|
| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
|
| Top |
|
 |
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 6468
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
 Inviato: 18 Giu 2025 09:41 Oggetto: |
 |
|
| Citazione: | | Se per qualche motivo la crittografia non riesce, il ransomware attiva la modalità di cancellazione; sovrascrive quindi i file in modo da renderli irrecuperabili anche con strumenti di recupero dati. |
Come il Covid ci ha ricordato (e come Andromeda di Crichton ha rimarcato), qualsiasi forma di infezione che uccide l'ospite è un fallimento sul piano evolutivo, perché muore con esso. Qui è la stessa cosa: se la vittima sa che il malware può distruggere i suoi dati anche senza arrivare a ricattarla per non farlo, li darà per persi e di certo non pagherà.
Non so perché Anubis è stato "mutato" in questa direzione, ma quella della massima pressione sui bersagli non mi sembra la motivazione più ragionevole. Agendo così è controproducente. |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11806
Residenza: Tokelau
|
| Inviato: 18 Giu 2025 09:53 Oggetto: |
|
|
@Homer - credo che lo scenario sia questo: con gli altri ransomware uno poteva, in teoria, non pagare e tenersi i dati in forma criptata fino a che in qualche modo non si poteva risolvere (per esempio si trovava una vulnerabilità nella crittografia, oppure qualche hacker bucava i server dei criminali e recuperava le chiavi) mentre se hai un software che minaccia di distruggere in modo irrecuperabile i tuoi dati se non paghi... beh, la strategia di cui sopra non funziona più  |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 6468
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 18 Giu 2025 10:21 Oggetto: |
|
|
| SverX ha scritto: | | con gli altri ransomware uno poteva, in teoria, non pagare e tenersi i dati in forma criptata fino a che in qualche modo non si poteva risolvere |
Con il dovuto rispetto, se qualcuno ti ha infettato un dispositivo e congelato i contenuti, bisogna essere incoscienti a mantenerlo attivo. Chi ti garantisce che quello stesso malware un domani i dati li manometta? O, peggio, che preso il controllo del device cerchi di compiere altre azioni malevole all'esterno, a tuo nome?
Dovresti metterlo in "quarantena", ma poi come faresti a disinfettarlo in totale sicurezza se non puoi più ricollegarlo ad una rete?
 |
|
| Top |
|
|
interceptor
Semidio
Registrato: 20/01/06 09:52
Messaggi: 265
|
| Inviato: 18 Giu 2025 16:19 Oggetto: |
|
|
Concordo con Homer,
la "reputazione" delle gang ramsonware era quella di avere la certezza che, pagato il riscatto, riottengo i miei dati.
Minore è la probabilità di riavere i dati minore è la probabilità che le vittime paghino.
Abbiamo gestito casi in cui i criminali avevano call center e help desk per il supporto agli utenti per il recupero dei dati.
Alcuni si offrivano di farsi inviare i dati criptati e rimandarteli decifrati, se non ci riuscivi in autonomia... |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11806
Residenza: Tokelau
|
| Inviato: 18 Giu 2025 16:43 Oggetto: |
|
|
| Homer S. ha scritto: | | Con il dovuto rispetto, se qualcuno ti ha infettato un dispositivo e congelato i contenuti, bisogna essere incoscienti a mantenerlo attivo. |
Nessuno stava consigliando di tenere attivo un dispositivo infetto. Il malware va rimosso, così che non possa fare ulteriore danno, ma i dati criptati possono essere messi da parte per successivi tentativi di recupero, ad esempio attraverso servizi come questo. |
|
| Top |
|
|
zero
Dio maturo
Registrato: 22/03/08 18:34
Messaggi: 2149
|
| Inviato: 20 Giu 2025 08:15 Oggetto: |
|
|
Per fortuna qualcuno ha inventato i backup
. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 6468
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 21 Giu 2025 08:07 Oggetto: |
|
|
| SverX ha scritto: | | ma i dati criptati possono essere messi da parte per successivi tentativi di recupero, ad esempio attraverso servizi come questo. |
Se devo sottoporre ad un soggetto terzo informazioni critiche che già sono state violate da qualcuno, non faccio altro che aumentare il bacino di potenziali violatori della mia privacy. Quella del backup è certamente l'unica opzione che garantisce di non perdere i dati e non comprometterli più del dovuto.
Quanto al caso che citi, il sito correttamente raccoglie e divulga strumenti di decrittazione senza - almeno a prima vista - esigere tributi, ma resta il fatto che l'affidabilità degli stessi (e se fossero malware essi stessi?) non è garantita da nessuno. Insomma, al solito tutto sta a fidarsi: e se proprio devo, preferisco fidarmi di me stesso. |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 21:32
Messaggi: 14308
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 21 Giu 2025 16:05 Oggetto: |
|
|
In effetti pare che l'affidabilità del sito e degli strumenti in esso contenuti un minimo di garanzia ce l'abbiano.
In ogni caso, se non si ha un backup e persi per persi i dati, si può anche decidere di provare con metodi che non danno garanzie certe, basta utilizzare una macchina sacrificabile sulla quale operare per cercare il recupero, se la va, bene, se non la va non cambia nulla.
Ovvio che la soluzione migliore è sempre avere un backup off line e cercare di evitare di cadere in trappola. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Giu 2025 16:11 Oggetto: |
|
|
Homer S ha scritto:
| Citazione: | | Se devo sottoporre ad un soggetto terzo informazioni critiche che già sono state violate da qualcuno, non faccio altro che aumentare il bacino di potenziali violatori della mia privacy. |
E'ovvio che il soggetto terzo, deve avere almeno una parte delle tua fiducia.
Se per caso il tuo pc viene infettato e non riesci eliminare l'infezione che fai?
Formatti autonomamente il pc, in modo che perdi tutto il suo contenuto?
Oppure lo porti da qualcuno (di fiducia) che te lo ripari ?
| Citazione: | | se proprio devo, preferisco fidarmi di me stesso. |
D'accordo, ti tieni ben stretta l'infezione, fidandoti di te stesso.
Forse non ti rendi conto di quanto sia difficile (alle volte impossibile) riparare un'infezione da Ransomware.
E non mi riferisco al virus(di solito facile da eliminare) ma alla decriptazione dei dati che vengono criptati.
In ogni caso auguri. |
|
| Top |
|
|
zeross
Amministratore
Registrato: 19/11/08 12:04
Messaggi: 8118
Residenza: Atlantica
|
| Inviato: 21 Giu 2025 18:07 Oggetto: |
|
|
Se uno ha tempo, mezzi e conoscenze, allora intraprendere la decriptazione non è un problema, invece l'utente normale di Windows ( e non dimentichiamoci che nel 2020 Anubis era nato come Trojan, keylogger e Ransomware su dispositivi Android, mentre ora si sta specializzando non solo nel settore bancario come prima ma in tutti i servizi che gestiscono dati vitali) innanzi ad un programma scritto in Python in maniera sofisticata dai russi di FIN7, spesso non si hanno scelte se non quelle di provare a minimizzare il danno.
Ora il bersaglio tipo come istituzione bancaria, assicurativa o finanziaria, anche se dotate di salvataggi non può correre il rischio di perdere dati, ma d'altra parte se dovesse diffondersi anche a clienti normali, non e detto che preferiscano pagare senza minima garanzia di riavere indietro i dati ( ti fidi dei russi? io no) e quindi si va verso formattazioni a gogo, oltre al fatto che le fragilità sono sopratutto su machine Windows, mentre non ho trovato dati ( e con 8 vittime sono troppo pochine per avere dati  ) di utenti con macchine UNIX o Linux, quindi perché istituzioni che gestiscano dati sensibili non vanno verso sitemi non Windows e cosi mettiamo un bella patch a Windows.  |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 6468
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 22 Giu 2025 07:47 Oggetto: |
|
|
| R16 ha scritto: | Homer S ha scritto:
| Citazione: | | Se devo sottoporre ad un soggetto terzo informazioni critiche che già sono state violate da qualcuno, non faccio altro che aumentare il bacino di potenziali violatori della mia privacy. |
E'ovvio che il soggetto terzo, deve avere almeno una parte delle tua fiducia.
Se per caso il tuo pc viene infettato e non riesci eliminare l'infezione che fai?
Formatti autonomamente il pc, in modo che perdi tutto il suo contenuto?
Oppure lo porti da qualcuno (di fiducia) che te lo ripari ?
| Citazione: | | se proprio devo, preferisco fidarmi di me stesso. |
D'accordo, ti tieni ben stretta l'infezione, fidandoti di te stesso.
Forse non ti rendi conto di quanto sia difficile (alle volte impossibile) riparare un'infezione da Ransomware.
E non mi riferisco al virus(di solito facile da eliminare) ma alla decriptazione dei dati che vengono criptati.
In ogni caso auguri. |
Avrei voluto isolare le parti chiave del discorso per replicare, ma ci vedo una certa acrimonia diffusa. Quindi a farla breve ed esaustiva:
- Sì, formatto tutto tanto i dati stanno fuori dalla macchina (e comunque con Linux il rischio è mediamente molto inferiore, specie con i criteri paranoici che applico). E lo sapresti se leggessi regolarmente nell'Olimpo: ho sostenuto a più riprese l'opportunità pratica di separare i dati dalle macchine che li elaborano e di ridondare a più non posso i relativi backups;
- e non credo serva aggiungere altro.
Ah no, dimenticavo: se credi che siano solo belle parole, sbagli. L'ho fatto già una volta, e non per un'infezione conclamata, ma per un semplice rischio legato ad xz-utils che ho stroncato prima ancora che divenisse concreto. Se prima le mie macchine stavano a defcon 2, ora sono a 1. |
|
| Top |
|
|
zeross
Amministratore
Registrato: 19/11/08 12:04
Messaggi: 8118
Residenza: Atlantica
|
| Inviato: 23 Giu 2025 16:55 Oggetto: |
|
|
R16 è un esperto di sicurezza, ma qualche volta da l'impressione di usare un tono che invece non vorrebbe usare, ma solo perché ne ha visti tanti passare come dei Tafazzi sempre a lamentarsi oppure a fare elucubrazioni, e quindi parte in impennata con la suo moto rischiando un poco! 
dobbiamo tutti pensare che in realtà ci sono moltissimi lettori che leggono e che spesso non hanno le competenze sufficienti per dare giudizi e risposte ai problemi e quando ci leggono, devono cercare non solo le risposte, ma anche il modo più semplice per comprenderle, e noi non conoscendo, e non potendo conoscere le capacità di comprensione di ogni singolo lettore, dobbiamo fare esercizio di equilibrismo dialettico, oppure non lo facciamo, e corriamo il rischio di fraintendimenti. 
Quasi tutti quelli che hanno scritto qui sanno che:
Dei russi della FIM7 non ti puoi fidare, sopratutto perché hanno scelto un metodo che preventivamente procede alla distruzione di un dato se non può ottenerne un vantaggio economico, e questa scelta significa che più che un intento criminale, qui abbiano intenti Militari da cui dobbiamo proteggerci in modo differente.
Che in ambito Windows ci sono fragilità pericolose perché della classe Zero-day, che se sfruttate da queste organizzazioni ti mettono nella situazione di zero difese! 
Che l'obiettivo dichiarato di questi soggetti sarebbero enti ed organizzazioni che trattano denaro come Banche, assicurazioni e società finanziarie, ma non escluderei visto la natura del ransomware che distrugge i dati che non può criptare prima di ricattare la vittima, che venga usata come arma offensiva per distruggere archivi militari, sanitari, giudiziari, diplomatici, educativi, sociali e caritatevoli. 
Che poi tra le vittime possa anche figurare il povero Zeross, questo probabilmente rientra tra i danni collaterali che i cracker russi sanno che ci saranno ma di cui non gli interessa nulla. 
Ciò non toglie che mentre per noi che abbiamo scritto sulla pagina di questo forum sappiamo come gestire il problema, e quale danno potrebbe farci e di quale entità, peggio mi sento a pensare alla sicurezza di amministrazioni che si basano sugli stressi creatori della app IO e che mi dovrebbero far sentire rassicurato perché vegliano loro!  |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 6468
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 24 Giu 2025 08:59 Oggetto: |
 |
|
| zeross ha scritto: | | Dei russi della FIM7 non ti puoi fidare |
Perché, di uno che ti ricatta ti dovresti poter fidare in altri casi? |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
