Ciao Tra le varie misure che abbiamo attuato noi, oltre a rimuovere ove possibile mappatura di dischi di rete, c'è proprio un sistema del tipo che indichi.
Un disco di rete specifico mappato su tutti i client ed accessibile in scrittura a chiunque contiene una cartella con alcuni file "esca", txt pdf ed xls. I files sono monitorati ogni minuto e controllati sia per il nome che per il checksum. Ad ogni minima variazione scatta un alert. Il caso che citi ci è capitato, zero day non ancora conosciuti, e prima dell'attivazione di questi controlli ci si è resi conto del "danno" dopo alcuni giorni. Non è una misura preventiva, ma almeno così possiamo dare una pronta risposta. Ad oggi questo sistema non è ancora servito, solo qualche falso positivo da cancellazione da parte degli utenti :)) Matteo Il 26/Nov/2015 17:51, "Enrico Bassetti" <[email protected]> ha scritto: > Salve a tutti, > > recentemente mi è capitato l'ennesimo Cryptolocker in azienda. Purtroppo > non sono riuscito a recuperare l'esemplare perché le 3 macchine > probabilmente infette sono state spianate immediatamente. > > Mi ricordo che tempo fa si parlava di un sistema per identificare > Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da > sacrificare per capire quando c'è in azione il virus in questione). > Qualcuno ha qualche notizia? > > So che esistono soluzioni migliori, ma per una serie interminabile di > motivi non sono (ancora) attuabili. > > PS: l'host in questione era dotato di Antivirus, ma o è una nuova variante > oppure l'antivirus è abbastanza stupido. > > Enrico > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
