martedì 13 ottobre 2020
Nuovo ransomware colpisce i Nas QNAP anche in Italia: arriva Solve
Per ora non ci sono molte informazioni: questo ransomware è stato segnalato direttamente da utenti vittime meno di un mese fa. E' però utile segnalarlo, perchè stiamo ricevendo richieste di assistenza al nostro servizio di decriptazione https://www.decryptolocker.it da parte di utenti italiani.
Il ransomware è stato ribattezzato Solve prendendo spunto dalla nota di riscatto che lascia nelle cartelle contenenti i file criptati, ovvero "SOLVE ENCRYPTED FILES.txt". Dalle segnalazioni per ora ricevute mira principalmente i NAS: la quasi totalità delle vittime, ad ora, hanno subito l'infezione su NAS QNAP.
Qualche dettaglio tecnico
Il ransomware Solve cripta i dati degli utenti con l'algoritmo AES256, mentre la chiave è protetta da algoritmo RSA. Richiede in riscatto circa 400 dollari in Bitcoin: un riscatto molto basso rispetto a quelli a cui siamo attualmente abituati e il fatto dipende dall'evidenza che questo ransomware non è pensato per attacchi mirati contro grandi aziende, ma contro utenti home e piccoli uffici o aziende. E' scritto in linguaggio GO ed sembra ottimizzato per sistemi Linux.
L'estensione che Solve aggiunge al nome dei file criptati è .encrypted
Presenta un certo livello di offuscamento del codice, cosa che rallenta le operazioni di analisi in cerca di una possibile soluzione.
La nota di riscatto
Sono state individuate, per adesso, tre diverse note di riscatto del ransomware: da queste emerge che sono correlati a questo malware, gli indirizzi di posta elettronica
diVesTaCil@protonmail.com
ialpatntedu@protonmail.com
e l'indirizzo al sito di pagamento Tor http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion
I tecnici dei nostri partner tecnologici sono già al lavoro per individuare eventuali falle nell'algoritmo di criptazione che possano consentire la decriptazione dei file. Aggiorneremo in caso di novità.
Mitigare il problema: le indicazioni di QNAP
Come raccontato recentemente, non è affatto un buon periodo per i NAS QNAP, bersagliati a più riprese da vari malware mirati, la maggior parte dei quali ransomware. Dopo QnapCyrpt, che ha già diffuso ben due diverse versioni (la prima è risolvibile, la seconda e più recente ancora no), è stata la volta di AgeLocker, anche esso non risolvibile attualmente. Qualche mese fa invece Stati Uniti e Regno Unito hanno diramato alert ad hoc per un malware che ha colpito oltre 60.000 QNAP nel mondo: parliamo del malware QSNatch. Solve pare semplicemente l'ultimo arrivato in una lista di cyber minacce già nutrite.
Data la situazione è consigliabile seguire le indicazioni di mitigazione che QNAP ha fornito in occasione dell'ondata di attacchi ad opera del ransomware QNAPCrypt, per assicurarsi di eseguire la versione più recente del firmware e di aver risolto alcune vulnerabilità note.
1. Fai il login come Amministratore;
2. Vai nel Pannello di Controllo > Sistema > Update del Firmware
3. Sotto Live Update, fai clic su Cerca per Update
Verrà così ricercato e installato l'update più recente disponibile. La stessa operazione può essere compiuta anche da Supporto > Download Center, eseguendo quindi un update manuale.
QNAP suggerisce anche di aggiornare il software Photo Station:
1. Fai il login come Amministratore;
2. Apri l'APP Center quindi fai click sulla search box;
3. Cerca "Photo Station"e premi Entra;
4. nella finestra che si apre, clicca su Update.
Il tasto Update non sarà disponibile se è già in uso la versione più recente. Se invece è disponibile, il clic sul bottone avvierà il download e installazione dell'update: a fine processo dovrebbe mostrarsi un messaggio di conferma.
Infine, QNAP consiglia anche le seguenti operazioni:
cambia le password di tutti gli account attivi sul dispositivo;
elimina ogni account utente sconosciuto dal dispositivo;
elimina tutte le applicazioni sconosciute o inutilizzate dal dispositivo;
imposta una lista di controllo per gli accessi al dispositivo (Pannello di Controllo > Sicurezza > Livello di Sicurezza).