hello
i have encrypted all your files.
email me to buy the decrypter
è il messaggio che, ahimè, un nostro cliente ha letto ieri nel suo server scoprendo di non riuscire più ad aprire nessun documento.
Kriptoki è l’ultima variante della serie ramsonware, scoperta per la prima volta agli inizi di agosto 2017; molto più evoluta ed aggressiva delle precedenti.
Sfruttando una falla (exploit) del protocollo RDP, quello che serve per accedere da remoto ai server (ad esempio), è riuscito a intrufolarsi nel server, saltando a piè pari le protezioni, ha rimosso tutti i programmi di backup e ripristino del sistema, comprese le copie shadow, ha rimosso l’antivirus, ha crittografato tutti i documenti, ha modificato le policy di sicurezza togliendo le proprietà di amministratore agli amministratori (utenti e gruppi), ha tolto tutte le tracce delle operazioni compiute azzerando gli archivi degli eventi, ed ha cancellato se stesso.
Questo in un server con Windows 2012.
Sembra che la vulnerabilità sia presente in tutte le versioni dalla 2003 alla 2016.
Bisogna correre immediatamente ai ripari, conservando i dati in maniera sicura. I sistemi di backup tradizionali possono non essere sufficienti. I dati vengono crittografati dai ramsonware per diverse settimane prima che il virus si manifesti, e quando viene tolta la chiave per la crittografia anche tutte le copie di backup potrebbero essere illegibili.
Aggiornamento 2019: nel tempo i ramsonware sono diventati più aggressivi e se riescono ad entrare nel sistema rimuovono tutte le protezioni antivirus e tutti i sistemi di backup che riescono a raggiugnere vengono distrutti. Occorre riconoscere l’attacco prima che si concretizzi e le copie di salvataggio devono essere opportunamente mascherate e/o poste in siti remoti.
Possiamo minimizzare i rischi, e salvare i tuoi dati.
[nz_btn text=”Non Aspettare che sia troppo tardi, contattaci adesso” link=”/contatti/” target=”_self” icon=”” animate=”false” animation_type=”ghost” color=”default” size=”medium” shape=”square” type=”normal” hover_normal=”fill” hover_ghost=”fill” el_class=”” /]