Il ransomware CommonRansom chiede di accedere all'RDP per decriptare i file![]() E' stato individuato un nuovo ransomware, chiamato CommonRansom e che si contraddistingue perchè fa alle vittime una richiesta piuttosto bizzarra. Una volta che la vittima ha pagato il riscatto infatti, il ransomware richiede alla vittima di aprire i Servizi di Desktop Remoto (RDP) sul computer infetto e diinviarne le credenziali agli attaccanti: solo così, spiegano gli attori dietro il ransomware, sarà possibile decriptare i file. Quando cripta il computer di una vittima, modifica le estensioni dei file colpiti aggiungendovi l'estensione [old@nuke.africa].CommonRansom. Crea inoltre una nota di riscatto in formato testuale, DECRYPTING.txt. Il riscatto richiesto ammonta, per adesso, a 0.1 Bitcoin: sotto è possibile vedere la nota di riscatto. ![]() Come si vede, l'attaccante richiede l'invio, tramite email di:
Non inviare assolutamente questi dati! E' probabilmente la prima volta che un ransomware richiede questo tipo di dati e di accesso: acconsentire a questa richiesta è estremamente pericoloso. Garantire l'accesso ai servizi di Desktop Remoto, perfino con privilegi di amministrazione, permetterà all'attaccante di operare arbitrariamente sul tuo pc: non potrai controllare lo schermo e non avrai la possibilità di sapere quali operazioni vengano effettivamente eseguite sulla macchina. Qualche consiglio... in generale, ecco alcuni consigli per rendere più sicuro il tuo pc... Apri il Pannello di Controllo di Quick Heal--> seleziona Internet e Reti --> Protezione Firewall --> Impostazioni avanzate --> Configura --> Regole di traffico. 1. Per bloccare tutte le connessioni RDP:
2. Per aggiungere eccezioni per sistemi affidabili:
Nota: assicurati che la regola RDP White-list sia superiore della regola “Consenti Desktop Remoto” nella lista di regole del Firewall. Altre pratiche di sicurezza che possono aiutarti a impedire attacchi di brute force dell’RDP
|