Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Zenis: il ransomware in grado di cancellare i file di backup
- MARTEDÌ 20 MARZO 2018


Che la galassia dei ransomware sia sempre in fermento non è una novità; tuttavia, stando a quanto più volte ripetuto dagli esperti di sicurezza informatica, il backup è il miglior modo di difendersi: avere a disposizione un backup dei file invalida il meccanismo ricattatorio del ransomware, garantendo il recupero dei file senza pagare il riscatto. Questo spiega perché ultimamente gli sviluppatori dei ransomware sono al lavoro proprio per limare questa "mancanza" e rendere i loro malware ancora più difficili da contrastare. Una prima prova di questa nuova direzione intrapresa dai cyber criminali arriva direttamente da Zenis, un ransomware già da tempo in circolazione, che adesso sembra aver implementato anche una nuova funzione capace di eliminare i file di backup.  Il funzionamento di Zenis non è troppo diverso dai suoi simili, tuttavia questa nuova funzione lo rende ancora più pericoloso. 

Come agisce Zenis
Non sappiamo ancora come si diffonda questo ransomware: alcuni utenti riferiscono di aver subito attacchi contro i servizi di Remote Desktop. Una volta eseguito, questa variante esegue due controlli: il primo è vedere se il viene eseguito il file iis_agent32.exe. Il secondo è verificare se esiste un valore di registro chiamato HKEY_CURRENT_USER\SOFTWARE\ZenisService "Active".

Se questo valore di registro esiste o il file non è nominato iis_agent32.exe, il processo di infezione viene arrestato e il ransomware non cripterà i file sul pc. 

Al contrario, il ransomware compie il secondo passo: cerca e cancella le shadow volume copies, disabilita lo startup repari e pulisce il log degli eventi. 


Quindi cercherà e terminerà i processi sotto indicati:
  • sql
  • taskmgr
  • regedit
  • backup
Conclusa la prima fase, Zenis è in grado adesso di cominciare la criptazione dei file. Per prima cosa scansionerà tutti i file presenti sui drive nel computer in cerca di quelli recanti le estensioni bersaglio, che sono poco meno di un centinaio: cripta quelli corrispondenti, usando una chiave AES differente per ogni file. 

Quando un file viene criptato, subisce la modifica sia del nome che dell'estensione secondo la seguente formula Zenis-[2 caratteri random].[12 caratteri random].

Il nome originale del file e la chiave AES usata per la criptazione verranno criptati e salvati alla fine del file. 

Qui arriviamo alla peculiarità di questo ransomware: durante il processo di infezione Zenis va alla ricerca anche dei file di backup collegati ai dati appena criptati. Nel caso di una loro individuazione provvederà ad effettuare una sovrascrittura ripetuta tre volte e alla successiva cancellazione, facendo sì che non possano più essere utilizzati nel tentativo di ripristinare i file. 

Il riscatto
Come ogni buon ransomware che si rispetti, anche Zenis pretende il pagamento di un riscatto. Una volta terminata l'opera di criptazione, Zenis creerà la nota di riscatto rinominata Zenis-Instructions.html, all'interno della quale sono contenute le istruzioni per il pagamento del riscatto. La nota contiene le istruzioni per contattare l'attaccante. Attualmente gli indirizzi di contatto sono
  • TheZenis@Tutanota.com, 
  • TheZenis@MailFence.com, 
  • TheZenis@Protonmail.com
  • TheZenis@Mail2Tor.com.

La particolarità è che nella nota di riscatto si chiede che la vittima invii, all'attaccante stesso, la nota di riscatto e un file più piccolo di 2 MB. Il perchè l'attaccante richiede l'invio della nota di riscatto è presto detto: nella stessa è nascosta una stringa codificata in base64 che deve essere decriptata usando la chiave provata RSA, posseduta solo dallo sviluppatore del ransomware. Quando l'attaccante decripta questi dati, allora può decodificare il file inviato dalla vittima e approntare il decryptor. 


Il ransomware pare avere molte vulnerabilità: chi dovesse subire questo attacco non paghi il riscatto: potrebbero esserci a breve importanti novità. 

L'individuazione da parte di Quick Heal
Oltre all'individuazione statica, la funzione di Individuazione Comportamentale e la funzione Anti Ransomware di Quick Heal individuano con successo questo ransomware. 

1. Individuazione da parte della funzione Anti Ransomware


2. Individuazione da parte della funzione di Individuazione Comportamentale


Indicatori di compromissione: 
Zenis-Instructions.html
TheZenis@Tutanota.com
TheZenis@MailFence.com
TheZenis@Protonmail.com
TheZenis@Mail2Tor.com



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 12 LUGLIO 2019
ALERT: il malware Agent Smith fa strage di smartphone Android
Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login