Individuato da Kaspersky ransomware che ruba i dati degli utenti

Tempo di lettura: 2 minuti
I laboratori Kaspersky, tramite il blog ufficiale, ci informano di aver individuato un nuovo ransomware, interamente scritto in JavaScript, con delle funzionalità sia di Ransomware che di Stealer, ovvero ruba i dati degli utenti: in seguito vedremo quali dati ruba.

Tecnicamente questa versione è una evoluzione del ransom RAA.CRYPTOR, il metodo di infezione è sempre il medesimo: tramite messaggi SPAM con allegati compressi protetti da password, questo per evitare l’analisi da parte dei software antivirus. Il Target di riferimento del ransom sono aziende medio-grandi, anche in questo caso l’utente è parte integrante della protezione aziendale, in quanto se dovutamente istruito saprà di non aprire MAI allegati di questo tipo e di non lanciare nessun file se non autorizzato. 
Al lancio il ransom apre una pagina di Word e, sotto traccia, comincia ad eseguire modifiche al sistema, come:
  • impostazione del ransom in avvio di windows
  • eliminazione della chiave di registro associata al servizio VSS, per impedire il recupero dei file tramite le shadow copy
  • ricerca dei file e criptazione degli stessi
I file criptati avranno estensione .locked
Oltre a questo e dopo aver richiesto il riscatto in BitCoin, vi è un secondo agente di questa malware che si attiva, ovvero Trojan-PSW.Win32.Tepfer.gen, il quale è un conosciuto malware dedito di furto password.

Questo secondo malware si attiva in memoria e invia ai criminali i seguenti dati:

  • password utilizzate nei browser (Opera, Firefox, Internet Explorer ecc.) Sembra che Edge non sia incluso nei browser vittima di questo furto
  • credenziali di accesso a numerosi siti FTP
  • credenziali di accesso utilizzati nei client di Microsoft Outlook, Incredimail, Thunderbird ecc
  • wallet files di varie criptomonete come FastCoin, PPCoin ecc
I dati che spedisce sono criptati con l’algoritmo RC4
Ora che sappiamo come funziona, sapremo come comportarci di fronte a possibili infezioni. Certo è che rimangono validi i seguenti suggerimenti:
  • Sistemi Operativi aggiornati
  • Programmi aggiornati
  • Firewall perimetrale con funzionalità UTM 
  • Firewall Endpoint. Quasi tutti gli antivirus lo integrano, ma nella stragrande maggioranza dei casi la funzionalità è disattivata
  • Antivirus aziendali centralizzati
  • Accesso alle risorse con credenziali di basso profilo (user). Moltissimi utenti sono amministratori di sistema/dominio senza una reale necessità e senza una consapevole idea del danno che possono arrecare
  • Password forti
  • Minimizzare le share di rete
  • Formazione degli utenti

Per ultimo, ma non meno importante, fate BACKUP BACKUP BACKUP in destinazioni sicure e possibilmente off-line. 
Elvis
Seguimi
(Visited 67 times, 1 visits today)

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!