PROBLEMA Aiuto:possibile attacco hacker/virus

[geniosparsux]

Salve,
ahimè dopo trent'anni (si son vecio) di onorata carriera informatica, stasera ho fatto anch'io la caXXata: ho cliccato l'allegato. Non avevo mai visto un'email truffaldina così fatta bene: era una email di risposta ad una email inviata ad un cliente e che stavamo aspettando. Solo che lui non aveva risposto, ma l'ha fatto qualcuno in ascolto o qualche sw presente nel loro server. L'allegato era un PDF. Ho sempre riconosciuto le email criminali, stasera, vuoi la stanchezza, il caldo, lo stress per l'intervento che avevo appena fatto da un cliente, ho cliccato senza controllare bene l'indirizzo di provenienza e...amen. L'Av che abbiamo è Kasperski (ultima settimana, poi scade finalmente abbonamento e passeremo a Bitdefender) Il Pdf aperto con thunderbird mi ha dato errore e detto di installare acrobat reader (abbiamo foxit in ufficio), Non ho ricevuto altri messaggi e non ho visto comportamenti anomali del pc. Ho provveduto a fare una scansione con Kasperski e malwarebyte (tutte negative), riavviare la macchina, isolarla dalla rete, pulire cache file temporanei, cambiare password del PC, poi erano le 6 ed ero fuso,ho spento e sono andato a casa. Domanda, visto che l'ultimo virus l'ho visto una decina d'anni fa nel pc di un amico, che altri test posso fare per vedere se abbiamo qualcosa di installato?
Il capo è stato comprensivo, ma l'archivio dati aziendale non deve per nessuna ragione essere hackerato e uscire dalla fabbrica.
Grazie a chi mi risponderà

 

[sp3ctrum]

Salve,
ahimè dopo trent'anni (si son vecio) di onorata carriera informatica, stasera ho fatto anch'io la caXXata: ho cliccato l'allegato. Non avevo mai visto un'email truffaldina così fatta bene: era una email di risposta ad una email inviata ad un cliente e che stavamo aspettando. Solo che lui non aveva risposto, ma l'ha fatto qualcuno in ascolto o qualche sw presente nel loro server. L'allegato era un PDF. Ho sempre riconosciuto le email criminali, stasera, vuoi la stanchezza, il caldo, lo stress per l'intervento che avevo appena fatto da un cliente, ho cliccato senza controllare bene l'indirizzo di provenienza e...amen. L'Av che abbiamo è Kasperski (ultima settimana, poi scade finalmente abbonamento e passeremo a Bitdefender) Il Pdf aperto con thunderbird mi ha dato errore e detto di installare acrobat reader (abbiamo foxit in ufficio), Non ho ricevuto altri messaggi e non ho visto comportamenti anomali del pc. Ho provveduto a fare una scansione con Kasperski e malwarebyte (tutte negative), riavviare la macchina, isolarla dalla rete, pulire cache file temporanei, cambiare password del PC, poi erano le 6 ed ero fuso,ho spento e sono andato a casa. Domanda, visto che l'ultimo virus l'ho visto una decina d'anni fa nel pc di un amico, che altri test posso fare per vedere se abbiamo qualcosa di installato?
Il capo è stato comprensivo, ma l'archivio dati aziendale non deve per nessuna ragione essere hackerato e uscire dalla fabbrica.
Grazie a chi mi risponderà

Da quello che scrivi, non si capisce il perchè sospetti sia un virus.
Il pc ha sintomi?
Kaspersky dovrebbe segnalarti qualche cosa, se non il virus direttamente, grazie alla scansione euristica, ti segnalerebbe comportamenti strani del pc.

Potresti inviare il pdf su questo sito:

VirusTotal

VirusTotal

www.virustotal.com

cosi ti togli ogni dubbio, quel sito fa la scansione con tutti gli AV esistenti al mondo.

 

[yardrat]

L'Av che abbiamo è Kasperski (ultima settimana, poi scade finalmente abbonamento e passeremo a Bitdefender)

kasperskY non è mica male.. (metto in evidenza la Y finale)
che danno avrebbe fatto l'allegato? cioè quale il sospetto che sia un malware?
hai attivo la protezionbe cloud? cioè kaspersky security network (KSN)

 

[geniosparsux]

vero, mi era sfuggita la Y. Appunto scrivevo per questo, ho il timore che mi abbia scaricato qualcosa in background e chiedevo se ci sono altri test per verificarlo. Dite che probabilmente mi sto preoccupando per nulla?

 

[sp3ctrum]

vero, mi era sfuggita la Y. Appunto scrivevo per questo, ho il timore che mi abbia scaricato qualcosa in background e chiedevo se ci sono altri test per verificarlo. Dite che probabilmente mi sto preoccupando per nulla?

Fai il controllo che ti ho detto

 

[Italicus Magnus]

Fai una scansione, una alla volta, con questi.

Norton Power Eraser https://support.norton.com/sp/it/it/home/current/solutions/kb20100824120155EN
Zemana Anti Malware https://zemana.com/us/antimalware.html
Hitman Pro https://www.hitmanpro.com/en-us

 

[geniosparsux]

grazie, domani mattina provo

 

[geniosparsux]

Ho fatto un po' di prove.
Ho caricato il file su virustotal ed effettivamente alcuni AV vi ci hanno trovato qualcosa. Allego la schermata.
Ho provato con il Norton consigliato, ma mi ha dato come sospetto l'eseguibile di un sw per la programmazione che usiamo qui da anni e dubito sia virato (e comunque non sacrificabile, almeno per il momento).
Ho provato il Zemana ma dopo l'installazione non riesco ad eseguirlo perchè mi da sembre un errore di esecuzione che mi chiede di segnalare il bug alla swhouse.
Ho provato con L'Esetonline lo scanner online di Eset ed effettivamente ha trovato un file virato, ovvero l'allegato pdf in questione e l'ha cancellato.
Ho scaricato anche la suite premium di Eset che contiene il Nod32, ma la scansione non ha trovato nulla.
Ho provato l'Hitman pro ma non ha trovato nulla
Ho ri-eseguito malwarebyte e non ha trovato nulla
Ho ri-eseguito la scansione col KasperskY e non ha trovato nulla

 

[Italicus Magnus]

Potrebbe essere un falso positivo. Per sicurezza cancella il pdf.

 

[geniosparsux]

Mi è venuto un dubbio. in questi giorni, per scaricare i sw antivirus consigliati e per fare ricerche online per trovare una soluzione, ho dovuto tenere il PC in questione collegato alla rete. Ho evitato assolutamente attività bancarie, acquisti e login a servizi (eccetto questo Forum). Dai dati che ho il virus se c'è è di tipo phishing. Domanda, è possibile che abbiano fatto spionaggio industriale copiandosi i disegni tecnici, i schemi dei ns prodotti?

 

[DispatchCode]

Dai dati che ho il virus se c'è è di tipo phishing. Domanda, è possibile che abbiano fatto spionaggio industriale copiandosi i disegni tecnici, i schemi dei ns prodotti?

Che dati hai di preciso? Hai 1 segnalazione su 60 AV di quel tipo (le altre nello screen non si vedono).

Il phishing è di solito fatto ingannando la persona e dirottandola su un dominio fittizio, dove inserisce i dati, e glieli rubano. Magari con un PDF si può fare qualcosa di analogo se è presente qualche script che invia dati in rete (ma deve essere presumo un pdf compilabile).

In merito alla seconda parte, difficile dirsi: per fare una cosa di questo tipo qualcuno deve averli infettati e targettizzati. Devono aver scelto loro con cognizione di causa insomma.

Potresti provare anche con una sandbox online, ma non ricordo se ci sono limitazioni (se puoi caricare un file e provare solo quello o che altro... ovviamente se non puoi caricare il file non loggarti alla mail per scaricarlo): https://any.run/
E' a tempo limitato, ma se puoi caricare il file nella sandbox, lo vedi subito (io spesse volte l'ho fatto con URL strani).

C'è anche intezer come alternativa per queste cose, ma non la conosco; esiste poi l'alternativa open source anche https://cuckoosandbox.org/

 

[sp3ctrum]

Puoi usare questo: https://sandboxie-plus.com/

Apri un reader PDF tramite sandbox e poi apri il pdf, cosi l'ipotetico virus non può infettare nulla.

Potrebbe trattarsi di un PDF con le caselle modificabili, in questo caso possibile falso positivo.

 

[geniosparsux]

i dati sono centinaia di Giga di disegni tecnici, file word, pdf e sorgenti software di vari linguaggi. Ho controllato il flusso dati ethernet stamattina, non no trovato un flusso strano in uscita.
Stamattina ho fatto altri test in offline: le scansioni con l'antivirus e il defender di windows hanno dato esito negativo. Lo stesso i solitii Kasspersky e malwarebyte.
Il pdf aperto mostrava um messaggio d'errore e c'era il logo cliccabile per scaricare il reader di acrobat. che non ho cliccato

 

[sp3ctrum]

Domanda:

perchè pensi sia un virus?

 

[geniosparsux]

Non lo so, forse sono solo suggestionato perché da che ne so le email truffaldine servono a diffonderli. Ma al momento non ho prove che lo sia, ma non vedo un virus da dieci o più anni, cerco quindi di capire se ho valutato tutti i sintomi per capire se c'è o no.