martedì , Marzo 19 2024
Ultime Notizie
Home / Hacking & Sicurezza / Ransomware Virus – Come difendersi

Ransomware Virus – Come difendersi

Ransomware – Introduzione

Ransomware. Solo la parola incute timore a chi non è possessore di un backup aggiornato!

I Ransomware sono la nuova evoluzione di virus informatici: non vengono rilevati dagli antivirus, sono in costante aggiornamento e la cosa peggiore…sono a scopo di lucro!

Questo nuovo sistema di infezioni, ha prodotto tra il 2014 e il 2015, introiti per circa 300 milioni di dollari in Bitcoin.

Ecco perchè si ha tutto l’interesse possibile a tenerli attivi e pronti alle nuove contromisure delle case produttrici di Antivirus.

Anche perchè in se e per se il virus non è un virus, è un programmino semplicissimo che si collega ad una macchina, in base alle caratteristiche, genera una coppia di chiavi pubblica/privata (ormai sulle nuove versioni non lascia più questa traccia) e cripta tutti i file con determinate estensioni.

Poi appare il fatidico messaggio con le istruzioni per decriptare…e se non si ha un backup aggiornato, o si paga o si perde tutto.

Oggi vi propongo una serie di contromisure, che non è detto siano valide “per sempre” ma che aiutano molto almeno in questo periodo dove le infezioni sono ormai divenute epidemia.

Per prima cosa vi serve un sistema operativo “Professional”, quindi se avete un sistema operativo “Home”, potete provare, ma non è detto che vi faccia aprire la maschera per inserire questi filtri.

Come difendersi?

E’ possibile difendersi, se non totalmente almeno parzialmente, sfruttando le SRP(Software Restriction Policies) di Windows che permettono di creare delle restrizioni sull’esecuzione di software proveniente ad esempio da particolari soggetti, oppure, come nel nostro caso, da particolari percorsi.

Iniziamo!

Per prima cosa, dalla barra di ricerca di Windows, digitiamo: secpol.msc e diamo Invio.

Uscirà una schermata di questo tipo:

gpedit-msc

Tasto destro su “Criteri Restrizione Software” e facciamo “Nuovi criteri restrizione software“.

A questo punto si aggiungeranno due Cartelle:

  • Livelli di Sicurezza
  • Regole Aggiuntive

Tasto destro su “Regole Aggiuntive” e selezioniamo “Nuova regola percorso“:

regola-percorso-software

Compiliamo come segue:

  • Percorso:
    %AppData%*.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    disabilita eseguibili da %AppData%.

Applichiamo le modifiche ed abbiamo la nostra regola.

Adesso vi elenco un po’ di percorsi utili da bloccare (occhio che se poi da un browser invece di scaricare un file, fate Esegui questo verrà bloccato!)

  • Percorso sistema operativo – Windows XP:
    %UserProfile%Local Settings*.exe
  • Percorso sistema operativo – Windows Vista/7/8:
    %LocalAppData%*.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Non permette l’esecuzione da %AppData%.

Blocca eseguibili in %AppData% sottodirectory:

  • Path:
    %AppData%**.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Non permette l’esecuzione da immediate sottodirectory of %AppData%.

Blocca eseguibili in %LocalAppData% sottodirectory:

  • Percorso sistema operativo – Windows XP:
    %UserProfile%Local Settings**.exe
  • Percorso sistema operativo – Windows Vista/7/8:
    %LocalAppData%**.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Non permette l’esecuzione da immediate sottodirectory of %AppData%.

Blocca eseguibili aperti da archivi WinRAR:

  • Percorso sistema operativo – Windows XP:
    %UserProfile%Local SettingsTempRar**.exe
  • Percorso sistema operativo – Windows Vista/7/8:
    %LocalAppData%TempRar**.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Blocca eseguibili aperti da archivi WinRAR.

Blocca eseguibili aperti da archivi 7zip:

  • Percorso sistema operativo – Windows XP:
    %UserProfile%Local SettingsTemp7z**.exe
  • Percorso sistema operativo – Windows Vista/7/8:
    %LocalAppData%Temp7z**.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Blocca eseguibili aperti da archivi 7zip.

Blocca eseguibili aperti da archivi WinZip:

  • Percorso sistema operativo – Windows XP:
    %UserProfile%Local SettingsTempwz**.exe
  • Percorso sistema operativo – Windows Vista/7/8: %LocalAppData%Tempwz**.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Blocca eseguibili aperti da archivi WinZip.

Blocca eseguibili aperti da archivi Windows built-in Zip:

  • Percorso sistema operativo – Windows XP:
    %UserProfile%Local SettingsTemp*.zip*.exe
  • Percorso sistema operativo – Windows Vista/7/8:
    %LocalAppData%Temp*.zip*.exe
  • Livello Sicurezza:
    Disabilitato
  • Descrizione:
    Blocca eseguibili aperti da archivi Windows built-in Zip.

 

Enjoy!

 

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi...) ma non disprezzo altri linguaggi all'occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Bug WordPress per fare Bruteforce Attack

Ciao Ragazzi, oggi mi sono imbattuto in un attacco ad un sito WordPress basato su …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *