I laboratori Kaspersky, tramite il blog ufficiale, ci informano di aver individuato un nuovo ransomware, interamente scritto in JavaScript, con delle funzionalità sia di Ransomware che di Stealer, ovvero ruba i dati degli utenti: in seguito vedremo quali dati ruba.
Tecnicamente questa versione è una evoluzione del ransom RAA.CRYPTOR, il metodo di infezione è sempre il medesimo: tramite messaggi SPAM con allegati compressi protetti da password, questo per evitare l’analisi da parte dei software antivirus. Il Target di riferimento del ransom sono aziende medio-grandi, anche in questo caso l’utente è parte integrante della protezione aziendale, in quanto se dovutamente istruito saprà di non aprire MAI allegati di questo tipo e di non lanciare nessun file se non autorizzato.
Al lancio il ransom apre una pagina di Word e, sotto traccia, comincia ad eseguire modifiche al sistema, come:
- impostazione del ransom in avvio di windows
- eliminazione della chiave di registro associata al servizio VSS, per impedire il recupero dei file tramite le shadow copy
- ricerca dei file e criptazione degli stessi
I file criptati avranno estensione .locked
Oltre a questo e dopo aver richiesto il riscatto in BitCoin, vi è un secondo agente di questa malware che si attiva, ovvero
Ora che sappiamo come funziona, sapremo come comportarci di fronte a possibili infezioni. Certo è che rimangono validi i seguenti suggerimenti:
- Sistemi Operativi aggiornati
- Programmi aggiornati
- Firewall perimetrale con funzionalità UTM
- Firewall Endpoint. Quasi tutti gli antivirus lo integrano, ma nella stragrande maggioranza dei casi la funzionalità è disattivata
- Antivirus aziendali centralizzati
- Accesso alle risorse con credenziali di basso profilo (user). Moltissimi utenti sono amministratori di sistema/dominio senza una reale necessità e senza una consapevole idea del danno che possono arrecare
- Password forti
- Minimizzare le share di rete
- Formazione degli utenti
Per ultimo, ma non meno importante, fate BACKUP BACKUP BACKUP in destinazioni sicure e possibilmente off-line.