Cryptolocker

[Apelle]

cryptolocker e varianti

What's that?

[Filippo]

https://it.wikipedia.org/wiki/CryptoLocker

[Apelle]

Ah ecco, capito.

Allora sapevo cos'è ma non lo collegavo al nome.


Se ho capito bene, ci si infetta sempre con il solito, vecchio e ritrito modo: aprendo un allegato da mail sconosciuta.

Quindi, anche a giudicare dai più che pressanti impegni del Bigghe nei confronti di così tante macchine infettate... la domanda sorge spontanea?

Ma come si fa a fare un errore così scemo?
Ormai lo sa anche Carmilla, andiamo! 

Oppure c'è dell'altro ed esistono vie più insidiose, indipendenti dalla volontà del utente del pc?

Bigghe?

[Filippo]

Non conosco il caso specifico, ma mi sembra che alcuni virus si spediscano dal computer infetto utilizzando la rubrica presente nel pc. Quindi tu ricevi una mail da qualcuno "conosciuto"

[federosso]

purtroppo Carmilla non lo sa... 
Ma lei al momento è esentata da questa incombenza. 
E il tablet piange...

Ma, ci credete al destino?!

Storiella ... fresca, fresca.

Oggi leggo il post di bigghe in cui parla di questo "CryptoLocker".
Mi diverte il post ma do poca attenzione al nome della minaccia.

qualche decina di minuti dopo che l'ho letto (considerate che lavoro in un open space) il titolare se ne esce con:
"ma che c--a--z--z--o voglio sti scemi dell'ENEL? 700 euro di bolletta?!?! ..."
Noi: "ma se non siamo neppure con loro!!!"
Lui: "infatti...sti s--t--r--o--n--z--..."
Poi il silenzio per qualche decina di secondi.
e poi: "che cavolo è sta finestra?! un certo CryptoLocker mi chiede soldi per decriptare i files..."

I neuroni nel mio cervellino mi dicono che quel nome non mi è nuovo... riapro il post di Bigghe...
Ma certo, ecco a cosa si riferiva!

Apelle, tu ti chiedi come si fa a cascarci ancora...


Il problema è che non ho idea se sto coso ha fatto danni o meno.
C'era attivo l'antivirus, ma il fatto che lo abbia aperto non so cosa comporta.

La finestra del CryptoLocker non si chiudeva.
Abbiamo fatto una scansione con l'antivirus, e poi riavviato il sistema.
e rifatto di nuovo una scansione.
L'antivirus non ha rilevato niente e il computer pare aver funzionato senza intoppi.

Speriamo si sia concluso tutto lì!

Per inciso, la mail era abbastanza chiaramente una mail che non poteva arrivare dall'ENEL.

[Filippo]

Spero per voi che abbiate delle copie di backup

[federosso]

ma eventuali problemi con i files nn dovevano presentarsi subito?

no, di quel computer nessun beckup recente... almeno da un mese.

[bigbore]

e anche stasera si faranno le ore piccole 
Non riesco a stare dietro a tutta la marea montante di macchine appestate e dati più o meno importanti sequestrati;  oltre ai miei clienti si aggiungono anche i disperati che hanno perso tutte le foto, i film i documenti ecc ecc finiti criptati. Mi spiace mandarli via tutti questi "pellegrini verso Lourdes" ma davvero non posso stare sotto le 5 ore di sonno per notte... ed è gia più di un mese che si va avanti così, ma che dico?! sarà statà metà ottobre che questo casino ha iniziato ap resentarsi in modo sistematico 
Unico svago rimastomi è abbattere alberi ma solo perchè era emergenza pure quello....

Mentre scrivo questo post stò seguendo 5PC da mondare per domani e ne restano altri a decine da ripulire oltre al casino di ripristinare da backup (quando c'è) il ripristinabile e recuperare il recuperabile.
Infatti per bene che vada qualcosa lo perdi di sicuro ma sempre meglio che perdere tutto come perlatro è già successo a più di un disgraziato.
Qualcuno paga il riscatto (ovvero ransom dal quale deriva il termine ransomware) e NON riceve la chiave di decrittazione (cornuto e mazziato), altri la ricevono ma sostanzialmente fanno il gioco di quei delinquenti confermando la remuneratività della strategia e quindi perpetuando il casino.
La mia policy è di nemmeno prendere in considerazione la ipotesi di pagare.
Uno appestato mi ha chiesto di intervenire, gli ho prospettato tempi, modalità e costi e ha deciso che gli costava meno e faceva prima a pagare il riscatto. Così ha fatto e assieme alla chiave di decrittazione gli hanno anche cortesemente mandato l'allegato infetto così dopo due giorni era daccapo  uno studio di ingegneria  dei veri geni 
Mi hanno cercato di nuovo ma ho detto loro che stavolta dovranno aspettare e mettersi in coda.... sorry!


Comunque è importante agire tempestivamente perchè se è attivo il ransomware in poco tempo può criptare tutto non solo localmente sulla macchina appestata ma anche sulle altre connesse a vario titolo sulla rete, vale a dire server, NAS altri PC ecc ecc
Con gli attuali PC dotati di ottime capacità di calcolo, può finire criptato agevolmente decine di Gb all'ora.
Per sincerarsi della assenza di ransomware attivi conviene usare il tool gratuito di https://it.malwarebytes.org/ che elimina il virus. Poi ovviamente conviene fare una scansione completa usando più tools di controllo come Kaspersky rescue Cd e/o Eset rescue CD e/o Avira rescue CD.
isolare il o i PC appestati distaccando il cavo di rete e spegnendo server e NAS presenti sul network al fine di interrompere la criptazione
Usare poi shadow explorer per estrarre le copie "nascoste" dei file in modo da pote recuperare i file criptati alla situazione precedente antecriptazione. Se si ha un po di fortuna si riesce a ripristinare a una condizione "quo ante" dei propri file.
Ovviamente tutto questo richiede molte ore di lavoro, facilmente una giornata per PC ma piuttosto di perdere i propri archivi....
L'unica sicurezza vera è un backup regolare e messo su un dispositivo che venga collegato solo al momento del backup, poi distaccato e messo al sicuro, tipicamente un HD esterno da 1-2 TB e magari pure due dischi esterni sui quali mettere il backup a giorni alterni e mantenere più giorni di backup cosicche se proprio ci scappa la criptazione possiamo tornare indietro per più di un passo; perchè non è la prima volta che uno fa scrupolosamente il backup ma di una situazione già compromessa.

[Apelle]

Non conosco il caso specifico, ma mi sembra che alcuni virus si spediscano dal computer infetto utilizzando la rubrica presente nel pc. Quindi tu ricevi una mail da qualcuno "conosciuto"

Beh, questo è il sistema di infezione più classico e vecchio della storia, lo conoscono anche i bambini (tranne Carmilla!!!  )

Quindi vuoi dire che siamo ancora alla cretinata di farsi fregare dalle mail farlocche con l'allegato?

Come si fa a cascarci ANCORA?

[federosso]

Apelle, io fino a ieri, avrei detto come te...

e adesso son preoccupato.

Ieri dopo il riavvio della macchina su cui era avvenuto il problema , e dopo la scansione con l'antivirus che era comunque attivo, abbiamo proseguito a lavorare per il resto della giornata senza intoppi.

Senza rallentamenti o niente che facesse pensare che qualcosa stesse procedendo.

Non conoscendone la "potenza" ho dato per scontato che fosse qualcosa di leggero e solo intimidatorio.

Domanda: ma i pagamenti non sono tracciabili?! la polizia postale non può niente?

Sto amndando in questo momento un messaggio ai colleghi perchè appena arrivano in studio stacchino e spengano il nas e lascino il resto spendo.

Purtroppo i pc si spengono ma il nas resta acceso sempre.

Speriamo... e siamo pure pieni di lavoro in questi giorni!

Apelle, ripeto...anche io avrei detto come te...

[federosso]

Aggiungo:

ma se il nas ha un SO diverso da windows resta vulnerabile?

[bigbore]

dormito male?

il virus che è un software, viene eseguito su una macchina in grado di eseguirlo, il NAS pur avendo un sistema operativo diverso NON esegue il virus ma è vulnerabile perchè una macchina della rete locale con il virus accede ai file sul NAS e li cripta come pure ogni altra risorsa in termini di file accessibile alla macchina appestata sulla rete locale.

Isola le macchine staccando il cavo di rete, scaricati MBAM (malwarebytes) buttalo su un pendrive, installalo e fagli fare una scansione. Ripeti per tutte le macchine collegata alla rete locale portando il file con il pendrive.
Se tutto è pulito solo allora ricollega i cavi di rete. Poi fai una scansione da una macchina pulita o ripulita dei file sul NAS perchè se ti scappa un file infetto non importa dove, verrà eseguito da un PC e si ricomincia coi guai

[federosso]

si. ma perché carmilla ha vomitato.... piccola.

riguardo al problema invece l'ho letto solo stamani.

e alle 7 è partito msg di avviso a tutti i colleghi: chi primo arriva nn accenda niente e spenga il nas.
io invece mi sto portando dietro il fido portatile casalingo e una manciata di pen drive.

ti leggo nel pensierooooooo   

[Apelle]

Apelle, io fino a ieri, avrei detto come te...

e adesso son preoccupato.

E ci credo, cavoli.

Ma quello che io sto domandando, in sostanza, è se tu debba preoccuparti ANCHE per avere un titolare idiota, che casca come un imbecille nelle più tradizionali trappole informatiche note anche ai minorati mentali, oppure se c'è qualche altro sistema più subdolo con cui Cryptolocker possa installarsi.

Aldo?

[CFASD]

E' lo stesso mio problema, che i vai PC, nonstante gli avvisi di prestare attenzione a quello e quell'altro, poi li usano alla catzum e fan disastri aprendo e scaricando di ogni...

BIGGHE: sto scannando il sistema con prg free MALVAREBYTES, e già una 40 files sospetti, i più riportanti POP, mi pare poi un file di donna poco di buono, e altri amenicoli... ma sta ancora macinando...
alla fine del tutto mi fa la pulizia o devo procedere diversamente? E quello è solo il portatile "comune"...
TKY