Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.

NAS Qnap. Tutti i miei dati sono illeggibili!

qlocker 620x350Da alcuni giorni ci sono utenti che, accedendo ai dati archiviati sul proprio NAS Qnap, hanno trovato un’amara sorpresa: tutti i dati sono “spariti” ed al loro posto si sono ritrovati dei file compressi con password, con conseguente illeggibilità dei dati stessi.
Purtroppo questa situazione è il risultato di uno degli ultimi ransomware immessi in rete: Qlocker. La particolarità di questo ransomware è quella di essere stato specificatamente progettato e creato per i NAS Qnap (uno dei brand più presenti nel mercato mondiale dei Network Attached Storage).

Come viene infettato il sistema?

Questo malware è stato studiato per sfruttare delle vulnerabilità presenti in QTS, il sistema operativo di Qnas, ed in alcune App come Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync; il ransomware per infettare il sistema non richiede nessun intervento da parte dell’utente (il classico click su un link), ma va automaticamente ala ricerca dei NAS Qnap collegati ad internet.

Come si presenta un sistema infettato?

Un sistema infettato presenta tutti i files compressi con password in formato .7z (7zip) ed un unico file di testo (leggibile) chiamato !!!READ_ME.TXT contente le istruzioni per il pagamento del riscatto; il pagamento del riscatto DOVREBBE garantire l’invio della password per la decriptazione dei propri dati.

qlocker small

Cosa posso fare per PREVENIRE l’infezione?

I passi da compiere per mettere in sicurezza il proprio NAS sono:

  • Aggiornare QTS all’ultima versione disponibile
  • Aggiornare le app Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync
  • Installare l’ultima versione disponibile dell’app Malware Remover ed eseguire una scansione
  • Aggiornare le password con versioni complesse

E’ inoltre consigliato modificare la porta di rete predefinita (8080) utilizzata per accedere all'interfaccia web del NAS

Cosa posso fare se il mio Qnap risulta infetto?

Il processo di criptazione non è un processo immediato, ma richiede parecchio tempo (proporzionale alla quantità di dati da criptare); se il processo è terminato, ormai non c’è più nulla da fare e l’unico modo di recuperare i dati è quello di ripristinarli da un backup precedente. Tale backup dovrà ovviamente essere stato archiviato esternamente al NAS; se aveste utilizzato la tecnica delle snapshot sul NAS stesso, purtroppo le stesse non saranno utilizzabili, in quanto la prima azione svolta dal malware in fase di infezione è proprio quella di cancellare tutte le snapshot presenti.
Se invece il processo di criptazione non fosse concluso, è fondamentale:

  • NON SPEGNERE il NAS
  • Installare l’app Malware Remover ed eseguire una scansione
  • Connettersi al NAS via SSH ed eseguire delle linee di codice per recuperare la chiave di decriptazione

Se voleste studiare meglio la situazione, potete andare a vedere i bullettini CVE-2020-36195 e CVE-2021-28799, vulnerabilità che Qnap ritiene siano state utilizzate dell’attacco.

Come sempre, se aveste bisogno di assistenza a riguardo, non vi resta altro che contattarci attraverso i canali abituali

Pin It

PC che si blocca quando inviate la stampa?

EDIT: SOLUZIONE DEFINITIVA A FONDO ARTICOLO


Da qualche giorno moltissimi PC sono affetti da una problematica: può succedere che avviando una stampa il PC si blocchi completamente, si riavii, o mostri un BSOD, ovvero una "schermata blu" d'errore. 

Il problema si verifica solo con stampanti di determinati brand (ovvero: Kyocera, Olivetti, Ricoh e Sharp), ed è causato dall'aggiornamento di Windows KB5000802 distribuito su Windows 10 attraverso Windows Update con il Patch Tuesday di Marzo 2021.
Microsoft è a conoscenza del problema e dovrebbe a breve risolvere, probabilmente con una patch della patch :) 
Ma come si fa a risolvere laddove il problema si è già presentato? Fondamentalmente è necessario semplicemente rimuovere l'aggiornamento incriminato e, per sicurezza, posticipare gli aggiornamenti di una settimana.
Andiamo a vedere nel dettaglio come fare:
 
- Cliccare su Start -> Impostazioni -> Aggiornamento e sicurezza
- Scegliere la voce Visualizza cronologia degli aggiornamenti -> Disinstallare gli aggiornamenti
- Cliccare sull'aggiornamento indicato come KB5000802 e poi su Disintalla
 
 update1 small
 
update2
 
Una volta confermato e disinstallato l'aggiornamento KB5000802, è consigliato andare a posticipare di una settimana gli aggiornamenti, in modo che l'aggiornamento buggato non venga nuovamente installato:
 
- Cliccare su Start -> Impostazioni -> Aggiornamento e sicurezza
- Scegliere la voce Sospendi aggiornamenti per 7 giorni
 
update3 small
 
 
AGGIORNAMENTO:

Microsoft ha rilasciato una patch definitiva per la risoluzione del problema, che però viene distribuita attraverso Windows Update come aggiornamento FACOLTATIVO, il che significa che molto probabilomente andrà installarlo manualmente. Per comodità vi abbiamo messo qui sotto i link per il dowload, differenziato a seconda della versione di Windows 10, direttamente dal Microsoft Update Catalog:

  • Versioni a 64Bit
Windows 10 20H2/2004: KB5001649
Windows 10 1909/1903: KB5001648
  • Versioni a 32Bit
Windows 10 20H2/2004: KB5001649
Windows 10 1909/1903: KB5001648
 
Come sempre se aveste problemi a risolvere il problema in autonomia ed aveste bisogno di un nostro intervento, vi basterà contattarci attraverso i soliti canali.
Pin It

Attenzione al pericolosissimo trojan EMOTET

emotet malware small

In questi giorni è in corso un'ondata di mail contenenti il Trojan EMOTET, un malware progettato per rubare tutti i tipi di informazioni sensibili, dettagli bancari inclusi, e strumenti di accesso remoto che consentono il controllo su un host compromesso.
Il trojan Emotet è veicolato tramite un file Word compresso (.zip) infetto allegato ad una mail; alla fine il sistema di propagazione sembrerebbe quindi abbastanza simile a gli altri centinaia di malware... sbagliato, perchè il livello di ingegnerizzazione sociale è molto evoluto: la mail che vi arriverà infatti

  1. ha come mittente il nominativo di qualcuno che si trova tra i vostri contatti (anche se l'indirizzo email da cui risulta arrivare, è sconosciuto)
  2. è spedita come risposta o inoltro di una vostra mail realmente esistente, quindi appare come una reale risposta o un reale inoltro
  3. il file .doc allegato è compresso con password, in modo che non possa essere analizzato a priori dagli antivirus. La password per aprirlo è contenuta nel messaggio di posta stesso, alla voce "Password archivio:..."

Oltre ad un buon antivirus in tempo reale è quindi FONDAMENTALE porre la massima attenzione per non cadere nel tranello.

C'è da considerare che gli esperti di cybersecurity di Sophos ha dichiarato che Emotet rappresenta, in termini di efficacia e di numerosità di vittime, la più importante minaccia informatica attualmente in circolo. E' stato addirittura definito “più pericoloso di WANNACRY”, l'attacco ransomware che nel 2017 ha messo in ginocchio le strutture informatiche a livello mondiale.

La grande pericolosità di Emotet è data anche dal fatto che è in continua evoluzione e spesso è utilizzato come cavallo di Troia per stabilire un contatto permanente all’interno dell’organizzazione bersaglio; nelle sue più recenti versioni, Emotet è stato osservato installare altri malware come TrickBot e QakBot, per rubare le credenziali delle vittime.
La peggiore minaccia è però rappresentata dalla variante in grado di operare in congiunzione con dei ransomware, come ad esempio Ryuk.

 

COME VERIFICARE SE SI E' INFETTI DAL MALWARE EMOTET

emocheck smallEsiste uno specifico tool chiamto EMOCHECK, scaricabile da QUI (se servisse la versione a 32Bit, può essere scaricata da QUI)
Una volta scaricato il tool sul PC, basterà avviarlo (non richiede installazione); una volta terminata la rapida scansione, avremo una risposta a video e verrà salvato un un file di testo (.txt) riassuntivo nella stessa cartella nella quale è collocato il file eseguibile di emocheck.

Se il computer non è infetto, Emocheck mostrerà la scritta “no detection”; se il PC risultasse infetto, il programma mostrerà un messaggio riportante il codice identificativo del processo malevolo in esecuzione ed anche il percorso del file infettato dal malware.

Nel caso il vostro PC risultasse infetto e voleste provvedere da soli alla rimozione, la prima cosa da fare è aprire Gestione attività e terminare il processo in esecuzione indicato da EmoCheck; successivamente si potrà riavviare il PC in Modalità Provvisoria ed eseguire una scansione completa con un buon antivirus.
Il nostro consiglio rimane comunque quello di NON chiudere la finestra di EmoCheck e contattarci per una disinfezione completa del PC.

Pin It

GDPR e aggiornamento dei sistemi informatici

securityIl GDPR è molto chiaro nel riportare che, nella messa in sicurezza dell'infrastruttura informatica, un ruolo molto importante è giocato dall'aggiornamento dei software e dei devices; questo significa tenerli sempre allineati con le ultime patch di sicurezza rilasciate.
Esiste però un duplice problema: da un lato bisogna avere un piano interno di aggiornamento a cui attenersi (fondamentalmente per non dimenticarsi di aggiornare), dall'altro si deve verificare sempre che i prodotti informatici in uso siano ancora "coperti" dal supporto della casa madre.
Quando un prodotto raggiunge quello che viene definito "End-of-Life", ovvero il fine supporto, continuerà regolarmente a funzionare, ma non verrà più aggiornato; non venendo più prodotti aggiornamenti che garantiscano la correzione dei problemi di sicurezza, il prodotto non potrà essere più usato in azienda se si vuole rimanere compliance al GDPR.
Il discorso è abbastanza evidente se parliamo di sistemi operativi di PC e Servers: molte aziende hanno infatti avviato un piano di sostituzione di Windows 7 e Windows Server 2008R2 (che doveva già essere stato terminato entro il 14 Gennaio 2020, a dirla tutta); meno chiaro se invece parliamo di software applicativi o, ancora peggio, di devices.
Ad esempio molte aziende continuano ad utilizzare Microsoft Office 2010 (il cui supporto è scaduto il 13 ottobre 2020), o versioni obsolete di SQL Server...
Per quanto riguarda i devices, è di fondamentale importanza verificare, ad esempio, l'End-of-life del proprio firewall: è proprio di questi giorni la notizia che alcuni dati relativi a PCM, Roma Capitale, e altre istituzioni italiane sono stati trovati sulle darknet. Sembrerebbe che i dati siano stati trafugati utilizzando un BUG (CVE-2018-13379) sulle VPN dei Firewall della Fortinet. Tale bug era stato già corretto da una patch rilasciata nel 2019, ma a quanto pare nei casi delle aziende violate o non si era provveduto all'installazione della patch, o si stavano utilizzando dei modelli End-of-life, per cui la patch non è stata prodotta.
Ricordate che se aveste bisogno di consulenza riguardo lo stato di sicurezza della vostra infrastruttura, potete contattarci mandandoci una mail attraverso il nostro sito.

Pin It

Aggiornamento gratuito a Windows 10? Si, ma anche no...

freewin10Molti clienti sono convinti che l'aggiornamento a Windows 10 da Windows 7 o Windows 8, sia gratuito; alcuni ci dicono anche "ma io l'ho fatto proprio l'altro giorno sul mio PC a casa e me l'ha fatto tranquillamente!"
Allora, facciamo un po' di chiarezza: Microsoft ha concesso l'aggiornamento gratuito a Windows 10 fino al giorno 29 luglio 2016, ovvero per 365 giorni dalla data ufficiale di uscita sul mercato. TECNICAMENTE è ancora possibile effettuare l'upgrade a Windows 10 da una verisone precedente (Windows 7 o 8), ad esempio scaricando il Media Creation Tool, ovvero lo specifico strumento rilasciato proprio da Microsoft.
Attraverso il Media Creation Tool  è perfino possibile fare un'installazione exnovo utilizzando il product key di Windows 7 o Windows 8; in entrambi i casi (upgrade o installazione exnovo, si otterrà un Windows 10, corrispondente alla versione di WIndows 7 o 8 (7 Home -> Win 10, 7 Pro -> Win10 Pro, 7 ultimate -> Win10 Pro), perfettamente attivato.
Tutto ciò, come abbiamo detto, è valido TECNICAMENTE. Ma a livello di licenza?
A LIVELLO DI LICENZA, quella installazione di Windows 10, essendo stata effettuata dopo il 29 Luglio 2016 (termine ultimo concesso da Microsoft per l'upgrade gratuito), non sarà valida! Cosa significa? Che al controllo di un ente preposto, è come se si avesse installato una licenza "pirata", ovvero sprovvista di regolare licenza, quindi in teoria sanzionabile.
Dalle FAQ del sito di supporto ufficiale Microsoft possiamo leggere: 

  • L'offerta di aggiornamento gratuito a Windows 10 è ancora disponibile?
    L'offerta di aggiornamento gratuito a Windows 10 tramite l'app Aggiornamento a Windows 10 (GWX) è terminata il 29 luglio 2016.

  • Ho ancora diritto all'offerta per l'aggiornamento gratuito se ho già scaricato Windows 10 su un'unità USB, ma non ho ancora aggiornato il mio dispositivo?
    Tutti gli aggiornamenti devono essere completati e aver raggiunto la schermata iniziale entro le 23.59 UTC-10 (Hawaii) del 29 luglio 2016. Queste sono la data e l'ora valide a livello internazionale.

 

Quindi, se volete effettuare un aggiornamento a Windows 10 in regola per il vostro Windows 7 o Windows 8, oltre a procedere tecnicamente con l'upgrade dovrete acquistare una nuova licenza di Windows 10, da inserire nel PC una volta terminata l'installazione dell'aggiornamento.

Ricordiamo infine che l'upgrade del sistema operativo, può sembrare un'operazione banale, ma coinvolgendo molti aspetti, è facile che qualcosa possa andare storto; il consiglio è sempre quello di effettuare un backup completo del PC prima di procedere, o meglio ancora, di rivolgersi ad un professionista.

 

Pin It