7BKLyBCQRByAgTYSHaiAFiilgjjggXmYX4IcFIBBKLJCDJiBRRIkuRNUgxUopUIFVIHfI9cgI5h1xGupE7yAAygvyGvEcxlIGyUT3UDLVDuag3GoRGogvQZHQxmo8WoJvQcrQaPYw2oefQq2gP2o8+Q8cwwOgYBzPEbDAuxsNCsTgsCZNjy7EirAyrxhqwVqwDu4n1Y8+xdwQSgUXACTYEd0IgYR5BSFhMWE7YSKggHCQ0EdoJNwkDhFHCJyKTqEu0JroR+cQYYjIxh1hILCPWEo8TLxB7iEPENyQSiUMyJ7mQAkmxpFTSEtJG0m5SI+ksqZs0SBojk8naZGuyBzmULCAryIXkneTD5DPkG+Qh8lsKnWJAcaT4U+IoUspqShnlEOU05QZlmDJBVaOaUt2ooVQRNY9aQq2htlKvUYeoEzR1mjnNgxZJS6WtopXTGmgXaPdpr+h0uhHdlR5Ol9BX0svpR+iX6AP0dwwNhhWDx4hnKBmbGAcYZxl3GK+YTKYZ04sZx1QwNzHrmOeZD5lvVVgqtip8FZHKCpVKlSaVGyovVKmqpqreqgtV81XLVI+pXlN9rkZVM1PjqQnUlqtVqp1Q61MbU2epO6iHqmeob1Q/pH5Z/YkGWcNMw09DpFGgsV/jvMYgC2MZs3gsIWsNq4Z1gTXEJrHN2Xx2KruY/R27iz2qqaE5QzNKM1ezUvOUZj8H45hx+Jx0TgnnKKeX836K3hTvKeIpG6Y0TLkxZVxrqpaXllirSKtRq0frvTau7aedpr1Fu1n7gQ5Bx0onXCdHZ4/OBZ3nU9lT3acKpxZNPTr1ri6qa6UbobtEd79up+6Ynr5egJ5Mb6feeb3n+hx9L/1U/W36p/VHDFgGswwkBtsMzhg8xTVxbzwdL8fb8VFDXcNAQ6VhlWGX4YSRudE8o9VGjUYPjGnGXOMk423GbcajJgYmISZLTepN7ppSTbmmKaY7TDtMx83MzaLN1pk1mz0x1zLnm+eb15vft2BaeFostqi2uGVJsuRaplnutrxuhVo5WaVYVVpds0atna0l1rutu6cRp7lOk06rntZnw7Dxtsm2qbcZsOXYBtuutm22fWFnYhdnt8Wuw+6TvZN9un2N/T0HDYfZDqsdWh1+c7RyFDpWOt6azpzuP33F9JbpL2dYzxDP2DPjthPLKcRpnVOb00dnF2e5c4PziIuJS4LLLpc+Lpsbxt3IveRKdPVxXeF60vWdm7Obwu2o26/uNu5p7ofcn8w0nymeWTNz0MPIQ+BR5dE/C5+VMGvfrH5PQ0+BZ7XnIy9jL5FXrdewt6V3qvdh7xc+9j5yn+M+4zw33jLeWV/MN8C3yLfLT8Nvnl+F30N/I/9k/3r/0QCngCUBZwOJgUGBWwL7+Hp8Ib+OPzrbZfay2e1BjKC5QRVBj4KtguXBrSFoyOyQrSH355jOkc5pDoVQfujW0Adh5mGLw34MJ4WHhVeGP45wiFga0TGXNXfR3ENz30T6RJZE3ptnMU85ry1KNSo+qi5qPNo3ujS6P8YuZlnM1VidWElsSxw5LiquNm5svt/87fOH4p3iC+N7F5gvyF1weaHOwvSFpxapLhIsOpZATIhOOJTwQRAqqBaMJfITdyWOCnnCHcJnIi/RNtGI2ENcKh5O8kgqTXqS7JG8NXkkxTOlLOW5hCepkLxMDUzdmzqeFpp2IG0yPTq9MYOSkZBxQqohTZO2Z+pn5mZ2y6xlhbL+xW6Lty8elQfJa7OQrAVZLQq2QqboVFoo1yoHsmdlV2a/zYnKOZarnivN7cyzytuQN5zvn//tEsIS4ZK2pYZLVy0dWOa9rGo5sjxxedsK4xUFK4ZWBqw8uIq2Km3VT6vtV5eufr0mek1rgV7ByoLBtQFr6wtVCuWFfevc1+1dT1gvWd+1YfqGnRs+FYmKrhTbF5cVf9go3HjlG4dvyr+Z3JS0qavEuWTPZtJm6ebeLZ5bDpaql+aXDm4N2dq0Dd9WtO319kXbL5fNKNu7g7ZDuaO/PLi8ZafJzs07P1SkVPRU+lQ27tLdtWHX+G7R7ht7vPY07NXbW7z3/T7JvttVAVVN1WbVZftJ+7P3P66Jqun4lvttXa1ObXHtxwPSA/0HIw6217nU1R3SPVRSj9Yr60cOxx++/p3vdy0NNg1VjZzG4iNwRHnk6fcJ3/ceDTradox7rOEH0x92HWcdL2pCmvKaRptTmvtbYlu6T8w+0dbq3nr8R9sfD5w0PFl5SvNUyWna6YLTk2fyz4ydlZ19fi753GDborZ752PO32oPb++6EHTh0kX/i+c7vDvOXPK4dPKy2+UTV7hXmq86X23qdOo8/pPTT8e7nLuarrlca7nuer21e2b36RueN87d9L158Rb/1tWeOT3dvfN6b/fF9/XfFt1+cif9zsu72Xcn7q28T7xf9EDtQdlD3YfVP1v+3Njv3H9qwHeg89HcR/cGhYPP/pH1jw9DBY+Zj8uGDYbrnjg+OTniP3L96fynQ89kzyaeF/6i/suuFxYvfvjV69fO0ZjRoZfyl5O/bXyl/erA6xmv28bCxh6+yXgzMV70VvvtwXfcdx3vo98PT+R8IH8o/2j5sfVT0Kf7kxmTk/8EA5jz/GMzLdsAAAAgY0hSTQAAeiUAAICDAAD5/wAAgOkAAHUwAADqYAAAOpgAABdvkl/FRgAAAZ9JREFUeNrs3DFqFHEYxuHfuFOqC7aeQRBEKyEWXmHPYGorxZQBrVKpOYHeIqJgm8oTWAi2K1ZCMjaW2yg7wV2e5whv8fJ+f5gZOv3RHwfV0+pedTuAv/etOq9OpsMbn6qGTtdVz6qX8gG26Pl0ePPV0Nv1QXVWLWQCbNFF9Wis6VjBADNYVMdj03RHFsBM7o41LeUAzGQ5NkkBmM+YlgFmLZlJyQCWDGDJACgZwLkE7NmSuZQC4FwClAzAhpLxJgNYMsAOl4yHX8CSAZQMwKaSybkEWDKAkgHYWDLOJcCSASwZAEsGuPKS8e0S4FwCnEsAlgxgyQCWDIAlA1gygCUDoGSA/7lk/LQKsGSAHS4ZSwawZAAlA+BcAiwZYK9KZvDTKsC5BDiXAJQMcPUl400GsGSAHS4ZD7+AJQPsbMl4kwEsGcCSAbBkACUD7JVr1VoMwEx+jk3Tl+qhLIAZnI81HVVn1UIewBZdVEeL4cHqa/WreiwTYIteXL5evV8M91dVn6uP1a1qWV2XD/APvlcfqieXb1bvqn4DAAD//wMAj8aHxZ0jsK8AAAAASUVORK5CYII=);
background-repeat: no-repeat;
text-align:center;
padding-top:18px;
}
.butvw a{
font-size:20px;
color:#ffffff;
text-decoration:none;
}
.bottom-links {
font-size:14pt;
width:600px;
margin: 10px auto 25px auto;
}
.bltext {
text-align:center;
padding-bottom:10pt;
}
.bottom-links p{
padding-bottom:0px;
}
.bottom-links a{
font-size: 10pt;
padding-top:0px;
text-align:center;
}
.utb {
font-size: 14px;
}
</style>
</head>
<script type="text/javascript">
function toggle() {
var ele = document.getElementById("toggleText");
var text = document.getElementById("displayText");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Cosa è successo ai miei file?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Cosa è successo ai miei file?";
}
}
function toggle1() {
var ele = document.getElementById("toggleText1");
var text = document.getElementById("displayText1");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Come posso ottenere i miei file avanti?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Come posso ottenere i miei file avanti?";
}
}
function toggle2() {
var ele = document.getElementById("toggleText2");
var text = document.getElementById("displayText2");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Che cosa devo fare dopo?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Che cosa devo fare dopo?";
}
}
function toggle3() {
var ele = document.getElementById("toggleText3");
var text = document.getElementById("displayText3");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "[+] Non riesco ad accedere al tuo sito web, cosa devo fare?";
}
else {
ele.style.display = "block";
text.innerHTML = "[-] Non riesco ad accedere al tuo sito web, cosa devo fare?";
}
}
window.onload = function(){
toggle();
toggle1();
toggle2();
toggle3();
}
</script>
<body>
<div class="wrapper">
<div class="header">
<div class="top"><p style="color:#ff0000;">ATTENZIONE</p>Abbiamo criptato i file con virus CryptoLocker</div>
<div class="desc">
<p>
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati cifrati con il virus CryptoLocker. L'unico modo per ottenere il vostro file avanti è quella di acquistare il nostro software di decodifica. In caso contrario, i file verranno persi.
<br><br>
<strong>Attenzione:</strong> Rimozione di CryptoLocker non ripristinare l'accesso ai file crittografati.
</p>
</div>
</div><!-- .header-->
<div class="footer">
<div align="center">
<div style="width:360px;padding:10px;background:#CBE7F9;-moz-border-radius:4px;-webkit-border-radius:4px;border-radius:4px;border:1px solid #000099;">
<p style="font-size:20px;text-align:center;">
<a style="color:#000099;" href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">Clicca qui per acquistare software di decodifica</a>
</p>
</div>
</div>
<div class="bottom-links">
<p class="bltext">Il nostro sito web dovrebbe essere accessibile da uno di questi link:<br>
<a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr</a><br>
</p>
</div><!-- .footer -->
<div class="content">
<h2 class="faq">Domande frequenti</h2>
<div class="aq">
<a href="javascript:toggle();" id="displayText">[-] Cosa è successo ai miei file?</a><br>Capire il problema<br></div>
<div id="toggleText" style="display: block;">I vostri file importanti: foto, video, documenti, ecc sono stati cifrati con la nostra virus CryptoLocker. Questo virus utilizza molto forte algoritmo di crittografia - RSA-2048. Rottura di algoritmo di crittografia RSA-2048 è impossibile senza un software speciale decrittazione.</div>
<div class="aq">
<a href="javascript:toggle1();" id="displayText1">[-] Come posso ottenere i miei file avanti?</a><br>L'unico modo per ripristinare i file<br></div>
<div id="toggleText1" style="display: block;">I file sono ora inutilizzabili e illeggibile, è possibile verificare che cercando di aprirli. L'unico modo per ottenere il vostro file indietro, ripristinarli a una condizione normale, è quello di utilizzare il nostro software speciale decrittazione. È possibile acquistare questo software di decodifica sul <a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">nostro sito</a>.</div>
<div class="aq">
<a href="javascript:toggle2();" id="displayText2">[-] Che cosa devo fare dopo?</a><br>Acquistare software di decodifica<br></div>
<div id="toggleText2" style="display: block;">Si consiglia di <a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">visitare il nostro sito</a> e <a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">acquistare software di decodifica</a> per il tuo PC. Ogni software di decodifica contiene la chiave di decrittazione che è unico per una PC e in grado di ripristinare i file solo su quel determinato computer, inclusi i file sui dischi di rete.</div>
<div class="aq">
<a href="javascript:toggle3();" id="displayText3">[-] Non riesco ad accedere al tuo sito web, cosa devo fare?</a><br>Accesso specchi sito web utilizzando<br></div>
<div id="toggleText3" style="display: block;">Il nostro sito web dovrebbe essere accessibile da uno di questi link:<br>
<a href="http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor4u.net/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.door2tor.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.tor2web.org/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.onion.cab/buy.php?boe0sr</a><br>
<a href="http://3v6e2oe5y5ruimpe.onion/buy.php?boe0sr" target="_blank">http://3v6e2oe5y5ruimpe.onion/buy.php?boe0sr</a> (Utilizzando il browser TOR)<br>
<br>
Se per qualsiasi motivo questi indirizzi non sono disponibili, si prega di seguire le istruzioni o <a href="http://www.deepdotweb.com/how-to-access-onion-sites/" target="_blank">leggere il manuale</a><br><br>
1. Scaricare e installare TOR browser: <a href="http://www.torproject.org/projects/torbrowser.html.en" target="_blank">http://www.torproject.org/projects/torbrowser.html.en</a><br>
2. Al termine dell'installazione, eseguire il browser e attendere l'inizializzazione.<br>
3. Digitare nella barra degli indirizzi: http://3v6e2oe5y5ruimpe.onion/buy.php?boe0sr<br>
4. L'accesso al nostro sito.<br>
<br>
<strong>Inoltre potete contattarci via e-mail:</strong> <a href="mailto:decrypthelp@mail15.com">decrypthelp@mail15.com</a>
</div>
</div>
</div><!-- .content-->
</div><!-- .wrapper -->
</body>
</html>
Aggiungo anche l'hash del suddetto file html creato con un calcolatore online, potrebbe essere utile.
Per fortuna sembra autodistruggersi dopo aver eseguito il payload e di lui non rimane più traccia. Da li la difficoltà di reperire un campione utile ad aggiornare le firme virali.
Quindi era una mail? Ad aprile mi era capitato un caso simile, con cryptolocker, parato anche in quel caso con backup.
A "memoria", sai se abbia "attaccato" anche percorsi del tipo \\nomeserver\risorsacondivisa, oltre ad eventuali "mappature" di unità?
Non nel mio caso, ha invaso solo l' unità mappata nel profilo di quell'utente. Ho il sospetto che quel malware sia ridotto all'osso e privo di capacità di scansione sofisticate. Ho più la sensazione che sia progettato per sfruttare le risorse già disponibili come dischi locali e unità di rete.
Considerando la vastità della rete in cui sono, se avesse avuto la capacità di rilevare e connettersi a percorsi UNC, non si sarebbe limitato al solo disco del fileserver.
Si, in effetti sono fiero di come le politiche di utilizzo delle risorse e della loro salvaguardia abbia funzionato senza sbavature.
Il fatto che sia entrato è per metà un incidente e per la restante parte dovuto a piccole lacune della difesa perimetrale.
D'altra parte la blindatura totale di una rete non è praticabile pena pesanti disagi nelle attività lavorative.
Diciamo che preferisco un pelo di sicurezza in meno ma bilanciato da metodiche rigorose di salvaguardia dei dati che non il contrario.
Non riguarda espressamente CritpoWall ..... comunque siamo in tema ransomware: decryptcryptolocker.
Una volta ottenuta la masterkey e il link per il download del tool sarà possibile decifrare, un file alla volta, tutti i file in una cartella o tutti i file su disco.
Il tool richiede l’uso del prompt dei comandi di Windows; il recupero dei file non è garantito al 100%, in quanto il database CryptoLocker potrebbe non contenere la chiave cercata oppure perché i file sono stati criptati con una versione più recente del malware.
Secondo quanto pubblicato su bleepingcomputer, le ultime versioni del malware cercano^ di rimuovere anche le copie di shadow:
Newer variants of CryptoWall will attempt to delete all shadow copies when you first start any executable on your computer after becoming infected. Thankfully, the infection is not always able to remove the shadow copies, so you should continue to try restoring your files using this method.
hashcat ha scritto:@Al3x
Secondo quanto pubblicato su bleepingcomputer, le ultime versioni del malware cercano^ di rimuovere anche le copie di shadow:
Avevo letto la pagina di bleepingcomputer sulla analisi del CryptoWall, quella è una pratica piuttosto comune ai ransomware, una prevedibile contromisura a tutte le attività che potrebbero far recuperare i dati della vittima. Nel mio caso i dati erano in una condivisione su un servente di rete nella quale gli utenti NON hanno accesso Completo ma solo fino a Modifica (permessi NTFS in ambiente di dominio), motivo per cui il malware non ha potuto fare nulla ai danni delle copie shadow. Oltretutto sono attive le quote disco per cui un possibile malware che possa prevedere il saturamento di una risorsa condivisa con dati casuali, farebbe danni limitati ai 200MB assegnati ad ogni utente.
Finché il comportamento sarà quella di rinominare i file modificandone l'estensione, qualsiasi pratica di backup potrà agevolmente rimediare ai danni subiti. Nel caso invece cambiassero rotta lasciando inalterati i nomi e le estensioni, un eventuale backup incrementale sostituirebbe le copie lecite e sarebbero guai.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.
Sasha
Re: [Sicurezza] Minaccia CryptoWall 2.0
) . 
