Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il ransomware CommonRansom chiede di accedere all'RDP per decriptare i file
- MERCOLEDÌ 31 OTTOBRE 2018


E' stato individuato un nuovo ransomware, chiamato CommonRansom e che si contraddistingue perchè fa alle vittime una richiesta piuttosto bizzarra. Una volta che la vittima ha pagato il riscatto infatti, il ransomware richiede alla vittima di aprire i Servizi di Desktop Remoto (RDP) sul computer infetto e di inviarne le credenziali agli attaccanti: solo così, spiegano gli attori dietro il ransomware, sarà possibile decriptare i file. 

Quando cripta il computer di una vittima, modifica le estensioni dei file colpiti aggiungendovi l'estensione [old@nuke.africa].CommonRansom. Crea inoltre una nota di riscatto  in formato testuale, DECRYPTING.txt. 

Il riscatto richiesto ammonta, per adesso, a 0.1 Bitcoin: sotto è possibile vedere la nota di riscatto.


Come si vede, l'attaccante richiede l'invio, tramite email di:
  • ID della vittima, indicato nella nota di riscatto stessa: è un codice che contraddistingue ogni singola macchina colpita dal ransomware;
  • la porta RDP dell'indirizzo IP della macchina infetta;
  • username e password che garantiscano i privilegi di amministrazione. 
Non inviare assolutamente questi dati!
E' probabilmente la prima volta che un ransomware richiede questo tipo di dati e di accesso: acconsentire a questa richiesta è estremamente pericoloso. Garantire l'accesso ai servizi di Desktop Remoto, perfino con privilegi di amministrazione, permetterà all'attaccante di operare arbitrariamente sul tuo pc: non potrai controllare lo schermo e non avrai la possibilità di sapere quali operazioni vengano effettivamente eseguite sulla macchina. 

Qualche consiglio...
in generale, ecco alcuni consigli per rendere più sicuro il tuo pc...

Apri il Pannello di Controllo di Quick Heal--> seleziona Internet e Reti --> Protezione Firewall
--> Impostazioni avanzate --> Configura --> Regole di traffico.

1. Per bloccare tutte le connessioni RDP:
  • scorri verso il basso e fai doppio clic su “Consenti Desktop Remoto”;
  • fai clic su Avanti fino a raggiungere l’ultima finestra, quindi clic su Seleziona Azione;
  • cambia l’azione da “Consenti” a “Nega” quindi fai clic su Fine. 
2. Per aggiungere eccezioni per sistemi affidabili:
  • nella finestra “Regole di traffico”, fai clic su Aggiungi per aggiungere una eccezione;
  • assegna un nome alla regola (ad esempio RDP white-list) e fai clic su Avanti per due volte;
  • nella finestra “Local TCP/UDP Port” inserisci la porta RDP nell’opzione “Specifica porta” e fai clic su Avanti. Di default, la porta RDP è la 3389;
  • in “Remote IP Address” inserisci l’indirizzo IP del sistema dal quale vuoi accettare connessioni RDP;
  • puoi anche inserire un gruppo di indirizzi IP per consentire connessioni RDP da più sistemi del range specificato. (ad esempio da 192.168.0.1 a 192.168.0.255);
  • seleziona “Avanti” per la finestra “Remote TCP/UDP port”;
  • seleziona una azione da consentire come  “Consenti” nell’ultima finestra, quindi fai clic su Fine;
  • ora salva le modifiche, facendo clic su OK e selezionando “Salva modifiche”. 
Nota: assicurati che la regola RDP White-list sia superiore della regola “Consenti Desktop Remoto” nella lista di regole del Firewall. 

Altre pratiche di sicurezza che possono aiutarti a impedire attacchi di brute force dell’RDP
  • usa password sicure e diverse da tutte quelle che hai sugli altri account. Password prevedibili come Admin, admin@123, user, 123456, password ecc.. possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi;
  • configura una protezione tramite password per i tuoi software di sicurezza. Questo ti consentirà di impedire l’accesso al sistema da parte di utenti non autorizzati intenzionati a disinstallare o disabilitare l’antivirus. Gli utenti Quick Heal possono attivare questa caratteristica da “Impostazioni--> Protezione password";
  • disabilita l’account Amministratore e usa un nome account differente per le attività amministrative. La maggior parte dei tentativi di brute-force sono compiuti su un account Amministratore visto che spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato o utente ospite, nel caso siano presenti nel sistema;
  • cambia la porta RDP di default. La maggior parte degli attacchi infatti si concentra sulla porta 3389 perché quella di default in quasi tutti i sistemi;
  • attiva l’Autenticazione a livello di rete nelle tue impostazioni RDP, disponibile dal SO Windows Vista e successivi.
    Rif: https://technet.microsoft.com/en-us/library/cc732713.aspx
  • configura l’ “Account Lockout Policies” che chiude automaticamente l’account dopo un numero specificato di tentativi falliti. Questa caratteristica è disponibile in Windows.
    Rif: https://technet.microsoft.com/en-us/library/dd277400.aspx


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 19 NOVEMBRE 2018
Instagram ha esposto accidentalmente le password di alcuni utenti
Instagram ha recentemente risolto una problematica di sicurezza nel proprio sito web per la quale le password di alcuni utenti sono finite esposte nel web. Ha inviato qui...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Cookie Policy - Login