Ops.. mea culpa.. per la fretta ho cliccato su reject invece che su
release.. abituato dal troppo spam..
gia' che ci sono, administrivia, in generale meglio includere anche un
disclaimer tipo:
**** ATTENZIONE LINK PERICOLOSO **** o simile :)
bye,
K. (list admin)
----- Forwarded message from Mirko Security <mirksec(at)gmail.com> -----
From: Mirko Security <mirksec(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] virus Cryptolocker
Date: Mon, 24 Nov 2014 22:35:04 +0100
Reply-To: ml(at)sikurezza.org
Lo sto ancora analizzando, ma mi sa che è una variante del cryptolocker.
Arriva come mail da SDA ( fake ) con un link per il download a
http:// sda-expresso24. com/ service.php ? id=8992939907764
(ho messo un po' di spazi per rendere il link non funzionante)
Sito fatto piuttosto bene,copia del sito originale con soltato variata la
parte di download, dal quale dopo aver messo il capthca si può prendere lo
zip, (pacchetto_382983829387.zip) che contiene un execon icona falsa da
PDF.... Tutto in italiano....
Il giorno 19 novembre 2014 15:04, Marco Ermini <marco.ermini(at)gmail.com> ha
scritto:
> 2014-11-17 14:05 GMT+01:00 Paolo Pedaletti:
>
>> ciao Marco,
>>
>> > 1) In particolare per Cryptolocker, non offrire il backup tramite
>> > condivisioni SMB/mappatura di drive. Cryptolocker cercherà di
>> > infettare e bloccare condivisioni e drive mappati se ne trova, quindi
>> > suggerirei di valutare soluzioni alternative.
>>
>> "soluzioni alternative" mi ha fatto accendere una lucina :-)
>> (limitatamente al contenimento dell'infezione sulle share condivise)
>>
>> 1) dal server importare la directory del client che contiene i dati, e
>> fare un backp "in locale" sul server
>>
>> 2) usare script rsync
>>
>
>
> Cryptolocker si propaga soltanto su drive mappati con lettere, non tramite
> mappature UNC (\\disco\directory). L'importante è che l'utente non mappi il
> drive.
>
> Ovviamente anche soluzioni tipo snapshot dei drive, o semplicemente usare
> il Windows Shadow Volume, se presenti e possibili, possono essere utili.
>
>
>
>> cosi' pero' non si evita la sostituzione dei file corrotti nel backup
>> (ok, e' un backup, non una copia sincronizzata, quindi c'e' una certa
>> "data retention" di qualche giorno...)
>>
> [..]
>
>> Ma:
>> file file_infetto_da_cryptolocker.doc
>> che cosa restituisce?
>> "data"
>> "Creating Application: Microsoft Office Word"
>> altro...
>>
>
> Cryptolocker cambia il nome dei file, per cui quello vecchio "scompare" e
> riappare come %AppData%\<random.exe> and %AppData%\{<8 chars>-<4 chars>-<4
> chars>-<4 chars>-<12 chars>}.exe
>
> (si veda qua:
> http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#files
> )
>
> Nello stesso sito c'è uno script PowerShell (facilmente portabile credo)
> utile per trovare file infetti.
>
>
> Cordiali saluti
> --
> Marco Ermini
>
> CISSP, CISA, CEH, ITIL, PhD
> http://www.linkedin.com/in/marcoermini
>
----- End forwarded message -----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
