[MontelLUG] Difendersi da Cryptolocker - seguito

Mario mariogolf2 a tiscali.it
Mar 26 Apr 2016 22:19:30 CEST


Il 26/04/2016 21:15, Vincenzo Montevecchi ha scritto:
> 
> Il 26 apr 2016 21:05, "Daneel Olivaw" <daneel.olivaw.r a gmail.com
> <mailto:daneel.olivaw.r a gmail.com>> ha scritto:
>>
> 
> [...]
> 
> Sono d'accordo su tutto quello che hai detto. Infatti l'idea era proprio
> basata su:
> 1) il fatto che al momento i bersagli sono altri.
> 2) il fatto che una cartella, pur criptata, appare come una cartella
> (credo) e non come un file. In questo caso sarebbe indistinguibile dalle
> altre. Questo significa che per colpirla il virus dovrebbe criptare
> tutto rendendo impossibile chiedere il riscatto a meno, forse, di
> lavorare con un db contenente i nomi delle cartelle standard per
> evitarle (ma potresti nominare la tua in modo simile, magari mettendola
> all'interno di una standard).
> 
> Mah!
> 
> V
> 
Se posso intromettermi, riporto un'esperienza personale (nel senso che
mi ha visto coinvolto come "parente stretto quindi consulente gratuito"!)

Il pc di mia mamma e papà con windows 7 si è beccato CBT-Locker con
richiesta di riscatto via bitcoin attraverso la rete TOR.
L'infezione è avvenuta per l'incauto click su un allegato di una finta
mail con una finta fattura (un exe mascherato da pdf) da parte di Telecom.

Analizzando velocemente i danni, ho riscontrato che erano stati cifrati
solo file comuni (doc, xls, odt, jpg...) e di piccole dimensioni ma non
file grossi (es. filmati/video, bmp, iso).

Credo che un possibile "vaccino" per impedire ad un cryptolocker di
cifrare dati (siano essi o meno di backup) potrebbe esere quella di un
contenitore cifrato a livello di partizione.
Penso a partizioni cifrate con LUKS/LVM in ambito linux, oppure anche a
Truecrypt (e successive versioni più libere) in altri OS.
Vero è che se vengono decifrate e se il sistema è infetto...

Un sistema (anche se infetto) non può accedere a partizioni cifrate
perché non c'è un device node e perché non la può montare: quindi
cryptolocker non può cifrare file che non vede...

Scusate la terminologia poco corretta, spero il concetto passi...

PS: questo episodio si è concluso con la perdita dei dati. La Polizia
Postale, interpellata, ha sconsigliato di pagare: non c'era nessuna
certezza di riavere i dati.
Quindi abbiamo proceduto alla formattazione e installazione di linux Mint.

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  181 bytes
Descrizione: OpenPGP digital signature
URL:         <http://mail.montellug.it/pipermail/montellug/attachments/20160426/a3f5cda2/attachment.sig>


Maggiori informazioni sulla lista montellug