Individuato nuovo ransomware che infetta i sistemi Windows senza l’uso di file ma iniettandosi in un processo di sistema

Via: TrendLabs Security Intelligence Blog

Tramite il file svchost viene eseguita la cifratura dei file di sistema e dati dell’utente aggiungendo il suffisso .pr0tect e comunicando con i propri server C&C tramite rete TOR.

Ovviamente viene creato un file di testo contenente le richieste di riscatto per ri-ottenere i propri file. R
imangono sempre validi i consigli che abbiamo indicato in un nostro precedente articolo, e sono:

In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:

• mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update 

• mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza 

• accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati 

• utilizzare password forti, rispettando i requisiti di complessità (vedere qui)

• eseguire delle scansioni antivirus regolari del sistema

• non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.

• eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete. 

Via:  TrendLabs Security Intelligence Blog