Commenti a "CryptoPrevent può aiutarti a bloccare l’infezione dei virus CryptoLocker"

I "Commenti" ad ogni articolo pubblicato sul nostro sito sono raccolti qui.
Regole del forum
Puoi rispondere alle discussioni già presenti, ma non aprirne di nuove.
Rispondi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Commenti a "Utenza limitata e CryptoPrevent possono limitare l’infezione dei virus CryptoLocker"

Messaggio da crazy.cat »

Utenza limitata e CryptoPrevent possono limitare l’infezione dei virus CryptoLocker

Immagine

CryptoPrevent è un interessante programma, disponibile in versione gratuita anche per ambienti commerciali, ci sono delle versioni a pagamento più ricche di funzioni, che può darvi un grosso aiuto nell’impedire le infezioni di alcuni virus, in particolare quelli della famiglia CryptoLocker. [continua..]

Inserite di seguito i vostri commenti.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Commenti a "Utenza limitata e CryptoPrevent possono limitare l’infezione dei virus CryptoLocker"

Messaggio da System » dom feb 07, 2016 9:26 am


Avatar utente
ax3
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 88
Iscritto il: mer ott 29, 2014 3:25 am

Re: Commenti a

Messaggio da ax3 »

ma Avast antivirus riesce a fermare il virus Cryptolocker? :)

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

ax3 ha scritto:ma Avast antivirus riesce a fermare il virus Cryptolocker? :)
Come ho detto nell'altro articolo:
"Quasi tutti i file infetti su cui ho avuto modo di mettere mano negli ultimi giorni sono degli zero-day, o sono scarsamente riconosciuti. Il vostro antivirus quindi, difficilmente, sarà in grado di proteggervi. "

Quindi la risposta è quasi sicuramente no se il virus è nuovo di zecca.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 2012
Iscritto il: lun gen 26, 2015 10:13 am

Re: Commenti a

Messaggio da CUB3 »

Se non ho capito male, questi ransomware creano una copia criptata dei file e poi eliminano gli originali, giusto?
Per recuperare qualche file potrebbe essere utile analizzare il disco con software tipo Photorec o Recuva o l'eliminazione viene fatta con sovrascrittura?
Come prevenzione potrebbe funzionare la disattivazione del permesso di eliminare i file da parte di tutti gli utenti del sistema? Certo non sarebbe una soluzione attuabile per tutte le cartelle o documenti ma penso alle foto, alla musica, ai video, ...

EDIT:
Ho fatto un paio di prove: se l'eliminazione viene fatta con sovrascrittura rimuovere il solo permesso di eliminazione è inutile. Se però si impostano i file in sola lettura e si disattiva il permesso di scrivere gli attributi, potrebbe funzionare?
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

CUB3 ha scritto:Se non ho capito male, questi ransomware creano una copia criptata dei file e poi eliminano gli originali, giusto?
Sì e vengono poi sovrascritti.
CUB3 ha scritto:Come prevenzione potrebbe funzionare la disattivazione del permesso di eliminare i file da parte di tutti gli utenti del sistema?
Dici quindi di dare dei permessi limitati a qualche cartella?
Vedo se riesco a fare la prova, tanto ormai ho demolito quel povero portatile a suon di virus.
Devo provare anche con account limitato per capire cosa succede.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 2012
Iscritto il: lun gen 26, 2015 10:13 am

Re: Commenti a

Messaggio da CUB3 »

crazy.cat ha scritto:Dici quindi di dare dei permessi limitati a qualche cartella?
Si, l'idea era quella.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
hamish
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 1
Iscritto il: lun feb 08, 2016 4:14 pm

Re: Commenti a

Messaggio da hamish »

Ciao a tutti

su questo argomento la scorsa settimana una voce autorevole come Ars technica ha speso ottime parole per EMET (Extended Mitigation Experience Toolkit), si scarica liberamente da Microsoft Technet per tutte le versioni di Windows dalla 7 in avanti.

Monitora costantemente una serie di processi critici (se ne possono aggiungere a piacere oltre a quelli proposti di default ovvero IE, JRE, Acrobat ecc.),
chiudendoli non appena si verifica una condizione di buffer overflow, a prescindere dal come e dal perchè si sia verificata.

Dal momento che i ransomware sfruttano questo genere di falle per andare in esecuzione, sembra essere un buon approccio per "mitigare" (come dice il nome) il rischio di infezioni presenti e future, almeno finchè gli AV non aggiungono la relativa firma nei loro DB.

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

CUB3 ha scritto:
crazy.cat ha scritto:Dici quindi di dare dei permessi limitati a qualche cartella?
Si, l'idea era quella.
Ti rimando anche a questa risposta che può interessarti, ora setto i permessi limitati alla cartella.
viewtopic.php?p=43056#p43056

Con il singolo file il sola lettura o i permessi alla cartella in sola lettura il virus non sembra in grado di attaccare gli stessi file.
Quindi potrebbe essere cosa buona e giusta bloccare la scrittura su documenti/immagini che non modificate o utilizzate più, ma che volete conservare, in modo che il virus non le cripti.

Il file è comunque riuscito a scrivere nella partizione di ripristino di un pc hp con vista, magari quando andavi a ripristinare ti ritrovavi tutti i file con la richiesta di riscatto.

Meglio perdere qualche documento recente che perdere tutto quanto.
Limitare i danni si può.

Dopo modifico l'articolo e inserisco queste informazioni.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

hamish ha scritto:Dal momento che i ransomware sfruttano questo genere di falle per andare in esecuzione
Non ho modo di provare emet, il pc di test che utilizzo ha vista.
Il file js che l'utente avvia si occupa di scaricare l'eseguibile del virus vero e proprio e lo avvia subito, o lo mette in esecuzione automatica, dove potrebbe intervenire emet per bloccarlo?
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 2012
Iscritto il: lun gen 26, 2015 10:13 am

Re: Commenti a

Messaggio da CUB3 »

crazy.cat ha scritto:Ti rimando anche a questa risposta che può interessarti, ora setto i permessi limitati alla cartella.
viewtopic.php?p=43056#p43056

Con il singolo file il sola lettura o i permessi alla cartella in sola lettura il virus non sembra in grado di attaccare gli stessi file.
Quindi potrebbe essere cosa buona e giusta bloccare la scrittura su documenti/immagini che non modificate o utilizzate più, ma che volete conservare, in modo che il virus non le cripti.

Il file è comunque riuscito a scrivere nella partizione di ripristino di un pc hp con vista, magari quando andavi a ripristinare ti ritrovavi tutti i file con la richiesta di riscatto.

Meglio perdere qualche documento recente che perdere tutto quanto.
Limitare i danni si può.

Dopo modifico l'articolo e inserisco queste informazioni.
Grazie crazy.cat, molto interessante!
Giusto per essere più chiari, stiamo parlando della rimozione del permesso di modifica e scrittura sui file non dell'assegnazione dell'attributo di "sola lettura", ho capito bene?
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

CUB3 ha scritto:Giusto per essere più chiari, stiamo parlando della rimozione del permesso di modifica e scrittura sui file non dell'assegnazione dell'attributo di "sola lettura", ho capito bene?
Ho messo in attributo sola lettura alcuni file, in una cartella diversa, e non sono stati modificati, ho lasciato i permessi di sola lettura e visualizzazione alla cartella e i file non sono stati modificati.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 2012
Iscritto il: lun gen 26, 2015 10:13 am

Re: Commenti a

Messaggio da CUB3 »

crazy.cat ha scritto:Ho messo in attributo sola lettura alcuni file, in una cartella diversa, e non sono stati modificati, ho lasciato i permessi di sola lettura e visualizzazione alla cartella e i file non sono stati modificati.
Chiarissimo, grazie!
Entrambi i metodi funzionano ma è incredibile che (almeno per ora) sia sufficiente il solo attributo di sola lettura per limitare di molto i danni!!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9058
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a

Messaggio da crazy.cat »

Ho aggiornato l'articolo, con alcune note in fondo allo stesso pezzo, e cambiato il suo titolo per avere più chiarezza su cosa contiene e cosa si può fare.
Per il momento direi che ho spremuto tutto quello che si poteva da cryptolocker.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Commenti a

Messaggio da System » mar feb 09, 2016 12:03 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio