Fatto da qualche mese sul dominio di un cliente, un po' rognoso nelle
settimane immediatamente successive all'implementazione ma più che
tollerabile.
Sto valutando anche l'utilizzo di AppLocker ma c'è il problema delle
versioni di Windows 7 supportate e se implementare la GPO anche a
livello di singolo computer.
Piero Cavina <mailto:[email protected]>
January 28, 2015 4:10 PM
Curiosità: capisco che una realtà senza IT interna possa non
arrivarci, ma dove c'è un consulente, non potrebbe questi suggerire di
attivare la policy di restrizione software di Windows in modalità
"whitelist"? Ha bisogno di un po' di "tuning" ma dovrebbe risolvere il
problema di tutto il malware di questo tipo.
Francesco Chiarabini <mailto:[email protected]>
January 28, 2015 12:57 PM
Volevo segnalare quello che mi è successo da due clienti che sono
stati infettati .
Il virus ha criptato i file sulle unità locali , ma non nelle
condivisioni samba con un server linux che avevano questi pc client;
nonostante fossero mappate come unità locali. Qualcuno sa dirmi perchè ?
Grazie.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Alessio Cecchi <mailto:[email protected]>
January 28, 2015 11:18 AM
Buongiorno,
da un riscontro sul parco utenti email che gestisco direi che molti ci
stanno credendo, ho notato infatti che diversi utenti, che hanno
ricevuto l'email con il file infetto, l'hanno inoltrata a loro
colleghi (immagino per chiedere spiegazioni se quell'ordine fosse vero
o meno) ed è probabile quindi che se la segretaria riceve quell'email
dal suo capo apra quel file infettandosi.
Al momento ho impostato una semplice regola sugli MX per scartare le
email con un allegato .cab ma nella giornata di ieri diverse email
sono già finite nelle INBOX degli utenti.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Mirko Security <mailto:[email protected]>
January 27, 2015 4:20 PM
Salve a tutti,
giusto per allertarvi che abbiamo visto passare delle mail, in italiano
corretto, che sono risultate varianti di questa nuova campagna di
CTB-Locker :
http://www.bleepingcomputer.com/forums/t/563859/new-ctb-locker-campaign-underway-increased-ransom-timer-and-localization-changes/
in allegato un esempio di mail :
[image: Immagine in linea 1]
il .cab allegato contiene un src che a sua volta dovrebbe ( non ho potuto
provarlo ) mostrare un rtf con l'ordine, mentre scarica il payload dal
server C&C
Cordiali saluti
Mirko
--
[email protected] <mailto:[email protected]>
mobile: 0039 380 5162 395
Skype: antonio.tamborino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
