Ricercatori TrendMicro hanno individuato un nuovo tipo di ransomware che non utilizza file per infettare il sistema operativo, bensì sfrutta il comando psexec usando credenziali amministrative (il che vuol dire che gli attaccanti sono già in possesso di queste credenziali, dopo lo sfruttamento di una vulnerabilità, attacco brute-force ecc) dopo di che inietta il proprio codice all’interno del file di sistema svchost.exe, il file originale viene cancellato rimanendo quindi caricato in memoria.
Dopo di che vengono cancellati file di log, copie shadow e qualsiasi altra informazione che possa far risalire agli analisti i file creati sulla macchina.
Tramite il file svchost viene eseguita la cifratura dei file di sistema e dati dell’utente aggiungendo il suffisso .pr0tect e comunicando con i propri server C&C tramite rete TOR.
Ovviamente viene creato un file di testo contenente le richieste di riscatto per ri-ottenere i propri file. R
imangono sempre validi i consigli che abbiamo indicato in un nostro precedente articolo, e sono:
In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:
- mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update
- mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza
- accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati
- utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
- eseguire delle scansioni antivirus regolari del sistema
- non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
- eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete.