Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware: arriva Ghost. L'analisi dei Quick Heal Security Labs
- LUNEDÌ 17 DICEMBRE 2018


Abbiamo condotto un'analisi approfondita sul ransomware Ghost. La peculiarità di questo ransomware, che lo ha reso così interessante, è il fatto che Ghost usa più componenti per criptare i file delle vittime. 

Analisi tecnica:
L'eseguibile principale del malware (Ghost.exe) è compilato usando DotNet Framework. Il vettore d'infezione resta sconosciuto, ma si sospettano, principalmente, tre metodi di diffusione: il le email di spam, il malvertising o file collegati ad altri file... Usa l'icona del foglio di calcolo per ingannare l'utente, cercando di convincerlo che il file in arrivo sia una fattura o altra tipo di documento importante. 

Inizialmente Ghost.exe contatta "“www.12312312eewfef231.com". Questo dominio non è registrato, ma, se registrato, può funzionare come "kill switch". 


Ghost.exe copia quindi l'eseguibile GhostService.exe nella cartella “%appdata%\Ghost” sulla macchina della vittima. Crea anche un file bat (Ghost.bat) nella cartella di Ghost, quindi lo esegue. Il file bat crea un servizio che mostra chiaramente il nome "Ghost", con percorso “%appdata%\Ghost\GhostService.exe” e modalità di avvio "auto", come si vede nell'immagine sottostante. Grazie all'auto-mode, il servizio malware si auto-avvierà ad ogni avvio di sistema. 


A questo punto, registrato correttamente il servizio, Ghost.exe avvia il servizio Ghost


Il servizio crea quindi un file .txt chiamato “Do_Not_Delete_codeId.txt”  nel drive "C": il contenuto di questo file è il codice ID, che viene generato casualmente


A questo punto viene richiamata la funzione "StartProcess" per scaricare le componenti nel drive "C". GhostService.exe scarica le 3 componenti sottostanti:
  • GhostForm.exe - mostra la nota di riscatto e cripta i file;
  • GhostFile.dll - funzioni di esportazione per creare liste di file;
  • GhostHammer.dll - funzione di criptazione con algoritmo di criptazione AES.
GhostForm.exe è il primo file che viene avviato: richiama una funzione "Database" per terminare il servizio MSSQLSERVER  e criptare i file nella cartella “Microsoft SQL Server”. C'è anche una lista di "file bersaglio", cioè una lista di tutte le diverse estensioni di file che il ransomware è in grado di criptare


Infine viene chiamata una funzione "datosC" che cripta i file presenti solo nel drive "C". Si è scoperto anche che tale azione viene svolta circa ogni 120 secondi.

La nota di riscatto
E' il file GhostForm.exe che mostra la nota di riscatto. Contiene anche un timer, che chiude appunto la nota di riscatto ogni 120 secondi. 


Non finisce qui...
A questo punto viene chiamata la funzione "StartEncrypt" per creare una lista dei file presenti nelle seguenti cartelle:
  • desktop;
  • documenti;
  • immagini;
  • video;
  • musica;
Le funzioni necessarie a produrre questa lista di file sono presenti nel file, già menzionato sopra, GhostFile.dll. L'elenco sopra ribadisce che questo malware cripta i file solo in alcune posizioni specifiche. In  quelle cartelle, GhostForm.exe cercherà altri file da criptare: nell'immagine le estensioni bersaglio di GhostForm. 


Quick Heal individua questi malware coi seguenti nomi:
  1. “Ransom.Ghost.S*”
  2. “Ransom.Bat.Ghost.*”
I consigli degli esperti...
Abbiamo notato una crescita significativa dei ransomware negli ultimi tempi. Gli autori di malware hanno iniziato ad usare differenti tecniche per criptare i file degli utenti. Ecco alcune raccomandazioni generali per stare al sicuro da questo tipo di infezioni:
  • non aprire email sospette, sopratutto se hanno allegati;
  • mantieni aggiornato il tuo sistema operativo;
  • mantieni aggiornati i software. Versioni obsolete dei software possono avere delle vulnerabilità che un attaccante potrebbe sfruttare per avere accesso al tuo computer;
  • esegui regolarmente il backup dei tuoi dati e mantienilo in una location sicura;
  • usa una protezione antivirus multi-livello che può proteggerti da rischi informatici in tempo reale. Mantieni aggiornato l'antivirus. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 17 GIUGNO 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login