Individuato da Kaspersky ransomware che ruba i dati degli utenti

I laboratori Kaspersky, tramite il blog ufficiale, ci informano di aver individuato un nuovo ransomware, interamente scritto in JavaScript, con delle funzionalità sia di Ransomware che di Stealer, ovvero ruba i dati degli utenti: in seguito vedremo quali dati ruba.

Tecnicamente questa versione è una evoluzione del ransom RAA.CRYPTOR, il metodo di infezione è sempre il medesimo: tramite messaggi SPAM con allegati compressi protetti da password, questo per evitare l’analisi da parte dei software antivirus. Il Target di riferimento del ransom sono aziende medio-grandi, anche in questo caso l’utente è parte integrante della protezione aziendale, in quanto se dovutamente istruito saprà di non aprire MAI allegati di questo tipo e di non lanciare nessun file se non autorizzato. 
Al lancio il ransom apre una pagina di Word e, sotto traccia, comincia ad eseguire modifiche al sistema, come:
  • impostazione del ransom in avvio di windows
  • eliminazione della chiave di registro associata al servizio VSS, per impedire il recupero dei file tramite le shadow copy
  • ricerca dei file e criptazione degli stessi
I file criptati avranno estensione .locked
Oltre a questo e dopo aver richiesto il riscatto in BitCoin, vi è un secondo agente di questa malware che si attiva, ovvero Trojan-PSW.Win32.Tepfer.gen, il quale è un conosciuto malware dedito di furto password.

Questo secondo malware si attiva in memoria e invia ai criminali i seguenti dati:

  • password utilizzate nei browser (Opera, Firefox, Internet Explorer ecc.) Sembra che Edge non sia incluso nei browser vittima di questo furto
  • credenziali di accesso a numerosi siti FTP
  • credenziali di accesso utilizzati nei client di Microsoft Outlook, Incredimail, Thunderbird ecc
  • wallet files di varie criptomonete come FastCoin, PPCoin ecc
I dati che spedisce sono criptati con l’algoritmo RC4
Ora che sappiamo come funziona, sapremo come comportarci di fronte a possibili infezioni. Certo è che rimangono validi i seguenti suggerimenti:
  • Sistemi Operativi aggiornati
  • Programmi aggiornati
  • Firewall perimetrale con funzionalità UTM 
  • Firewall Endpoint. Quasi tutti gli antivirus lo integrano, ma nella stragrande maggioranza dei casi la funzionalità è disattivata
  • Antivirus aziendali centralizzati
  • Accesso alle risorse con credenziali di basso profilo (user). Moltissimi utenti sono amministratori di sistema/dominio senza una reale necessità e senza una consapevole idea del danno che possono arrecare
  • Password forti
  • Minimizzare le share di rete
  • Formazione degli utenti

Per ultimo, ma non meno importante, fate BACKUP BACKUP BACKUP in destinazioni sicure e possibilmente off-line. 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!