none
File con estensione cambiata RRS feed

  • Domanda

  • Aiutissimo, oggi tutte le centinaia di file presenti sui nostri server hanno una nuova estensione che non ho mai sentito HTKCUON e sono inutilizzabili, che sia una variante del virus che cripta i file? Ho controllato tutto con gli antivirus ma non trova niente... momento difficile
    martedì 26 luglio 2016 09:45

Risposte

Tutte le risposte

  • Se insieme ai file ci sono anche dei file .htm/.html direi di si...

    Per prima cosa verifica nelle proprietà dei file chi è il proprietario e la data di creazione, poi cancella il profilo dell'utente incriminato, cancella i file cryptati e recuperali dalle Shadow Copy o dal backup.

    Quando mi è capitato ho fatto così...

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    martedì 26 luglio 2016 09:53
  • sei sicuro del suffisso ? l'hai scritto in maniera esatta ?

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    martedì 26 luglio 2016 10:04
    Moderatore
  • Ciao, no assieme ai file non c'è .html, ma pippo.docx.HTKCUON, quando vado a ripristinare con le copie shadow mi dice che non ci sono, eppure sono regolarmente schedulate. L'antivirus il TREND MICRO non mi segnala nulla di anomalo su nessuna macchina, quindi sono in difficoltà a capire da quale dei 40 client possa essere partita l'infezione.
    martedì 26 luglio 2016 10:07
  • Si sono sicuro ecco sotto la schermata... anche cercando su google non mi dice nulla.

    martedì 26 luglio 2016 10:20
  • Ciao, prova ad inviare un file per analisi

    Microsoft https://www.microsoft.com/en-us/security/portal/submission/submit.aspx?wa=wsignin1.0

    Kespersky https://scan.kaspersky.com/

    Attiva la visualizzazione cartelle/file nascosti per verificare la presenza di link.

    Saluti
    Nino

    martedì 26 luglio 2016 12:25
    Moderatore
  • ho individuato il computer della rete che si era infettato (dovrebbe essere una variante del cbt locker), il nostro antivirus Trend continua a segnalarlo come pulito, però ormai i file sul server (delle share mappate) sono stati tutti criptati. Non mi sono mai trovato in questa situazione e quindi non ho particolare esperienza. Volevo chiedervi se teoricamente il server ha solo i file criptati, ma non è infetto, quindi se cancello i file ormai inservibili e carico quelli del backup, non mi devo preoccupare che si criptino di nuovo, se il client infetto è offline in attesa di disinfezione.

     
    martedì 26 luglio 2016 12:34
  • Un server compromesso è sempre un server compromesso. Se oltre alle firme non aggiornate c'è anche altro il rischio è quello di ritrovarti tra un paio di giorni con una grana ancora maggiore.

    Metti il backup offline per evitare infezioni, isola il PC e blocca le share.

    Poi valuta tu....

    *** Giusto per dare indicazioni ad altri utenti che potrebbero avere problemi similari al tuo. Hai utilizzato i link per sottomettere il file? Hai ricevuto una risposta? Quale?

    Saluti
    Nino


    martedì 26 luglio 2016 13:46
    Moderatore
  • Adesso ho cancellato i 200 Gb di file criptati e sto provvedendo al ripristino da backup.

    C'è qualche tool valido di rimozione / controllo eventuale infezione  per windows server 2008? Visto che il ns antivirus non rileva nulla.

    Tutti i computer della rete sono aggiornati, l'antivirus è centralizzato con firme aggiornate ad oggi. L'infezione è passata quasi sicuramente da un pendrive infetto e rapidamente ha colpito le share di rete.

    martedì 26 luglio 2016 14:07
  • Purtroppo non esiste un tool valido in assoluto. Esistono delle policy di sicurezza che vanno applicate. Nei giorni scorsi ho scritto proprio una risposta un po' più articolata ad una richiesta simile alla tua.

     
    martedì 26 luglio 2016 15:13
    Moderatore
  • Ransomware: cosa sono, come prevenirli e come recuperare i dati (aggiornato 25/07/2016)

    Saluti,


    Vincenzo Di Russo
    Microsoft® MVP Windows Internet Explorer, Windows & Security Expert - since 2003.
    Moderator in the Microsoft Community and TechNet Forums
    My MVP Profile

    martedì 26 luglio 2016 17:42
    Moderatore
  • mi inserisco per completare un po le info. Abbiamo fatto circa 70 Crypto dal 2013 da quando sono usciti, non dico che siamo i più esperti del paese...ma..forse..comunque li conosciamo molto bene ed abbiamo un lab per studiare le varianti. Sul web trovi una serie di cose inesatte anche scritte da grandi brand di security che la metà basterebbe. Procediamo.

    Se il server ha solo delle share standard aperte basta che pialli tutto il contenuto e ripristini, il sistema del server non è compromesso in nessun caso perchè il ransomware non usa connessioni di servizio quindi il sysop è intatto. controlla solo le share sysvol eventualmente perchè se hai degli script sono da ripristinare.

    Identificato il pc "Untore" quello va staccato dalla rete subito e formattato. se ha delle shadow puoi provare a riprendere fuori io contenuto con Shadowexplorer, occhio che a volte a caldo non vedi nulla in realtà se smonti il disco le puoi vedere, successo in almeno 5 casi.

    Se il pc infetto ha finito di criptare non troverai mai nulla in rete, l'infezione è già finita, come nel tuo caso direi, quindi evita di perdere tempo a scansionare la rete, l'unico che può spargere schifezza è il pc infetto.

    Solo un appunto, nessun ransomware che gira può stoppare/compromettere lo shadowstorage del server semplicemente perchè non ha accesso al servizio, quindi non so perchè le shadow sul tuo server sono stoppate, ma non è successo oggi, è un problema diverso, oppure ti sei preso il ransomware dal server..cosa poco simpatica..

    Guardain giro sul web perchè hanno rilasciato dei calcolatori di chiavi rsa di alcuni crypto tra cui anche io cbt locker fino alla versione 2, ultimamente in 2-3 casi abbiamo risolto con quelli (botta di fortuna che fosse proprio quella variante).

    ultima postilla, gli AV testati e funzionanti al 95% di copertura sono Kaspersky, Norton, Panda. Non ho esperienza su altri brand. Tieni conto che Kasp addirittura una suite lato server che al secondo file criptato in millisecondi stoppa la connessione al pc untore. Fantastico.

    concludo con: " il backup è l'unica vera soluzione" tutto il resto è una falla sulla config ed e colpa nostra. :)

    ciao a tutti.

    A.

    martedì 26 luglio 2016 18:49
  • Grazie a tutti per i contributi. Il server con le share criptate fa anche da DC ( lo so che non è il massimo usarlo anche come file server, ma il budget è quello che è). I vari script delle policy sembrano funzionare senza problemi. L'infezione è partita sicuramente da un client (avevo fatto formazione in azienda per riconoscere le mail con un possibile crypto e sui rischi che si corrono ad usare in modo troppo esteso i pendrive, ma so che non basta), infatti è l'unico computer della rete al quale è comparso il messaggio con la richiesta di "riscatto". Ora quel computer è isolato e verrà formattato. 

    Se può tornare utile a qualcuno (anche se vedo che siete già molto esperti su questa piaga), descrivo come è avvenuto l'attacco. 

    • in circa un'ora e mezza sono stati criptati 200 Gb di dati, prima i file di office e poi i pdf
    • sono stati usati i permessi NTFS dell'utente che era loggato in quel momento sulla macchina, le cartelle sul server dove l'utente non aveva accesso, sono rimaste inviolate
    • il messaggio è comparso sul client infetto, credo in coincidenza della fine del processo di crittografia
    • Aggiornamenti di sicurezza Windows, motore dell'antivirus e impronte virali erano aggiornate ad oggi

    Non avendo tracce particolari, vi chiedo se è possibile che il computer si sia infettato magari alcuni giorni fa e rimasto silente, oppure appena si "contrae" l'infezione parte il processo di crittografia? Ho parlato con l'utente che usava la macchina e mi ha detto di non aver letto nessuna mail particolare o fatto uso di pendrive questa mattina. 

    martedì 26 luglio 2016 20:03
  • No, appena entra parte, non ho mai visto nulla che si comporti come una logic bomb finora, più resta nel sistema più è facile che venga scoperto. Ci sono 2-3 varianti che non arrivano via mail, usano un buco di flash player inferiore alla 18, quindi ci siamo fatti i giri nelle aziende a pd aggiornare anche quello. La variante in oggetto passa mentre navighi e non via mail e l'utente non se ne accorge, di qui l'antivirus col systemwatcher attivo è l'unica cosa che ti salva. Chiaro che non stai navigando sul sito di Banca Intesa o di Microsoft...:). Ciao. A.
    martedì 26 luglio 2016 20:22
  • Purtroppo quando ci si trova con queste "nuove" varianti gli antivirus faticano, es. qualche mese fa una versione veniva indentificata come  applicazione "pericolosa" solo da kaspersky e baidu mentre una quarantiana di antivirus davano il file come sano!

    Quello che mi preoccupa è che il tuo antivirus non abbia trovato nulla, ho clietni che usano lo stesso prodotto!!!

    Sarebbe stato bello sapere come il virus ha infettato il computer...  per capire,  ci puoi indicare che SO aveva il sistema coinvolto e come era messo con windows update/service pack?

    Visto che le policies e gli script di policies sono intergri,  si deduce che l'utente non era un admin (FORTUNATAMENTE) e quindi non poteva scrivere nella SYSVOL dove tali file risiedono... Se un CryptoLocker/RansomWare riesce a scrivere la sysvol, ha i permessi per scrivere anche le share amministrative  (C$/D$ ... ) con quello che ne implica.

    @Alessandro, ci puoi dare qualche informazione al riguardo le inesattezze che i grandi brand riportano, così da evitare di essere "disinformati" e avere una visione più chiara del problema.
    Grazie

    Ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 26 luglio 2016 23:15
  • @Gas: volentieri, devo mettermi li e buttare giù qualcosa. chiaramente non citerò il brand, sarà poi facilmente identificabile andando a leggersi online quello che professano.

    Volevo farlo da tempo, appena ho una finestra lo imposto.

    mercoledì 27 luglio 2016 05:48
  • Gli antivirus sono utili ma per ovvi motivi non sono efficaci al 100% per tutta una serie di motivi, visto che i ramsonware, ma in generale la maggior parte di virus/malware, sono eseguibili che vengono passati via email, oppure scaricati da una macro Word o da un .js, etc., etc, basterebbe disabilitarne l'esecuzione tramire SRP (Software Restriction Policies) per avere un'ottima protezione non solo contro i virus ma a quel punto contro qualunque eseguibile che non si trovi in una posizione sicura.

    Saluti


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 27 luglio 2016 06:05
  • integro questo bel post di Alessandro solo con un articolo di oggi:

    http://www.techweekeurope.it/security/virus/no-more-ransom-97266?utm_source=2016-07-27&utm_medium=email&utm_campaign=it_techweek&referrer=nl_it_techweek&t=ac69959b2d387739dd6868a435a3dc15941761

    e il link al portale indicato nell'articolo

    https://www.nomoreransom.org/


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org





    mercoledì 27 luglio 2016 07:23
    Moderatore
  • Aggiungo due link molto interessanti, il primo in particolare spiega molto bene le tante cose che un cryptolocker esegue sul pc...

    http://marcoramilli.blogspot.it/2016/03/recovering-files-from-brand-new.html

    http://marcoramilli.blogspot.it/2016/02/ransomware-general-view-after-field.html

    Fortunatamente, ancora oggi,  molti ransomware, continuano ad usare chiavi simmetriche (spesso all'interno dell'eseguibile stesso) che permettono in modo "relativamente" facile la decriptazione... appena  i ricattatori digitali risolveranno i problemi di lentezza nella criptazione files,  passeranno ad algoritmi di criptazione asimmetrica, a quel punto,  non ci sarà tool capace di ridarci i dati senza chiave!


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 27 luglio 2016 21:59