Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il primo ransomware del 2019: un'analisi del ransomware modulare Anatova
- MERCOLEDÌ 30 GENNAIO 2019


I Quick Heal Security Labs hanno individuato il primo nuovo ranomware del 2019, soprannominato Anatova. Durante l'analisi abbiamo scoperto come Anatova non sia semplicemente un ransomware, ma un ransomware modulare: intendiamo, cioè, che pur restando la criptazione dei dati l'attività principale di questo malware, esso è in grado di eseguire svariate attività dannose. Oltre a ciò Anatova può usare diversi algoritmi di criptazione e tecniche di esecuzione, indizio che fa pensare che gli autori di questo pericoloso malware siano piuttosto esperti. 

Dato che questo malware è stato prodotto con grande intelligenza e conoscenza e dato il suo potenziale altamente distruttivo, abbiamo deciso di elaborare un rapporto dettagliato, con un analisi del malware e alcune tecniche di prevenzione. 

La nostra analisi
Al contrario di altri ransomware, Anatova cripta (ovviamente) i file, ma non ne modifica il nome né aggiunge alcuna estensione ai file criptati. Bersaglia tutti i file presenti sul sistema eccetto quelli contenuti in cartelle che occupano importanti posizioni nel sistema, ad esempio "windows", "program files", "program files (x86)", "boot" ecc... Durante la routine di criptazione evita anche alcuni tipi specifici di file come desktop.ini, bootinit, pagefile.sys ecc.. e alcune precise estensioni come .exe, .cmd, .dll ecc...

Abbiamo anche scoperto che questo ransomware cripta i file in maniera diversa a seconda delle dimensioni del file: se la dimensione è inferiore a 1 MB il file verrà interamente criptato. Se invece la dimensione è superiore ad 1 MB, cripterà solo 1 MB: probabilmente siamo di fronte ad un intelligente accorgimento per ridurre non poco i tempi di criptazione e per evitare il rilevamento da parte dei software di sicurezza.  Al termine della criptazione viene richiesta il pagamento del riscatto in 10 DASH, equivalenti a circa 700 dollari statunitensi. 

Anatova cerca di ingannare le vittime a scaricare il ransomware sfruttando un'icona che potrebbe, in tutto e per tutto, sembrare un videogioco. Gli hash analizzati sono costruiti in 64bit nel Gennaio 2019 e richiedono privilegi di amministrazione per l'esecuzione. 


Anche se i campioni analizzati avevano dimensioni diverse, il payload principale è sempre 307KB. 

Una volta che il malware è dentro il sistema, usa una tecnica anti-analisi molto particolare: inizia a ricercare informazioni sul sistema, primariamente lo username usando l'API "GetUserName", quindi compara lo username individuato con una serie di username contenuti in una blacklist del quale è dotato. Se lo username individuato è presente nella blacklist, Anatova ripulisce ogni traccia della propria presenza e arresta il processo senza eseguire ulteriori azioni.  Nella foto sotto gli username contenuti nel codice:
Una peculiarità: Anatova, al momento di entrare in un PC, genera un mutex che indica se il sistema sia già stato infettato o meno da Anatova. Usa la funzione "GetLastError" per verificare il mutex: se riceve in risposta il codice di errore "0xB7" che indica "Error_Already_Exits", significa che lo stesso mutex è già stato creato prima che il processo in corso dovrebbe essere terminato, come mostrato nella figura sotto


L'API “GetSystemDefaultUILangauge” viene invece usata per verificare la lingua di default del sistema: il dato è utile agli attaccanti perchè, a seconda della lingua che riscontrano sul sistema operativo, eseguono certe attività dannose al posto di altre oppure terminano l'attacco. 

L'ultima verifica prima dell'avvio della criptazione dei file attiene alla ricerca di 38 processi: se questi vengono trovati, il rasnomware li termina per criptare tutti i file ad essi associati.  Ecco l'elenco dei processi


Come avviene la criptazione?
Finite tutte queste (numerose) verifiche, Anatova avvia la routine di criptazione usando una combinazione tra gli algoritmi RSA e Salsa20. Per evitare di criptare uno stesso file due volte, ogni file criptato viene contrassegnato con un marker contenente 4 byte posti alla fine del file. Ecco perchè, prima di criptare un file, Anatova ne verifica i 4 byte finali: un accorgimento che comporta risparmio di tempo. 

Anatova usa l'API cryptencrypt per criptare i file


Questo ransomware è molto pericoloso anche perchè non si limita a criptare i file presenti sui drive di sistema, ma verifica anche la presenza di location remote da criptare. Verifica DRIVE_FIXED per i drive locali e DRIVE_REMOTE per le location (di rete) remote. 


Prima di chiudere la routine di criptazione, elimina le copie shadow di volume dei file, usando vssadmin, così da impedirne l'utilizzo per il ripristino dei file allo stato precedente alla criptazione. 
Infine si auto-cancella, come si vede nella foto sotto


Sotto è visibile la nota di riscatto


Buone notizie! Con Quick Heal sei al sicuro!
Quick Heal individua Anatova con successo con ben tre diversi livelli di protezione:
  • protezione virus;

  • protezione anti-Ransomware;

  • individuazione comportamentale;

Come proteggersi da un attacco ransomware:
  1. esegui sempre un backup dei tuoi dati più importanti su un drive esterno (HDD o chiavetta). Valuta l'utilizzo di un servizio di backup in cloud;
  2. non installare freeware o versioni cracckate di alcun software;
  3. non aprire nessuna pagina contenenti annunci che vengono mostrati su siti web che non conosci o dei quali non sei sicuro della genuinità;
  4. disabilita le macro mentre usi MS Office;
  5. aggiorna il tuo antivirus per proteggere il tuo sistema da rischi inaspettati;
  6. non fare clic su link e non scaricare allegati contenuti in email provenienti da mittenti inaspettati, sconosciuti o indesiderati. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 19 APRILE 2019
Web Filtering: come Quick Heal protegge il tuo mondo digitale
Cos'è il web FilteringIl filtro Web, noto anche come filtro dei contenuti e filtro URL, limita l'accesso a determinati siti Web che, se aperti, potrebbero risultare danno...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login