Ciao,
Posto che la soluzione del canarino serve esclusivamente a far si che non sia
possibile, nel tempo, permeare i backup fino a renderli inutili (e.g.
sostituire tutti i file integri nella loro copia cifrata in ogni copia del
ciclo di backup), noi lo abbiamo implementato e funziona bene.
La cosa è veramente banale: il server di backup non accetta backup da macchine
i cui canarini non siano in piena salute.
Il sistema ha "già" evitato due ricatti fra i nostri clienti più affezionati
sostenitori del cybercrime. :-)
Saluti,
Andrea
On Thu, 26 Nov 2015 10:11:06 +0100
Enrico Bassetti <enrico.basse...@netsplit.it> wrote:
> Salve a tutti,
>
> recentemente mi è capitato l'ennesimo Cryptolocker in azienda. Purtroppo
> non sono riuscito a recuperare l'esemplare perché le 3 macchine
> probabilmente infette sono state spianate immediatamente.
>
> Mi ricordo che tempo fa si parlava di un sistema per identificare
> Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da
> sacrificare per capire quando c'è in azione il virus in questione).
> Qualcuno ha qualche notizia?
>
> So che esistono soluzioni migliori, ma per una serie interminabile di
> motivi non sono (ancora) attuabili.
>
> PS: l'host in questione era dotato di Antivirus, ma o è una nuova
> variante oppure l'antivirus è abbastanza stupido.
>
> Enrico
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
--
Andrea Zwirner
email: and...@linkspirit.it
mobile: +39 366 1872016
Linkspirit Sicurezza Informatica
Via Luigi Moretti 2 - 33100 Udine UD
tel: +39 0432 1845030 - fax: +39 0432 309903
web: www.linkspirit.it - email: i...@linkspirit.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
