Spero che non sappiate di cosa si parla se non per lavoro, probabilmente Maicol sa di cosa si tratta.
Cmq, nel mio caso è un malweare nascosto in un foglio excel che malaguratamente è stato aperto dal pc dell'amministrazione, non sto a descrivere troppi dettagli, ma ha criptato con chiave asincrona file mirati tipo .doc, .pdf, .jpg, .xls..... insomma tutto quello che si produce in un ufficio, inoltre ha colpito file che impediscono l'esecuzione di programmi, anche se il sistema gira regolarmente, in questo caso W8.
Cosa succede, all'avvio di qualche applicazione o all'apertura di cartelle appare un file di testo o una pagina .htm, dove ci confermano l'avvenuta infezione e che per decriptare i file e tornare alla situazione originale dobbiamo pagare, poi ci sono le istruzioni per pagare riscatto.
L'antivirus, in questo caso Avast, non ha rilevato nulla, probabilmente perchè non si tratta tecnicamente di un virus.
Sinceramente ho pensato alle solite minacce e bufale che si trovano sul web e sono andato ad approfondire e.... purtroppo, non è così.
Questo malware esiste da più di un annetto e la chiave con cui cripta i file è impossibile da decriptare, quindi la soluzione è: avere un backup recente, perdere tutto o pagare.
Conosco, ma non sapevo delle infezioni fino ad oggi, personalmente, due situazioni di contagio e conseguente formattazione e una persona, che, facendo un lavoro importante non si poteva permettere di perdere tempo e file, che ha pagato diverse migliaia di euro (bruscolini per lui) per riavere tutti i file infettati sul suo server, chi gli gestiva i bu li memorizzava su un'altro HD..... dello stesso server :facepalm2:!!!
Dopo il pagamento i file sono stati ripristinati e tutto è tornato come prima.
Il pagamento avviene in bitcoin, le istruzioni sono su un sito web indicato e, se eventualmente non funzionasse, (vengono bloccati continuamente) si utilizza il browser TOR (The Onion Router) per navigare nel deep web, un web non indicizzato e invisibile ai normali navigatori dove impunemente avvengono traffici di ogni tipo.
Chi ha pagato ha puntualmente riavuto tutti i file.
Di "positivo", se quest'aspetto può essere considerato positivo, c'è il fatto che mi si è aperto un mondo nuovo che non conoscevo, e non è necessariamente un bel mondo, ed io pensavo di essere un utente avanzato o un buon conoscitore della rete, navigando dall'epoca delle BBS.
Fortunatamente ho un BU, non recentissimo ma sufficiente a recuperare il 95% del lavoro, ma la perdita di tempo è enorme.
Per quello che mi è possibile sapere, la polizia postale sta lavorando ma i tracciamenti sono quasi impossibili, ed i moderni criminali hanno vita facile, altro che "l'acquisto a mia insaputa" ed i paradisi fiscali che vanno tanto di moda e che al confronto sembrano fatti da libri di storia.
Eh già, tra l'altro la spesa importante che ci si trova a sostenere non garantisce l'effettivo recupero dri propri dati.
Mi spiace Road
conosco la minaccia e spero di non venirne infettato. Per quante accortezze si possano avere, alla fine prima o poi ci caschi.
Io lavoro quortidianamente migliaia di righe di xls e la perdita dei dati è per me una vera ossessione. Per questo motivo quotidianamente o quasi, faccio un back up su disco esterno.
Immagino il disagio e la rabbia anche perché, trovarsi improvvisamente privo di tutto il lavoro fatto, significa trovarsi completamente nudi.
Ad ogni modo, grazie per aver condiviso l'esperienza. Dic erto servirà per tenere alta l'attenzione
Conosco bene anche io la minaccia..
qui da noi risolviamo quasi 1 caso ogni 1-2 settimane.
L'unica cosa che funziona è il backup preventivo.
Ci sono casi in cui i truffaldini non rilascino le chiavi per il recupero.
Oppure, ancora peggio, è successo che un'utente aprisse DUE volte la stessa mail.
Risultato:
quel particolare Crypto ha generato 2 processi di cifratura.
Quando l'utente ha pagato (al tempo lavoravo per un'altra ditta....) si è trovato
decriptati solo una parte dei suoi dati..quindi doppia fregatura! :facepalm2:
Road, posso solo dirti che mi dispiace tanto....... :maio:
Una domanda ( da ignorante del campo ) io pago e mi ridanno tutto il programma funzionante, ok..... la domanda è questa : Questi signori in ogni momento possono rifarmi la " truffa ", oppure posso premunirmi ed evitare il ripetersi della cosa ?
Terribile. Successe anche in ufficio dove lavoravo io precedentemente. Ci salvammo solo grazie al backup giornaliero e al lavoro certosino dei nostri IT.
Citazione di: Grand Funk il 08 Marzo, 2017, 06:03 PM
Road, posso solo dirti che mi dispiace tanto....... :maio:
Una domanda ( da ignorante del campo ) io pago e mi ridanno tutto il programma funzionante, ok..... la domanda è questa : Questi signori in ogni momento possono rifarmi la " truffa ", oppure posso premunirmi ed evitare il ripetersi della cosa ?
Se si trovano bene, ritornano ;D
Come ogni buon cliente :etvoila:
I cryptolocker usano sistemi di cifratura asimmetrica basati sull'algoritmo di cifratura RSA. È di fatto lo standard in fatto di cyber security proprio perché quasi impossibile da forzare (perlomeno finché non compariranno i primi computer quantistici), funziona utilizzando dei numeri primi molto grandi e senza la chiave privata di chi ha cifrato è praticamente impossibile decifrare i file criptati. Purtroppo ci si può fare poco, backup giornalieri se si hanno dati importanti, oppure al limite cercare di fregare il cryptolocker cambiando l'estensione dei file. Se ad esempio avete un file PDF ad esempio il file pippo.pdf cambiategli l'estensione in pippo.exe, tuttavia poi per riaprirlo dovrete nuovamente riportarlo in .pdf. La polizia postale da quando esistono i bitcoin può fare anche meno di prima è una moneta che non è possibile rintracciare sulla rete.
Incredibile !!!!!!! come questa gente disonesta purtroppo deve rimanere impunita...... viene rabbia, molta rabbia..... :angry2: :angry2: :angry2:
Citazione di: Aleter il 08 Marzo, 2017, 06:31 PM
I cryptolocker usano sistemi di cifratura asimmetrica basati sull'algoritmo di cifratura RSA. È di fatto lo standard in fatto di cyber security proprio perché quasi impossibile da forzare (perlomeno finché non compariranno i primi computer quantistici)
Abbiate pietà :scared:
Per me è già complicato trentatretrentini entrarono a Trento.... :maio:
Purtroppo è estremamente semplice, i file ci sono ma se non ti forniscono la chiave non li apri più. :nea:
Non c'è esperto che tenga.
Citazione di: Elliott il 08 Marzo, 2017, 06:38 PM
Citazione di: Aleter link=topic=9409.msg235946#msg235946 date=148899431
Abbiate pietà :scared:
Per me è già complicato trentatretrentini entrarono a Trento.... :maio:
/quote]
Elliott era solo per cercare di spiegare in due parole cosa fa un cryptolocker non volevo creare paura o confusione :etvoila:
Citazione di: Aleter il 08 Marzo, 2017, 06:50 PM
Citazione di: Elliott il 08 Marzo, 2017, 06:38 PM
Citazione di: Aleter link=topic=9409.msg235946#msg235946 date=148899431
Abbiate pietà :scared:
Per me è già complicato trentatretrentini entrarono a Trento.... :maio:
/quote]
Elliott era solo per cercare di spiegare in due parole cosa fa un cryptolocker non volevo creare paura o confusione :etvoila:
Ed il mio voleva essere un ironico apprezzamento per per i tuoi interventi sempre interessantissimi e colmi di "sapere" reale e concreto :thanks:
Sono sempre affascinato dai tuoi post ::)
Grazie della solidarietà e grazie ad Ale per la spiegazione, i metodi per difendersi ci sono, un buon anti malawere, un buon antivirus insieme all'accortezza dell'utente possono combattere queste cose.
E' passato anche da noi qualche settimana fa e se non fosse stato per il back up sarebbero stati guai seri.
Per fortuna abbiamo perso "solo" un paio di giorni di dati.
Citazione di: Road2k il 08 Marzo, 2017, 07:34 PM
Grazie della solidarietà e grazie ad Ale per la spiegazione, i metodi per difendersi ci sono, un buon anti malawere, un buon antivirus insieme all'accortezza dell'utente possono combattere queste cose.
Eh no, purtroppo antimalware e antivirus non funzionano in questi casi.
È solo questione di accortezza
Già
Fatemi capire, per evitare basta non aprire il file Excel che ti arriva via mail?
Arriva sotto molti formati diffusi e spesso il mittente è un nostro contatto abituale.
Cmq evitando di aprire l'allegato il collegamento al contatto che lancia la criptazione è evitato.
Credo che come veicolo di contagio vengano utilizzati tutti i tipi di file che possono essere allegati ad un messaggio di posta elettronica.
Aspe, ma può anche essere un file di altri formati oppure è sempre un Excel?
Anche altri formati, appunto tra i più diffusi.
Citazione di: Max Maz il 08 Marzo, 2017, 09:25 PM
Arriva sotto molti formati diffusi e spesso il mittente è un nostro contatto abituale.
Cmq evitando di aprire l'allegato il collegamento al contatto che lancia la criptazione è evitato.
Benissimo. La mia antisocialità è il miglior antimalware possibile :laughing:
Citazione di: Max Maz il 08 Marzo, 2017, 09:29 PM
Anche altri formati, appunto tra i più diffusi.
Esatto, anche zip..ecc
alla fine il massimo che possono farti sti tizi è "metterti delle trappole" ma finchè la "vittima non ci casca" non posso fare niente, comunque, si assolutamente backup frequenti, e attenzioni agli allegati
Non so se sia efficace, cmq Malwarebytes ha un opzione AntiRamsomware!!!!!
Ed io sono sempre in ufficio a smanettare!!!! :maio: In compenso ho quasi risistemato tutto!!! :sisi:
Citazione di: Road2k il 08 Marzo, 2017, 05:34 PM
Spero che non sappiate di cosa si parla se non per lavoro, probabilmente Maicol sa di cosa si tratta.
Cmq, nel mio caso è un malweare nascosto in un foglio excel che malaguratamente è stato aperto dal pc dell'amministrazione, non sto a descrivere troppi dettagli, ma ha criptato con chiave asincrona file mirati tipo .doc, .pdf, .jpg, .xls..... insomma tutto quello che si produce in un ufficio, inoltre ha colpito file che impediscono l'esecuzione di programmi, anche se il sistema gira regolarmente, in questo caso W8.
Cosa succede, all'avvio di qualche applicazione o all'apertura di cartelle appare un file di testo o una pagina .htm, dove ci confermano l'avvenuta infezione e che per decriptare i file e tornare alla situazione originale dobbiamo pagare, poi ci sono le istruzioni per pagare riscatto.
L'antivirus, in questo caso Avast, non ha rilevato nulla, probabilmente perchè non si tratta tecnicamente di un virus.
Sinceramente ho pensato alle solite minacce e bufale che si trovano sul web e sono andato ad approfondire e.... purtroppo, non è così.
Questo malware esiste da più di un annetto e la chiave con cui cripta i file è impossibile da decriptare, quindi la soluzione è: avere un backup recente, perdere tutto o pagare.
Conosco, ma non sapevo delle infezioni fino ad oggi, personalmente, due situazioni di contagio e conseguente formattazione e una persona, che, facendo un lavoro importante non si poteva permettere di perdere tempo e file, che ha pagato diverse migliaia di euro (bruscolini per lui) per riavere tutti i file infettati sul suo server, chi gli gestiva i bu li memorizzava su un'altro HD..... dello stesso server :facepalm2:!!!
Dopo il pagamento i file sono stati ripristinati e tutto è tornato come prima.
Il pagamento avviene in bitcoin, le istruzioni sono su un sito web indicato e, se eventualmente non funzionasse, (vengono bloccati continuamente) si utilizza il browser TOR (The Onion Router) per navigare nel deep web, un web non indicizzato e invisibile ai normali navigatori dove impunemente avvengono traffici di ogni tipo.
Chi ha pagato ha puntualmente riavuto tutti i file.
Di "positivo", se quest'aspetto può essere considerato positivo, c'è il fatto che mi si è aperto un mondo nuovo che non conoscevo, e non è necessariamente un bel mondo, ed io pensavo di essere un utente avanzato o un buon conoscitore della rete, navigando dall'epoca delle BBS.
Fortunatamente ho un BU, non recentissimo ma sufficiente a recuperare il 95% del lavoro, ma la perdita di tempo è enorme.
Per quello che mi è possibile sapere, la polizia postale sta lavorando ma i tracciamenti sono quasi impossibili, ed i moderni criminali hanno vita facile, altro che "l'acquisto a mia insaputa" ed i paradisi fiscali che vanno tanto di moda e che al confronto sembrano fatti da libri di storia.
Cosa purtroppo non vera temo :(
Sto molto attento nell'aprire mail che non mi aspetto,ho già backup su diversi hd,ma domani un bu preventivo degli ultimi dati...lo faccio sicuro [emoji102] ,thanks Road per la condivisione della negativa esperienza.
Inoltre è aggressivo perché si diffonde anche su tutto ciò che può raggiungere in rete per cui fa evitare cartelle condivise, aree di storage senza password, ecc. Da fare attenzione se avete macchine virtuali Windows su Linux perché da Windows potrebbe crittografare i file condivisi.inoltre cripta tutti i dischi anche removibili che sono attaccati. L'arma migliore è l'attenzione dell'utente e backup.... a proposito forse oggi è il caso che lo faccia..... dimenticavo poi ci vuole anche fortuna
per mia ENORME sfortuna ho aperto un allegato zip arrivato tramite PEC(da una pec verificata naturalmente, con la signature registrata e verificata) e mi sono ritrovato il computer criptato. Sfortunatamente il crypt0 è arrivato anche al NAS e addio backup. Ho risolto tramite una società specializzata openfile.it se ti può interessare
Citazione di: robertog il 09 Marzo, 2017, 06:23 PM
per mia ENORME sfortuna ho aperto un allegato zip arrivato tramite PEC(da una pec verificata naturalmente, con la signature registrata e verificata) e mi sono ritrovato il computer criptato. Sfortunatamente il crypt0 è arrivato anche al NAS e addio backup. Ho risolto tramite una società specializzata openfile.it se ti può interessare
Brutta storia.
Alcuni Crypto criptano anche i file .tib (Acronis Backup).
E questa è ancora più una brutta cosa perché, almeno inizialmente, questa estensione non veniva toccata e i backup (immagini) rimanevano intatte
Citazione di: Raffus il 08 Marzo, 2017, 09:26 PM
Aspe, ma può anche essere un file di altri formati oppure è sempre un Excel?
Anche altri formati, ma basta non aprirli.
Anti-ransomware et simila fanno qualcosa, ma l'arma più potente che abbiamo contro queste minacce è
1) fare sempre attenzione a cosa apriamo (mittente, estensioni dei file ecc)
2) backup settimanali sui nostri computer casalinghi e giornalieri su quelli di lavoro (io faccio backup istantaneo di ogni cosa che produco a lavoro e per le cose più sensibili utilizzo in pc da battaglia sconnesso dalla rete: sono maniacale)
3) occhio alle periferiche che usiamo
I peggiori cyber-incidents della storia sono nati da errori umani (chiavette usb usate imprudentemente, allegati di mail sospette aperte per distrazione), non da intrusioni stile matrix [emoji6][emoji6][emoji6]
Il miglior sistema di sicurezza non vale niente se si commettono errori nei 3 punti sopra [emoji6][emoji6][emoji6]
PS: Io non sono assolutamente un tecnico (anche se son sempre stato smanettone) ma per lavoro mi occupo di cybersecurity e data protection, quindi conosco bene il campo [emoji6]
Come dicevo backup su Nas non va perché attacca la rete
Citazione di: robertog il 09 Marzo, 2017, 06:23 PM
per mia ENORME sfortuna ho aperto un allegato zip arrivato tramite PEC(da una pec verificata naturalmente, con la signature registrata e verificata) e mi sono ritrovato il computer criptato. Sfortunatamente il crypt0 è arrivato anche al NAS e addio backup. Ho risolto tramite una società specializzata openfile.it se ti può interessare
Apperò Roberto!!!!!
Piuttosto curioso che ci siano società in grado di risolvere. :-\
e non stai tranquillo nemmeno con Linux.... anche se lì qualche cosina in più si può fare
https://www.servermanaged.it/sicurezza/linux-encoder-1-ransomware/ (https://www.servermanaged.it/sicurezza/linux-encoder-1-ransomware/)
Citazione di: Max Maz il 09 Marzo, 2017, 07:37 PM
Piuttosto curioso che ci siano società in grado di risolvere. :-\
Spesso si basano su falle nella "generazione" della chiave, infatti alcuni sono recuperabili altri no.
Il solito Aranzulla pare abbia una soluzione...
https://www.aranzulla.it/come-rimuovere-cryptolocker-952194.html
Io che non uso Windows (a casa, se non per mia moglie qualche volta) ma Mac, sono in teoria salvo. Ho letto che attacca solo windows, forse linux.
Citazione di: Raffus il 10 Marzo, 2017, 01:27 PM
Il solito Aranzulla pare abbia una soluzione...
Come rimuovere CryptoLocker | Salvatore Aranzulla (https://www.aranzulla.it/come-rimuovere-cryptolocker-952194.html)
Io che non uso Windows (a casa, se non per mia moglie qualche volta) ma Mac, sono in teoria salvo. Ho letto che attacca solo windows, forse linux.
Il problema non è rimuovere il virus, ma recuperare i dati, la soluzione di Anzarulla fa riferimento ad una specifica versione di ransomware e non è adatta al mio caso.
Anch'io ho MAC e non dovrebbe essere contagiabile, mentre linux si.
Linux ben configurato no perché il virus ha necessità dei privilegi di rito. Mac, se ricordo bene, è basato su bsd di fatto uno unix. Bsd è molto solido e poco diffuso se non in alcuni server.