Precedente :: Successivo |
Autore |
Messaggio |
{utente anonimo} Ospite
|
Inviato: 06 Mar 2016 12:34 Oggetto: |
|
|
E' capitato anche a me. Per fortuna me ne sono accorto quasi subito della cavolata che stavo facendo e ho letteralmente staccato la spina al computer mentre stava scaricando. Poi l'ho riacceso e ho cercato i file che infettano tutto, sono due con lo stesso nome: how_recover+poo, ma con estensione diversa: una è html e l'altra non me la ricordo; comunque si riconoscono facilmente dall'icona. Ho riacceso il computer, l'ho disconnesso da internet e - con santa pazienza - ho distrutto i file incriminati utilizzando il programma File Shredder. NON HO PAGATO UN CENTESIMO DI RISCATTO, il prezzo l'ho pagato in tempo (quello quasi-libero!). Vanno cercati in ogni cartella! Si infilano ovunque, aprite qualsiasi cartella e sottocartella fino alla fine, li troverete e li eliminerete. L'ho fatta in più giorni, ma ora ho il computer pulito. La mia è stata un'imprudenza, sapevo che c'era qualxosa di losco anche se l'@ ricevuta riportata il nome di una persona conosciuta, ma non era esattamente il suo indirizzo! Occhio ragazzi! |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 06 Mar 2016 17:24 Oggetto: |
|
|
Citazione: | sono due con lo stesso nome: how_recover+poo, ma con estensione diversa: una è html e l'altra non me la ricordo |
l'altra ha estensione txt.
Ma non sono questi files che criptano il contenuto del disco.
In quei files trovi solo le istruzioni per pagare il riscatto una volta che i dati sono stati criptati.
Se sei riuscito a evitare la criptazione dei dati, ti conviene scaricare (da un altro pc) le live di un paio di antivirus ed eseguire una scansione approfondita di tutto il contenuto del tuo pc avviando da cd.
Puoi scegliere tra questi:
BitDefender Rescue CD
Kaspersky Rescue Disk
Eset SysRescue Live
Dr.Web LiveDisk
Avira Rescue System |
|
Top |
|
|
Danielix Amministratore
Registrato: 31/10/07 15:30 Messaggi: 8498 Residenza: All'inferno.
|
Inviato: 08 Mar 2016 03:02 Oggetto: |
|
|
Continuo seriamente a non comprendere a fondo come a qualcuno possa succedere... |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12235
|
Inviato: 08 Mar 2016 17:05 Oggetto: |
|
|
Già... Un po' fessacchiotti lo sono ad aprire allegati anche apparentemente non sospetti, almeno scansionateli con l'antivirus... il fatto comunque è che una variante del virus si può prendere anche su pagine web, sfrutta eventuali falle di Flash o Java. Dunque da browser per sicurezza io li lascio disabilitati (o meglio il browser mi chiede se può abilitarli ogni volta) |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 08 Mar 2016 18:48 Oggetto: |
|
|
Esempio banale, mail ricevuta proprio poco fa:
l'utente ansioso e/o distratto, clicca sul link e... boom!!!
tra l'altro il link punta a una pagina degli uffici amministrativi di Belluno:
http://attiamministrativi.provincia.belluno.it/data/documenti_benefici/...
che è stata evidentemente preparata ad hoc. (ho rimosso il link finale per ovvie ragioni) anche se non risulta più attiva. |
|
Top |
|
|
Danielix Amministratore
Registrato: 31/10/07 15:30 Messaggi: 8498 Residenza: All'inferno.
|
Inviato: 09 Mar 2016 01:05 Oggetto: |
|
|
Maary79 ha scritto: | Già... Un po' fessacchiotti lo sono ad aprire allegati anche apparentemente non sospetti, almeno scansionateli con l'antivirus... il fatto comunque è che una variante del virus si può prendere anche su pagine web, sfrutta eventuali falle di Flash o Java. Dunque da browser per sicurezza io li lascio disabilitati (o meglio il browser mi chiede se può abilitarli ogni volta) |
La mia perplessità era un po' più complessa... Da una parte mi chiedo come sia possibile che qualcuno apra gli allegati direttamente “dall'interno” delle email, e questo non per questioni di sicurezza, bensì per uso improprio del computer: io un allegato lo scarico, anche se me lo manda mia moglie: lo salvo dove si conviene, poi lo apro con l'applicazione più idonea, e nel frattempo mi accorgerei di un eventuale anomalia del file, ma non è questo: io il file lo dovrò pur salvare da qualche parte, se me lo invia mia moglie o mia sorella, giacché avrà pure un motivo di esistere se mi è stato inviato! Aprirlo prima, e salvarlo poi, mi pare una cosa da ricovero. Aprirlo proveniente da parte di un perfetto sconosciuto... be', invocherei il TSO.
Per quanto riguarda infettarsi “solo” visitando un sito, be', sono così sceeeeeeeeeeeeeeeeeeeeeeeettico al riguardo! Sono anni che attendo che qualcuno mi spieghi esattamente come questo può avvenire. Se poi questo “qualcuno” fosse Bdoriano accenderei un cero a San Pancrazio Androide... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 09 Mar 2016 08:01 Oggetto: |
|
|
Ciao Dan,
se hai attivo Javascript e/o Flash durante la navigazione, il gioco è semplice.
Vengono creati semplici "programmini" (dropper) che fanno da cavallo di troia. Entri in una pagina creata appositamente, viene avviato il programmino (java o flash) e viene scaricato automaticamente il ransomware (chiamarlo virus è improprio) e avviato in background, quando ha finito di fare il suo lavoro, compare la maledetta pagina che ti avvisa che i tuoi dati sono stati criptati e devi pagare un riscatto per tornarne in possesso.
Questa è la spiegazione "breve".
Attualmente non esistono più semplici pagine html senza un minimo di "automazione" e/o animazione. E questi effetti li ottieni principalmente attraverso java e flash, che sei obbligato a tenere attivi quasi sempre. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12235
|
Inviato: 09 Mar 2016 18:21 Oggetto: |
|
|
Dunque, bdoriano, può essere buona precauzione tenere i plugin in modo che ogni volta il browser ti chieda conferma prima di attivare?
Presumo comunque che ci voglia buona dose di incuranza ad andare a cliccare un link che probabilmente è contenuto in un e-mail esca tipo quella che hai postato tu, e non raggiungibile da una normale navigazione on-line... |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 09 Mar 2016 19:10 Oggetto: |
|
|
Maary79 ha scritto:
Citazione: | Dunque, bdoriano, può essere buona precauzione tenere i plugin in modo che ogni volta il browser ti chieda conferma prima di attivare? |
Può essere una "buona precauzione".......ma il browser non lo sà che nel tal sito si nasconde un ransomware.
Ti chiede solo se vuoi attivare Javascript o Flash, poi sei tu che decidi.
E magari, il tal sito lo conosci, e lo attivi non sapendo che ieri lo hanno infettato. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 09 Mar 2016 21:43 Oggetto: |
|
|
Esatto, meglio tenere disattivati i plugin e attivarli solo se servono realmente.
Come fa giustamente notare R16, il plugin non sa se dovrà lavorare su un sito affidabile o meno.
E non è detto che il sito considerato affidabile, lo sia al 100%!!!
Per esempio, la mattina del 29 febbraio, gli utenti di NOD32 non potevano visitare un noto sito italiano, perché veniva segnalato un virus presente nella pagina principale. Il problema è durato qualche ora e poi sistemato.
Come si suol dire: Il miglior antivirus si trova tra la sedia e la tastiera ed è l'utente!!! |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 10 Mar 2016 08:40 Oggetto: |
|
|
Altro esempio di e-mail:
Citazione: | Da: HSBC Payment Advice [mailto:riscky@trusur.com]
Inviato: venerdì 12 febbraio 2016 08:00
Oggetto: Payment Advice - Advice Ref:[G45567776665]/ Priority payment /
Customer Ref:[456678774]
Dear Sir/Madam,
The attached payment advice is issued at the request of our customer. The
advice is for your reference only.
Yours faithfully,
Global Payments and Cash Management
HSBC
***************************************************************************
This is an auto-generated email, please DO NOT REPLY. Any replies to this
email will be disregarded.
***************************************************************************
Security tips
1. Install virus detection software and personal firewall on your computer.
This software needs to be updated regularly to ensure you have the latest
protection.
2. To prevent viruses or other unwanted problems, do not open attachments
from unknown or non-trustworthy sources.
3. If you discover any unusual activity, please contact the remitter of this
payment as soon as possible.
***************************************************************************
*******************************************************************
This e-mail is confidential. It may also be legally privileged.
If you are not the addressee you may not copy, forward, disclose or use any
part of it. If you have received this message in error, please delete it and
all copies from your system and notify the sender immediately by return
e-mail.
Internet communications cannot be guaranteed to be timely, secure, error or
virus-free. The sender does not accept liability for any errors or
omissions.
*******************************************************************
"SAVE PAPER - THINK BEFORE YOU PRINT!" |
1° campanello di allarme: perché ricevo una mail da uno sconosciuto e che non ho richiesto?
2° campanello di allarme: perché, se è per me, l'intestazione è generica?
Citazione: | Dear Sir/Madam, |
Sono presenti 2 allegati:
TT copy $17,031.30.ace (280kb)
TT copy $8,703.ace (229kb)
3° campanello di allarme: perché ricevo degli allegati che non ho richiesto?
Il formato .ace è un formato di compressione poco conosciuto, molto più performante rispetto al formato .zip, ma più lento.
4° campanello di allarme: perché sono in un formato fuori "standard"?
All'interno dei 2 allegati c'erano due files con lo stesso nome con estensione .scr (Screen Saver).
5° campanello di allarme: perché mi inviano degli screen saver?
Per farla breve, risultati della scansione con VirusTotal
TT copy $8,703.scr
TT copy $17,031.30.scr
Una variante del virus Trojan.Zusy
L'utente sbrigativo, non riconoscendo il mittente, avrebbe cancellato l'email senza star troppo a pensare e avrebbe fatto bene.
L'utente curioso e frettoloso, che non ha mai tempo, non sarebbe arrivato fino a qui e, probabilmente, si troverebbe in una situazione poco simpatica. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12235
|
Inviato: 10 Mar 2016 09:46 Oggetto: |
|
|
Il brutto è che questi ransom non sarebbero stati riconosciuti dai i più famosi AV...dunque una volta aperti non ci sarebbe stato via di scampo...
R16 ha scritto: |
Può essere una "buona precauzione".......ma il browser non lo sà che nel tal sito si nasconde un ransomware.
Ti chiede solo se vuoi attivare Javascript o Flash, poi sei tu che decidi.
E magari, il tal sito lo conosci, e lo attivi non sapendo che ieri lo hanno infettato. |
Si, certo, ma generalmente ho fatto caso che molti siti vengono visualizzati correttamente anche senza attivare i plugin, magari lo attivi solo se dentro quel sito non funziona un video o qualcos'altro. Se è attivo di default il sito lo userà sempre e comunque. |
|
Top |
|
|
Danielix Amministratore
Registrato: 31/10/07 15:30 Messaggi: 8498 Residenza: All'inferno.
|
Inviato: 11 Mar 2016 00:08 Oggetto: |
|
|
bdoriano ha scritto: | viene avviato il programmino (java o flash) e viene scaricato automaticamente il ransomware (chiamarlo virus è improprio) e avviato in background |
Vada per il download, che naturalmente è inevitabile, ma una volta in locale come si attiva? Non cliccandoci sopra nessuno, non lo afferro...
bdoriano ha scritto: | E questi effetti li ottieni principalmente attraverso java e flash, che sei obbligato a tenere attivi quasi sempre. |
Sì, appunto, infatti non capisco perché parlate di tenere disattivati entrambi: senza JavaScript non funziona neppure Facebook... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 11 Mar 2016 08:48 Oggetto: |
|
|
Danielix ha scritto: | bdoriano ha scritto: | viene avviato il programmino (java o flash) e viene scaricato automaticamente il ransomware (chiamarlo virus è improprio) e avviato in background |
Vada per il download, che naturalmente è inevitabile, ma una volta in locale come si attiva? Non cliccandoci sopra nessuno, non lo afferro... |
Tieni conto che l'utente medio non pensa neanche a sostituire il browser con qualcosa di più sicuro ed efficiente di Internet Explorer (o Edge) e, soprattutto, non crea un account con diritti limitati per la navigazione sicura.
I dropper javascript che ho trovato finora fanno un uso intensivo dei comandi ActiveX (WScript.CreateObject) per creare ed eseguire programmi sul pc dell'ignaro utente. |
|
Top |
|
|
Zeus News Ospite
|
Inviato: 11 Mag 2016 16:00 Oggetto: |
|
|
Leggi l'articolo Ransomware: che prevenzione posso fare?
Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli.
(Fai clic sull'immagine per visualizzarla ingrandita) |
|
Top |
|
|
9overflow Mortale devoto
Registrato: 23/05/11 13:32 Messaggi: 17
|
Inviato: 12 Mag 2016 08:46 Oggetto: |
|
|
Da quello che ho visto, purtroppo, alcuni cryptolocker non si prendono solo da allegati di email ma anche grazie al colabrodo continuo di flash, è successo ad alcuni miei clienti che navigando su siti normalissimi a causa di un ads infetto ha scaricato ed eseguito l'applet flash player che ha scritto poi un exe rivelatosi cryptolocker...
L'unico modo in questi casi è avere un componente Site Advisor (per bloccare il sito in partenza) ma cosa ancora più importante è togliere flash anche se purtroppo molti siti, anche istituzioni continuano ad utilizzarlo nonostante la mole infinita di bug. |
|
Top |
|
|
|