E’ ormai molto tempo che è in circolazione una famiglia di virus detta CryptoLocker il cui scopo è “rapire” i vostri documenti, criptandoli, e obbligarvi a pagare un riscatto per poterli riavere. In questi giorni sembra esserci in corso una massiccia distribuzione di mail infette dalla variante TeslaCrypt. [continua..]
crazy.cat ha scritto:Almeno in questa ultima variante non sembra esserci un virus attivo in memoria.
Mi hanno già portato due PC che hanno contratto il Tesla 3.0 e ti posso confermare che il virus è molto ben educato: dopo aver criptato tutti i file e rimosso tutti i punti di ripristino, cancella dal sistema anche ogni traccia di se stesso.
In qualche modo riesce a criptare i documenti senza crearne "copie di lavoro" temporanee (o per lo meno, se le fa, poi le rimuove definitivamente dal disco) per cui, anche i tentativi con vari strumenti per il recupero di file cancellati, sembrano essere inutili.
A volte penso che sarebbe bello se i software commerciali avessero la stessa qualità ed efficienza...
PippoDJ ha scritto:A volte penso che sarebbe bello se i software commerciali avessero la stessa qualità ed efficienza...
A 500 $ a riscatto devi essere almeno altamente professionale, altrimenti i tuoi "clienti" poi si lamentano.
Mi ha colpito molto l'invio di mail da mittenti apparentemente validi in modo da far cadere in trappola il destinatario.
Sempre più efficienti diventano.
con l'augurio a tutti di non averne mai bisogno,
Assolutamente, spero proprio che serva a prevenire più che a curare.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Questa mattina passando per il laboratorio, erano presenti due portatili, arrivati ieri pomeriggio, colpiti dal Ransomware Tesla,
e a metà mattina una ditta a chiamato che era stata infettata, verificando i ragazzi del laboratorio anno riscontrato la presenza
di Tesla, e prima di mezzogiorno un altra ditta stesso problema, oltre agli altri casi indicati in un altro post.
Brutta bestia quest'ultima variante. Giusto mercoledì si è propagata l'infezione in metà dei pc dell'ente regionale dove lavora mia madre. Mail arrivata da indirizzo attendibile, nessuna richiesta di riscatto e continue richieste di accesso alla copia shadow. Ovviamente tutti i file sono criptati, ma non avendo avuto mai a che fare con questo tipo di minacce, con una copia shadow è possibile recuperare tutto o bisogna sperare che nel server centrale ci siano delle immagini di backup?
Uomo Senza Sonno ha scritto:Brutta bestia quest'ultima variante. Giusto mercoledì si è propagata l'infezione in metà dei pc dell'ente regionale dove lavora mia madre. Mail arrivata da indirizzo attendibile, nessuna richiesta di riscatto e continue richieste di accesso alla copia shadow. Ovviamente tutti i file sono criptati, ma non avendo avuto mai a che fare con questo tipo di minacce, con una copia shadow è possibile recuperare tutto o bisogna sperare che nel server centrale ci siano delle immagini di backup?
Le copie shadow, sempre che esistano ancora, dovrebbero permettere il recupero, strano che manchino le richieste di riscatto forse l'infezione non è riuscita del tutto.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Uomo Senza Sonno ha scritto:Potrebbe essere perché viene usato un account limitato e perché è stato spento immediatamente?
Spento subito sicuramente ha fatto bene, sull'account limitato non saprei, dipenderebbe anche se ci sono policy aziendali che impediscono l'avvio degli eseguibili da quelle cartelle. Se l'exe parte lo stesso può sicuramente dire addio ai documenti che trova nella cartella personale dell'utente.
Non funziona nemmeno il task manager con il virus attivo, ho visto che i documenti vanno a finire le cestino dopo aver creato la copia criptata.
Comunque stavo provando il virus su un pc che potevo demolire ed è piuttosto interessante, ci ragiono sopra e vedo se riesco a tirarci fuori un articolo:
"come il virus infetta il tuo pc se sbagli ad aprire l'allegato..."
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Purtroppo questi siti sono temporari, perché le ditte di antivirus sono interessati di farLe impossibile restituirei Suoi file, ma vorrebbero farLa comprare i loro prodotti.
Non siamo come loro, La vogliamo aiutare sempre.
Certo ti vogliono aiutare sempre a farti comprare il loro programma...
Purtroppo, le ditte di antivirus non sanno difendere ed anzi restituire i Suoi file, ma Le fanno del peggio quando cancellano delle istruzioni per restituire dei file crittografati.
La ditta CryptoWall non danneggia e non viene fatta per danneggiare la persona oppure i suoi dati personali.
La campagna viene fatta soltanto con l’obiettivo di educare le persone nel campo della sicurezza dell’informazione, ed anche la verificazione dei prodotti delle ditte di antivirus dal punto di vista della loro capacità di difendere i dati.
Facciamo l’Internet meglio e più sicuro insieme!
Ma che bravi che sono questi di cryptwall, lo fanno solo per noi per essere più sicuri.
Comunque è molto interessante capire come lavora il virus, appena finisco l'articolo pubblico le prove fatte.
Intanto segnatevi anche questo viewtopic.php?f=26&t=4724
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Ma se l'account non ha privilegi amministrativi il virus può comunque agire? E se si è Admin, non viene comunque richiesta elevazione dei privilegi per eseguire l'eseguibile come quando si avvia un setup?
Se l'infezione avviene solo tramite esecuzione di allegati email allora è abbastanza facile evitarla. Se invece avviene anche tramite navigazione web allora è più ostica e consiglio sempre di navigare con SandBoxie o ancora meglio su macchina virtuale adibita a tale scopo.
Copie di backup dei propri dati su più dischi esterni non perennemente connessi al PC sono sempre più che raccomandate.
Silver Black
https://www.silvercybertech.com
https://www.tforumhifi.com
Silver Black ha scritto:Ma se l'account non ha privilegi amministrativi il virus può comunque agire?
Ho appena finito di fare le prove con account limitato e uac attivo.
Il virus non richiede nulla quando lo avvii, ne da utenza admin ne standard, l'unico intervento che si nota è con utenza standard e uac attiva quando il virus tenta di andare a cancellare le copie shadow che ti chiede il permesso, sempre con la stessa utenza crea i file del riscatto però solo nella cartella dell'utente e non li sparge ovunque. Anche dei documenti che avevo messo in radice del disco fisso non sono stati criptati.
Con utente standard e uac attivo limiteresti i danni, il virus però riuscirebbe lo stesso ad agire.
Se l'infezione avviene solo tramite esecuzione di allegati email allora è abbastanza facile evitarla.
Basterebbe azionare il cervello e non aprire porcherie, non come un utente che ha aperto tutti gli allegati solo perché non conosceva chi gli scriveva.
Indovinate cosa è successo al suo pc?
Copie di backup dei propri dati su più dischi esterni non perennemente connessi al PC sono sempre più che raccomandate.
Direi che sono obbligatorie.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
sephire93 ha scritto:Ciao Crazy.cat
Hai provato per caso se usare comodo firewall, può aiutare a proteggerti o è in grado di bloccare alcune operazioni di questo virus?
crazy.cat ha scritto:Il virus non richiede nulla quando lo avvii, ne da utenza admin ne standard, l'unico intervento che si nota è con utenza standard e uac attiva quando il virus tenta di andare a cancellare le copie shadow che ti chiede il permesso, sempre con la stessa utenza crea i file del riscatto però solo nella cartella dell'utente e non li sparge ovunque. Anche dei documenti che avevo messo in radice del disco fisso non sono stati criptati.
Con utente standard e uac attivo limiteresti i danni, il virus però riuscirebbe lo stesso ad agire.
Beh ripensandoci è ovvio che funzioni comunque: perché si limiterà ad agire sui dati dell'utente, quindi il virus come l'utente avrà la possibilità di scrivere/creare, modificare e cancellare i propri file. Sicuramente la cancellazione delle copie shadow è invece inibita e potrebbe essere un'arma non da poco contro il virus nel malaugurato caso uno non disponga di backup aggiornati. Un altro buon motivo per usare sempre un utente non amministrativo per il lavoro di tutti i giorni!
Silver Black
https://www.silvercybertech.com
https://www.tforumhifi.com
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.