Sono già due giorni che ricevo notifiche di aziende e soggetti colpiti da diverse versioni di Kryptoloker ed altri ransomware.
Evidentemente c’è una recrudescenza di questi attacchi nel nostro paese in questi giorni. Alcune versioni sono rimaste “undetected” anche dai maggiori antivirus che stanno provvedendo a emettere patch specifiche (kudos a Sophos per la rapidità ed efficienza di intervento in un caso da me incontrato).
Per i non addetti al settore, questi malware si installano in macchine ospiti infettate ed iniziano a procedere alla encryption di documenti, files e cartelle.
Se la macchina ha accesso a share remoti anche questi possono essere criptati. Per poter procedere poi al ripristino delle risorse spesso viene richiesto un “riscatto” da qui il termine ramsonware, solitamente via wiretransfert (bonifico) o monete virtuali come bitcoin.
Nel caso siate stati soggetto di attacco vi suggerisco di agire rapidamente:
1) isolate la macchina infetta dalla rete, se in ambiente AD toglietela anche dal dominio
2) informate i vostro vendor antivirus dell’avvenuto attacco, nel caso l’antivirus non abbia ancora identificato il malware, in modo che il vendor possa produrre “al volo” una patch e vi possa fornire eventuali strumenti di rimozione
3) denunziate la cosa alla Polizia Postale, unico metodo per cercare di risalire alla sorgente dell’attacco.
per verificare quale macchina sia infetta, in caso di attacco in rete potete verificare dai log di accesso ai files chi ha effettuato la ultima modifica.
Anche in caso di ripristino dei dati da backup precedenti procedete comunque ad una scansione del vostro ambiente sia con l’antivirus che utilizzate che, possibilmente, con un secondo brand.
Chiavette USB, mailservers e archivi PST sono i principali veicoli di rischio e quindi necessitano una attenzione particolare, se la macchina infettata appartiene ad un utente specifico procedete anche alla scansione antivirus delle ultime email ricevute (il problema potrebbe risiedere in un attachment ma anche in un external link) e nel caso acceda a cloud storages tipo dropbox o google drive forzate la scansione antivirus anche a quei contenuti.
buon divertimento
Antonio
Related articles
Related Posts via Taxonomies
To the official site of Related Posts via Taxonomies.
Discover more from The Puchi Herald Magazine
Subscribe to get the latest posts sent to your email.
Attenzione! run di attacchi ransomware in Italia by The Puchi Herald Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.