Utilizziamo cookie per assicurarti una migliore esperienza sul sito. Utilizziamo cookie di parti terze per inviarti messaggi promozionali personalizzati. Per maggiori informazioni sui cookie e sulla loro disabilitazione consulta la Cookie Policy. Se prosegui nella navigazione acconsenti all’utilizzo dei cookie.
 
 
 
 

Allerta Virus: AGGIORNAMENTO FEBBRAIO 2015!

 
NUOVA ALLERTA VIRUS SDA CRYPTO-RANSONMWARE!
NUOVA ALLERTA VIRUS
FEBBARIO 2015
 

>>>>>>
>>>>>>
>>>>>>

I laboratori ALDEBRA rilevano che il virus segnalato lo scorso novembre si sta nuovamente propagando con una seconda ondata... e sta arrecando notevli problemi alle imprese italiane.

Vi riportiamo di seguito quanto segnalato nella precedente comunicazione con a corollario anche la nota descrittiva del nostro partner TRENDMICRO.
====================================================

LA VERSIONE SDA EXPRESS COURIER: NON APRIRE QUEL LINK!
Appartenente alla tipologia dei malware, il virus viene propagato mediante la ricezione di una email (nel maggior dei casi proveniente da un indirizzo che riporta un riferimento generico al corriere espresso SDA Express Courier) all'interno della quale viene indicata la mancata consegna di un pacco al Vs. indirizzo.
All'interno del testo viene indicato che per poter ricevere informazioni sul pacco è necessario scaricare la lettera di spedizione mediante l'apertura del link indicato.
Il collegamento nella realtà non fa altro che aprire un link verso una pagina fantasma che poi reindirizza verso Google.
Se apparentemente non sembra sia successo nulla, in realtà nel passaggio verso Google avviene lo scarico di un malware che infetta la macchina attaccando tutti i file con estensioni riconducibili a documenti prodotti con Office (Word, Excel...) e in molti casi anche a documenti PDF. L'attacco consiste nella criptazione dei file rendendoli di fatto inutilizzabili e non più leggibili.
L'infezione a questo punto produce una finestra in cui viene specificato che per poter riprendere l'accesso ai propri file è necessario pagare una somma di denaro mediante bonifico (o carta di credito).
Un'altra versione dello stesso malware chiede di scaricare un file (.exe o zip) e di eseguirne il contenuto: il file è un programma mascherato non intercettabile dai sistemi antivirus che una volta eseguito da parte dell'utente provoca l'immediata infezione della macchina.
L'infezione del virus non si limita però solo al pc locale: se questo è collegato ad una rete aziendale e a risorse di rete condivise, è facile che si propaghi a tutti i pc e server, infettando e criptando tutti i documenti.

Cosa fare per evitare possibili infezioni.
Alla ricezione di una mail con mittente tipo "SDA Express Courier" e oggetto con "Vs. cognome pacchi non consegnati", provvedere immediatamente alla cancellazione della mail. Se utilizzate Outlook, potete utilizzare la combinazione di tasti MAIUSCOLO+CANC che provvede ad eliminare definitivamente il messaggio sia dal pc locale che dal server.
NON APRIRE IN NESSUN CASO INDIRIZZI INTERNET DA MAIL NON ATTENDIBILI O ALLEGATI DI CUI NON SI CONOSCE LA CERTA PROVENIENZA.

Cosa fare se si è infettati.
Al momento non è ancora stato rilasciato un antivirus specifico in quanto il virus si propaga con forme sempre differenti e con tempi diversi. Quello che si può effettuare è la possibilità di ripristinare backup aggiornati (se presenti) o eventuali punti di ripristino. Tuttavia si consiglia in ogni caso di contattare i ns. servizi di assistenza (helpdesk@aldebra.com) per verificare le eventuali potenziali esposizioni o misure di sicurezza informatica preventiva.

======================================
COMUNICATO TRENDMICRO - 1/1/2015
NUOVO ATTACCO DEL MALWARE CRYPTO-RANSOMWARE

Cos’è e come proteggersi

La nuova variante si chiama CTB-locker, dopo l'attacco di Dicembre l'Italia è nuovamente sotto attacco del malware crypto-ransomware.

Dettagli
Crypto-Ransomware si riferisce ad una classe di malware che tiene in "ostaggio" un computer, se così possiamo dire, fino a quando l'utente paga un determinato importo in denaro così da ricevere istruzioni specifiche sullo sblocco
.
Crypto-Ransomware una volta eseguito, ha la capacità di infettare qualsiasi sistema Windows criptando quasi immediatamente dopo tutti i dati presenti sul disco rigido richiedendo poi un pagamento all'utente per ottenere una chiave di decriptazione. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l'unico modo per recuperare i file di cui non si disponga di un backup non compromesso.

Come si diffonde CTB-locker?
CTB-locker di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di “social engineering” e che solitamente proviene da fonti legittime oppure tramite una botnet. Adotta un metodo di camuffamento e si presenta tramite un allegato di tipo ZIP che di solito contiene un file eseguibile .
Il file non è visibile come "<nomefile>.exe" ma in realtà come "<nomefile>.<pdf><docx><ecc.>.exe" perchè l'attaccante si avvale del fatto che i sistemi Windows non mostrano di default le estensioni dei file e un file così creato verrebbe visualizzato come "<nomefile>.pdf" nonostante sia un eseguibile, inducendo gli utenti ad aprirlo ed eseguirlo, o come un semplice file .zip.
Quando viene eseguito per la prima volta, il software si installa nella cartella "Documents and Settings" (o "Users", nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette poi in avvio automatico.
A questo punto tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.
Il server di comando e controllo può essere un proxy locale ma anche residente altrove così da renderne difficile il tracciamento.
Quindi il malware inizia a cifrare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document, immagini ed altri documenti.
Il software quindi informa l'utente di aver cifrato i file e richiede un pagamento di dai 200 ai 500 USD o Euro con un voucher anonimo e prepagato (es. MoneyPak o Ukash), o 0.5 Bitcoin per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e "mai nessuno potrà ripristinare i file". Il pagamento del riscatto consente all'utente di scaricare un software di decifratura con la chiave privata dell'utente già precaricata.
Se CTB-locker viene rimosso, e la cifratura è iniziata, i file già cifrati rimarrebbero irrimediabilmente cifrati e quindi l'unica soluzione è quella di cercare di alzare delle difese adeguate per non far entrare il malware.
Il malware è conosciuto anche come:
• TROJ_CRYPCTB.SMD
• TROJ_CRYPCTB.SME

Azioni preventive e proattive nell'immediato su prodotti gateway ed endpoint Trend Micro.
La protezione migliore è sempre la prevenzione. Alcuni malware si presentano come allegato e-mail di messaggi spam che come detto in precedenza utilizzano approcci di “social engineering” per indurre gli utenti ad eseguire il file, i più noti malware che utilizzano questa tecnica sono spesso identificabili in WORM_BAGLE e TROJ_UPATRE. Quest'ultimo scarica ZBOT, che successivamente scarica Ransomware.CryptoLocker o FakeAV.

Cosa si può fare in caso di infezione? Anche se i prodotti di sicurezza sono progettati per trovare questa minaccia, può capitare che CTB-locker non venga individuato, o magari venga individuato solo dopo che la cifratura è iniziata o addirittura è stata completata.
Se si sospetta un attacco o è ancora al primo stadio, poiché è necessario un po' di tempo perché sia completata la cifratura, la rimozione immediata del malware prima del completamento della cifratura può almeno ridurre la perdita di dati ma ovviamente non risolve completamente il problema. Quindi vanno assolutamente implementate politiche di sicurezza molto restrittive che impediscano che CTB-locker venga eseguito usando al meglio i prodotti Trend Micro e laddove possibile, prevedere un adeguamento infrastrutturale che permetta l'implementazione di prodotti di scansione attiva del traffico cone IWSVA e Deep Discovery Inspector. Queste minacce devono essere considerate con un approccio olistico ed essere consapevoli che ogni bisognerà considerare ogni strato coinvolto nella consegna delle e-mail.
Di seguito alcune domande che possiamo porci per la valutazione del grado di protezione:
    1. Sto usando politiche di blocco degli allegati al gateway di posta o la soluzione di messaggistica?
    2. Sto usando l'Email Reputation Service?
    3. Sto usando la soluzione Anti-Spam (scansione e-mail)?
    4. Sto usando il servizio di reputazione Web?
    5. Sto usando il Monitoraggio del comportamento?
    6. Sto usando prompt che richiedono conferma agli utenti prima di eseguire il programma appena ricevuto?
    7. Sto usando lo Smart Scan (OSCE, DS, IMSVA, IWSVA, etc.)?
La risposta dovrebbe essere affermativa per ogni domanda per avere un livello di sicurezza almeno allineato.

Come trovare il computer infettato:
  • Il PC dell'utente finale contiene file con estensione ".encrypted"
    Come misura proattiva, isolare immediatamente il computer togliendolo dalla rete.
  • Per individuare l'origine dell'infezione, se i file su server NAS/SAN sono infetti, controllare l'ultimo utente che ha modificato i file o le attuali sessioni aperte ai file crittografati.
    Se l'audit NAS/SAN è abilitato, controllare i registri di log per sapere quale utente sta crittografando i file.
    Isolare la sorgente che esegue la crittografia cercando poi quali utenti/aree aziendali hanno accesso alle condivisioni.
======================================


 
 Vai alla lista 
 
 
 
 
 
 

 
 
 
 
 
 

 Help Desk - Area Riservata 
 
Google+ Follow us on LinkedIn

produced by Zeppelin Group – Internet Marketing © 2017 Aldebra S.P.A. / Trento - Italia / Part. IVA 01170810228 / / / Credits / Cookie / Sitemap