Ransomware Fantom

Sembra un aggiornamento critico di Windows, mentre invece è solo il maschera dietro cui si nasconde Fantom, uno delle ultime varianti di Ransomware scoperte.

Il gruppo MalwareHunterTeam, che ha disoffuscato il codice, ha potuto osservare che dal punto di vista crittogratico assomiglia agli altri Ransomware basati su EDA2, genera una chiave AES a 128 bit da usare per crittografare tutti i file, a sua volta anche la chiave viene crittata con l’algoritmo RSA e viene caricata su un server di Command & Control gestito dai criminali.

cleanup

Una volta iniziato il processo di crittografia dei file, il sistema mostra una maschera tipica di quando è in corso un aggiornamento di Windows, tuttavia la percentuale non riguarda l’aggiornamento del sistema, ma la crittazione dei file presenti.

windows-update-screen

Al termine delle operazioni di crittografia i file colpiti avranno la propria estensione modificata in .fantom ed in ciascuna cartella si potrà trovare il file  DECRYPT_YOUR_FILES.HTML con le istruzioni per pagare il riscatto.

Al momento l’unico modo per decrittare i file è avere la chiave memorizzata sul server Command & Control, ma il suggerimento come al solito è quello di non pagare.

Sicuramente non si tratta di un ransomware particolarmente originale sotto il punto di vista tecnico, ma è originale il suo camuffamento sotto la forma di Windows Update.

Ricordiamo i principali metodi per evitare di essere infettati:

  1. Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
  2. Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
  3. Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

5 Settembre 2016

LibraESVA contribuisce a limitare il Cryptolocker

Una delle più temute minacce ai sistemi informativi è senza dubbio il Cryptolocker. La cattiva notizia è che una singola soluzione in grado bloccare questa minaccia al momento non esiste.

Si tratta di una minaccia complessa, che esegue una operazione comune e lecita sui file (la crittografia) difficile da individuare perché può essere effettuata per blocchi e se non viene inserito un apposito header nel file è difficile definire il tipo di crittografia effettuata.

Nell’analisi di alcune varianti fra le più popolari (ad esempio Locky) in questo periodo, abbiamo che il malware viene veicolato tramite un messaggio di posta elettronica che non contiene direttamente il malware, ma un file .doc che ha al suo interno una macro capace di scaricare il vero malware ed avviarlo.

Per questa ragione il file ricevuto in allegato non viene considerato malware dal software antivirus, pur mettendo seriamente a rischio la sicurezza aziendale.

Logo_EsvaLibraESVA nella versione 3.7 ha introdotto dei meccanismi più precisi di identificazione di questo tipo di minaccia, in grado di bloccare il file pericoloso, evitando che possa entrare nel perimetro aziendale, anche in assenza del malware vero e proprio.

La difesa da una minaccia temibile come i ransomware non può essere fatta da un singolo elemento, ma da un insieme di elementi che riescono a rendere molto più complesso e costoso un attacco.

argonavislabArgonavis ed i suoi tecnici sono a tua disposizione per effettuare una valutazione dei rischi e proporti le migliori soluzioni possibili per ridurre il rischio di subire un attacco.

Richiedi Informazioni

19 Aprile 2016

Rilasciato LibraESVA 3.7

Il 18 aprile 2016 è stato rilasciato LibraESVA 3.7

Logo_EsvaLa nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Correzioni di bug noti

  • Problema nella visualizzazione dell’Audit Log
  • Problema sui valori di default della sezione Notification and Dangerous Content
  • Problema nella ricerca sulla Quarantena
  • Problema su filtraggio dei risultati della sezione SMTP Rejected con pagine multiple
  • Aggiunto timeout per le connessioni MySQL
  • Problema sull’interfaccia durante il trascinamento delle finestre
  • Problema su Domain Transport maps
  • Problema sul file hosts della macchina
  • Problema su Cluster Outbound Queue Visualization
  • Problema su POP3S Auth in Office365
  • Problema con il link di rilascio per messaggi con più destinatari
  • Problema su Avira e BitDefender AV Output Strings
  • Problema su BCC Content Filtering Action
  • Altri piccoli errori sono stati risolti

Nuove funzionalità

  • Nuove firme rilasciate da Sane Security per l’individuazione dei malware nelle Macro sono state aggiunte
  • Nuovo Plugin di identificazione ha come punteggio standard 5
  • Interfaccia di monitoraggio per ISP
  • Supporto all’autenticazione tramite IMAP
  • Aggiunto log FTP Backup
  • Funzionalità di Import/Export di White/Black Lists per Domain Admins
  • Gestione degli utenti da parte di Domain Admin

Miglioramenti

  • Aggiornato il protocollo SSL
  • Aggiornato Postfix alla versione 3.0.4
  • Aggiornato MailScanner all’ultima versione disponibile
  • Aggiornato Unrar all’ultima versione disponibile
  • Nuovo wizard di prima configurazione
  • Migliorata la visualizzazione delle impostazioni in ambiente multi tenant
  • API amministrative migliorate
  • Migliorate le impostazioni in User Auto-creation

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

18 Aprile 2016

Kaspersky introduce un nuovo algoritmo per proteggere i server dai danni prodotti dal Cryptolocker

I prodotti KasperskyLab si sono sempre rivelati molto efficaci nella prevenzione dei malware in generale ed in particolare contro la minaccia del momento: i ransomware (cryptolocker).

La stretegia attuale prevedeva oltre ai metodi classici di inviduazione dei malware basati su corrispondenza fra firme e di analisi del comportamento con delle euristiche, l’utilizzo di due componenti il System Watcher ed Application Privilege Control che riducono ulteriormente il pericolo di infezione in particolare di minacce 0-day che ancora non sono state analizzate.

Purtroppo avviene frequentemente che fra tante workstation che circolano nel perimetro aziendale, per dimenticanza o per qualche malfunzionamento, qualcuna non venga protetta adeguatamente, e se questa macchina si infettasse con un ransomware andrebbe a svolgere il suo atto di danneggiamento anche sulle aree di file sharing.

KasperskyLab ha annunciato in un video una nuova funzionalità per il prodotto Kaspersky Security Endpoint for Windows File Server, molto utile in azienda perché non contrasta direttamente l’infezione del malware, ma riduce l’impatto del danneggiamento alla sola macchina infetta.

Morten Lehn Managing Director di Kaspersky Lab Italia afferma: “La nostra nuova soluzione è unica nel suo genere. È basata su un algoritmo brevettato da Kaspersky Lab che utilizza l’analisi dei comportamenti per rilevare attività sospette e proteggere dalla criptazione le cartelle condivise. Vogliamo impedire che le aziende vengano escluse dai loro file e che vengano obbligate a pagare un riscatto per riaverli” .

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

8 Aprile 2016

Petya Ransomware

Petya è un malware appartenente alla categoria dei ransomware, comparso di recente. Rispetto a tutti gli altri ransomware introduce un elemento di novità, ad essere crittografati non sono delle particolari estensioni di file, ma il Master Boot Record (MBR), ovvero quella porzione di disco dove vengono memorizzate le istruzioni necessarie all’avvio del sistema operativo.

L’infezione fin’ora ha riguardato in particolare gli utenti di lingua tedesca, e si è trasmesso con una mail di spam che non ha file allegato, ma un link ad un file .exe caricato su dropbox.

Il malware per funzionare ha necessità di disporre di diritti amministrativi, una volta che il file è stato scaricato ed eseguito, se non ne dispone li richiede con l’interfaccia User Access Control.

uac

Se l’utente conferma il sistema va in crash, al riavvio viene mostrata una schermata che simula la funzionalità CHKDSK, utilità di windows per la verifica dei problemi sul disco, comportamento coerente in caso di crash improvviso del sistema, purtroppo però non si tratta della vera funzionalità, ma del malware che è a questo punto entrato in funzione e sta crittografando la Master File Table in cui vengono memorizzati gli indici dei file.

Al termine dell’operazione compariranno le schermate che avvertono che il sistema è stato colpito da Petya

petya petyaIl falso CHKDSK usando l’algoritmo Salsa20, con una chiave di 32 byte, questo algoritmo è utilizzato per crittografare, decrittografare e verificare la chiave.

Il malware, a differenza di altre varianti di ransomware, richiede molta interazione da parte dell’utente per poter essere pericoloso, occorre fornire i diritti di Amministratore, perché fortunamente non è stato programmato per sfruttare qualche vulnerabilità del software installato sul target per avere dei privilegi superiori. Tuttavia una volta che il pc è infettato ed il sistema è stato riavviato tutti i dati sono quasi definitivamente persi.

Nemmeno scollegando il pc e collegandolo ad un’altro permette di vedere qualcosa sul disco perchè è stata crittograta la Master File Table (MFT), inoltre ripristinando il MBR con l’utilità di Windows i dati andranno persi definitivamente.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

6 Aprile 2016