Intanto ringrazio moltissimo per la risposta così tempestiva.
In qualche modo ero riuscito ad arrivare fin qui, ma in questo modo riesco a creare una regola che “inibisce” l’avvio di eseguibili residenti nella path che specifico io. Per esempio “modalità utente limitato” per la cartella “programmi”, inibisce tutto ciò che lì è contenuto, mentre se ho ben capito, dovrei inibire (salvo specifiche autorizzazioni) tutto ciò che NON è residente nella cartella programmi (un allegato mail, come lo intercetto?) Non so se riesco a spiegarmi bene… :( Grazie in ogni caso per qualunque contributo alla riflessione. Corrado Da: ram ste [mailto:[email protected]] Inviato: mercoledì 16 dicembre 2015 12.07 A: [email protected] Oggetto: Re: R: [ml] Un canarino per Cryptolocker Su Windows 8.1: Strumenti di amministrazione > Modifica Criteri di gruppo (si apre Editor Criteri di gruppo locali) > Criteri Computer locale > Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri restrizione software > Regole aggiuntive. HTH: Hope This Helps S. Il giorno 15 dicembre 2015 19:01, Fin Pro Italia srl <[email protected] <mailto:[email protected]> > ha scritto: Sarebbe possibile conoscere nel dettaglio “l’apposita modifica di secpol” menzionata, da usare su un Pc standalone? Anche perché ho anche un Pc con win10 che mi mostra “appLocker” che non riesco a configurare. Non sono un esperto e chiedo il Vs. aiuto, se possibile. Grazie a tutti Corrado " Buongiorno, anche se e’ passato un po’ di tempo dalla manifestazioni di cryptolocker e varianti, penso che questo di cryptolocker sia un problema che continuera’ nel tempo ed anche se oggettivamente tardi posto la mia soluzione. Premetto che riguarda l’ambiente windows, funziona a costo 0, e penso sia molto efficace e potente come tecnica contro cryptolocker e varianti. Sono partito dalla considerazione dalla premessa forse per molti ovvie ma che e’ meglio dire cioe’ che tutti i client sono joinati in AD e nessuno e’ amministratore della macchina, ovviamente questa policy funziona anche su pc standalone con apposita modifica di secpol etc. Mi sono controllato e documentato su tutte le voci di AD e mi sono imbattuto in una dicitura che ha suscitato la mia curiosita’ “Software Restriction Policy” Praticamente con questa policy TUTTI i pc joinati in AD nella versione professional sicuramente enterprise no, gli si puo’ deliverare la policy che consente SOLO l’esecuzione di software installato. Quindi ogni software eseguibile etc, che non e’ installato non puo’ essere eseguito, quindi crypto…. Maledetto mettiti pure dove vuoi, scarica tutti gli exe che vuoi ma quando li esegui ottieni questo risultato. Quindi con questo sistema e’ possibile non solo bloccare ad esempio cryptolocker ma anche tutti quegli eseguibili che l’utente si scarica (ie: portable) etc, google chrome installato sotto il profilo utente etc. (io per esempio faccio l’installazione di chrome via msi etc) L’applicazione della policy iniziale e’ stata adottata nel giro di una settimana per consentire la gestione delle eccezioni, ad esempio teamviwer nella versione exe, quindi non installato se non si impostano eccezioni non parte neanche a piangere. Ritengo che questa sia una buona soluzione per affrontare con efficacia la minaccia di cryptolocker e non solo, questa non e’ una guida, vi invito a provare e rilasciare qualche policy di test e consultare il sito m$. Ciao, livio daina. PS: tra le altre cose l’event viewer del pc dice chiaro netto e tondo che ha bloccato l’esecuzione del file eseguibile xyz e quindi si possono tracciare con policy tutte le eccezioni ed adottare la polici si gruppi di utenti progressivamente senza causare troppi disagi tutti insieme. " -----Messaggio originale----- Da: Enrico Bassetti [mailto:[email protected]] Inviato: giovedì 26 novembre 2015 10:11 A: [email protected] <mailto:[email protected]> Oggetto: [ml] Un canarino per Cryptolocker Salve a tutti, recentemente mi è capitato l'ennesimo Cryptolocker in azienda. Purtroppo non sono riuscito a recuperare l'esemplare perché le 3 macchine probabilmente infette sono state spianate immediatamente. Mi ricordo che tempo fa si parlava di un sistema per identificare Cryptolocker in esecuzione in qualche modo (eg. un file "canarino" da sacrificare per capire quando c'è in azione il virus in questione). Qualcuno ha qualche notizia? So che esistono soluzioni migliori, ma per una serie interminabile di motivi non sono (ancora) attuabili. PS: l'host in questione era dotato di Antivirus, ma o è una nuova variante oppure l'antivirus è abbastanza stupido. Enrico ________________________________________________________ <http://www.sikurezza.org> http://www.sikurezza.org - Italian Security Mailing List
