Ransomware !

maddeche! · 28 Settembre 2016

Ransomware !
Di che si tratta ? Della categoria di "virus" che bloccano i dati ( i vostri ) tramite crittografia e richiedono ( a voi ) un pagamento in denaro in cambio della chiave univoca di decrittazione.
Non pagate, o lo fate in ritardo ? I vostri dati resteranno crittografati, virtualmente inutilizzabili.

O forse no.

Mi sono trovato mio malgrado a dover fornire supporto ad alcuni professionisti coinvolti in questo dramma.

Interessa l'argomento ?

maddeche! · 28 Settembre 2016

Bravissimo, Paolo.
Sul manuale "Guida alla sicurezza e all'integrità dei dati" dell'IBM SEMEA, l'introduzione recita:
Le tre regole d'oro per la sicurezza e l'integrità dei dati sono:
1) Backup
2) Backup
3) Backup

Vabbé, poi seguono tutta una serie di ulteriori istruzioni ed indicazioni

Mi sento di offrirvi una dritta completamente gratuita, valida per tutti i sistemi operativi Windows, da Seven in avanti.

Oltre al backup off-line, sul disco fisso del pc conviene modificare la protezione sistema portandola almeno ad un 10%. Se non avete abbastanza spazio, liberatelo. Quel 10% é preziosissimo.
Con ShadowExplorer potrete recuperare i files ancora integri, risalendo anche a una quindicina di giorni prima, in tutta sicurezza.
Il prezzo da pagare é modesto, tutto sommato.

IDrAcula · 28 Settembre 2016

Dipende dal ransomware. Per alcuni, basta un ripristino. Per altri, solo ed esclusivamente un backup OFFLINE.

Ripeps53 · 28 Settembre 2016

IDrAcula ha scritto:
Dipende dal ransomware. Per alcuni, basta un ripristino. Per altri, solo ed esclusivamente un backup OFFLINE.

Ma non è che durante il ripristino, con disco esterno, il virus possa "migrare" ed infettare anche l'HD?

deadmanwalking · 29 Settembre 2016

l' argomento interessa, ma bisogna essere precisini, che di autodidatti che fan danni "... eh, ma io sapevo così" o l' "...amico smanettone mi ha detto ... " ne son piene le cronache dei circoli informatici.

Se si fanno i backup offline, bisogna ripristinarne uno sicuramente antecedente all' infezione. Come lo controlli? Bella domanda: ci vuole un pc non WIN ( tipo mac o linux, meglio se senza dualboot o virtualizzazione WIN ecc. ).

Se si instiste a tenere acceso il pc infetto pur consci dell' infezione, si peggiora solo il danno ( se ancora parziale ) e si è quasi certi di infettare tutti i pc WIN collegati. Quindi staccare di brutto il 220V e eventualmente riavviare solo offline ( sia LAN/ETHERNET/INTRANET che internet). Io dovetti cambiare il disco di uno dei 3 pc infetti, e una macchina a CN è rimasta infetta e lavora solo offline...

Se a volte sembra bastare un rispristino, nel casi gravi formattazione completa dei dischi e solo dopo rispristo. Formattate anche le chaivetta USB, ma collegati a MAC/LINUX. Tenete copia del backup pulito prima di usarlo per il ripristino.

Gli antivirus "civili" non funzionano, infatti l' infezione la prendete solitamente da un allegato di posta EnEL - tIM - banKoPosta ecc., ma anche "Studio legale XYZ" p.e.

Da scottato senza colpa, mi associo all' augurio di una breve e tribolata convalescenza con greve fine agli untori del caso.

maddeche! · 29 Settembre 2016

deadmanwalking ha scritto:
l' argomento interessa, ma bisogna essere precisini, che di autodidatti che fan danni "... eh, ma io sapevo così" o l' "...amico smanettone mi ha detto ... " ne son piene le cronache dei circoli informatici.

Se si fanno i backup offline, bisogna ripristinarne uno sicuramente antecedente all' infezione. Come lo controlli? Bella domanda: ci vuole un pc non WIN ( tipo mac o linux, meglio se senza dualboot o virtualizzazione WIN ecc. ).

Se si instiste a tenere acceso il pc infetto pur consci dell' infezione, si peggiora solo il danno ( se ancora parziale ) e si è quasi certi di infettare tutti i pc WIN collegati. Quindi staccare di brutto il 220V e eventualmente riavviare solo offline ( sia LAN/ETHERNET/INTRANET che internet). Io dovetti cambiare il disco di uno dei 3 pc infetti, e una macchina a CN è rimasta infetta e lavora solo offline...

Se a volte sembra bastare un rispristino, nel casi gravi formattazione completa dei dischi e solo dopo rispristo. Formattate anche le chaivetta USB, ma collegati a MAC/LINUX. Tenete copia del backup pulito prima di usarlo per il ripristino.

Gli antivirus "civili" non funzionano, infatti l' infezione la prendete solitamente da un allegato di posta EnEL - tIM - banKoPosta ecc., ma anche "Studio legale XYZ" p.e.

Da scottato senza colpa, mi associo all' augurio di una breve e tribolata convalescenza con greve fine agli untori del caso.

Sono sostanzialmente d'accordo con le tue osservazioni, e grazie per l'intervento.

E' bene chiarire che il ripristino si può fare solo dopo aver accertato con sicurezza che il virus sia stato opportunamente debellato.
La prima cosa da fare é di porre il computer offline, sconnesso da qualsiasi rete (fisica o wireless) e accendendolo solo per il tempo strettamente necessario alle indagini e alla disinfezione.

Non deve servire la certezza, ma deve bastare il solo sospetto di essere infettati, a mettere in atto subito tutte le cautele.
Nel caso dei Ransomware, questi si annunciano platealmente, e non c'é pericolo di sbagliarsi; quando si manifestano hanno ormai completato i danni che potevano fare.

Se si interviene per tempo, c'é speranza di limitare i danni.
Personalmente ho usato più tools diversi per eliminare il ransomware, ed ho usato tool diversi per verificarne l'effettiva scomparsa.

Lapalissianamente, meglio un paio di falsi positivi piuttosto che un virus in libertà.

deadmanwalking · 29 Settembre 2016

Paoazzo ha scritto:
Usi hiren's e fai tutte le mosse che vuoi con un bel sistema virtuale

sì, hai ragione sicuramente; dimenticavo di dire che sono stato vittima, non "curatore", sicchè ho solo riportato c'ho che ho capito del lavoro svolto dla manutentore.

AlGill · 10 Ottobre 2016

C'è la possibilità di recuperare da Odin ransomware? Perché ho provato ShadowExplorer e questa guida, ma non aiuta.

maddeche! · 10 Ottobre 2016

AlGill ha scritto:
C'è la possibilità di recuperare da Odin ransomware? Perché ho provato ShadowExplorer e questa guida, ma non aiuta.

Salve, AlGill,
mi spiace ma se il virus ha potuto crittografare i files e di essi non ve n'é una copia di sicurezza, su disco esterno, su Cloud, o dove altro sia, le probabilità di recuperarli sono davvermo estremamente basse.

Le probabilità di ottenere la chiave crittografica dopo aver pagato il riscatto sono comunque molto basse, sicché anche il pagamento del riscatto non garantisce nulla.

E' comunque necessario accertarsi di aver debellato il virus, prima di qualsiasi altra azione, altrimenti il virus si moltiplica. E lo si regala ai propri conoscenti o colleghi, fra le altre cose.

maddeche! · 10 Ottobre 2016

Questa non é e non vuole essere una "guida" ma semplicemente un avvertimento "a futura memoria".
Con qualche cautela preventiva, ci sono buone speranze di cavarsela.
Senza, il rischio di danno é pressoché totale.

Ransomware !

maddeche!

0

maddeche!

0

IDrAcula

0

Ripeps53

deadmanwalking

0

maddeche!

0

deadmanwalking

0

AlGill

maddeche!

0

maddeche!

0

Discussioni popolari

La "Transizione": vantaggi, svantaggi,...

Avvistamenti

Scénic XMod - Topic Ufficiale

Alfa Romeo Giulia 2016-2019

Utenti online

Statistiche del Forum

Post Recenti

Hot Tags