skip to main | skip to sidebar
10 commenti

Difendersi dal ransomware: bloccare le macro di Microsoft Word

Il ransomware sta facendo danni a privati e aziende: arriva sotto forma di allegato dall’aria innocua e poi mette una password su tutti i dati, chiedendo un riscatto in Bitcoin per rivelare la password usata. Chi non paga e non ha un backup perde tutto.

Naked Security segnala che uno dei trucchi usati dai criminali per infettare i computer è inviare via mail un allegato costituito da un documento Microsoft Word, che come tale viene considerato innocuo. Ma i documenti Word possono contenere delle macro, che eseguono automaticamente varie istruzioni che scatenano il malware vero e proprio scaricandolo da Internet.

Non conviene bloccare tutte le macro indistintamente, perché molti documenti legittimi le usano: ma nella versione 2016 di Office è possibile bloccare selettivamente le macro provenienti da Internet e lasciare attive tutte le altre usando un’apposita opzione, che si controlla tramite Group Policy (Criteri di Gruppo) e quindi va affidata all’amministratore di sistema. L’opzione si chiama, piuttosto intuitivamente, Block macros from running in Office files from the Internet (“Blocca l’esecuzione di macro nei file Office provenienti da Internet”), ed è descritta da Microsoft qui su Technet.





Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
ci sarebbe da chiedersi
a) perche' devi aprire un documento inviato da chissa' chi
b) perche' devi aprire un documento inviato da un contatto legittimo senza accordi preventivi
c) perche' un editor di testi deve permettere l'esecuzione di codice arbitrario...
Chi non paga e non ha un backup perde tutto

se non sbaglio però un HD esterno, collegato e in funzione, è infettabile.
Pertanto un NAS, che raccoglie tutti i file di lavoro, inserito sulla LAN si trova esposto, giusto?
Nel caso di un ulteriore HD collegato solo al NAS dove il medesimo effettua in automatico un backup giornaliero gestito direttamente dal NAS (con il disco di backup NON collegato direttamente alla LAN ma solo al NAS però in permanenza - via USB) è esposto oppure è in sicurezza? Ovviamente a NAS pulito, non infettato!
Nello specifico il backup avviene di notte, pertanto a macchine spente; nel malaugurato caso di infezione durante il giorno ci si accorge e, staccando il disco con il backup della notte precedente, si ha copia pulita per il ripristino.
È corretto?
Interessante che il report di Microsoft precisa che "[..] malware authors have become more resilient in their social engineering tactics, luring users to enable macros in good faith and ending up infected". Come al solito, è il fatto umano ad essere un problema, e troppa gente casca nelle trappole dei malintenzionati.
[quote]Block macros from running in Office files from the Internet (“Blocca l’esecuzione di macro nei file Office provenienti da Internet”)[/quote]

Lungi dal voler competere con te sull'inglese, ma sei sicuro che non è da intendere come "impedisci alle macro di eseguire (in office) file provenienti da internet"?
Cioè le macro ignorano le istruzioni che dicono al programma di scaricare qualcosa.
Un blocco dei contenuti remoti insomma.

Se no blocca qualunque file office legittimo trasferito via rete/mail e siamo punto a capo.
A parte l'idiota abitudine di accettare (o inviare) qualunque cosa come allegato, per me ci sono tre livelli di sicurezza con "Microsoft Office Word", dal più grande al più piccolo:
Microsoft lo chiamo Linux.
Office lo chiamo LibreOffice.
Word lo chiamo Writer.
@granmarfone
Ho implementato anch'io una soluzione come la tua. I dati sull'HD di backup non possono essere crittati perchè non sono accessibili dalla macchina infetta. Solo un ipotetico ransom che girasse sul NAS potrebbe crittarli, ipotesi che al momento spero remota.
Io è ormai da un bel po' di mesi che uso Gmail con alias del mio indirizzo di posta e devo dire che il bot antispam di Google è molto efficiente. Blocca automaticamente qualsiasi messaggio inviato al mio indirizzo alias, mandandomi una notifica con un'anteprima "inerte" del messaggio incriminato.

Non occorre nemmeno aprirla. Cestino e via.

Non pensavo che avere le caselle di posta su web fosse così comodo. COn un solo PC posso controllare tutti i miei account senza scaricare quasi nulla, grazie agli ottimi plugin di Firefox. Ho disinstallato tutti i client di posta da tutti i miei PC.

Mi sono infatti reso conto che non servono a nulla se non ad indebolire passivamente la sicurezza del sistema scaricando i messaggi infetti. Anche se non li si apre, sono come una bomba pronta ad esplodere e basta un attimo di "coglionaggine" (o imperizia di utenti non esperti che dir si voglia) per fare un macello. Con la mail via web questo problema è quasi del tutto inesistente e finora Gmail ha lavorato alla grande senza nemmeno farmi avvertire il pericolo imminente di un allegato malevolo.

Sui PC in ufficio campeggia un cartello con su scritto, "prima di scaricare qualcosa da internet o da Gmail, chiedere!" et voilà. Virus, ransomware, trojan... ricordi del passato.
Buongiorno Paolo, ti seguo da parecchio tempo, fin da Undicisettembre, e ti leggo quotidianamente.
Ho già provato ad inviare un commento, ma, a quanto pare, risulta essere stato inghiottito da qualche parte. Sicuramente per negligenza mia.
Non lavoro nel campo informatico, e tantomeno ne sono un esperto.

Purtroppo in questi giorni, in ufficio, ci siamo beccati uno di questi ransomware. Una variante che rinomina tutti i file con un codice ID 123455677899 (ad esempio, ma è sempre uguale per tutti i file) ed aggiunge, in coda al nome originale del file, la desinenza bingo@opensourcemail.com.

Egoisticamente, per fortuna, mia e dei colleghi, pare che a trafficare in modo poco attento sia stato il titolare (era l'unico in ufficio a quell'ora e l'ha ammesso).

Ora, buona parte dei file sono stati recuperati dal backup che facciamo con cadenza settimanale ed altri attraverso Shadow Explorer, ma, come al solito, risultano compromessi i file più importanti, che avremmo molto piacere a recuperare.

Ci siamo ovviamente affidati a dei professionisti: prima al tecnico che ci segue abitualmente, poi a due aziende che lavorano in tutta Italia. Con la prima niente da fare e la seconda sta ancora provando la decrittazione.

In concerto, su consiglio del nostro tecnico, che si è dichiarato fin da subito poco esperto in questo campo, stiamo provando con RakhniDecryptor di Kapersky a recuperare la chiave privata della criptazione (a quanto ho capito).

Posso chiedere aiuto a te, Paolo, ed agli altri utenti del blog per ragionare sul problema? Esistono altre soluzioni? Nei limiti delle mie capacità, posso fornirvi anche altre informazioni.

Grazie,

Nicola
@Stupidocane
Ho ricevuto uno di questi file infetti
Per fortuna la mia Gmail blocca in automatico file eseguibili o sospetti.
me ne sono accorto aprendo la casella spam, era evidenziato come pericolo. Un click su "cancella spam" e fine problema.
(riprovo dato che mi è comparso messaggio di errore)
Ok per i macro in Word (ma anche per Excel) ma cosa fare per i PDF? Io ne maneggio decine ogni giorno e vorrei evitare di trovarmi il mac freezzato. Come reader uso Skim o Anteprima (solo sul portatile ho Acrobat Pro) e in nessuno dei due vi è nei settings la possibilità di bloccare eventuali script.
Domanda aggiuntiva: è utile analizzare i pdf con programmi tipo Clamxav? In decenni che uso il mac non ho mai trovato sul computer un malware ... ma c'è sempre la prima volta.