Posted on Lascia un commento

Contro i Cryptovirus

Il cryptovirus o ransomware (ransom = riscatto) può arrivare nei nostri computer. Poco importa quanto siamo formati nel riconoscere email sospette. Qualche volta siamo stanchi, distratti ed il nostro livello di attenzione si abbassa. “Loro” sono sempre più furbi e bravi nel farci sbagliare. Apriamo degli allegati che non dovremmo aprire. A questo punto il danno è fatto. Il virus crypta un file alla volta molto velocemente : abbiamo stimato che riesce a criptare 10.000 file in 30 minuti. Dopo aver criptato i file del vostro computer, comincia a criptare i file di tutte le cartelle di rete in cui riesce ad entrare: i server o i computer dei vostri colleghi. I danni possono essere incalcolabili. Secondo la nostra esperienza non esiste antivirus che possa contrastarlo. Quando il virus comincia a cryptare i vostri file non vi accorgete di niente sino a che non è troppo tardi, quando tutto è finito : il virus si manifesta cambiando l’immagine del vostro desktop con un messaggio : “Tutti i vostri file sono cryptati. Se volete riaverli dovete pagare un riscatto”.

Se ci fossimo accorti dell’infezione una volta che questa è partita avremmo sicuramente perso qualcosa ma avremmo potuto limitare i danni.

Partendo da queste considerazioni abbiamo creato un programma molto semplice che controlla il contenuto delle vostre cartelle personali e vi avverte tramite email se il virus ne sta modificando il contenuto. L’ alert può essere inviato solo a voi o contemporaneamente ad altri indirizzi email. Una volta ricevuto il messaggio, spegnete a caldo il computer spingendo il pulsante di accensione : meglio rischiare di rompere l’alimentatore che con pochi euro può essere sostituito piuttosto che perdere tutti i vostri file.

Il programma è completamente gratuito è potete scaricarlo qui : MECDATA DAWN OF JUSTICE. La nostra risposta ai CryptoVirus.

Una volta installato, lanciatelo. Il programma vi chiederà, la configurazione. L’unica cosa che dovete inserire è la lista degli indirizzi email che dovrete allertare in caso di infezione.

A questo punto il programma parte e potete vedere l’icona sulla barra delle applicazioni in basso. Tramite questa icona potete entrare di nuovo nella configurazione per aggiungere o modificare gli indirizzi email.

Per gli amanti delle prestazioni, Il programma occupa 18 Mb di RAM in esecuzione e non impatta sul processore. Non funziona su Windows Xp.

Francamente vi auguriamo che non vi sia utile, ma se lo fosse, negli ultimi test il programma ha rilevato l’infezione solo 2 minuti dopo l’inizio della stessa.

Vi suggeriamo di installarlo. Non risolve, ma migliora.


I nostri ulteriori consigli

  • Non aprire gli allegati da email da sconosciuti, sopratutto se non sono mail che ti aspetti
  • Non disabilitare il blocco di macro di prodotti come Microsoft Word o Excel
  • Fare il backup dei file regolarmente
  • Fare il backup in cloud
  • Non creare condivisioni di file e cartelle con permessi per ‘Everyone’
  • Condividere le cartelle solo agli utenti o gruppi strettamente necessari

 

Posted on Lascia un commento

Attaccati dallo Zepto Locker Virus

Stamani un nostro cliente ci ha chiamati segnalando una sequenza di anomalie nel suo computer. Immediatamente gli abbiamo intimato di spegnere il computer “brutalmente”.

Il computer è stato infettato dal virus Zepto. L’infezione è partita alle 11.40 e si è conclusa alle 12.00 nel momento in cui l’utente ha spento. In questo lasso di tempo il virus ha criptato decine di migliaia di file nel computer ospite e in giro per la rete aziendale.

Il virus ha creato una copia di ciascun file su cui poteva agire in scrittura secondo i permessi dell’utente la cui sessione è stata infettata. Terminata la copia di tutta la cartella, ha cancellato il file originale. Il virus sembra agire in multitasking perché i tempi di creazione dei file criptati sono gli stessi su diverse cartelle. Il risultato dell’azione ha portato alla cancellazione dei file sul computer dell’utente mentre sulle cartelle di rete nessun file è stato cancellato. Tutto questo potrebbe indicarci la struttura dell’algoritmo. Ecco di seguito la nostra ipotesi :

kryptolocker1.png

Effetti del virus

Il virus ha compromesso irrimediabilmente l’ambiente dell’utente sul computer attaccato. L’ambiente è stato ripristinato tramite un utente locale con permessi amministrativi con il veloce recupero delle impostazioni di active directory. L’utente non ha perso alcun file perché avevamo attivato la remotizzazione della cartella documenti : la cartella documenti è quindi ospitata su server e sincronizzata solo su determinati eventi. La posta è stata immediatamente ripristinata perché è stato utilizzato il nostro servizio IMAP. dedicato. Come abbiamo anticipato il virus non ha avuto il tempo di cancellare i file condivisi su server, lasciandoci solo una gran sporcizia (i nuovi file criptati) eliminata in fretta. Comunque, se fosse riuscito ad agire, immaginate una attacco nel weekend, i dati aziendali non sarebbero stati compromessi perché è sempre attivo un backup remoto con il nostro Cloud.

Questa esperienza conferma i nostri consigli contro i crypto virus:

  1. Il fattore temporale risulta quindi determinante per arginare il problema, almeno sulla rete : meglio spegnere a caldo il computer in maniera non corretta rischiando uno sbalzo repentino di tensione a qualche componente elettronico, piuttosto che avere una perdita di dati.
  2. Il virus agisce sul computer attaccato solo sull’utente infettato. Il nostro consiglio è banalmente quello di avere su ciascun computer un utente locale amministratore non usato da alcuno. Questo utente potrà ripristinare il computer. Ragionare bene sui permessi che si concedono agli utenti.
  3. Le cartelle di rete sui server devono essere condivise solo con gli utenti strettamente necessari e solo con permessi strettamente necessari. Usate le Group policy di active directory per eseguire questa procedura in modo agevole.
  4. Dovete sempre avere un backup non in linea dei vostri dati su nastro o su Cloud. Ricordate che inserire i dati sulle cartelle condivise con i più noti programmi di cloud storage per utente non serve : essi generano una cartella sui vostri devices uguale a qualsiasi altra cartella.
  5. Gli antivirus non sono sempre efficaci contro i cryptovirus. Esistono programmi che rivelano l’azione del virus durante l’attacco. Comunque sia, tutti questi programmi possono essere installati  solo su un sistema operativo aggiornato. Il nostro utente usava un computer con Windows Xp e quindi non aveva potuto installare il nostro software free Mecdata Dawn Of Justice , con cui si sarebbe potuto accorgere dell’infezione 10 secondi dopo la prima cancellazione.