I laboratori Kaspersky, tramite il blog ufficiale, ci informano di aver individuato un nuovo ransomware, interamente scritto in JavaScript, con delle funzionalità sia di Ransomware che di Stealer, ovvero ruba i dati degli utenti: in seguito vedremo quali dati ruba.
Tecnicamente questa versione è una evoluzione del ransom RAA.CRYPTOR, il metodo di infezione è sempre il medesimo: tramite messaggi SPAM con allegati compressi protetti da password, questo per evitare l’analisi da parte dei software antivirus. Il Target di riferimento del ransom sono aziende medio-grandi, anche in questo caso l’utente è parte integrante della protezione aziendale, in quanto se dovutamente istruito saprà di non aprire MAI allegati di questo tipo e di non lanciare nessun file se non autorizzato.
Al lancio il ransom apre una pagina di Word e, sotto traccia, comincia ad eseguire modifiche al sistema, come:
- impostazione del ransom in avvio di windows
- eliminazione della chiave di registro associata al servizio VSS, per impedire il recupero dei file tramite le shadow copy
- ricerca dei file e criptazione degli stessi
I file criptati avranno estensione .locked
Oltre a questo e dopo aver richiesto il riscatto in BitCoin, vi è un secondo agente di questa malware che si attiva, ovvero Trojan-PSW.Win32.Tepfer.gen, il quale è un conosciuto malware dedito di furto password.
Questo secondo malware si attiva in memoria e invia ai criminali i seguenti dati:
- password utilizzate nei browser (Opera, Firefox, Internet Explorer ecc.) Sembra che Edge non sia incluso nei browser vittima di questo furto
- credenziali di accesso a numerosi siti FTP
- credenziali di accesso utilizzati nei client di Microsoft Outlook, Incredimail, Thunderbird ecc
- wallet files di varie criptomonete come FastCoin, PPCoin ecc
I dati che spedisce sono criptati con l’algoritmo RC4
Ora che sappiamo come funziona, sapremo come comportarci di fronte a possibili infezioni. Certo è che rimangono validi i seguenti suggerimenti:
- Sistemi Operativi aggiornati
- Programmi aggiornati
- Firewall perimetrale con funzionalità UTM
- Firewall Endpoint. Quasi tutti gli antivirus lo integrano, ma nella stragrande maggioranza dei casi la funzionalità è disattivata
- Antivirus aziendali centralizzati
- Accesso alle risorse con credenziali di basso profilo (user). Moltissimi utenti sono amministratori di sistema/dominio senza una reale necessità e senza una consapevole idea del danno che possono arrecare
- Password forti
- Minimizzare le share di rete
- Formazione degli utenti
Per ultimo, ma non meno importante, fate BACKUP BACKUP BACKUP in destinazioni sicure e possibilmente off-line.