Perdonatemi se riposto la soluzione postata ad agosto, che ho adottato io dove lavoro.
Ma sta cosa di cryptovarianti mi sta troppo antipatica per non condividere la mia soluzione, purtroppo per esperienza gli antivirus sono sempre in ritardo: " Buongiorno, anche se e passato un po di tempo dalla manifestazioni di cryptolocker e varianti, penso che questo di cryptolocker sia un problema che continuera nel tempo ed anche se oggettivamente tardi posto la mia soluzione. Premetto che riguarda lambiente windows, funziona a costo 0, e penso sia molto efficace e potente come tecnica contro cryptolocker e varianti. Sono partito dalla considerazione dalla premessa forse per molti ovvie ma che e meglio dire cioe che tutti i client sono joinati in AD e nessuno e amministratore della macchina, ovviamente questa policy funziona anche su pc standalone con apposita modifica di secpol etc. Mi sono controllato e documentato su tutte le voci di AD e mi sono imbattuto in una dicitura che ha suscitato la mia curiosita Software Restriction Policy cid:[email protected] Praticamente con questa policy TUTTI i pc joinati in AD nella versione professional sicuramente enterprise no, gli si puo deliverare la policy che consente SOLO lesecuzione di software installato. Quindi ogni software eseguibile etc, che non e installato non puo essere eseguito, quindi crypto . Maledetto mettiti pure dove vuoi, scarica tutti gli exe che vuoi ma quando li esegui ottieni questo risultato. cid:[email protected] Quindi con questo sistema e possibile non solo bloccare ad esempio cryptolocker ma anche tutti quegli eseguibili che lutente si scarica (ie: portable) etc, google chrome installato sotto il profilo utente etc. (io per esempio faccio linstallazione di chrome via msi etc) Lapplicazione della policy iniziale e stata adottata nel giro di una settimana per consentire la gestione delle eccezioni, ad esempio teamviwer nella versione exe, quindi non installato se non si impostano eccezioni non parte neanche a piangere. Ritengo che questa sia una buona soluzione per affrontare con efficacia la minaccia di cryptolocker e non solo, questa non e una guida, vi invito a provare e rilasciare qualche policy di test e consultare il sito m$. Ciao, livio daina. PS: tra le altre cose levent viewer del pc dice chiaro netto e tondo che ha bloccato lesecuzione del file eseguibile xyz e quindi si possono tracciare con policy tutte le eccezioni ed adottare la polici si gruppi di utenti progressivamente senza causare troppi disagi tutti insieme. " -----Messaggio originale----- Da: Enrico Bassetti [mailto:[email protected]] Inviato: giovedì 26 novembre 2015 10:11 A: [email protected] Oggetto: [ml] Un canarino per Cryptolocker Salve a tutti, recentemente mi è capitato l'ennesimo Cryptolocker in azienda. Purtroppo non sono riuscito a recuperare l'esemplare perché le 3 macchine probabilmente infette sono state spianate immediatamente. Mi ricordo che tempo fa si parlava di un sistema per identificare Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da sacrificare per capire quando c'è in azione il virus in questione). Qualcuno ha qualche notizia? So che esistono soluzioni migliori, ma per una serie interminabile di motivi non sono (ancora) attuabili. PS: l'host in questione era dotato di Antivirus, ma o è una nuova variante oppure l'antivirus è abbastanza stupido. Enrico ________________________________________________________ <http://www.sikurezza.org> http://www.sikurezza.org - Italian Security Mailing List
