Ciao, Posto che la soluzione del canarino serve esclusivamente a far si che non sia possibile, nel tempo, permeare i backup fino a renderli inutili (e.g. sostituire tutti i file integri nella loro copia cifrata in ogni copia del ciclo di backup), noi lo abbiamo implementato e funziona bene.
La cosa è veramente banale: il server di backup non accetta backup da macchine i cui canarini non siano in piena salute. Il sistema ha "già" evitato due ricatti fra i nostri clienti più affezionati sostenitori del cybercrime. :-) Saluti, Andrea On Thu, 26 Nov 2015 10:11:06 +0100 Enrico Bassetti <enrico.basse...@netsplit.it> wrote: > Salve a tutti, > > recentemente mi è capitato l'ennesimo Cryptolocker in azienda. Purtroppo > non sono riuscito a recuperare l'esemplare perché le 3 macchine > probabilmente infette sono state spianate immediatamente. > > Mi ricordo che tempo fa si parlava di un sistema per identificare > Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da > sacrificare per capire quando c'è in azione il virus in questione). > Qualcuno ha qualche notizia? > > So che esistono soluzioni migliori, ma per una serie interminabile di > motivi non sono (ancora) attuabili. > > PS: l'host in questione era dotato di Antivirus, ma o è una nuova > variante oppure l'antivirus è abbastanza stupido. > > Enrico > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > -- Andrea Zwirner email: and...@linkspirit.it mobile: +39 366 1872016 Linkspirit Sicurezza Informatica Via Luigi Moretti 2 - 33100 Udine UD tel: +39 0432 1845030 - fax: +39 0432 309903 web: www.linkspirit.it - email: i...@linkspirit.it ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List