Voi siete qui

Servizio antivirus

Allerta sulla diffusione del ransomware

Dalla seconda metà del 2015 la diffusione di malware di classe ransomware sulle reti italiane ha iniziato ad assumere dimensioni preoccupanti; considerata la pericolosità di questi virus consigliamo di:
•    Effettuare regolarmente il backup dei dati e tenere offline il supporto utilizzato: se si usa un disco esterno è importante scollegarlo dalla macchina perché altrimenti in caso di infezione viene cifrato anche questo.
•    Installare e tenere aggiornato l’antivirus.
•    Aggiornare regolarmente il sistema operativo e il software di base (es. flash player, java, adobe reader).
•    Evitare di lavorare come amministratore in modo da ridurre l’impatto in caso di infezione.
•    Non tenere inutilmente attivi path a risorse condivise perché in caso di infezione vengono cifrati tutti i percorsi visibili in quel momento.
•    Prestare attenzione agli allegati di posta elettronica: non aprirli se non si è ragionevolmente sicuri che si tratta di file legittimi.
L’unica contromisura veramente efficace contro questa classe di malware è il backup.
Il solo antivirus non offre la garanzia di immunità al 100% a causa delle ovvie finestre di vulnerabilità dovute al tempo che intercorre tra la diffusione di una nuova variante e l’identificazione della sua impronta informatica necessaria per il riconoscimento. 



Informazioni sul virus Troj/Upatre-VE diffuso il 15 Ottobre 2015

Nel pomeriggio del 15 Ottobre ha iniziato a girare in Ateneo un’email contenente un allegato malevolo costituito da un file compresso (estensione .zip) contenente un eseguibile (estensione .exe) che presentava un’icona modificata per assomigliare a un file pdf.
L’email presentava un mittente noto, tipicamente un indirizzo appartenente al dominio unimi.it, e gli utenti che hanno inconsapevolmente lanciato l’eseguibile hanno infettato il loro sistema.
L’allegato non era rilevato come malevolo dagli antivirus Sophos, Symantec e AVG né dal motore di scansione della posta elettronica.
Alle ore 14:35 il Servizio Antivirus di Ateneo ha inviato un campione del file sospetto ai laboratori Sophos per un’analisi e ha allertato il servizio di posta elettronica per bloccare la diffusione dei messaggi caratterizzati dall’allegato sospetto.
Successivamente l’analisi ha rivelato che si trattava di un nuovo malware di categoria Viruses and Spyware, classe Trojan, denominato Troj/Upatre-VE.
La protezione Sophos è stata resa disponibile dai laboratori alle ore 20:59:31. Tuttavia l’azione di blocco dei messaggi di posta ha permesso di contenere l’infezione limitandola ai sistemi esposti fino alle ore 14:45 circa.



IN EVIDENZA

Informazioni sul virus CTB-Locker

Il CTB-Locker fa parte della categoria "ransomware": opera cifrando i dati sul disco e chiedendo un riscatto per renderli nuovamente disponibili.
Ricordiamo l'importanza di osservare le misure minime di sicurezza, in particolare di aggiornare il software, installare un antivirus ed effettuare regolarmente il backup.
Tutti gli antivirus, compreso il Sophos, intercettano e neutralizzano il virus.
Ricordiamo inoltre che è importante non aprire gli allegati alle email provenienti da fonti sconosciute e con nomi che presentano un'estensione tipica dei file eseguibili (es. exe, cab, vbs, com, msi, bat, etc.)

Per approfondimenti tecnici si puo' consultare:

- Crypto-Ransomware: Information and Best Practices

- Information on malware known as Ransomware

IN EVIDENZA

Se si dovessero riscontrare dei malfunzionamenti relativi al software antivirus, si consiglia di disinstallarlo e reinstallarlo nuovamente utilizzando la nuova versione presente nella sezione download.

Il servizio antivirus è rivolto ai dipendenti dell'Università degli Studi di Milano e garantisce il supporto necessario a gestire, all'interno della struttura di appartenenza o sul proprio computer, il prodotto antivirus.
L’Ateneo utilizza il software del produttore Sophos, che prevede la fornitura della suite antivirus per stazioni di lavoro e server.
Le piattaforme supportate da Sophos e utilizzate in Ateneo, riguardano Microsoft Windows, Mac OSX, Linux.

Note

Per utenti Microsoft: Sophos ha rilasciato, per i tali prodotti, la versione 10.x del prodotto antivirus che va a sostituire le precedenti fornite fino ad oggi; il prodotto è scaricabile dalla pagina “download” del portale.
I prodotti Microsoft Windows 95/98/ME non sono più supportati da Sophos e non sono più ammessi dal Regolamento di Sicurezza ICT di Ateneo.

Per i sistemi operativi Microsoft (client e server) da Windows 2000 in poi, è possibile installare l’antivirus nel modo seguente:
Nella sezione “download” scaricare ed eseguire il file "Savinstaller.exe" che installa l’antivirus e il prodotto di aggiornamento (autoupdate) già configurato.
Per i sistemi operativi Mac OSX, è possibile installare l'antivirus scaricando il relativo package (controllare la versione del S.O.) nella sezione “download”.
Per i sistemi operativi LINUX, è possibile installare l'antivirus scaricando il package nella sezione “download”.

L'antivirus scaricato ed installato per Mac OSX e per LINUX, necessita di una configurazione manuale da parte dell'utente per ricevere gli aggiornamenti; i corretti parametri di configurazione possono essere richiesti via e-mail al seguente indirizzo: antivirus@unimi.it. Nella mail si prega di indicare anche un riferimento telefonico.

 

Si prega di non usare l'account antivirus@unimi.it per problematiche legate al malfunzionamento del PC ma di rivolgersi ai tecnici informatici della struttura (se presenti) oppure all' helpdesk solo se previsti nella tipologia di utenti coperti dal servizio.

Il servizio antivirus di ateneo è responsabile della solo fruizione del servizio di download del pacchetto aggiornato e della sua disponibilità sul portale di Ateneo.



Importanza degli aggiornamenti del sistema operativo

La diffusione di virus sfrutta, nella maggior parte dei casi, vulnerabilità del sistema operativo che sono periodicamente analizzate e risolte dai produttori.
Consigliamo di mantenere aggiornato il software tramite le apposite utilities presenti in ogni S.O. al fine di evitare l’esposizione alle minacce.