Ciao,

Posto che la soluzione del canarino serve esclusivamente a far si che non sia 
possibile, nel tempo, permeare i backup fino a renderli inutili (e.g. 
sostituire tutti i file integri nella loro copia cifrata in ogni copia del 
ciclo di backup), noi lo abbiamo implementato e funziona bene.

La cosa è veramente banale: il server di backup non accetta backup da macchine 
i cui canarini non siano in piena salute.

Il sistema ha "già" evitato due ricatti fra i nostri clienti più affezionati 
sostenitori del cybercrime. :-)

Saluti,

    Andrea



On Thu, 26 Nov 2015 10:11:06 +0100
Enrico Bassetti <enrico.basse...@netsplit.it> wrote:

> Salve a tutti,
> 
> recentemente mi è capitato l'ennesimo Cryptolocker in azienda. Purtroppo 
> non sono riuscito a recuperare l'esemplare perché le 3 macchine 
> probabilmente infette sono state spianate immediatamente.
> 
> Mi ricordo che tempo fa si parlava di un sistema per identificare 
> Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da 
> sacrificare per capire quando c'è in azione il virus in questione). 
> Qualcuno ha qualche notizia?
> 
> So che esistono soluzioni migliori, ma per una serie interminabile di 
> motivi non sono (ancora) attuabili.
> 
> PS: l'host in questione era dotato di Antivirus, ma o è una nuova 
> variante oppure l'antivirus è abbastanza stupido.
> 
> Enrico
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 

--
Andrea Zwirner
email: and...@linkspirit.it
mobile: +39 366 1872016

Linkspirit Sicurezza Informatica
Via Luigi Moretti 2 - 33100 Udine UD
tel: +39 0432 1845030 - fax: +39 0432 309903
web: www.linkspirit.it - email: i...@linkspirit.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a