Database con decryptor per ransomware

E’ disponibile un database costantemente aggiornato da esperti di sicurezza in cui sono presenti tutte le versioni di ransomware scoperte, inoltre per le versioni in cui è presente il tool di decrittazione è indicato il link da cui scaricarlo.

Il database è un foglio di calcolo online ed è disponibile all’indirizzo: https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Nonostante siano presenti alcuni tool (il cui funzionamento non è garantito) ricordiamo i principali metodi per evitare di essere infettati:

  1. Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
  2. Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
  3. Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

1 Giugno 2016

Un brutto esempio di phishinig

La diffusione dei Ransomware ha portato molta attenzione al tema della sicurezza informatica ed in particolare verso tutti i metodi di protezione dai ransomware, trascurando l’esistenza di altre pericolose minacce.

Fra queste c’è senza dubbio in Phishing, che continua attraverso campagne mirate a sottrarre dati personali da rivendersi nel mercato nero.

Stamattina mi è capitato di osservare un messaggio di phishing correttamente classificato, ma che mi ha fatto riflettere su alcuni aspetti caratterizzanti di questo messaggio.

Vediamo come era composto:

Delivered-To: <rimosso>
Received: by 10.202.62.131 with SMTP id l125csp2191720oia;
        Tue, 31 May 2016 14:13:07 -0700 (PDT)
X-Received: by 10.194.173.132 with SMTP id bk4mr110281wjc.92.1464729186993;
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Return-Path: <root@mail.yervaguena.com>
Received: from mail.yervaguena.com (mail.yervaguena.com. [5.56.57.43])
        by mx.google.com with ESMTPS id o84si39196803wmb.94.2016.05.31.14.13.06
        for <angelopenduzzu@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) client-ip=5.56.57.43;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) smtp.mailfrom=root@mail.yervaguena.com
Received: by mail.yervaguena.com (Postfix, from userid 0)
	id 3DFF513A22A; Tue, 31 May 2016 22:44:06 +0200 (CEST)
To: <rimosso>
Subject: Accesso bloccato al tuo account CheBanca associato con l'indirizzo e-mail angelopenduzzu@gmail.com .
X-PHP-Originating-Script: 0:ch3.php
From: CheBanca! <noreply.5206@ingdirectitalia.it>
Reply-To: noreply.5206@ingdirectitalia.it
Content-Type: text/html
Message-Id: <20160531204406.3DFF513A22A@mail.yervaguena.com>
Date: Tue, 31 May 2016 22:44:06 +0200 (CEST)


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<a href="http://www.chebanca.it.voKUCJ.thearborist.co.nz/.chebanca.it/?sicurezza=voKUCJ">
<img src="http://www.chebanca.it.Rzfuwt.thearborist.co.nz/images/chebancalogo205.png" height="261" width="632" border="0"></a> <text-align:center;margin-top: -19px;\"><b> </b></p></div
</html>'

Gli aspetti interessanti sono due:

  • L’indirizzo del mittente usa il dominio ingdirectitalia.it di proprietà di una nota banca online che opera a livello internazionale, purtroppo da una rapida analisi scopriamo che non hanno registrato un record SPF e quindi il messaggio non è stato bloccato. 
    dig ingdirectitalia.it TXT
; <<>> DiG 9.10.3-P4-Ubuntu <<>> ingdirectitalia.it TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41050
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;ingdirectitalia.it.        IN    TX
;; AUTHORITY SECTION:
ingdirectitalia.it.    3600    IN    SOA    dns1.fastweb.it. dnsmaster.fastweb.it. 2015121001 10800 900 604800 86400
;; Query time: 1133 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jun 01 07:10:48 CEST 2016
;; MSG SIZE  rcvd: 95
  • L’indirizzo a cui punta il collegamento inizia con http://www.chebanca.it che ad una lettura superficiale potrebbe anche far credere che si tratti dell’indirizzo giusto, mentre invece il vero dominio è: thearborist.co.nz

Infine un’ultima considerazione, nelle intestazioni possiamo trovare che il messaggio è stato spedito da uno script php:

X-PHP-Originating-Script: 0:ch3.php

Il furto di identità è ancora una pratica molto diffusa e le campagne di Phishing quotidiane. Un incidente di sicurezza causato dalla perdita di credenziali di accesso può produrre danni economici più ingenti rispetto al BitCoin solitamente necessario per acquistare la chiave di decrittazione per un ransomware (acquisto che continuiamo a sconsigliare perchè significherebbe incrementare le disponibilità economiche e la motivazione dei gruppi che sviluppano e diffondono ransomware).

L’unico modo per risparmiare è dotarsi di un antispam efficace in grado di bloccare i messaggi più pericolosi.

Logo_Esva

LibraESVA è la soluzione Italiana ai problemi di spam e phishing, in grado di ridurre drasticamente del 99,99% la presenza di messaggi di spam nelle nostre mailbox ed ridurre quasi a zero la presenza di malware negli allegati potendo effettuare la scansione con più motori antispam.

argonavislab

Argonavis é partner LibraESVA e può fornirti tutte le informazioni commerciali e tecniche per implementare LibraESVA e migliorare la sicurezza della tua infrastruttura ed in particolare della posta elettronica.

Richiedi Informazioni

Vecchie licenze non attivano funzione Anti-Cryptor

Abbiamo già parlato della nuova funzionalità anti-Cryptor sui prodotto per proteggere i File Server Windows di KasperskyLAB.

Le nuove funzionalità introdotte in Kaspersky Security 10 for Windows Server (Anti-Cryptor, Applications Launch Control, and Untrusted Hosts Blocking) sono automaticamente abilitate con le chiavi generate dopo il 1° aprile 2016

anti-cryptor disabilitato

Per poter attivare Anti-Cryptor con una licenza emessa prima del 1 aprile è necessario installare una specifica patch su ciascun server in cui è installato il prodotto:

  • http://media.kaspersky.com/utilities/CorporateUtilities/critical_fix_lic_(kb12662)_x64.zip
  • http://media.kaspersky.com/utilities/CorporateUtilities/critical_fix_lic_(kb12662)_x86.zip

La distribuzione della patch può essere fatta installandola localmente sul server in cui è installato il prodotto oppure tramite un task di installazione remoto.

Creazione del task

Dal menù laterale, aprire Remote Installation, cliccare su Installation packages e cliccare su Create installation package

creazione_task

 

 

premere sul bottone Create installation package for a Kaspersky Lab application

creazione_task

dopo aver dato un nome al task, scaricare il file della patch, decomprimerlo e selezionare il percorso in cui si trova.

Aggiungere nel campo: Executable file command line il paramentro /qn

creazione_task

Nota: Applications Launch Control non è disponibile nella licenza Select.

argonavislab

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

12 Maggio 2016

Rilasciata Patch E per Kaspersky Security Center 10 Service Pack 1

E’ stata rilasciata la Patch E per Kaspersky Security Center 10 Service Pack 1.kaspersky

Patch E è disponibile per:

  • Patch per Administration Console (patch_10_2_434_console_e.zip) che deve essere installata su i computer in cui è installata la Administration Console senza Administration Server.
  • Patch per Network Agent (patch_10_2_434_nagent_e.zip) sui computer gestiti in cui è installato il Network Agent senza Administration Server.
  • Patch per Administration Server (patch_10_2_434_server_e.zip) per i computer su cui è installato Administration Server. Questa patch include l’aggiornamento anche per Administration Console e Network Agent.

Patch E è cumulativa ed include gli aggiornamenti già rilasciati nelle patch А, patch B, patch C, e patch D.
Dopo che la patch E è stata installata la versione di alcuni file diventerà 10.2.2019, mentre la versione mostrata dalla Administration Console, rimarrà 10.2.434.

Fra le correzioni introdotte in questa Patch, si evidenziano la correzione di alcuni errori che potevano causare il blocco di Administration Console ed Administration Server ed errori di connessione fra Network Agent e Administration Server.

argonavislabArgonavis dispone di tutte le competenze per supportarti al meglio a livello tecnico e commerciale contattaci per rendere il più efficace possibile la tua protezione.

Richiedi Informazioni

11 Maggio 2016

Angler Exploit Kit per diffondere i ransomware

Si è sempre considerato che il vettore di infezione per eccellenza dei ransomware fosse un allegato di posta elettronica, la realtà invece è decisamente peggiore.

La cattiva notizia è che è possibile infettarsi con un ransomware semplicemente aprendo una pagina web che è stata compromessa.

E’ stato documentato che alcuni fra i più temuti ransomware come TeslaCrypt vengano veicolati utilizzando Angler Exploit Kit.

 Angler Exploit Kit sfrutta le vulnerabilità note per infettare le macchine ed eseguire operazioni malevole sulle vittime, incluso il drive-by download, che permette di scaricare ed eseguire sul computer della vittima un altro malware.

La pericolosità di questo Kit è facilmente comprensibile quando si elencano alcune delle applicazioni interessate dalle vulnerabilità sfruttate: Adobe Flash Player, Microsoft Silverlight, Java. Applicazioni che vengono eseguite sulla maggior parte dei computer.

La diffusione del ransomware tramite questo Exploit Kit avviene prima andando ad infiltrare un sito web con degli javascript o dei file di adobe flash.

Quando il sito web (detto landing page) viene visitato dall’utente, se le applicazioni soffrono delle vulnerabilità che il kit riesce a sfruttare, avviene l’infezione tramite il malware Bedep che effettua il download del ransomware.

Il miglior modo per prevenire questi attacchi è provvedere ad installare regolarmente gli aggiornamenti delle applicazioni, e questa è una nota dolente nella sicurezza informatica.

Più o meno la maggior parte dei computer installa le patch per il sistema operativo, windows update svolge questa funzione, ma quasi nessuno lo fa per le applicazioni esponendosi a rischi concreti.

4 Maggio 2016

Blog & News

Categorie