Reti locali
 

[un po' OT] Ransomware

EppoCiap 18 Feb 2015 10:04
Ciao a tutti, premetto che sono alle prime armi.
So che è un po' off topic, ma sicuramente molti lan administrator
avranno avuto a che fare con cryptolocker e i suoi fratelli...
Io so per certo che gli antivirus mse e avg (free) non lo fermano.
Una strategia "certa" di blocco non l'ho afferrata, nonostante abbia
letto di tutto e di più in rete.
Chi parla di antivirus (ma quali??), chi di opendns, chi di strani
software a pagamento che lo bloccherebbero, chi di firewall (ma questi
ultimi che c'entrano? E chi dovrei bloccare?)
Domanda: chi ferma questi virus per impedire che li prenda l'utOnto ?
Ci sarà una strategia (a livello di impostazioni del SO, ma anche a
livello di configurazione della lan) che evita il propagarsi
dell'infezione, specie nei percorsi mappati...altrimenti come fanno
banche, asl, enti, ecc ?
Grazie a chi vorrà rispondermi!
writethem 18 Feb 2015 10:20
> So che è un po' off topic, ma sicuramente molti lan administrator
> avranno avuto a che fare con cryptolocker e i suoi fratelli...
> Io so per certo che gli antivirus mse e avg (free) non lo fermano.
> Una strategia "certa" di blocco non l'ho afferrata, nonostante abbia
> letto di tutto e di più in rete.
> Chi parla di antivirus (ma quali??), chi di opendns, chi di strani
> software a pagamento che lo bloccherebbero, chi di firewall (ma questi
> ultimi che c'entrano? E chi dovrei bloccare?)
> Domanda: chi ferma questi virus per impedire che li prenda l'utOnto ?
> Ci sarà una strategia (a livello di impostazioni del SO, ma anche a
> livello di configurazione della lan) che evita il propagarsi
> dell'infezione, specie nei percorsi mappati...altrimenti come fanno
> banche, asl, enti, ecc ?


In genere gli antivirus lo bloccano (dipende da caso a caso, insomma),
dopodichè una strategia comune sui mailserver, affinchè gli allegati
eseguibili vengano eliminati io la trovo sempre una cosa buona e giusta.
A tal proposito ho notato che in molte varianti viene propagato tramite
i ******* scr e l'utilizzo di un endpoint protection aiuta a bloccare
l'esecuzione di alcuni allegati, a prescindere dal contenuto malevolo o
meno. In genere l'antivirus costa X e la versione con "endpoint" costa
X+30%, quindi potrebbe essere un investimento che varrebbe la pena fare.

Ad oggi non ho avuto modo di vedere la variante in grado di
crittografare i ******* nei percorsi di rete, anche mappati (si sono
fermati tutti al locale). E qualora dovesse accadere, le shadow copy
(oltre ai classici backup, ovviamente) risolvono il problema in maniera
davvero rapida. A patto di pianificarne l'esecuzione (che avviene in un
attimo, non è impegnativa anche su fileserver carichi) ogni paio d'ore.

Restano valide le regole fondamentali, nelle aziende (e non solo) gli
utenti non dovrebbero essere amministratori e dovrebbero avere accesso
solo a risorse e sezioni strettamente indispensabili. Se ad un
magazziniere consenti la scrittura sui ******* amministrativi, la colpa non
è del virus, ma di chi ha lasciato le maglie "troppo aperte".
Mirko Borsari 18 Feb 2015 11:59
Il Wed, 18 Feb 2015 10:04:26 +0100, EppoCiap ha scritto:

> Ciao a tutti, premetto che sono alle prime armi.
> So che è un po' off topic, ma sicuramente molti lan administrator
> avranno avuto a che fare con cryptolocker e i suoi fratelli...
> Io so per certo che gli antivirus mse e avg (free) non lo fermano.
> Una strategia "certa" di blocco non l'ho afferrata, nonostante abbia
> letto di tutto e di più in rete.

certa non so se lo è, di sicuro è un po' strong come soluzione, ma
vale anche per i client già infetti: bloccare l'esecuzione di ******* dalle
varie appdata dell'OS

> Chi parla di antivirus (ma quali??), chi di opendns, chi di strani

io uso NOD32 in alcune aziende e lo riconosce...

> software a pagamento che lo bloccherebbero, chi di firewall (ma questi
> ultimi che c'entrano? E chi dovrei bloccare?)

Il firewall ormai fa anche il caffè... anche questo contribuisce a
limitare determinati eventi.

> Domanda: chi ferma questi virus per impedire che li prenda l'utOnto ?
> Ci sarà una strategia (a livello di impostazioni del SO, ma anche a
> livello di configurazione della lan) che evita il propagarsi
> dell'infezione, specie nei percorsi mappati...altrimenti come fanno
> banche, asl, enti, ecc ?

bhe sicuramente le ACL limitano un po'... l'uso di utenti non admin...
e sperare nella testa dell'utente!


--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Beppe 18 Feb 2015 15:16
On 18/02/2015 10:20, writethem wrote:
>
>> So che è un po' off topic, ma sicuramente molti lan administrator
>> avranno avuto a che fare con cryptolocker e i suoi fratelli...
>> Io so per certo che gli antivirus mse e avg (free) non lo fermano.
>> Una strategia "certa" di blocco non l'ho afferrata, nonostante abbia
>> letto di tutto e di più in rete.
>> Chi parla di antivirus (ma quali??), chi di opendns, chi di strani
>> software a pagamento che lo bloccherebbero, chi di firewall (ma questi
>> ultimi che c'entrano? E chi dovrei bloccare?)
>> Domanda: chi ferma questi virus per impedire che li prenda l'utOnto ?
>> Ci sarà una strategia (a livello di impostazioni del SO, ma anche a
>> livello di configurazione della lan) che evita il propagarsi
>> dell'infezione, specie nei percorsi mappati...altrimenti come fanno
>> banche, asl, enti, ecc ?
>
>
> In genere gli antivirus lo bloccano (dipende da caso a caso, insomma),
> dopodichè una strategia comune sui mailserver, affinchè gli allegati
> eseguibili vengano eliminati io la trovo sempre una cosa buona e giusta.
> A tal proposito ho notato che in molte varianti viene propagato tramite
> i ******* scr e l'utilizzo di un endpoint protection aiuta a bloccare
> l'esecuzione di alcuni allegati, a prescindere dal contenuto malevolo o
> meno. In genere l'antivirus costa X e la versione con "endpoint" costa
> X+30%, quindi potrebbe essere un investimento che varrebbe la pena fare.
>

Ieri è capitato qui in azienda. Il problema era che è arrivato come
fishing camuffato da richiesta sblocco spedizione SDA. Cliccavi sul link
e ti portava ad una pagina che aveva come dominio di secondo livello SDA
e di primo non mi ricordo. Li ti faceva scaricare una app (un ******* exe
zippato).
Ora chi ci è cascato è anche uno dei soci, che ha accesso a tutti i *******
amministrativi e commerciali. Lui non ha diritti di amministratore di
rete ma tutte le cartelle che può vedere sono state criptate.
L'antivirus ms sembra averlo fermato anche se con molto ritardo (dopo
aver fato partire una scansione completa). Comunque in 15 minuti che è
rimasto connesso ha fatto un bel *******
Per fortuna ripristinato tutto ad un back up precedente (meno di 1
giorno) e *******
L'unico problema è come arginare tali utenti: esiste un sistema per
impedire che eseguano qualsivoglia exe che non sia stato precedentemente
installato da un amministratore?

> Ad oggi non ho avuto modo di vedere la variante in grado di
> crittografare i ******* nei percorsi di rete, anche mappati (si sono
> fermati tutti al locale). E qualora dovesse accadere, le shadow copy
> (oltre ai classici backup, ovviamente) risolvono il problema in maniera
> davvero rapida. A patto di pianificarne l'esecuzione (che avviene in un
> attimo, non è impegnativa anche su fileserver carichi) ogni paio d'ore.
>
> Restano valide le regole fondamentali, nelle aziende (e non solo) gli
> utenti non dovrebbero essere amministratori e dovrebbero avere accesso
> solo a risorse e sezioni strettamente indispensabili. Se ad un
> magazziniere consenti la scrittura sui ******* amministrativi, la colpa non
> è del virus, ma di chi ha lasciato le maglie "troppo aperte".


--
La fatica fisica appaga lo spirito ed avvicina alla saggezza. Solo
soffrendo acquisisci la forza morale che scaturisce dall'autodominio.

--- news://freenews.netfront.net/ - complaints: news@netfront.net ---
LC 19 Feb 2015 01:11
On 18/02/2015 11.59, Mirko Borsari wrote:
> e sperare nella testa dell'utente!
>
>
dalle nostre parti si dice "Hai visto un film alla ra*****".

:-(

--
Luca
http://www.civinini.net

"Unix is simple. It just takes a genius to understand its simplicity." -
Dennis Ritchie
Renaissance 20 Feb 2015 17:03
Beppe wrote:

> L'unico problema è come arginare tali utenti: esiste un sistema per
> impedire che eseguano qualsivoglia exe che non sia stato precedentemente
> installato da un amministratore?

Hai voglia. :-) Policies locali e/o di dominio AD. ;-)

bye G.L.
--
Da i.d.c.tutela:
P.S. Quando ci sarà lo switch-off, avrò problemi anche col
monitor del PC? Ho visto che è collegato in modalità *****ogica.
Renaissance 20 Feb 2015 17:07
Mirko Borsari wrote:

>>Chi parla di antivirus (ma quali??), chi di opendns, chi di strani

> io uso NOD32 in alcune aziende e lo riconosce...

Sai qual'e' il problema? Che i primi due giorni (virustotal docet)
lo riconoscevano solo 5 antivirus/antimalware, e non erano dei
piu' noti... Il giorno dopo la quota era 19/56. Il giorno dopo
ancora era 45/56.
Nel mentre che le firme dei vari AV non erano state adeguate per
riconoscere l'ultima variante, il danno era gia' molto esteso...

bye G.L.
--
Da i.d.c.tutela:
P.S. Quando ci sarà lo switch-off, avrò problemi anche col
monitor del PC? Ho visto che è collegato in modalità *****ogica.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.