Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
{utente anonimo}
Ospite





MessaggioInviato: 06 Mar 2016 12:34    Oggetto: Rispondi citando

E' capitato anche a me. Per fortuna me ne sono accorto quasi subito della cavolata che stavo facendo e ho letteralmente staccato la spina al computer mentre stava scaricando. Poi l'ho riacceso e ho cercato i file che infettano tutto, sono due con lo stesso nome: how_recover+poo, ma con estensione diversa: una è html e l'altra non me la ricordo; comunque si riconoscono facilmente dall'icona. Ho riacceso il computer, l'ho disconnesso da internet e - con santa pazienza - ho distrutto i file incriminati utilizzando il programma File Shredder. NON HO PAGATO UN CENTESIMO DI RISCATTO, il prezzo l'ho pagato in tempo (quello quasi-libero!). Vanno cercati in ogni cartella! Si infilano ovunque, aprite qualsiasi cartella e sottocartella fino alla fine, li troverete e li eliminerete. L'ho fatta in più giorni, ma ora ho il computer pulito. La mia è stata un'imprudenza, sapevo che c'era qualxosa di losco anche se l'@ ricevuta riportata il nome di una persona conosciuta, ma non era esattamente il suo indirizzo! Occhio ragazzi!
Top
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14256
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 06 Mar 2016 17:24    Oggetto: Rispondi citando

Citazione:
sono due con lo stesso nome: how_recover+poo, ma con estensione diversa: una è html e l'altra non me la ricordo

l'altra ha estensione txt.
Ma non sono questi files che criptano il contenuto del disco.
In quei files trovi solo le istruzioni per pagare il riscatto una volta che i dati sono stati criptati.
Se sei riuscito a evitare la criptazione dei dati, ti conviene scaricare (da un altro pc) le live di un paio di antivirus ed eseguire una scansione approfondita di tutto il contenuto del tuo pc avviando da cd.

Puoi scegliere tra questi:
BitDefender Rescue CD
Kaspersky Rescue Disk
Eset SysRescue Live
Dr.Web LiveDisk
Avira Rescue System
Top
Profilo Invia messaggio privato
Danielix
Amministratore
Amministratore


Registrato: 31/10/07 15:30
Messaggi: 8498
Residenza: All'inferno.

MessaggioInviato: 08 Mar 2016 03:02    Oggetto: Rispondi citando

Continuo seriamente a non comprendere a fondo come a qualcuno possa succedere...
Top
Profilo Invia messaggio privato HomePage
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 10218

MessaggioInviato: 08 Mar 2016 17:05    Oggetto: Rispondi citando

Già... Un po' fessacchiotti lo sono ad aprire allegati anche apparentemente non sospetti, almeno scansionateli con l'antivirus... Rolling Eyes il fatto comunque è che una variante del virus si può prendere anche su pagine web, sfrutta eventuali falle di Flash o Java. Dunque da browser per sicurezza io li lascio disabilitati (o meglio il browser mi chiede se può abilitarli ogni volta)
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14256
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 08 Mar 2016 18:48    Oggetto: Rispondi citando

Esempio banale, mail ricevuta proprio poco fa:

l'utente ansioso e/o distratto, clicca sul link e... boom!!! Basta Brick wall thunder

tra l'altro il link punta a una pagina degli uffici amministrativi di Belluno:
http://attiamministrativi.provincia.belluno.it/data/documenti_benefici/...
che è stata evidentemente preparata ad hoc. (ho rimosso il link finale per ovvie ragioni) anche se non risulta più attiva. Razz
Top
Profilo Invia messaggio privato
Danielix
Amministratore
Amministratore


Registrato: 31/10/07 15:30
Messaggi: 8498
Residenza: All'inferno.

MessaggioInviato: 09 Mar 2016 01:05    Oggetto: Rispondi citando

Maary79 ha scritto:
Già... Un po' fessacchiotti lo sono ad aprire allegati anche apparentemente non sospetti, almeno scansionateli con l'antivirus... Rolling Eyes il fatto comunque è che una variante del virus si può prendere anche su pagine web, sfrutta eventuali falle di Flash o Java. Dunque da browser per sicurezza io li lascio disabilitati (o meglio il browser mi chiede se può abilitarli ogni volta)

La mia perplessità era un po' più complessa... Da una parte mi chiedo come sia possibile che qualcuno apra gli allegati direttamente “dall'interno” delle email, e questo non per questioni di sicurezza, bensì per uso improprio del computer: io un allegato lo scarico, anche se me lo manda mia moglie: lo salvo dove si conviene, poi lo apro con l'applicazione più idonea, e nel frattempo mi accorgerei di un eventuale anomalia del file, ma non è questo: io il file lo dovrò pur salvare da qualche parte, se me lo invia mia moglie o mia sorella, giacché avrà pure un motivo di esistere se mi è stato inviato! Aprirlo prima, e salvarlo poi, mi pare una cosa da ricovero. Aprirlo proveniente da parte di un perfetto sconosciuto... be', invocherei il TSO.


Per quanto riguarda infettarsi “solo” visitando un sito, be', sono così sceeeeeeeeeeeeeeeeeeeeeeeettico al riguardo! Sono anni che attendo che qualcuno mi spieghi esattamente come questo può avvenire. Se poi questo “qualcuno” fosse Bdoriano accenderei un cero a San Pancrazio Androide...
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14256
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 09 Mar 2016 08:01    Oggetto: Rispondi citando

Ciao Dan, Ciao

se hai attivo Javascript e/o Flash durante la navigazione, il gioco è semplice. Wink
Vengono creati semplici "programmini" (dropper) che fanno da cavallo di troia. Entri in una pagina creata appositamente, viene avviato il programmino (java o flash) e viene scaricato automaticamente il ransomware (chiamarlo virus è improprio) e avviato in background, quando ha finito di fare il suo lavoro, compare la maledetta pagina che ti avvisa che i tuoi dati sono stati criptati e devi pagare un riscatto per tornarne in possesso. Evil or Very Mad
Questa è la spiegazione "breve". Razz

Attualmente non esistono più semplici pagine html senza un minimo di "automazione" e/o animazione. E questi effetti li ottieni principalmente attraverso java e flash, che sei obbligato a tenere attivi quasi sempre.
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 10218

MessaggioInviato: 09 Mar 2016 18:21    Oggetto: Rispondi citando

Dunque, bdoriano, può essere buona precauzione tenere i plugin in modo che ogni volta il browser ti chieda conferma prima di attivare?
Presumo comunque che ci voglia buona dose di incuranza ad andare a cliccare un link che probabilmente è contenuto in un e-mail esca tipo quella che hai postato tu, e non raggiungibile da una normale navigazione on-line...
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10114

MessaggioInviato: 09 Mar 2016 19:10    Oggetto: Rispondi citando

Maary79 ha scritto:
Citazione:
Dunque, bdoriano, può essere buona precauzione tenere i plugin in modo che ogni volta il browser ti chieda conferma prima di attivare?

Può essere una "buona precauzione".......ma il browser non lo sà che nel tal sito si nasconde un ransomware.
Ti chiede solo se vuoi attivare Javascript o Flash, poi sei tu che decidi.
E magari, il tal sito lo conosci, e lo attivi non sapendo che ieri lo hanno infettato.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14256
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 09 Mar 2016 21:43    Oggetto: Rispondi citando

Esatto, meglio tenere disattivati i plugin e attivarli solo se servono realmente.
Come fa giustamente notare R16, il plugin non sa se dovrà lavorare su un sito affidabile o meno. Wink
E non è detto che il sito considerato affidabile, lo sia al 100%!!! Sad

Per esempio, la mattina del 29 febbraio, gli utenti di NOD32 non potevano visitare un noto sito italiano, perché veniva segnalato un virus presente nella pagina principale. Il problema è durato qualche ora e poi sistemato. Confused

Come si suol dire: Il miglior antivirus si trova tra la sedia e la tastiera ed è l'utente!!! Old
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14256
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 10 Mar 2016 08:40    Oggetto: Rispondi citando

Altro esempio di e-mail:
Citazione:
Da: HSBC Payment Advice [mailto:riscky@trusur.com]
Inviato: venerdì 12 febbraio 2016 08:00
Oggetto: Payment Advice - Advice Ref:[G45567776665]/ Priority payment /
Customer Ref:[456678774]

Dear Sir/Madam,

The attached payment advice is issued at the request of our customer. The
advice is for your reference only.

Yours faithfully,
Global Payments and Cash Management
HSBC

***************************************************************************

This is an auto-generated email, please DO NOT REPLY. Any replies to this
email will be disregarded.

***************************************************************************
Security tips

1. Install virus detection software and personal firewall on your computer.
This software needs to be updated regularly to ensure you have the latest
protection.
2. To prevent viruses or other unwanted problems, do not open attachments
from unknown or non-trustworthy sources.
3. If you discover any unusual activity, please contact the remitter of this
payment as soon as possible.
***************************************************************************

*******************************************************************
This e-mail is confidential. It may also be legally privileged.
If you are not the addressee you may not copy, forward, disclose or use any
part of it. If you have received this message in error, please delete it and
all copies from your system and notify the sender immediately by return
e-mail.

Internet communications cannot be guaranteed to be timely, secure, error or
virus-free. The sender does not accept liability for any errors or
omissions.
*******************************************************************
"SAVE PAPER - THINK BEFORE YOU PRINT!"

1° campanello di allarme: perché ricevo una mail da uno sconosciuto e che non ho richiesto?
2° campanello di allarme: perché, se è per me, l'intestazione è generica?
Citazione:
Dear Sir/Madam,


Sono presenti 2 allegati:
    TT copy $17,031.30.ace (280kb)
    TT copy $8,703.ace (229kb)

3° campanello di allarme: perché ricevo degli allegati che non ho richiesto?

Il formato .ace è un formato di compressione poco conosciuto, molto più performante rispetto al formato .zip, ma più lento.
4° campanello di allarme: perché sono in un formato fuori "standard"?

All'interno dei 2 allegati c'erano due files con lo stesso nome con estensione .scr (Screen Saver).
5° campanello di allarme: perché mi inviano degli screen saver?

Per farla breve, risultati della scansione con VirusTotal
TT copy $8,703.scr
TT copy $17,031.30.scr
Una variante del virus Trojan.Zusy

L'utente sbrigativo, non riconoscendo il mittente, avrebbe cancellato l'email senza star troppo a pensare e avrebbe fatto bene.
L'utente curioso e frettoloso, che non ha mai tempo, non sarebbe arrivato fino a qui e, probabilmente, si troverebbe in una situazione poco simpatica.
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 10218

MessaggioInviato: 10 Mar 2016 09:46    Oggetto: Rispondi citando

Il brutto è che questi ransom non sarebbero stati riconosciuti dai i più famosi AV...dunque una volta aperti non ci sarebbe stato via di scampo...

R16 ha scritto:

Può essere una "buona precauzione".......ma il browser non lo sà che nel tal sito si nasconde un ransomware.
Ti chiede solo se vuoi attivare Javascript o Flash, poi sei tu che decidi.
E magari, il tal sito lo conosci, e lo attivi non sapendo che ieri lo hanno infettato.


Si, certo, ma generalmente ho fatto caso che molti siti vengono visualizzati correttamente anche senza attivare i plugin, magari lo attivi solo se dentro quel sito non funziona un video o qualcos'altro. Se è attivo di default il sito lo userà sempre e comunque.
Top
Profilo Invia messaggio privato
Danielix
Amministratore
Amministratore


Registrato: 31/10/07 15:30
Messaggi: 8498
Residenza: All'inferno.

MessaggioInviato: 11 Mar 2016 00:08    Oggetto: Rispondi citando

bdoriano ha scritto:
viene avviato il programmino (java o flash) e viene scaricato automaticamente il ransomware (chiamarlo virus è improprio) e avviato in background

Vada per il download, che naturalmente è inevitabile, ma una volta in locale come si attiva? Non cliccandoci sopra nessuno, non lo afferro...


bdoriano ha scritto:
E questi effetti li ottieni principalmente attraverso java e flash, che sei obbligato a tenere attivi quasi sempre.

Sì, appunto, infatti non capisco perché parlate di tenere disattivati entrambi: senza JavaScript non funziona neppure Facebook...
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14256
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 11 Mar 2016 08:48    Oggetto: Rispondi citando

Danielix ha scritto:
bdoriano ha scritto:
viene avviato il programmino (java o flash) e viene scaricato automaticamente il ransomware (chiamarlo virus è improprio) e avviato in background

Vada per il download, che naturalmente è inevitabile, ma una volta in locale come si attiva? Non cliccandoci sopra nessuno, non lo afferro...

Tieni conto che l'utente medio non pensa neanche a sostituire il browser con qualcosa di più sicuro ed efficiente di Internet Explorer (o Edge) e, soprattutto, non crea un account con diritti limitati per la navigazione sicura. Evil or Very Mad
I dropper javascript che ho trovato finora fanno un uso intensivo dei comandi ActiveX (WScript.CreateObject) per creare ed eseguire programmi sul pc dell'ignaro utente. Confused
Top
Profilo Invia messaggio privato
Zeus News
Ospite





MessaggioInviato: 11 Mag 2016 16:00    Oggetto: Rispondi citando

Leggi l'articolo Ransomware: che prevenzione posso fare?
Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli.


 

(Fai clic sull'immagine per visualizzarla ingrandita)
Top
9overflow
Mortale devoto
Mortale devoto


Registrato: 23/05/11 13:32
Messaggi: 17

MessaggioInviato: 12 Mag 2016 08:46    Oggetto: Rispondi

Da quello che ho visto, purtroppo, alcuni cryptolocker non si prendono solo da allegati di email ma anche grazie al colabrodo continuo di flash, è successo ad alcuni miei clienti che navigando su siti normalissimi a causa di un ads infetto ha scaricato ed eseguito l'applet flash player che ha scritto poi un exe rivelatosi cryptolocker...
L'unico modo in questi casi è avere un componente Site Advisor (per bloccare il sito in partenza) ma cosa ancora più importante è togliere flash anche se purtroppo molti siti, anche istituzioni continuano ad utilizzarlo nonostante la mole infinita di bug.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2, 3
Pagina 3 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi