Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
  Condividi: Facebook Twitter
ransomware
#11
(20/07/2022, 22:07)adrianomorselli Ha scritto: Ok, allora VirtualBox ha una caratteristica veramente fantastica, quando installi un sistema ti crea un file .vdi, ad es windows.vdi.
Se fai una copia di questo file e il tuo Windows virtualizzato viene attaccato da un virus puoi cancellarlo e sostituirlo con la copia che hai fatto. Anche i documenti li puoi tenere sul tuo Linux al sicuro, con le extension pack puoi facilmente accedere dal Windows virtualizzato a Linux.  Comunque ti consiglio di disabilitare la scheda ethernet sulle configurazioni della macchina virtuale se sei costretto o per tuo sfizio vuoi viaggiare su siti poco ortodossi
perfettamente daccordo
pero negli ambiti lavorativi i file sono generalmente in formato windows,
ed in un solo file ci possono essere mesi di lavoro, in una pen drive anni di lavoro.

Qualora si viene attaccati ad esempio da un ransomware, 
su un windows virtualizzato su linux,
la prima cosa che fa il ransomware e criptare tutti i file che hanno una determinata estensione.

Quindi in questa ipotesi, la chiavetta collegata al pc, dove ci sono tutti i file di lavoro, vengono criptati
 ed e' un bel disastro, se non si hanno backup aggiornati.

Intendo dire
formattare e reinstallare windows con tutti i software e riconfigurarli, puo richiedere massimo 2-3 giorni di tempo.
In un solo file excel, sulla chiavetta ci possono essere mesi di lavoro.

Quindi sono perfettamente daccordo con la soluzione da te riportata, cioe  linux, virtualbox e vdi,
pero non risolve il problema completamente, perche si puo prendere un ransomware anche semplicemente aprendo una email o visitando il sito web bucato della polizia ed aprendo un video
e nel caso si ha la chiavetta collegata al pc, il disastro e' fatto comunque.
Cita messaggio
#12
Tutto dipende chiaramente dai danni subiti e dalle contromisure adottate, firewall e antivirus più docker per sistemi slegati dal sistema principale per minimizzare i danni ricevuti. Ad esempio utilizzare un back automatico multiplo potrebbe non servirebbe se il backup inserisce anche il ransomware, ma un backup asincrono potrebbe funzionare meglio, due backup alternati su hd esterni potrebbero lasciarti almeno una copia pulita, facilmente perderesti un giorno di lavoro, ma almeno non perdi tutto. Un mio amico utilizza un backup triplo asincrono, nel peggiore dei casi perderebbe due giorni di lavoro ma anche nel caso di un virus subdolo non perderebbe tutto. Su linux puoi utilizzare rsync e crontab per automatizzarlo
Cita messaggio
#13
(21/07/2022, 11:36)adrianomorselli Ha scritto: Tutto dipende chiaramente dai danni subiti e dalle contromisure adottate, firewall e antivirus più docker per sistemi slegati dal sistema principale per minimizzare i danni ricevuti. Ad esempio utilizzare un back automatico multiplo potrebbe non servirebbe se il backup inserisce anche il ransomware, ma un backup asincrono potrebbe funzionare meglio, due backup alternati su hd esterni potrebbero lasciarti almeno una copia pulita, facilmente perderesti un giorno di lavoro, ma almeno non perdi tutto. Un mio amico utilizza un backup triplo asincrono, nel peggiore dei casi perderebbe due giorni di lavoro ma anche nel caso di un virus subdolo non perderebbe tutto.  Su linux puoi utilizzare rsync e crontab per automatizzarlo

perfettamente daccordo
tutto pero dipende pero da come viene ingegnerizzato il virus o il malware.

Addentrandosi ulteriormente, (direi anche un po nel mondo paranoide)
ci sono anche ransomware multi piattaforma che colpiscono windows, linux, Mac, Esxi, ecc
e possono fare disastri, anche a chi fa i backup in tripla copia su volumi fisici o su cloud
sopratutto per chi non ha dimestichezza con questi ambiti.

Da qui l'utilità di cui parlavo, nell'osservare e studiare questi virus, facendoli girare su sistemi isolati.
Prenderci confidenza e vedere quello che fanno.
Peraltro e' anche divertente, lanciare il virus e vedere quali processi avvia, quali connessioni esegue, quali IP contatta, quali porte apre, in quali cartelle e partizioni si va ad infiltrare, quali modifiche al registro esegue, come si comporta un antivirus, ecc ecc ecc
Poi testare photorec, test disk, o altro software, per vedere se riesce a recuperare i file precedenti al criptaggio.

Un HD virtualizzato vdi può essere anche montato come se fosse HD fisico.
Quindi e' possibile montare e confrontare un HD prima del ransomware, con l'HD dopo il ransomware, (con un software tipo Beyond Compare portable o simile), per vedere tutti i file e le cartelle e le partizioni, modificate dal ransomware.
http://muralipiyer.blogspot.com/2008/02/...entic.html

Insomma c'e da divertirsi.
Non appena mi arriva il nuovo HD, faro due partizioni, una per linux l'altra per windows.
Poi su linux ci metto la virtualbox e ci installo win e ci metto il software per il monitoraggio della connessione, e per il monitoraggio dei processi
Poi faccio la copia del VDI, la faccio partire e avvio il ransomware.

Lo studierò bene e poi esternamente collegherò il vecchio HD infetto, per andare a recuperare al meglio, i file che mi ha criptato. Poi andrò a recuperare tutti gli altri dati, e tenterò anche di ripulirlo dal virus.
Non sono molto pratico di Test disk, ma penso ci sia un modo di recuperare anche i file, precedenti alla modifica del criptaggio.
E' anche utile modificare dal bios la data, per riportarla al giorno in cui si e' ricevuto l'attacco.  Sentivo che ci sono ransomware che cambiano comportamento, in funzione della cronologia. Cioe se tento di accedere al file criptato oggi, non e' la stessa cosa di accedere allo stesso file fra 4 mesi.

Ritornando al discorso difesa da un attacco
un altra soluzione adottata da un mio conoscente
e' quella di usare due PC
uno per internet e l'altro isolato da internet,
ed in cui il trasferimento file avviene con chiavetta,
Ha un applicazione che rende trasparente tutto il contenuto della chiavetta, appena viene inserita nella porta usb.
ed altra applicazione che con un click scollega la chiavetta.

Se ha bisogno di internet, la mattina accende il pc collegato ad internet, ci lavora
la sera trasferisce nella chiavetta il lavoro fatto
e poi la collega all'altro pc isolato.
Quando collega la chiavetta al pc isolato,
si apre la applicazione che rende trasparente tutto il contento della chiavetta.

Pero anche questa soluzione non da il 100% di sicurezza,
ad esempio in caso di incendio o di furto, comunque perde tutto.
Allora ci aggiunge anche backup su cloud automatizzato.
Ma anche questo non da il 100% di sicurezza,
perche se viene colpito dalla sfiga, la mattina prende un Ramsoware ed infetta il cloud, e la sera si incendia l'ufficio e perde il pc isolato, ha comunque perso i dati.

Ovviamente qui andiamo nel paranoico fantascientifico,
Ma e' un fatto certo che questi ransomware, sono un problema serio, per cui prima o poi bisogna averci a che fare.
Per questo motivo considero utile, lo studio e l'approfondimento di questi attacchi, studiando anche il comportamento di questi malware.

,
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)