Informazioni personali

Cerca nel blog

Translate

mercoledì 26 novembre 2014

Attenzione! run di attacchi ransomware in Italia

Sono già due giorni che ricevo notifiche di aziende e soggetti colpiti da diverse versioni di Kryptoloker ed altri ransomware.

Malware logo Crystal 128.
Malware logo Crystal 128. (Photo credit: Wikipedia)

Evidentemente c’è una recrudescenza di questi attacchi nel nostro paese in questi giorni. Alcune versioni sono rimaste “undetected” anche dai maggiori antivirus che stanno provvedendo a emettere patch specifiche (kudos a Sophos per la rapidità ed efficienza di intervento in un caso da me incontrato).

Per i non addetti al settore, questi malware si installano in macchine ospiti infettate ed iniziano a procedere alla encryption di documenti, files e cartelle.

Se la macchina ha accesso a share remoti anche questi possono essere criptati. Per poter procedere poi al ripristino delle risorse spesso viene richiesto un “riscatto” da qui il termine ramsonware, solitamente via wiretransfert (bonifico) o monete virtuali come bitcoin.

Nel caso siate  stati soggetto di attacco vi suggerisco di agire rapidamente:

1) isolate la macchina infetta dalla rete, se in ambiente AD toglietela anche dal dominio

2) informate i vostro vendor antivirus dell’avvenuto attacco, nel caso l’antivirus non abbia ancora identificato il malware, in modo che il vendor possa produrre “al volo” una patch e vi possa fornire eventuali strumenti di rimozione

3) denunziate la cosa alla Polizia Postale, unico metodo per cercare di risalire alla sorgente dell’attacco.

per verificare quale macchina sia infetta, in caso di attacco in rete potete verificare dai log di accesso ai files chi ha effettuato la ultima modifica.

Anche in caso di ripristino dei dati da backup precedenti procedete comunque ad una scansione del vostro ambiente sia con l’antivirus che utilizzate che, possibilmente, con un secondo brand.

Chiavette USB, mailservers e archivi PST sono i principali veicoli di rischio e quindi necessitano una attenzione particolare, se la macchina infettata appartiene ad un utente specifico procedete anche alla scansione antivirus delle ultime email ricevute (il problema potrebbe risiedere in un attachment ma anche in un external link) e nel caso acceda a cloud storages tipo dropbox o google drive forzate la scansione antivirus anche a quei contenuti.

 

buon divertimento

Antonio

 

 

 

Nessun commento:

Posta un commento