Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Individuato il ransomware Ryuk: Quick Heal ti protegge efficacemente!
- MERCOLEDÌ 29 AGOSTO 2018


Recentemente i Quick Heal Security Lab hanno osservato un nuovo, dannosissimo, ransomware chiamato Ryuk. Questa campagna ransomware ha già colpito svariati utenti nel mondo e sembra caratterizzarsi per l'uso di attacchi di spear phishing. 


Ryuk cripta i file delle vittime, ma non vi aggiunge alcuna estensione: i file quindi non cambiano nome, ma divengono comunque illeggibili. Utilizza robusti algoritmi militari di criptazione, come "RSA4096" e "AES-256". I vettori di infezione sono, appunto, email di spam contenenti exploit kit. Ad oggi sono richiesti dai 15 ai 50 Bitcoin di riscatto per poter mettere di nuovo in chiaro i file.

Analisi tecnica
Dopo l'esecuzione del file principale, il ransomware scarica i seguenti file:
  1. C:\Users\Public\public: contiene la chiave RSA pubblica. 
  2. C:\Users\Public\ UNIQUE_ID_DO_NOT_REMOVE:  contiene la chiave predefinita. 
  3. C:\Users\Public\windows.bat: per cancellare le Shadow Voumes Copies e i backup. 
Subito dopo, esegue taskkill e i comandi net per terminare oltre 40 processi e 180 tra i servizi richiesti dalla macchina. Sotto i dettagli:




Da ulteriori analisi è emerso che i processi e i servizi terminati sono principalmente collegati a database, antivirus, backup e software per l'editing di documenti. Sotto alcuni tra i processi che vengono terminati dal ransomware. 


Ryuk usa anche alcuni comandi per creare una voce di registro che gli garantisca la persistenza anche in caso di riavvio del sistema.


Ryuk cripta tutti i drive locali escluse una serie di location che porta inserite direttamente nel codice: in questa sorta di whitelist troviamo Windows, Mozilla, Chrome, RecycleBin ecc.. Tenta anche la criptazione delle condivisioni di rete. 

La nota di riscatto:
Ryuk scarica due note di riscatto, una molto breve, l'altro invece è visualizzabile in foto, sotto. 


L'individuazione da parte di Quick heal
Quick Heal individua il ransomware Ryuk con successo e lo blocca con tre diversi livelli di protezione:

1. Protezione antivirus
2. Sistema di individuazione comportamentale
3. Anti Ransomware



Come restare al sicuro dai ransomware:
  • Usa un antivirus multi livello, che sia capace di bloccare le minacce in tempo reale.
  • Mantieni aggiornato il tuo antivirus.
  • Mantieni aggiornato il tuo sistema operativo, installa le patch critiche che vengono rilasciate ogni giorno.
  • Mantieni aggiornati tutti i software che hai sul tuo computer.
  • Non connettere mai i sistemi remoti direttamente ad Internet.
  • Non fare mai clic su link o su allegati contenuti in email provenienti da fonti sconosciute.
  • Esegui regolarmente, in una location sicura, il backup dei tuoi dati.
  • Disabilita le macro mentre usi MS Office.  


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 6 DICEMBRE 2019
Deep web e dark web: le parti nascoste del web - cosa sono, come funzionano
Il web che moltissimi di noi conoscono e navigano ogni giorno è solo una infinitesimale parte dell'infinito complesso di pagine disponibili online: parliamo della parte e...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login