1[1]

CVE-2018-8440: grave vulnerabilità in Windows Task Scheduler

 CVE-2018-8440: grave vulnerabilità in Windows Task Scheduler

 

La recente vulnerabilità 0-day CVE-2018-8440 di Windows Task Scheduler consente ad un attaccante di ottenere i diritti di amministrazione sulla macchina bersaglio.

 
Microsoft ha rilasciato l'avviso di sicurezza su CVE-2018-8440 l'11 Settembre, per specificare questa problematica. Secondo Microsoft lo sfruttamento di questa vulnerabilità permette l'esecuzione di codice arbitrario nel contesto della sicurezza del sistema locale. 
 
Sulla vulnerabilità
La CVE-2018-8840 è una vulnerabilità di "privilege escalation" nell'interfaccia Advanced Local Procedure Call (ALPC) del Windows Task Scheduler. Parliamo insomma di una vulnerabilità di gravità elevata in Microsoft Windows legata ad una gestione impropria di chiamate ALPC (Advanced Local Procedure Call) da parte del componente Task Scheduler. In caso di successo dell'exploit un utente senza privilegi può modificare le permissioni di qualsiasi file nel sistema. 
 
Il codice di exploit è stato annunciato su Twitter il 27 Agosto 2017 da un ricercatore di sicurezza che lo ha rinominato "SandboxEscaper". Pochi giorni dopo il malware PowerPool era in diffusione tramite questo exploit. 
 
Versioni vulnerabili
  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008, 2012 e 2016
L'individuazione di Quick Heal
Quick Heal ha rilasciato le seguenti individuazioni per la vulnerabilità CVE-2018-8440:
  • Trojan.Win64
  • Trojan.IGeneric
1[1]

Il ransomware GandCrab di nuovo all’attacco… anche in Italia!

 Il ransomware GandCrab di nuovo all'attacco... anche in Italia!

 

C'è un nuovo exploit kit, chiamato Fallout, che viene attualmente usato per la distribuzione del ransomware GandCrab, di trojan downloader e di altri programmi potenzialmente indesiderati (PUP). La prima individuazione di questo exploit risale alla fine di Agosto 2018 e si deve al ricercatore di sicurezza nao_sec: lo ha rintracciato, pronto a sfruttare le vulnerabilità dei computer dei visitatori, su una serie di siti web compromessi. Le vulnerabilità che vengono sfruttate sono:
 
1. vulnerabilità CVE-2018-4878 di Adobe Flash Player;
2. vulnerabilità CVE-2018-8174 di Windows VBScript
 
Quando nao_sec ha scoperto l'exploit kit, questo scaricava e installava sul pc della vittima SmokeLoader, che altro non è che un malware che scarica altri malware. Nel caso specifico scaricava CoalaBot e altri malware non identificati. 
 
"Il file exe eseguito tramite shellcode è "Nullsoft Installer self-extracting archive" spiega nao_sec. "Questo file eseguirà SmokeLoader e altri due file exe"
 
Fallout distribuisce GandCrab

La versione di Fallout attualmente in circolazione invece distribuisce il ransomware GandCrab per le macchine Windows, mentre reindirizza gli utenti macOS verso pagine web che promuovono falsi software antivirus o versioni contraffatte di Adobe Flash Player. Diverse le segnalazioni che ci sono arrivate anche da utenti italiani. 
 
La promozione di falsi antivirus per utenti Mac

L'exploit kit Fallout tenterà prima di sfruttare la falla di VBScript e, se lo scripting è disabilitato, tenterà l'exploit della vulnerabilità di Flash Player. 



Se l'exploit ha successo, verrà scaricato e installato un trojan che verificherà la presenza e lo stato dei processi sotto elencati. 
 
  • vmwareuser.exe
  • vmwareservice.exe
  • vboxservice.exe
  • vboxtray.exe
  • Sandboxiedcomlaunch.exe
  • procmon.exe
  • regmon.exe
  • filemon.exe
  • wireshark.exe
  • netmon.exe
  • vmtoolsd.exe
Se questi processi vengono trovati in esecuzione il trojan entrerà in un loop infinito e non eseguirà alcuna ulteriore operazione dannosa. 
 
Altrimenti installerà ed eseguirà una libreria DLL che a sua volta installerà il ransomware GandCrab. Quando GandCrab infetta il computer, cripterà i file presenti modificandone l'estensione in .KRAB e rilascerà la nota di riscatto, rinominata KRAB-DECRYPT.txt.
 
File criptati
 
Questo ransomware non ha attualmente soluzione. Per difendersi dall'exploit kit Fallout è importante che tutti gli utenti si assicurino di aver installato gli ultimi update di sicurezza di Windows e di non eseguire programmi obsoleti e non aggiornati, tra i quali Flash Player. 
1[1]

PyLocky: nuovo ransomware scritto in Python colpisce utenti tedeschi, francesi e italianiuzione. Quick Heal ti protegge con successo!

 PyLocky: nuovo ransomware in linguaggio Python colpisce utenti tedeschi, francesi e italiani

 

 


Tra la fine di Luglio e l'intera durata di Agosto diversi ricercatori di sicurezza hanno individuato una serie di ondate di email di spam vettrici di un nuovo ransomware chiamato PyLocky. Fin dal nome colpisce l'evidente tentativo di simulare, ma la nota di riscatto conferma il dubbio, il famigerato e tutt'ora irrisolto ransomware Locky: tutti gli esperti di sicurezza però concordano nell'affermare che questo ransomware, che è pensato per colpire utenti francesi, italiani, coreani e tedeschi nel dettaglio, non ha alcun legame con la famiglia di ransomware Locky. 
 
E' scritto in Python e "confezionato" con PyInstaller, un tool che consente la creazione di eseguibili autonomi da programmi Python. L'uso combinato di Inno Setup Installer (un installer open source basato su script) e PyInstaller rende molto difficile l'analisi statica, anche per le soluzioni basate sull'auto apprendimento (la tecnica non è nuova: qualcosa di simile si è verificato col ransomware Cerber, anche se, in quel caso, veniva usato l'installer NullSoft). 
 
La distribuzione del ransomware
Come detto, PyLocky viene distribuito sopratutto in Europa. Il fatto che la nota di riscatto (vedi sotto), sia scritta anche in italiano rende chiaro che l'Italia è già stata e continuerà ad essere un campo
di battaglia per questo ransomware. Ad oggi la maggior parte delle campagne di spam si è rivolta verso Germania e Francia. 
 
Dati: trendmicro.com

La catena di infezione
Le email sono approntate secondo le più classiche strategie di ingegneria sociale: la maggior parte sembrano dirette alle aziende, spacciandosi per urgenti comunicazioni riguardanti documenti di fatturazione. L'email tenta di convincere l'utente a fare click su un link allegato in corpo mail: il link reindirizza verso un sito web dannoso contenente appunto PyLocky. 
 

Nel dettaglio, l'URL dannoso conduce verso un file .ZIP (un esempio Facture_23100.31.07.2018.zip) che contiene un eseguibile firmato (del tipo Facture_23100.31.07.2018.exe). Se eseguito, il file .exe scarica la componente malware (svariate librerie C++ e Python, ma anche una libreria DLL Python 2.7 Core dynamic-link, oltre ovviamente all'eseguibile principale del ransomware) in
C:\Users\{user}\AppData\Local\Temp\is-{random}.tmp.
 


I file bersaglio
PyLocky cripta immagini, video, documenti, audio, programmi, giochi, database e file archivio. Nel dettaglio:
 
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent
 
La criptazione
PyLocky anzitutto, abusando di Windows management Instrumentation (WMI), verifica le proprietà del sistema attaccato. Resterà inoltre immobile per 999.999 secondi (tradotto 11,5 giorni) se la dimensione della memoria visibile totale del sistema è inferiore a 4 GB: è un meccanismo anti sandbox. Al contrario la routine di criptazione si avvia in caso di memoria superiore o uguale ai 4GB. Questo ranhsomware implementa la routine di criptazione usando la libreria PyCrypto, usando il cipher 3DES. I file criptati da questo ransomware sono riconoscibili perchè la loro estensione viene modificata in ".lockedfile" o ".lockymap".

 
Una volta criptati i file, il ransomware stabilisce la connessione con il proprio server C&C, al quale invia non soltanto le informazioni necessarie per la routine di criptazione e decriptazione, ma anche le informazioni sul sistema infetto. 
 
La nota di riscatto
La nota di riscatto è scritta in 4 lingue: inglese, italiano, coreano e francese. Nella nota si danno indicazioni su come raggiungere un URL controllato dagli attaccanti dove è possibile acquistare il decryptor: non viene indicato alcun ammontare del riscatto, si specifica solo che ogni 96 ore trascorse senza pagamento l'ammontare verrà raddoppiato. Infine si rimanda perfino ad un indirizzo Tor per eventuale supporto.
 
 
Buone e cattive notizie
La cattiva notizia è che questo ransomware per adesso non ha alcuna soluzione. La buona notizia è che è altamente rilevabile da parte della maggior parte degli antivirus. Per quanto riguarda i software antivirus dei quali siamo distributori, Quick Heal e Seqrite individuano con successo questo ransomware come Program.Unwaders. Qui è possibile vedere l'elenco completo
2

L’estensione per Chrome MEGA √® stata compromessa: ora ruba credenziali di login e criptovaluta

L'estensione per Chrome MEGA è stata compromessa: ora ruba credenziali di login e criptovaluta

 


Alcuni ricercatori di sicurezza hanno scoperto che l'estensione MEGA per Chrome è stata compromessa. MEGA è una estensione per Chrome per lo storage in cloud: è un'estensione legittima ma, per qualche giorno, la versione diffusa dal Web Store di Chrome non era l'originale. Era infatti stata sostituita con una versione alterata contenente codice dannoso finalizzato al furto di credenziali di login, password, username, email ecc...ma anche allo svuotamento dei conti di criptovaluta Monero. 
 
Dopo la segnalazione dei ricercatori, i tecnici di Google sono intervenuti rimuovendo l'estensione del Chrome Web store ufficiale e disabilitato l'estensione per gli utenti esistenti. 
 
N.B: ciò non significa che sia stata disinstallata: consigliamo la disinstallazione dell'estensione. 
 
L'hack è stato scoperto inizialmente da SerHack, un ricercatore di sicurezza e contributor del Monero Project, che ha immediatamente avvisato via tweet del fatto che la versione 3.39.4 dell'estensione MEGA era stata manomessa. Altri ricercatori di sicurezza hanno immediatamente avviato analisi approfondite dell'estensione e pubblicato i risultati. 
 

Analisi tecnica
Una volta installata, l'estensione monitora in cerca di specifici form di login a Amazon, Microsoft, Github e Google.


Eseguirà un monitoraggio anche di ogni tipo di form per inserimento dati il cui URL contiene le parole Register o Login o altre variabili come 'username', 'email', 'login', 'usr', 'pass', 'passwd' o 'password'. 
 
 
Nel caso in cui l'estensione individui uno qualsia di di questi form di inserimento dati o una delle variabili sopra elencate, invierà le credenziali e i valori delle variabili a un host ucraino:  https://www.megaopac.host/.
 
 
In cerca di Monero
Per peggiorare la situazione, l'estensione monitora anche gli URL 'https://www.myetherwallet.com/*', 'https://mymonero.com/*', 'https://idex.market/*' e, se li individua, eseguirà un Javascript che tenterà di rubare la chiave privata della criptovaluta per l'utente connesso a quei siti. 
 
 
Sono infetto o no?
Stando al sito di archivio delle estensioni di Chrome, crx.dam.io, l'ultima versione archiviata è la 3.39.3, caricata sul Chrome Web Store il 2 Settembre 2018 e che non conteneva codice dannoso. Quindi l'estensione deve essere stata compromessa in un momento successivo al 2 Settembre. Chi ha scaricato l'estensione dal 2 settembre in poi dovrebbe valutarne la rimozione. L'estensione corrispettiva per Mozilla Firefox invece non è risultata compromessa. 
 
Che cosa fare se hai MEGA installata?
SerHack ha spiegato che potrebbero esserci oltre 1.6 milioni di utenti infetti, stando a quanti hanno installato questa estensione. Insomma, questo hack ha avuto un larghissimo impatto. Per coloro che hanno installato questa estensione, consigliamo la rimozione immediata. Quindi il cambio password di ogni account utilizzato, specialmente quelli finanziari, per lo shopping e il banking online ecc...
 
Come rimuovere l'estesione?
Le estensioni installate nel browser aggiungono una piccola icona sul lato destro della barra degli indirizzi. Questa icona può essere usata anche per disinstallare velocemente l'estensione stessa. Per rimuovere l'estensione basta quindi un clic col tasto destro sull'icona: verranno visualizzate varie opzioni, tra le quali si sarà il "Rimuovi da Chrome". Dopo il clic apparirà una dialog box dove verrà richiesto di confermare la rimozione.
 
Se la rimozione va a buon fine, scomparirà dalla barra degli indirizzi l'icona relativa all'estensione. 
 
La dichiarazione da parte di Mega
Mega ha rilasciato una dichiarazione nella quale ha confermato di aver subito un attacco al proprio account del Chrome Web Store e che sono in corso accertamenti tecnici e di sicurezza. Ecco la dichiarazione:
 
"Il 4 Settembre, intorno alle 14:30 UTC un attaccante sconosciuto ha caricato sul Google Chrome Webstore una versione compromessa dell'estensione per Chrome Mega, versione 3.39.4. Dopo l'installazione o l'aggiornamento automatico, richiede elevate autorizzazioni (legge e modifica tutti i dati sui siti web visitati) che l'estensione legittima Mega non richiede mai. Se queste autorizzazioni vengono concesse, l'estensione compromessa potrà estrarre le credenziali per siti come amazon.com, vivo.com, github.com, google.com (login del webstore), myetherwallet.com, mymonero.com, idex.market, richieste POST HTTé ad alti siti... e invia tutto ad un server situato in Ucraina. 
 
Nota: le credenziali di mega.nz non vengono esfiltrate".
3

In vita e morte del ransomware CryptoNar, sconfitto dopo due giorni di diffusione.

 

In vita e morte del ransomware CryptoNar, sconfitto dopo due giorni di diffusione.

 
 
Questa settimana è stata individuata in diffusione una nuova versione del ransomware CryptoJocker, che ha registrato non poche vittime. La buona notizia è che è stato rilasciato molto velocemente un tool di decriptazione gratuito, messo a disposizione delle vittime che vogliano riportare in chiaro i propri file senza pagare alcun riscatto. 
 
La versione in diffusione si chiama CryptoNar e pare avere, a prima vista, una distribuzione ridottissima, quasi nulla. Nonostante questo, in meno di due giorni ha registrato oltre 100 vittime, quindi alcuni ricercatori di sicurezza hanno optato per studiarne l'algoritmo di criptazione in cerca di punti deboli. Si deve al ricercatore Michel Gillespie la creazione, particolarmente celere, del decryptor gratuito per questo ransomware. 
 
Che cosa fa CryptoNar?
 

Quando CryptoNar cripta i file delle vittime, esegue la criptazione in maniera diversa a seconda del tipo di file da criptare. Se il file target ha estensione .txt o .md, il ransomware cripterà l'intero file e aggiungerà l'estensione .fully.cryptoNar al nome del file. Di tutti gli altri tipi di file cripta soltanto i primi 1.024 byte: in questi casi l'estensione aggiunta al nome dei file sarà partially.cryptoNar. 

 
Fonte: bleepingcomputer.com
Terminata la criptazione, CryptoNar invia la coppia di chiavi pubblica/privata all'attaccante via email.
 
Fonte: bleepingcomputer.com
La nota di riscatto
La nota di riscatto altro non è che un file .txt, rinominato CRYPTONAR RECOVERY INFORMATION.txt: richiede alla vittima di inviare 200 dollari statunitensi in Bitcoin ad uno specifico indirizzo Bitcoin indicato nella nota stessa. La nota richiede alla vittima di indicare l'indirizzo email e il numero ID nel campo "extra note" della transazione di Bitcoin. 
 
Fonte: bleepingcomputer.com
A questo punto verrà lanciato un decryptor, che però non eseguirà alcuna operazione fino a quando la vittima non inserirà la chiave privata (che, si suppone, l'attaccante invii una volta ricevuto il pagamento del riscatto). 
 
Fonte: bleepingcomputer.com
Ad oggi comunque nessuna delle vittime ha confermato di aver ricevuto il decrypto o supporto dall'attaccante. Poco importa comunque, dato che è già disponibile un tool gratuito per riportare in chiaro i file.
 
Il decryptor gratuito*
Come detto, il ricercatore di sicurezza Michael Gillespie è stato capace di creare un decryptor gratuito per il ransomware CryptoNar, capace di riportare in chiaro i file delle vittime. Per usare il decryptor è necessario avere un file criptato  il suo originale corrispondente, quindi si dovrà scaricare il decryptor dal sito bleepingcomputer.com. Consigliamo di usare, come coppia di file criptato/non criptato file di tipo comune come .jpg, .png, .pdf, .doc, .xls ecc...
 
Una volta scaricato il decryptor, avvialo e seleziona "Settings", quindi "Brute Forcer". Una volta nello strumento di brute forcing, seleziona entrambi i file richiesti, quindi fai clic su Stars. Il decryptor userà i file che hai selezionato per individuare, tramite brute forcing, la chiave di decriptazione. Una volta trovato un risultato, chiudi la schermata del Brute Forcer, quindi carica la chiave trovata. Ora fai clic su Select Directory, seleziona il drive :C e premi il bottone Decrypt. 
 
Fonte: bleepingcomputer.com
*questo articolo contiene solo un suggerimento. Per quanto la fonte sia particolarmente affidabile, non possiamo garantire il recupero completo dei file. 
1(1)(0)[1]

I malware per Windows

l report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del secondo trimestre del 2018, per home user e aziende. Si divide in due sezioni, una per Windows e una per Android. Presenta statistiche di individuazione, i ransomware più pericolosi, la top 10 degli exploit per Windows, la top 10 dei malware e PUA ecc...
 
Nei mesi di Aprile, Maggio e Giugno sono stati individuati dai Laboratori di Sicurezza Quick Heal oltre 180 milioni di malware per Windows. Maggio è il mese che ha visto il numero più alto, su base quotidiana, di malware: Quick Heal ha individuato in quel periodo circa 2.000.000 di malware, 16.165 ransomware, 141.079 exploit e quasi 40.500 App non desiderate e adware. La famiglia dei trojan rimane sul podio dei malware predominanti per l'intero secondo trimestre: si parla di una crescita del 4.03% rispetto al numero delle individuazioni nel primo trimestre 2018. 
 
Il report completo è disponibile qui in lingua inglese. 
 
Informazioni generali di individuazione
 
Malware per Windows
Il grafico sottostante rappresenta il conteggio totale di individuazioni di malware per Windows da parte di Quick Heal nel periodo da Aprile a Giugno 2018. Si registrano oltre 180 milioni di malware per Windows solo nel secondo trimestre 2018: il mese con il maggior numero di individuazioni è quello di Maggio. 
 
La "Top 10" dei malware per Windows
Il grafico a torta sottostante rappresenta la percentuale di individuazione dei malware più diffusi nel 2° trimestre 2018. 
 
 
Vediamone, in dettaglio, i primi 5:

1. Trojan.Starter.YY4 
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email e siti web dannosi.
Comportamento:
  • crea un processo per avviare il file scaricato copiato;
  • modifica le impostazioni di registro del computer, cosa che talvolta causa il crash del sistema infetto;
  • scarica altri malware come keylogger o file infectors;
  • rallenta i processi di avvio e spegnimento del sistema infetto;
  • consente all'attaccante di sottrarre informazioni confidenziali come dettagli della carta di credito e altri informazioni personali presenti nel sistema infetto.
2. LNK.Exploit.Gen
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: software collegati e freeware
Comportamento:
  • è un virus trojan distruttivo che si nasconde negli allegati di email di spam, siti web dannosi o pop up sospetti; 
  • questo tipo di virus puà essere installato su Windows tramite uso illegale delle estensioni del browser;
  • modifica alcuni file di sistema senza che l'utente ne abbia conoscenza. Al riavvio del sistema Windows, il virus si esegue in background e spia l'attività dell'utente e del sistema. Al fine di reindirizzare gli utenti verso siti web dannosi, il virus modifica i file host del sistema e dirotta l'indirizzo IP. 
3. W32.Sality.U
Livello di rischio: medio
Categoria: file infector polimorfico
Metodo di propagazione: drive di rete o removibili
Comportamento:
  • inietta il suo codice in tutti i processi di sistema in esecuzione. Si diffonde quindi ulteriormente infettando i file eseguibili sui drive locali, removibili e dalle condivisioni remote;
  • tenta di terminare le app di sicurezza e cancella tutti i file relativi ai software di sicurezza installati sul sistema;
  • sottrae informazioni confidenziali dal sistema infetto.
4. LNK.Browser.Modifier 
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: software collegati e freeware
Comportamento:
  • inietta il codice dannoso nel browser per reindirizzare gli utenti verso link dannosi;
  • cambia le impostazioni di default del browser senza che l'utente ne sia consapevole;
  • genera ads che possono comportare malfunzionamento del browser;
  • sottrae informazioni sensibili mentre l'utente naviga nel web: credenziali bancarie e altri a fini di truffa.
5. LNK.Cmd.Exploit.F
Livello di rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email e siti web dannosi
Comportamento:
  • usa l'opzione della linea di comando cmd.exe ""/c"" per eseguire altri file dannosi;
  • esegue simultaneamente un file .vbs dannoso di nome "help.vbs" e un file .exe dannoso;
  • il file vbs dannoso usa il protocollo di mining Stratum per estrarre la criptovaluta Monero. 
Individuazioni per categorie di malware Windows
La figura sottostante mostra le individuazioni dei malware Windows nel terzo trimestre 2018 suddivise per famiglie di appartenenza. Come di consueto, la famiglia dei trojan si conferma quella col più alto numero di individuazioni. 
 
 
Segue l'analisi comparativa tra il conteggio delle individuazioni nel primo e secondo trimestre 2018. 

1(1)(1)[1]

Individuato il ransomware Ryuk: Quick Heal ti protegge efficacemente!

Recentemente i Quick Heal Security Lab hanno osservato un nuovo, dannosissimo, ransomware chiamato Ryuk. Questa campagna ransomware ha già colpito svariati utenti nel mondo e sembra caratterizzarsi per l'uso di attacchi di spear phishing. 

 
Ryuk cripta i file delle vittime, ma non vi aggiunge alcuna estensione: i file quindi non cambiano nome, ma divengono comunque illeggibili. Utilizza robusti algoritmi militari di criptazione, come "RSA4096" e "AES-256". I vettori di infezione sono, appunto, email di spam contenenti exploit kit. Ad oggi sono richiesti dai 15 ai 50 Bitcoin di riscatto per poter mettere di nuovo in chiaro i file.
 
Analisi tecnica
Dopo l'esecuzione del file principale, il ransomware scarica i seguenti file:
  1. C:\Users\Public\public: contiene la chiave RSA pubblica. 
  2. C:\Users\Public\ UNIQUE_ID_DO_NOT_REMOVE:  contiene la chiave predefinita. 
  3. C:\Users\Public\windows.bat: per cancellare le Shadow Voumes Copies e i backup. 
Subito dopo, esegue taskkill e i comandi net per terminare oltre 40 processi e 180 tra i servizi richiesti dalla macchina. Sotto i dettagli:
 


 
Da ulteriori analisi è emerso che i processi e i servizi terminati sono principalmente collegati a database, antivirus, backup e software per l'editing di documenti. Sotto alcuni tra i processi che vengono terminati dal ransomware. 
 
 
Ryuk usa anche alcuni comandi per creare una voce di registro che gli garantisca la persistenza anche in caso di riavvio del sistema.
 
 
Ryuk cripta tutti i drive locali escluse una serie di location che porta inserite direttamente nel codice: in questa sorta di whitelist troviamo Windows, Mozilla, Chrome, RecycleBin ecc.. Tenta anche la criptazione delle condivisioni di rete. 
 
La nota di riscatto:
Ryuk scarica due note di riscatto, una molto breve, l'altro invece è visualizzabile in foto, sotto. 
 
 
L'individuazione da parte di Quick heal
Quick Heal individua il ransomware Ryuk con successo e lo blocca con tre diversi livelli di protezione:

1. Protezione antivirus
2. Sistema di individuazione comportamentale
3. Anti Ransomware

 
 
Come restare al sicuro dai ransomware:
  • Usa un antivirus multi livello, che sia capace di bloccare le minacce in tempo reale.
  • Mantieni aggiornato il tuo antivirus.
  • Mantieni aggiornato il tuo sistema operativo, installa le patch critiche che vengono rilasciate ogni giorno.
  • Mantieni aggiornati tutti i software che hai sul tuo computer.
  • Non connettere mai i sistemi remoti direttamente ad Internet.
  • Non fare mai clic su link o su allegati contenuti in email provenienti da fonti sconosciute.
  • Esegui regolarmente, in una location sicura, il backup dei tuoi dati.
  • Disabilita le macro mentre usi MS Office.  
1+28129+28129[1]

PowerGhost: in diffusione il miner invisibile che attacca le aziende

ILa pausa estiva ovviamente non ha visto ridursi il cyber crimine, anzi. La tendenza a usare criptominer al posto dei ransomware come strumento di guadagno veloce pare essere confermata. Tra i nuovi criptomyner in diffusione, ovvero tra quei malware finalizzati all'uso illegittimo della cpu delle macchine degli utenti per "minare" criptovalute come Bitcoin, troviamo PowerGhost. 

 
PowerGhost viene distribuito entro le reti aziendali e infetta worstation e server: viene distribuito, pare per adesso, via attacchi mirati. Ad ora i principali attacchi si sono registrati in Brasile, Colombia, India e Turchia, ma si registrano i primi casi di infezione in Europa. 
 

La diffusione ad oggi di PowerGhost
Un malware senza file
La particolarità di PowerGhost è che utilizza diverse tecniche fileless per introdursi discretamente nella rete aziendale riducendo al minimo il rischio di individuazione da parte dei sistemi antivirus e di protezione della rete. Infatti il malware non scarica il miner in locale, nessun file viene salvato in locale: si capisce come l'individuazione e il ripristino siano così una strada tutta in salita. 
 
L'infezione
L'attacco, per le analisi svolte fino ad ora, avviene o tramite exploit o tramite strumenti di gestione/assistenza da remoto. Quando una macchina viene attaccata, la parte principale del codice del miner viene scaricata ed eseguita direttamente in memoria volatile: riuscita l'infezione, gli attaccanti possono aggiornare il malware o impostarne addirittura l'aggiornamento automatico, programmarne la diffusione entro la rete e gestire avvio e sospensione del processo di mining. 
 
L'individuazione
La maggior parte degli antivirus che individuano questo malware, lo fanno con i seguenti nomi:
 
  • Trojan.Win32.Generic;
  • Exploit.Win32.Generic;
  • Trojan.Win32.Generic;
  • RiskTool.Win32.BitMiner.gen
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy