Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware Alert! Nuova variante di Troldesh in distribuzione. Quick Heal ti protegge con successo!
- LUNEDÌ 3 SETTEMBRE 2018


Recentemente i Quick Heal Security Labs hanno osservato una nuova variante del ransomware Troldesh che cripta i dati e ne modifica il nome aggiungendovi l'estensione ".no_more_ransom". Questo ransomware rientra nella categoria dei Crypto-Ransomware, pare originarsi dalla Russia e da lì essere spinto per la diffusione mondiale. E' indicato con vari nomi: Troldesh, Encoder.858 o Shade. 

I vettori di infezione:
Questo ransomware viene diffuso principalmente attraverso 3 vettori:
  1. attacchi di brute forxce sull'RDP;
  2. email di spam e phishing;
  3. Exploit kit.
Nel primo caso, l'RDP Brute-force Attack, viene colpito il Remote Desktop Protocol (RDP) eseguito sulla porta 3389: lo si "forza" con un banale attacco di brute force. Se l'attacco ha successo, l'attaccante ottiene le credenziali di amministrazione dell'utente, quindi può eseguire il payload del ransomware sul sistema della vittima e avviare la criptazione dei dati. 

Nell'attacco con email di spam/phishing invece si inviano alle potenziali vittime email che conducono a siti compromessi/di phishing, dove si viene indotti con l'inganno a scaricare direttamente il payload del ransomware o un documento word contenente una macro oppure ancora un file .js. Più raramente il file compromesso viene allegato direttamente alla mail di spam, oppure ancora si allega un file compresso che contiene a sua volta il payload del ransomware. 

Analisi del Payload
Quando il file dannoso viene eseguito, esegue una copia di se stesso nella cartella "AppData\Roaming\": fatto ciò, cancella la copia originale ed esegue il file copia dalla posizione Appdata. 

Il payload attuale contiene i comandi che elenchiamo sotto, che vengono appunto usati per creare la copia del payload nella location Appdata. Quando il payload viene eseguito, lancia schtasks.exe (Schedule Tasks) per creare un processo che viene rinominato "Encypter": 

“C:\Windows\System32\schtasks.exe” /Create /SC MINUTE /TN Encrypter /TR 

C:\Users\user_name\AppData\Roaming\info.exe

dove:

1. /SC MINUTE: specifica il tipo di pianificazione;
2. /TN ENCRYPTER: indica il nome del processo;
3. /tr C:\Users\XXXX\AppData\Roaming\info.exe: specifica il programma o il comando che il processo eseguirà.

Nel caso in esame, il payload è programmato per eseguirsi ogni minuto, attende un'ora prima di eseguirsi e ha un limite di esecuzione fissato nelle 72 ore. 

La creazione del processo


I dettagli del processo creato

Durante la nostra analisi, abbiamo anche scoperto che il payload contiene un identificatore anti-debugging, che è in grado di stabilire se il processo viene debuggato in modalità debugger da parte dell'utente o meno. L'immagine sotto mostra l'avviso che viene visualizzato nel caso in cui, durante l'esecuzione del payload, un debugger sia in modalità di esecuzione. 


La nota di riscatto:
è in formato testuale, .txt. Vedere immagine sotto:


L'individuazione da parte di Quick Heal
La protezione Virus di Quick Heal individua con successo e rimuove il payload dannoso:


Il modulo di Individuazione Comportamentale individua anch'esso il payload, registrando la sua attività  come dannosa: blocca quindi il payload dannoso e lo mette in quarantena, isolandolo dal sistema.  Ugualmente, la Protezione Antiransomware individua e blocca l'eseguibile del ransomware


Alcuni consigli per non incappare nei ransomware:
  • non scaricare allegati e non fare clic su link ricevuti da email provenienti da fonti sconosciute o inaffidabili;
  • mantieni sempre attiva la protezione email del tuo software antivirus;
  • non abilitare le macro o l' "editing mode" al momento di eseguire un documento;
  • mantieni aggiornato il tuo antivirus e assicurati di eseguirlo all'ultima versione disponibile;
  • organizza un backup di tutti i tuoi dati importanti e conservalo in una location sicura;
  • applica gli update raccomandati per il sistema operativo e per software quali Adobe, Java, browser Internet ecc...
  • verifica di aver attivato gli Update Automatici per il tuo pc. 
Consigliamo caldamente ai nostri utenti di proteggersi applicando anche le policy firewall che elenchiamo sotto nella funzione firewall di Quick Heal:
  1. vieta l'accesso a IP pubblici alle porte importanti (in questo caso alla porta RDP 3389);
  2. concedi l'accesso ad un IP pubblico solo se sotto il tuo controllo;
  3. oltre al blocco della orta RDP, consigliamo anche il blocco della porta SMB 445. In generale è consigliabile bloccare le porte non utilizzate. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 9 DICEMBRE 2019
Instagram cambia: le nuove policy aumentano le tutele per i minori e la privacy
Ci sono diverse novità che riguardano il popolarissimo social Instagram: la prima e sicuramente più "impattante" è che ora, per iscriversi, occorrerà dichiarare l'età e l...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login