Kaspersky introduce un nuovo algoritmo per proteggere i server dai danni prodotti dal Cryptolocker

I prodotti KasperskyLab si sono sempre rivelati molto efficaci nella prevenzione dei malware in generale ed in particolare contro la minaccia del momento: i ransomware (cryptolocker).

La stretegia attuale prevedeva oltre ai metodi classici di inviduazione dei malware basati su corrispondenza fra firme e di analisi del comportamento con delle euristiche, l’utilizzo di due componenti il System Watcher ed Application Privilege Control che riducono ulteriormente il pericolo di infezione in particolare di minacce 0-day che ancora non sono state analizzate.

Purtroppo avviene frequentemente che fra tante workstation che circolano nel perimetro aziendale, per dimenticanza o per qualche malfunzionamento, qualcuna non venga protetta adeguatamente, e se questa macchina si infettasse con un ransomware andrebbe a svolgere il suo atto di danneggiamento anche sulle aree di file sharing.

KasperskyLab ha annunciato in un video una nuova funzionalità per il prodotto Kaspersky Security Endpoint for Windows File Server, molto utile in azienda perché non contrasta direttamente l’infezione del malware, ma riduce l’impatto del danneggiamento alla sola macchina infetta.

Morten Lehn Managing Director di Kaspersky Lab Italia afferma: “La nostra nuova soluzione è unica nel suo genere. È basata su un algoritmo brevettato da Kaspersky Lab che utilizza l’analisi dei comportamenti per rilevare attività sospette e proteggere dalla criptazione le cartelle condivise. Vogliamo impedire che le aziende vengano escluse dai loro file e che vengano obbligate a pagare un riscatto per riaverli” .

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

8 Aprile 2016

Linux.Encoder.1 il primo ransomware per Linux

Nel mese di novembre è stato segnalato Linux.Encoder.1, il primo ransomware per Linux.linux

Quando viene avviato con privilegi di amministrazione, il programma carica in memoria due file che contengono le istruzioni per l’attacco:

  • ./readme.crypto
  • ./index.crypto

Dopo questo il ransomware riceve la chiave pubblica RSA ed avvia il processo di crittografia solo dei file alcune estensioni.

Il malware cerca di colpire le cartelle personali dell’utente, database, webserver e pagine web operando sulle directory:

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log
  • public_html
  • www
  • webapp
  • backup
  • .git
  • .svn

Mentre invece non effettua la crittografia delle seguenti directory:

  • /
  • /root/
  • .ssh
  • /usr/bin
  • /bin
  • /etc/ssh

Linux.Encoder.1 usa la crittografia asimmetrica RSA e la crittografia AES a 128 bit, ai file crittografati viene aggiunta l’estensione “.encrypted”

Il malware usa la funzionalità rand() della libreria libc che usa il timestamp come seme per generare le chiavi crittografiche.

Questo dettaglio è stato presto scoperto ed ha reso “prevedibile” la chiave utilizzata per la crittografia, dando l’opportunità ai tool di decodificare il contenuto dei file senza dover “pagare” per riscattare i file.

7 Aprile 2016

Petya Ransomware

Petya è un malware appartenente alla categoria dei ransomware, comparso di recente. Rispetto a tutti gli altri ransomware introduce un elemento di novità, ad essere crittografati non sono delle particolari estensioni di file, ma il Master Boot Record (MBR), ovvero quella porzione di disco dove vengono memorizzate le istruzioni necessarie all’avvio del sistema operativo.

L’infezione fin’ora ha riguardato in particolare gli utenti di lingua tedesca, e si è trasmesso con una mail di spam che non ha file allegato, ma un link ad un file .exe caricato su dropbox.

Il malware per funzionare ha necessità di disporre di diritti amministrativi, una volta che il file è stato scaricato ed eseguito, se non ne dispone li richiede con l’interfaccia User Access Control.

uac

Se l’utente conferma il sistema va in crash, al riavvio viene mostrata una schermata che simula la funzionalità CHKDSK, utilità di windows per la verifica dei problemi sul disco, comportamento coerente in caso di crash improvviso del sistema, purtroppo però non si tratta della vera funzionalità, ma del malware che è a questo punto entrato in funzione e sta crittografando la Master File Table in cui vengono memorizzati gli indici dei file.

Al termine dell’operazione compariranno le schermate che avvertono che il sistema è stato colpito da Petya

petya petyaIl falso CHKDSK usando l’algoritmo Salsa20, con una chiave di 32 byte, questo algoritmo è utilizzato per crittografare, decrittografare e verificare la chiave.

Il malware, a differenza di altre varianti di ransomware, richiede molta interazione da parte dell’utente per poter essere pericoloso, occorre fornire i diritti di Amministratore, perché fortunamente non è stato programmato per sfruttare qualche vulnerabilità del software installato sul target per avere dei privilegi superiori. Tuttavia una volta che il pc è infettato ed il sistema è stato riavviato tutti i dati sono quasi definitivamente persi.

Nemmeno scollegando il pc e collegandolo ad un’altro permette di vedere qualcosa sul disco perchè è stata crittograta la Master File Table (MFT), inoltre ripristinando il MBR con l’utilità di Windows i dati andranno persi definitivamente.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

6 Aprile 2016

Locky Ransomware

Locky è un malware della famiglia dei Ransomware, che utilizza come vettore di diffusione file di Word con delle macro, spesso ricevuti come allegati a messaggi di posta elettronica aventi come oggetto Fattura oppore Ordine.

La semplice apertura del file non è sufficiente ad innescare l’azione del malware, perchè il file .doc non infettato direttamente dal Ransomware, ma è infettato da una macro che una volta attivata si occupa di scaricare il malware ed avviarlo iniziando la crittografia dei file contenuti sul proprio sistema.

I file crittografati vengono rinominati con l’estensione .locky e nel desktop viene creato un file _Locky_recover_instructions.txt contente le istruzioni per avere la chiave di decrittazione, naturalmente dopo aver pagato in BitCoint.

locky_recover_instructions

I file oggetto della crittografia hanno estensione:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Il malware utilizza la crittografia AES a 128 bit con chiave pubblica RSA a 2048bit, ed agisce su tre tipi di dispositivi: fissi (hard disk), dispositivi rimovibili (chiavette USB ed Hard Disk esterni) e ramdisks (condivisioni di rete).

Una curiosità su questo ransomware è che genera una statistica sul numero di file crittografati e li invia al server di riferimento dei gestori dell’attacco.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

5 Aprile 2016

TeslaCrypt 4.0

Dopo la grande epidemia di infezioni di TeslaCrypt 3.0 avuta fra i mesi di gennaio e febbraio la nuova versione TeslaCrypt 4.0 è stata rilevata in questi ultimi giorni.

Il vettore dell’infezione è sempre una mail di spam, che si presenta come un fattura o un ordine, contenente un allegato in formato .ZIP che al suo interno contiene un file JavaScript (trojan) che una volta eseguito si occupa di scaricare il malware, che procederà alla  crittografia dei file importanti presenti sul disco e sulle aree di rete condivise.

Mentre le versioni precedenti di questo malware aggiungevano le estensioni “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, quest’ultima variante lascia inalterato il nome del file, rendeno più difficile il riconoscimento dell’infezione.

L’unica possibilità per capire se il file è stato attaccato è verificare se nell’header del file compaiono le tracce della crittografia

offset size Description
 ————————————–
 0x000 8 0x0000000000000000
 0x008 8 %IDHEX%
 0x010 8 0x0000000000000000
 0x018 65 PublicKeyRandom1_octet
 0x059 32 AES_PrivateKeyMaster
 0x079 31 Padding 0
 0x098 65 PublicKeySHA256Master_octet
 0x0D9 3 0x000000
 0x0DC 65 PublicKeyRandom2_octet
 0x11D 32 AES_PrivateKeyFile
 0x13D 31 Padding 0
 0x15C 16 Initialization vector for AES
 0x16C 4 Size of original file
 AES 256 CBC

inoltre vengono creati dei file, con dei nomi casuali, con le istruzioni per sbloccarli:

%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt

teslacrypt-4_0-ransom-note

 

Dalle istruzioni su come ottenere il riscatto dei file troviamo alcune informazioni utili a comprendere l’azione del malware.

Il malware utilizza la crittografia AES con chiave pubblica RSA a 4096bit,  inoltre è stato risolto un bug presente nelle versioni precedenti, in cui i file con dimensione superiore a 4GB nella fase di crittografia venivano danneggiati.

Questo malware ha delle caratteristiche che rischiano di mimetizzarne l’impatto per un lungo periodo, e rendere difficoltoso il recupero da un backup poiché i nomi dei file non vengono modificati.

Alcune tecniche di mitigazione del rischio consistono nel bloccare l’elenco degli indirizzi IP dei server da cui avviene il download del malware, ma questa tecnica espone ancora ad importanti rischi, ai criminali basterebbe aggiungere un nuovo server.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

4 Aprile 2016

Blog & News

Categorie