E’ un po’ che non aggiorno il blog e voglio farlo oggi parlando del recente attacco informatico riportato praticamente da tutti i media, in realtà non è un attacco ma è un danno generato da vari fattori, sostanzialmente ignoranza (nel senso informatico) di alcuni utenti e impreparazione di alcuni addetti del settore (IT e consulenti vari).
In sostanza si tratta di un software che arrivato alla vittima tramite email (una falsa fattura in pdf o zip) sfrutta una vulnerabilità del protocollo di condivisione file di Windows (SMB) che critta dei file sul pc infetto e sulle condivisioni di rete (quindi tipicamente sui server).
Per riottenere questi file bisogna pagare circa 300$ ottenendo in cambio una chiave per decrittarli.
Parlo di “ignoranza” perchè vengono aperti degli allegati che con un minimo di accortezza si possono riconoscere come falsi evidenti. Parlo di impreparazione degli addetti perchè con un buon backup o con un sistema aggiornato non si prende il virus e in caso non c’è bisogno di pagare per decrittare gli archivi.
Veniamo al ragiornameto, Kaspersky Lab ha affermato che il suo software di sicurezza ha rilevato e bloccato con successo un gran numero di attacchi, più di 45.000 attacchi in 74 paesi sparsi in tutto il mondo, soprattutto in Russia. Purtroppo sono molti di più i PC infettati, leggendo pare che ci sono aimè anche ospedali e strutture pubbliche.
Veniamo ai ragionamenti, la prima cosa curiosa è che secondo kaspersky lab, “Wannacry” non è il virus più popolare al momento, infatti dal sito (https://securelist.com/statistics/) ad oggi il più popolare risulta DangerousObject.Multi.Generic (25,2 %), un virus che infetta piattaforme in cloud.
Un’altra curiosità è che la vulnerabilità sfruttata è stata individuata e “patchata” nel marzo 2017 (MS17-010: Security update for Windows SMB Server), i pc infettati quindi non erano aggiornati. Qui si apre un altro ragionamento infatti ci sono un sacco di pc attivi con (WindowsXP) dedicati dalle banche ai bancomat non aggiornati volutamente, tant’è che Microsoft ha fatto una versione apposta di XP per tenerli ancora in vita (POS), mentre le aziende “tradizionali” sono state costrette ad aggiornarli. Non vorrei però dilungarmi troppo in questo discorso.
Un’altra cosa che mi salta all’occhio è che sembra che questo codice infetto sia stato prodotto da una agenzia governativa americana. Cosa? La NSA produce virus?? Qui si aprirebbe un altro ragionamento, se così si può definire, ma è meglio che mi fermo qui perchè se no rischio di mettermi nei guai :).
Passiamo ad un altro argomento, sembra infatti che alla fine dei conti l’incasso del virus non sia così alto, ciò vuole dire che o la maggior parte dei file crittati non serve a nulla allora la vittima se ne frega oppure le vittime hanno un buon servizio IT che ripristina dai backup i file irrecuperabili, in questo caso un mio complimento va agli IT che hanno recuperato!!
Quindi mi raccomando, una buona strategia di backup a tutti e tenete aggiornate le vostre macchine anche se a volte gli update, soprattutto di Windows, sono troppo invasivi e fastidiosi (vedi riavvii e altri disservizi).
Antivirus
Kasperky e computer bloccati
Come potete trovare sul web Kaspersky ha rilasciato degli aggiornamenti che hanno fatto un po’ di casino, autobloccavano i pc rendendo di fatto impossibile lavorare. Per riaggiornare in modo corretto bisogna:
- Andare in Security Center (o Administration kit per le vecchie versioni)
- Disabilitare l’antivirus sui client modificando il criterio di gruppo
- Andare in Archivi
- Andare in Aggiornamenti
- Tasto destro–>Tutte le attività–>Cancella archivio aggiornamenti
- Tasto destro–>Tutte le attività–>Scarica aggiornamenti
- Aggiornare tutti i client
- Riabilitare l’antivirus sui client rimodificando il criterio di gruppo
Problema Kaspersky con VNC
Per risolvere il fastidioso problema che capita gestendo il software karspersky tramite una sessione vnc dove non è possibile cliccare bisogna:
- Andare nelle proprietà del vnc della macchina amministrata (non il client) cliccando con il destro sull’icona vicino all’orologio di windows e poi Admin Properties
- abilitare capture alpha-blending
Installare Kaspersky in Windows2000
Mi è capitato di avere dei server Windows2000 in rete che non è possibile migrare per varie ragioni. Ho bisogno di installare comunque Kaspersky antivirus. Dato che le nuove versioni non supportano più Windows2000 bisogna installare La versione 6. Se al momento dell’installazione il sistema chiede di installare il service pack 4 anche se è già installato bisogna installare questa fix oppure seguire queste istruzioni. Per quanto riguarda la licenza di kaspersky è possibile installare quella nuova.
Kaspersky e problemi di propagazione criteri
Segnalo una banale (per chi lo sa già) dritta per chi ha problemi con la propagazione dei criteri di kaspersky. Impostando i criteri in security center lui non li imposta sui client. Si comporta così quando il lucchettino in console di amministrazione è aperto, anche se l’help dice blocca il client. L’aiuto è un po’ ambiguo dato che sembra riferito solo alla possibilità di far modificare i parametri al client. Praticamente:
- Lucchetto chiuso il client riceve dal server le regole E NON PUO’ MODIFICARLE
- Lucchetto aperto il client fa tutto ciò che vuole e SE NE FREGA di ciò che è imposto dal server (quindi anche la propagazione).
Kaspersky schermata blu errore ndis.sys
Disinstallando o reinstallando kaspersky quando si riavvia il computer capita la schermata blu di windows (BSOD) e non è possibile fare più nulla. Per sistemare bisogna:
- Scaricare kavremover da qui
- Avviare windows in modalità provvisoria (premere F8 all’avvio)
- lanciare kavremover per disinstallare automaticamente tutti i prodotti kaspersky
- andare in gestione periferiche e rimuovere le schede di rete fisiche (probabilmente lan e wireless)
- riavviare il pc normalmente.
- Reinstallare karspersky
Kaspersky installare SOLO la console di amministrazione
Per installare solamente la console di amministrazione di un’infrastruttura kaspersky per gestire il security center (quella che una volta era Administration Kit) bisogna:
- Scaricare il Kaspersky security Center da qui
- Lanciare l’installazione
- il programma scompatta i programmi di setup in C:\KAV\ksc 9.2
- sotto la cartella con la lingua trovate una cartella “console” , lanciate il setup da li
- Verrà installato soltanto il componente per gestire l’infrastruttura.