(21/07/2022, 11:36)adrianomorselli Ha scritto: Tutto dipende chiaramente dai danni subiti e dalle contromisure adottate, firewall e antivirus più docker per sistemi slegati dal sistema principale per minimizzare i danni ricevuti. Ad esempio utilizzare un back automatico multiplo potrebbe non servirebbe se il backup inserisce anche il ransomware, ma un backup asincrono potrebbe funzionare meglio, due backup alternati su hd esterni potrebbero lasciarti almeno una copia pulita, facilmente perderesti un giorno di lavoro, ma almeno non perdi tutto. Un mio amico utilizza un backup triplo asincrono, nel peggiore dei casi perderebbe due giorni di lavoro ma anche nel caso di un virus subdolo non perderebbe tutto. Su linux puoi utilizzare rsync e crontab per automatizzarlo
perfettamente daccordo
tutto pero dipende pero da come viene ingegnerizzato il virus o il malware.
Addentrandosi ulteriormente, (direi anche un po nel mondo paranoide)
ci sono anche ransomware multi piattaforma che colpiscono windows, linux, Mac, Esxi, ecc
e possono fare disastri, anche a chi fa i backup in tripla copia su volumi fisici o su cloud
sopratutto per chi non ha dimestichezza con questi ambiti.
Da qui l'utilità di cui parlavo, nell'osservare e studiare questi virus, facendoli girare su sistemi isolati.
Prenderci confidenza e vedere quello che fanno.
Peraltro e' anche divertente, lanciare il virus e vedere quali processi avvia, quali connessioni esegue, quali IP contatta, quali porte apre, in quali cartelle e partizioni si va ad infiltrare, quali modifiche al registro esegue, come si comporta un antivirus, ecc ecc ecc
Poi testare photorec, test disk, o altro software, per vedere se riesce a recuperare i file precedenti al criptaggio.
Un HD virtualizzato vdi può essere anche montato come se fosse HD fisico.
Quindi e' possibile montare e confrontare un HD prima del ransomware, con l'HD dopo il ransomware, (con un software tipo Beyond Compare portable o simile), per vedere tutti i file e le cartelle e le partizioni, modificate dal ransomware.
http://muralipiyer.blogspot.com/2008/02/...entic.html
Insomma c'e da divertirsi.
Non appena mi arriva il nuovo HD, faro due partizioni, una per linux l'altra per windows.
Poi su linux ci metto la virtualbox e ci installo win e ci metto il software per il monitoraggio della connessione, e per il monitoraggio dei processi
Poi faccio la copia del VDI, la faccio partire e avvio il ransomware.
Lo studierò bene e poi esternamente collegherò il vecchio HD infetto, per andare a recuperare al meglio, i file che mi ha criptato. Poi andrò a recuperare tutti gli altri dati, e tenterò anche di ripulirlo dal virus.
Non sono molto pratico di Test disk, ma penso ci sia un modo di recuperare anche i file, precedenti alla modifica del criptaggio.
E' anche utile modificare dal bios la data, per riportarla al giorno in cui si e' ricevuto l'attacco. Sentivo che ci sono ransomware che cambiano comportamento, in funzione della cronologia. Cioe se tento di accedere al file criptato oggi, non e' la stessa cosa di accedere allo stesso file fra 4 mesi.
Ritornando al discorso difesa da un attacco
un altra soluzione adottata da un mio conoscente
e' quella di usare due PC
uno per internet e l'altro isolato da internet,
ed in cui il trasferimento file avviene con chiavetta,
Ha un applicazione che rende trasparente tutto il contenuto della chiavetta, appena viene inserita nella porta usb.
ed altra applicazione che con un click scollega la chiavetta.
Se ha bisogno di internet, la mattina accende il pc collegato ad internet, ci lavora
la sera trasferisce nella chiavetta il lavoro fatto
e poi la collega all'altro pc isolato.
Quando collega la chiavetta al pc isolato,
si apre la applicazione che rende trasparente tutto il contento della chiavetta.
Pero anche questa soluzione non da il 100% di sicurezza,
ad esempio in caso di incendio o di furto, comunque perde tutto.
Allora ci aggiunge anche backup su cloud automatizzato.
Ma anche questo non da il 100% di sicurezza,
perche se viene colpito dalla sfiga, la mattina prende un Ramsoware ed infetta il cloud, e la sera si incendia l'ufficio e perde il pc isolato, ha comunque perso i dati.
Ovviamente qui andiamo nel paranoico fantascientifico,
Ma e' un fatto certo che questi ransomware, sono un problema serio, per cui prima o poi bisogna averci a che fare.
Per questo motivo considero utile, lo studio e l'approfondimento di questi attacchi, studiando anche il comportamento di questi malware.
,