GDPR TUTOR

E' il Software cloud facile ed intuitivo che vi consente attraverso gli help online di compilare autonomamente tutte le sezioni fino alla creazione del registro dei trattamenti, del PIA di tutte le lettere di incarico e i mansionari di tutte le figure, nonché delle policy informatiche e delle policy privacy. Avrete un accesso annuale che vi permetterà di apportare le modifiche in tempo reale e  essere compliance 100% al GDPR.

Richiedi l'account per la tua azienda e inizia subito! CREDENZIALI DEMO: user: democlienti pwd: gdprdemo

Valuta anche i servizi che Caronni srl rende disponibile:

1>analisi IT preventiva

Sopralluogo di analisi presso la vs. sede al fine di individuare eventuali punti necessari alla    conformità. Da questo incontro viene rilasciato un documento con le azioni correttive che l'azienda decide in autonomia di intraprendere per assolvere alla compliance a livello IT. Le azioni correttive verranno su richiesta quantificate a parte.

2>Rilascio licenza privata cloud software GDPRTUTOR per aziende  : semplice ed intuitivo – in offerta Software in cloud facile ed intuitivo. Attraverso gli help online compilerete autonomamente tutte le sezioni fino alla creazione del registro dei trattamenti, del PIA di tutte le lettere di incarico e i mansionari di tutte le figure, nonché delle policy informatiche e delle policy privacy. Avrete un accesso annuale che vi permetterà di apportare le modifiche in tempo reale e  essere compliance 100% al GDPR.

3>Su richiesta possiamo fornire consulenza e formazione da parte di un nostro incaricato sull’uso del software e  alla  compilazione dei dati richiesti dal software:

-formazione GDPR presso di voi . A fine corso compreso anche test singolo incaricato.

-Su richiesta  anche supporto alla compilazione dei quesiti proposti dal software. costo orario o forfettario in base al numero di incaricati .

GDPR - La sicurezza e la tutela dei dati sensibili  una normativa a lungo desiderata.

GDPR - La sicurezza e la tutela dei dati sensibili. Questa normativa segna la storia del web, come l'evento più importante degli ultimi 20 anni. Si tratta, infatti, di una revisione di un intervento già esistente del lontanissimo 1995. La protezione dei dati diverrà una parte fondamentale di ogni azienda e le costringerà ad adeguarsi, rispettando i requisiti minimi e stringenti che la normativa richiede.

Per adeguarsi ci sarà tempo fino al 25 maggio 2018, ma si calcola che almeno il 50% di tutte le società aziende interessate a questo fenomeno non saranno in grado di rispettare i requisiti richiesti.

La normativa costringe ogni singolo Paese Europeo a standardizzarsi a una regola comune, in questo caso il GPDR (UE n. 679/2016, Regolamento Generale sulla protezione dei Dati). Questo costituisce un passo fondamentale che porta a un livello molto più alto la politica della protezione dei dati a livello continentale.

Ciò che cambia rispetto al vecchio intervento è l'ampliamento della giurisdizione di tutte le società che trattano i dati personali dei cittadini Europei. Indipendentemente dal fatto se la società/azienda in questione abbia la sede legale o tratti tali dati in Europa; queste aziende dovranno comunque nominare un responsabile all'interno dell'Europa.

GDPR - La sicurezza e la tutela dei dati sensibili avrà pesanti ripercussioni.

se non verrà rispettato, con multe fino al 4% del fatturato globale o fino a 20 milioni di euro, a seconda di quale sia la cifra maggiore tra le due. Il danno maggiore sarà il danno d'immagine che subirà, come quello di un'azienda poco attenta alla privacy dei propri clienti. Nel 2018 la reputazione è tutto.

Il GPDR in breve

L'intero impianto normativo è basato sulle singole specificità di ogni azienda e dei rischi contestualizzati di ogni realtà. Si chiede, perciò di prendere coscienza di ogni rischio reale che l'azienda potrebbe procurare direttamente al cliente con una potenziale fuga di dati.

Si chiede perciò, di acquisire una maggiore responsabilizzazione e una maggiore garanzia sulla sicurezza dei dati raccolti.

Ecco elencati brevemente i principali requisiti che il GDPR richiede:

• Porre la Privacy degli utenti come elemento principale dell'azienda. Pertanto si dovrà individuare ogni possibile vulnerabilità della propria rete, creando di conseguenza un piano di messa in sicurezza dei dati. Dovrà quindi approcciarsi con una tecnica "risk based", dove le misure tecniche ed organizzative possano tutelare l'azienda stessa e i clienti.

• Formazione del personale. Chiunque si trovi nella posizione di dover gestire i dati sensibili deve essere conscio dei rischi e attraverso una formazione adeguata deve conoscere i limiti entro i quali poter svolgere correttamente la propria mansione.

• Privacy by Design. Le misure di protezione dei dati devono essere pianificate con le relative applicazioni informatiche di supporto a partire dalla progettazione dei processi aziendali. Verranno processati, di conseguenza, solo i dati veramente necessari allo svolgimento del proprio compito.

• Breach Notification. Ogni qualvolta potrebbe paventarsi la possibilità di una perdita di dati sensibili, l'azienda è obbligata a notificare a tutti i propri clienti quest'avvenimento, entro e non oltre le 72 ore.

• Instituire la figura del DPO (Data Protection Officer). Avrà il compito di vigilare su tutti i processi interni dell'azienda e dovrà fungere da consulente, per risolvere qualsiasi problema legato alla sicurezza dei dati.

• Richiesta di consenso e "Right be Forgotten". Le richieste di consenso dovranno essere rese chiare e accessibili, senza campi pre-compilati. Inoltre bisognerà garantire a ogni utente il diritto alla cancellazione dalla lista dei dati personali in mano all'azienda. L'utente, infine, dovrà avere la possibilità di richiedere informazioni per maggiori chiarimenti sul trattamento dei dati personali e sensibili e ottenere, anche una copia gratuita di questi documenti.

Conclusione

Questa nuova normativa ha riportato i riflettori della ribalta sullo spinoso problema della Data Protection. Un tema che ha toccato da vicino molte aziende, soprattutto negli ultimi anni, come hanno dimostrato i recenti attacchi della famiglia WannaCry.

Attacchi informatici su vasta scala, che hanno colpito più di 150 Paesi tra Europa e Asia. Attacchi che hanno colpito milioni di aziende che nella maggior parte dei casi hanno colpito aziende con reti aziendali non aggiornate (Windows XP o sistemi non aggiornati) o poco attente sul lato della sicurezza IT.

Dotarsi di soluzioni complete, facili da implementare nella propria azienda e soprattutto soluzioni sicure, diventa da questo momento in poi di importanza assoluta per la vita di qualsiasi azienda.

Team Consulenza

GDPR - La sicurezza e la tutela dei dati sensibili Consulenza. Caronni srl ha organizzato un team di consulenti in grado di dare supporto preciso alle piccole e medie imprese al fine di definire le arree di intervento per il settore IT per il conseguimento della messa in sicurezza e il rispetto delle idoneità alle direttive del GDPR 2018. Conttate lo 0362 559383  per le informazioni commerciali e prenotare l'intervento presso la vs. azienda. Oppure manifestate il vs. interesse per essere richiamati scrivendo a commerciale@caronni.it

Attacco KRACK:  tutte le Wi-FI sono vulnerabili

Come funziona l'attacco Krack?

Come proteggersi

App False nel Google Play

Negli ultimi giorni,una serie di applicazioni false sono state diffuse nel Play Store di Google. In particolare, digitando nello spazio di ricerca WhatsApp, tra i risultati, accanto alla app originale ne vengono visualizzate  due false  ma recanti come sviluppatore ‘WhatsApp Inc.'' (lo sviluppatore legittimo)  e grafica  praticamente identica  a quella dell'app originale. Inutile dire quanto questa somiglianza abbia influito sull'alto numero di download: a primo sguardo effettivamente le due applicazioni erano praticamente indistinguibili da quella originale.

Ci sono sempre più false app nel Google Play.  Stranamente, queste false app hanno buone valutazioni e un alto numero di download. Questo fenomeno  indica chiaramente  la crescente tendenza delle false app nel mondo Android. Queste false app somigliano alle loro controparti originali ma hanno ovviamente finalità truffaldine e/o illegali: potrebbero infatti rubare i dati dell'utente, mostrare pubblicità non richieste, spingere in basso le valutazioni e i download della app più popolari. Sostanzialmente queste si appoggiano sulla popolarità delle app autentiche per ingannare gli utenti.

L'installazione di queste app provocano un forte rischio di sicurezza aziendale in quanto potrebbero accedere ai dati presenti all'interno della rete.

Misure di sicurezza

Non valutare mai un'app prima di usarla. Ricorda, una app autentica potrebbe richiederti una valutazione ma non ti obbligherà mai a farlo. Fai attenzione alle app che chiedono insistentemente la tua valutazione, anche prima che tu possa accedere all'app. App che mostrano tali comportamenti sono quasi sicuramente false e dannose.

Prima di scaricare qualsiasi app, verifica le sue recensioni degli altri utenti. Potrebbe infatti aver acquisito valutazioni false.

Installa sul tuo smartphone una soluzione di sicurezza affidabile che possa bloccare l'installazione di app false e dannose.

Quick Heal TOTAL SECURITY per Android è il prodotto ideale per proteggersi da queste minacce.

Il prodotto ha numerose funzioni:

• Analisi dispositivo con vari tipi di scansione
  
  • Rapida
  • Approfondita
  • Programmata
•  Gestione Privacy
  • Blocco telefonate
  • Blocco numeri internazionali
  • Parental Control
• Anti-theft
  • Localizzazione
  • Telefonata da remoto
  • Acquisizione audio e video da remoto
  • Tentativi di sblocco non autorizzati
• Ottimizzazione prestazioni
  • Controllo utilizzo dati
• Protezione
  • Backup dati su cloud
• e molto altro...

Windows XP e violazione norma sulla privacy

A partire dall'8 aprile 2014, Microsoft ha terminato di fornire aggiornamenti di sicurezza sul sistema operativo Windows XP, tuttavia molte aziende continuano ad utilizzare tale sistema operativo non sapendo che stanno violando la legge sulla privacy.

La legge sulla privacy prevede che:
Gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti, sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.   (art. 17 del disciplinare tecnico ”Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza”)

Se l’ultimo aggiornamento possibile per XP è stato ad aprile 2014 il termine ultimo per poterlo utilizzare regolarmente sarebbe stato ottobre 2014 in caso di trattamenti di dati sensibili oppure  aprile 2015 in caso di soli dati comuni (come le anagrafiche clienti e fornitori, la contabilità ecc.)

COSA SONO I DATI SENSIBILI?

I dati sensibili all'interno di una rete aziendale sono ad esempio una mail di una busta paga in formato PDF contente i giorni di malattia di un dipendente.

RETI MISTE CON SISTEMI OPERATIVI DIVERSI

Windows XP e violazione norma sulla privacy. Non è sufficiente che tale dato sia all'interno di un pc aggiornato con l'ultima versione del sistema operativo. Basta che nella rete aziendale ci sia collegato un pc con Windows XP che la sua vulnerabilità mette a rischio l'intera rete nel suo complesso.

QUALI PROBLEMI SI POSSO PRESENTARE?

Windows XP e violazione norma sulla privacy. Nel caso un dato sensibile venga perso o rubato da un hacker l'azienda può essere suscettibile di denuncia.

Ma a parte questo anche chi non sa molto di informatica, capisce che un antivirus non aggiornato non serve praticamente a niente. Idem per i sistemi operativi come Windows XP. Se vengono scoperte falle di sicurezza, Microsoft non li risolverà affatto, quindi continuare ad utilizzare XP è da incoscienti. Prima o poi cadrete vittima di qualche problema di sicurezza, è solo questione di tempo. E i primi a farne le spese sarete voi e la vostra azienda.

vi invito a leggere anche l'articolo:

PERCHE’ INSTALLARE UN FIREWAL IN AZIENDA

Durante l’implementazione di una rete aziendale locale dotata di un accesso a Internet sussiste una fase a cui oggi nessuno può piu' sottrarsi: 

la predisposizione di un firewall.

PERCHE' La sicurezza non è più un’opzione, ma una regola che deve permeare tutte le fasi del lavoro ai sistemi IT in una rete aziendale.

PERCHE' Esistono inoltre leggi che impongono,  in ambito aziendale, un livello minimo di attenzione all’integrità delle informazioni. Infatti tutte le aziende detengono dati di terzi e non garantirne una tutela (privacy) puo' essere oggetto di conseguenze civili e penali. 

Il firewall deve essere frapposto tra la rete interna e il router per l’accesso esterno, creando così un passaggio obbligato controllato per i dati in ingresso e in uscita.

Il dispositivo va configurato con una serie di regole impostate dall’amministratore di rete; in base a queste i dati possono attraversare il dispositivo o essere bloccati.

In questo modo è possibile intercettare i pacchetti potenzialmente dannosi prima che possano nuocere ai pc interni.

PERCHE' INSTALLARE UN FIREWAL IN AZIENDA - La funzione di controllo e di filtro è l’aspetto caratteristico di un firewall.

Un firewall  hardware  ha il vantaggio della semplicità.  Ovvero si tratta di un’unica “scatola dedicata’ che integra tutto il necessario per il funzionamento di un sistema protezione. Questa scatola va installata a monte di tutta la rete.

I firewal hardware sono computer a tutti gli effetti, in architettura dedicata, un kernel, le funzioni di sistema basilari e il software di filtro. Questo sistema non contiene fronzoli, ridondanze o componenti superflui che possono essere fonte di insicurezza. Nei fatti si hanno pochissimi elementi software in esecuzione all’interno della “scatola”.

Gli eventuali cracker avranno quindi vita molto dura per scovare qualcosa a cui aggrapparsi per violare il sistema (ammesso che vi siano punti esposti).

PERCHE' INSTALLARE UN FIREWAL IN AZIENDA - Aggiornamento

Il firewall , per svolgere tutte le sue funzioni di controllo e protezione, mantiene a bordo come detto un software dedicato  e per tenerlo in efficienza, al fine di far fronte ai continui mutamenti dei tentativi di attacco esterno,  va mantenuto costantemente aggiornato. La software suite dedicata  consente di proteggere la rete a livello del firewall contro le minacce note quali intrusioni, virus, spyware, worm, trojan, adware, keylogger, malicious mobile code (MMC), e altre applicazioni pericolose e dalle minaccie incognite quali zero-day e APT grazie all'integrazione di capture per una protezione totale in una comoda soluzione di servizi in abbonamento a prezzi accessibili. In sintesi :

• Capture Advanced Threat Protection Service (sandboxing multilivello)
  
• Comprehensive Gateway Security Suite:
  

Gateway Anti-Virus

Gateway Anti-Spyware

Intrusion Prevention/Detection Service

Application Visibility & Control

Content Filtering Service

Come QuickHeal e Seqrite  proteggono dal ransomware WannaCry?

QuickHeal/Seqrite  Virus Protection ha rilevato e ripulito i sistemi dai file maligni responsabili della criptazione, come il file “TrojanRansom.Wanna”.

Quick Heal/Seqrite  Advanced Behavior Detection System ha individuato l’attività di WannaCry con successo basandosi sul suo comportamento.  Si ricorda che, in situazioni di minaccia, gli utenti devono fare click nel bottone BLOCCA per fermare l’attività del ransomware.

Anche la tecnologia  Anti-Ransomware di QuickHeal-Seqrite  ha rilevato l’attività di criptazione dei file del ransomware WannaCry.

[ap_divider color="#CCCCCC" style="solid" thickness="1px" width="100%" mar_top="20px" mar_bot="20px"]

Raccomandazioni per ridurre gli attacchi ransomware:
Quick Heal Security Labs raccomanda vivamente di prendere le seguenti misure di sicurezza per ridurre il rischio d’infezione del ransomware WannaCry:

• Effettuare l’aggiornamento per la vulnerabilità usata da questo ransomware. tenere i sistemi operativi aggiornati
• Eseguire regolari backup dei tuoi dati, sopratutto quelli più importanti e verificare periodamente il corretto funzionamento del  processo di rispritino dei file da backup. Assicurarsi di avere un sistema di backup incrementale in grado di tenere in automatico diverse copie in date diverse e possibilmente criptate. Tenere copie aggiornate esterne all'azienda.
  
• Assicurarsi che le soluzioni per la sicurezza siano attive in tutti i nodi della rete.
• Tenere sempre aggiornati i software di sicurezza installati.
• Eseguire la scansione totale del sistema usando i software di sicurezza installati.
• Evitare di cliccare link e aprire allegati di email provenienti da fonti sconosciute e sospette.

[ap_divider color="#CCCCCC" style="solid" thickness="1px" width="100%" mar_top="20px" mar_bot="20px"]

Una breve Panoramica dell’ Advanced Behavior Based Detection System

Come raccontiamo ogni giorno ormai, malware e ransomware non sono più da tempo una minaccia sporadica e di interesse solo per ricercatori e operatori nel campo dell’informatica; si sono evoluti in  una piaga dilagante ormai che colpisce moltissimi utenti comuni. I programmi dannosi vengono ormai utilizzati per appropriarsi delle password, diffondere spam, attuare furti di identità, e praticamente per tutto ciò che può generare un profitto. E non è solo l’indice di diffusione ad aumentare vertiginosamente, ma sempre più questi nuovi virus si evolvono diventando sempre più complessi e difficili da sconfiggere. I criminali informatici continuano infatti a modificare e aggiornare il loro codice malware, per eludere il rilevamento da parte di software di sicurezza.

Ogni volta che un programma tenta di eseguirsi sulla macchina dell’Utente, questo viene prima intercettato dal Modulo di Protezione Virus. Questo esegue una scansione in cerca delle firme di vari tipi di malware, cerca di capire se presenti caratteristiche simili a  qualche famiglia di malware conosciuta, svolge indagini di tipo euristico. Se c’è un qualsiasi riscontro, il programma viene segnalato come dannoso e quindi bloccato. Se invece il programma non viene identificato come dannoso, allora viene deviato sul Sistema Avanzato di Individuazione comportamentale, che monitora comunque costantemente le attività svolte da ogni programma in uso. Se il programma, pur non risultato dannoso, tenta di svolgere anche una di queste attività sospette, viene immediatamente segnalato come dannoso:

1. Aggiungere file eseguibili nella cartella dei file di sistema.
2  Aggiungere voci auto-eseguibili nel registro
3. Immettere codici nei processi di sistema

In base alle impostazioni scelte dall’utente, il  Modulo di Analisi Comportamentale metterà in quarantena automaticamente il programma e richiederà all'utente di intraprendere l'azione appropriata.

Il Ransomware WannaCry getta il mondo nel caos: al momento non ha soluzione.
Venerdì 12 Maggio ha avuto inizio uno dei più grandi e capillari attacchi ransomware dall'inizio della diffusione dei ransomware stessi. Due le particolarità: l'aggressività della falla sfruttata e la scala dell'attacco stesso.

Il ransomware in questione, finito sui media di tutto il mondo, si chiama Wana Decrypt 2.0, ma è diventato famoso col nome di WannaCry.

NB: è già in diffusione 2.0 del ransomware WannaCry. Aggiorneremo nei prossimi giorni
La diffusione...

WannaCry ha colpito in prima battuta Spagna, Russia, Portogallo e Regno Unito. In Spagna la vittima d'eccellenza è stata la carrier di telecomunicazioni Telefonica: è stato colpito il server interno, il quale ha poi iniziato a diffondere il malware entro l'organizzazione stessa. Altre vittime illustri sono la Banca Santander (tra le major bank spagnole) e Gas Natural (fornitore di gas). Nel Regno Unito sono stati colpiti principalmente ospedali, la maggior parte dei quali del tutto incapaci di fronteggiare l'infezione: da qualche giorno infatti gli ospedali colpiti stanno rifiutando tutti i pazienti che non versano in gravi condizioni. Lo stesso Servizio di Sanità Pubblica inglese ha rilasciato una nota nella quale specifica che tutti i computer relativi al servizio sono stati spenti per riuscire a contenere gli effetti di questo attacco su larga scala. In termini di diffusione a home user i paesi più colpiti sono attualmente Russia, Ucraina e Taiwan.  In tutto si stima che i paesi colpiti siano 150: anche in Italia si sono registrati alcuni casi. Tra questi, il più eclatante riguarda l'Università Bicocca di Milano.

Come si diffonde?

Il ransomware era già stato individuato qualche settimana fa, ma non pareva poter contare su una rete di diffusione così impressionante. All'improvviso però ha cominciato ad essere diffuso tramite un exploit chiamato ETERNALBLUE, che pare essere un exploit kit dell'NSA (National Security Agence statunitense) diffuso online da un gruppo di hacker chiamato The Shadow Brokers. Questo exploit sfrutta una vulnerabilità molto aggressiva di Windows, che però era già stata individuata e risolta un paio di mesi fa da Microsoft. L'SMB (Server Message Block) era stato exploitato "in the wild" già a fine Aprile, sempre da Shadow Brokers: in risposta a ciò Microsoft aveva rilasciato un bollettino col quale annunciava di aver "tappato la falla" e invitava quindi gli utenti a procedere all'aggiornamento. Una successiva informativa ne valutava il grado di rischio a seconda dei sistemi operativi.

L'exploit

Il ransomware si diffonde tramite un worm eseguibile che esegue una scansione in Internet in cerca di server Windows che abbiano la porta Samba TCP 445 accessibile. Questa è la porta SMB che viene sfruttata dall'exploit ETERNALBLUE per  ottenere l'accesso ai computer. Quando il worm ottiene l'accesso, crea una copia di sé stesso e esegue il programma sul computer infetto.

Una volta eseguitosi, si connette al dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Se la connessione riesce il ransomware non si installerà e semplicemente "lascerà" la macchina infetta. Questo dominio funge da interruttore del ransomware ed è stato scoperto casualmente da un ricercatore di sicurezza che stava conducendo analisi statistiche riguardanti la diffusione dell'infezione. Se invece il Worm non riesce a connettersi al dominio, estrae un archivio .zip protetto da password nella stessa cartella dove si trova il Worm. Il file .zip contiene il ransomware, che viene quindi eseguito: a questo punto inizia il processo di criptazione.

Come cripta i file?
La prima operazione che compie, una volta estratti i file dall'archivio .zip, è estrarre la nota di riscatto secondo la lingua sulla quale è settato il computer infetto. Il ransomware è disponibile in moltissime lingue tra cui tedesco, italiano, greco, francese, bulgaro, cinese, croato, polacco, portoghese, rumeno, russo, spagnolo, turco, giapponese ecc..

Scarica quindi un client TOR e lo estrae nella cartella TaskData: questo client Tor serve al rasnomware per comunicare col proprio server C&C agli indirizzi servers at gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion e cwwnhwhlz52maqm7.onion.

Al fine di preparare il computer affinchè il processo di criptazione sia il più esteso possibile, WannaCry esegue il comando icacls . /grant Everyone:F /T /C /Q per concedere tutti i permessi ai file locati nelle cartelle e sottocartelle dove il ransomware è in esecuzione. Termina quindi i processi associati ai database server e ai server di posta, così da garantirsi perfino la possibilità di criptare database e lo storage delle email.

Questi i comandi eseguiti per terminare i database server e gli exchange server
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange.

Ora è il ransomware è pronto per criptare i file: mentre esegue questo processo, esegue la scansione di tutti i drive e dei drive di rete mappati in cerca di circa una 50ina di diversi tipi di file. Quando cripta i file aggiunge la stringa WANACRY! all'inizio del file criptato, quindi ne modifica l'estensione aggiungendo .WNCRY o .WCRY dopo l'estensione originaria. Quindi copia in ogni cartella in cui i file sono stati criptati la nota di riscatto assieme ad una copia del decryptor @WanaDecryptor@.exe.
IMPORTANTE: bisogna far notare che se un utente ha in uso un servizio di storage in cloud e sincronizza regolarmente i dati in locale con quelli in cloud, i file in cloud verranno sovrascritti dalle versioni criptate. 

Infine esegue i seguenti comandi per cancellare le Shadov Volume Copies (per impedire il ripristino da backup), disabilitare la possibilità di ripristino di Windows e cancellare la cronologia di Windows Server Backup:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Siccome questi comandi richiedono i privilegi dell'Admin, WannaCry mostra alle vittime un prompt UAC simile a questo sotto

La schermata di blocco e la richiesta di riscatto.
A questo punto il processo di criptazione è finito: viene quindi avviato il programma @WanaDecryptor@.exe, che mostrerà la schermata di blocco. Una volta  visualizzata questa schermata i file sono già stati criptati, ma WanaDecrypt va comunque terminato, altrimenti continuerà a criptare tutti i nuovi file appena vengono creati.

Il ransomware modifica anche lo sfondo del Desktop con l'immagine sotto

Infine, la nota di riscatto in formato .txt verrà visualizzata nel desktop: oltre alle solite informazioni di piegazione e contatto, contiene anche una serie di FAQ.

C'è una soluzione?
Attualmente no, quindi chi ha subito questa infezione non ha che da aspettare una soluzione oppure ripristinare i file, qualora sia attivo un meccanismo regolare di backup sicuro.

Chi non ha una soluzione di backup può sperare di recuperare i file attraverso le Shadow Volume Copies: nel caso infatti in cui l'utente non abbia fatto clic su YES nel prompt UAC è probabile che le copie Shadow di Volume non siano state del tutto cancellate.

Chi non ha ancora subito l'infezione, deve immediatamente correre ai ripari "tappando" la falla SMB di cui si parla in precedenza: è fortemente consigliato aggiornare all'ultima versione tutti i software il sistema operativo.

In generale è sempre più importante tenere sempre aggiornati sia il Sistema Operativo sia tutti i software in uso nel sistema. Per le aziende, dove è difficile tenere sott'occhio tutti gli aggiornamenti, è necessario uno strumento di "Gestione centralizzata delle Patch".

Chi non riesce ad installare la patch tramite update dei software, può fare riferimento al bollettino Microsoft MS17-010- Security Update for Microsoft Windows SMB Server.

Microsoft, data la gravità della situazione, ha rilasciato l'update anche per Windows XP, Windows 8 e Windows Server 2003, tutti sistemi operativi che solitamente non ricevono aggiornamenti di sicurezza.

Una indicazione: la maggior parte degli antivirus a pagamento ha un sistema di individuazione comportamentale, che analizza il comportamento di ogni file presente nel sistema e blocca e mette in quarantena quei file che mostrano comportamenti inaspettati o dannosi. Si consiglia il passaggio ad una soluzione che preveda questa caratteristica. Come ridurre i rischi

L'importanza del software aggiornato

 *Software e sistemi operativi, perché è importante aggiornarli*

L'argomento da trattare non è banale. Cercheremo di semplificare per mantenere la Vs. attenzione su un argomento così importante per il buon funzionamento  dell'infrastruttura informatica, alla base di un  business  di successo.

L'infrastruttura informatica,  composta da Pc, server, posta, gestionale, office, multifunzioni etc. consente oggi in azienda , ma anche nella vita di tutti i giorni,  di svolgere molti compiti ad una velocità immensamente superiore rispetto agli anni passati.

Tutte le componenti dell'infrastruttura IT aziendale sono cambiati!

e sono governati da software!

ovvero bios, sistemi operativi e software applicativi

(gestionali, office, progettazione, posta, e-commerce, siti web, produzione CNC etc).

quindi  è il software che fa viaggiare  velocemente l'azienda e il business.

Risulta chiaro che va mantenuto in efficienza.

L'importanza del software aggiornato - Update

Come mai gli aggiornamenti assumono così tanta importanza? Perché bisogna rilasciare (e installare) gli update se un programma, anche se buggato, continua a funzionare?

I motivi sono diversi almeno 4 fondamentali.

Un buon update corregge, rafforza la sicurezza, migliora le prestazioni e introduce migliorie , non solo del programma, ma dell’intero sistema.

L'importanza del software aggiornato - Correggere

Il programma informatico (software)  perfetto è ancora molto di là da venire. Non ce ne vogliano i pur bravi programmatori, ma ogni programma nasconde in sé qualche bug. È, potremmo dire, fisiologico: al crescere delle righe di cui è composto il programma, crescono le probabilità che lì in mezzo ci sia nascosto qualche piccolo errore.

Se un software ha un bug, non funziona al suo meglio. Un aggiornamento o una patch servono proprio a correggere malfunzionamenti del programma, magari segnalati dagli utenti stessi. Sono utili, per quanto possibile, ad avvicinarlo alla perfezione. Un esempio ci aiuterà a capire meglio ciò di cui stiamo parlando. Quando lo scorso luglio Apple rilasciò OS X Mountain Lion, ossia la nuova versione del sistema operativo utilizzato dai Mac,gli utenti riscontrarono immediatamente un problema gravissimo. La durata della batteria dei loro MacBook passò dalle usuali otto ore ad appena quattro. Un errore gravissimo in fase di progettazione software aveva reso la nuova release del sistema operativo Apple una vera e propria “batteriasuga”. Nel giro di pochi giorni (e innumerevoli segnalazioni da parte degli utenti), la casa di Cupertino rilasciò una patch che rimise a posto le cose.

L'importanza del software aggiornato - Sicurezza

Secondo, ogni bug è un piccolo  spiraglio che un abile hacker può trasformare in un vero e proprio portone d’ingresso. Nelle passate settimane Java è stata nell’occhio del ciclone a causa di un bug zero-day che ha spalancato le porte di milioni di computer ad abilissimi hacker. Nel giro di pochissime ore Oracle ha rilasciato la consueta patch, che ha reso nuovamente sicuri i computer di mezzo mondo.

L'importanza del software aggiornato - Prestazioni

Terzo, L'aggiornamento del software include come finalità anche il miglioramento delle prestazioni generali. Per ottenere quindi le migliori prestazioni dai vostri dispositivi occorre regolarmente verificare la disponibilità di aggiornamenti software ed installarli.

L'importanza del software aggiornato - Migliorie

Last but not least le Migliorie. Ultimo ma non per importanza è il fatto che gli aggiornamenti consentono di inserire nel proprio sistema tute le migliorie che nel tempo i produttori hanno ritenuto di inserire sul software.

Le migliorie sono nuove funzionalità, scorciatoie all'utilizzo di certe funzioni, richieste di miglioramenti pervenute  dalla comunità di utenti che i produttori realizzano e mettono a disposizione di tutti gli utilizzatori. Queste migliorie sono , come spesso accade per i software gestionali, anche nuove funzioni o modifiche per adempimenti a nuove disposizioni e normative fiscali.

E' in corso una campagna di diffusione di malware via email di SPAM:

le email si fingono comunicazioni da parte dei più diffusi corrieri internazionali. Queste email diffondono in realtà non un solo malware, ma una terribile combinazione tra il ransomware Cerber e il trojan Kovter. La mail di spam contiene programma dannoso che si collega ad un sito web compromesso dove è possibile scaricare componenti aggiuntivi. Sono stati rintracciati circa 300 siti web compromessi usati durante questa campagna: siti web hackerati e compromessi da attaccanti ignoti.

Come funziona l'attacco?

La vittima, per prima cosa, apre l'allegato email contenente un file.  Questo file si esegue e si connette ad uno dei circa 300 siti web compromessi per scaricare un file .doc . Questo file è responsabile poi del download del ransomware Cerber e comincia il processo di criptazione dei file della vittima. L'attacco tuttavia non si limita alla sola criptazione dei dati,  procede inoltre all'installazione del malware Kovter. Kovter si nasconderà nel Windows Registry, rendendosi praticamente invisibile all'individuazione.

Che cosa fa Kovter?

Kovter, come altri trojan, colleziona i dati degli utenti sono attacco e li invia ad un server controllato da hacker.

L'individuazione da parte di Quick Heal

1. La caratteristica di Protezione Email di Quick Heal blocca con successo questi allegati dannosi (in questo caso il file script), ancora prima che siano eseguiti
2. La caratteristica di Sicurezza Web blocca i siti dannosi collegati a questi allegati.

Misure precauzionali

1. Non aprire mail con un allegato che abbia doppie estensioni, come .doc.js  oppure doc.vbs: generalmente contengono malware.  Abilita la visualizzazione dell'estensione dei file nelle cartelle: potrai vedere le estensioni complete dei file individuando quelli pericolosi.
2. Non scaricare mail allegati e non fare mai clic su link contenuti in mail ricevute da mittenti sconosciuti, inaspettati o indesiderati.
3. Non rispondere a alert o notifiche pop-ip mentre stai visitando siti web a te non familiari.
4. Mantieni aggiornati i tuoi software regolarmente siano essi: sistema operativo, software in generale e  browser.
5. Installa un antivirus solido ed efficiente sul tuo pc, capace di bloccare le email di spam o quelle dannose e di restringere automaticamente l'accesso a sitti web dannosi.