Il MalwareHunterTeam ha individuato in-the-wild un nuovo esemplare di ransomware, non è ancora chiaro il veicolo d’infezione utilizzato. I file criptati vengono rinominati con estensione .Saturn e, per ora, non risultano ancora recuperabili con alcun strumento.
BlackRuby ransomware sample: https://t.co/3Rx6PuuURl
Interesting things:
– that ransom note
– won’t encrypt if based on your IP you are in Iran
– Like if ransoming wouldn’t make enough, it drops XMRig to mine Monero…
?@BleepinComputer @demonslay335 pic.twitter.com/W2bludmSpE— MalwareHunterTeam (@malwrhunterteam) 6 febbraio 2018
Come funziona l’infezione
Come detto non ben chiaro il veicolo d’infezione usato dal ransomware, è noto però che operazione esegue in fase d’infezione: infatti dopo aver verificato di non esser in un ambiente protetto/virtuale il ransom cancella tutte le copie shadow, disabilita l’avvio in modalità ripristino del sistema e cancella i cataloghi di Windows Backup, tutto questo eseguendo questi comandi:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
I file analizzati e criptati dal ransom sono i seguenti:
txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config
Il ransom, al termine di queste operazioni, crea dei file atti a notificare all’utente l’avvenuta infezione indicando il metodo di pagamento che avverrà attraverso la rete TOR in valuta virtuale BitCoin.
Per accedere alla propria pagina “personale” verrà richiesto di eseguire l’upload di un file KEY che risiede in una delle cartelle criptate.
Come proteggersi?
Vi sono alcune regole di base da seguire per attuare le dovute contromisure contro questo tipo di infezioni, sono le seguenti:
- mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update
- mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza
- accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati
- utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
- eseguire delle scansioni antivirus regolari del sistema
- non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
- eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete.
Puoi leggere anche:Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)
Via: New Saturn Ransomware Actively Infecting Victims
