Rilasciato LibraESVA 3.7

Il 18 aprile 2016 è stato rilasciato LibraESVA 3.7

La nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Correzioni di bug noti

Problema nella visualizzazione dell’Audit Log
Problema sui valori di default della sezione Notification and Dangerous Content
Problema nella ricerca sulla Quarantena
Problema su filtraggio dei risultati della sezione SMTP Rejected con pagine multiple
Aggiunto timeout per le connessioni MySQL
Problema sull’interfaccia durante il trascinamento delle finestre
Problema su Domain Transport maps
Problema sul file hosts della macchina
Problema su Cluster Outbound Queue Visualization
Problema su POP3S Auth in Office365
Problema con il link di rilascio per messaggi con più destinatari
Problema su Avira e BitDefender AV Output Strings
Problema su BCC Content Filtering Action
Altri piccoli errori sono stati risolti

Nuove funzionalità

Nuove firme rilasciate da Sane Security per l’individuazione dei malware nelle Macro sono state aggiunte
Nuovo Plugin di identificazione ha come punteggio standard 5
Interfaccia di monitoraggio per ISP
Supporto all’autenticazione tramite IMAP
Aggiunto log FTP Backup
Funzionalità di Import/Export di White/Black Lists per Domain Admins
Gestione degli utenti da parte di Domain Admin

Miglioramenti

Aggiornato il protocollo SSL
Aggiornato Postfix alla versione 3.0.4
Aggiornato MailScanner all’ultima versione disponibile
Aggiornato Unrar all’ultima versione disponibile
Nuovo wizard di prima configurazione
Migliorata la visualizzazione delle impostazioni in ambiente multi tenant
API amministrative migliorate
Migliorate le impostazioni in User Auto-creation

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

Kaspersky introduce un nuovo algoritmo per proteggere i server dai danni prodotti dal Cryptolocker

I prodotti KasperskyLab si sono sempre rivelati molto efficaci nella prevenzione dei malware in generale ed in particolare contro la minaccia del momento: i ransomware (cryptolocker).

La stretegia attuale prevedeva oltre ai metodi classici di inviduazione dei malware basati su corrispondenza fra firme e di analisi del comportamento con delle euristiche, l’utilizzo di due componenti il System Watcher ed Application Privilege Control che riducono ulteriormente il pericolo di infezione in particolare di minacce 0-day che ancora non sono state analizzate.

Purtroppo avviene frequentemente che fra tante workstation che circolano nel perimetro aziendale, per dimenticanza o per qualche malfunzionamento, qualcuna non venga protetta adeguatamente, e se questa macchina si infettasse con un ransomware andrebbe a svolgere il suo atto di danneggiamento anche sulle aree di file sharing.

KasperskyLab ha annunciato in un video una nuova funzionalità per il prodotto Kaspersky Security Endpoint for Windows File Server, molto utile in azienda perché non contrasta direttamente l’infezione del malware, ma riduce l’impatto del danneggiamento alla sola macchina infetta.

Morten Lehn Managing Director di Kaspersky Lab Italia afferma: “La nostra nuova soluzione è unica nel suo genere. È basata su un algoritmo brevettato da Kaspersky Lab che utilizza l’analisi dei comportamenti per rilevare attività sospette e proteggere dalla criptazione le cartelle condivise. Vogliamo impedire che le aziende vengano escluse dai loro file e che vengano obbligate a pagare un riscatto per riaverli” .

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

Linux.Encoder.1 il primo ransomware per Linux

Nel mese di novembre è stato segnalato Linux.Encoder.1, il primo ransomware per Linux. linux

Quando viene avviato con privilegi di amministrazione, il programma carica in memoria due file che contengono le istruzioni per l’attacco:

./readme.crypto
./index.crypto

Dopo questo il ransomware riceve la chiave pubblica RSA ed avvia il processo di crittografia solo dei file alcune estensioni.

Il malware cerca di colpire le cartelle personali dell’utente, database, webserver e pagine web operando sulle directory:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
public_html
www
webapp
backup
.git
.svn

Mentre invece non effettua la crittografia delle seguenti directory:

/
/root/
.ssh
/usr/bin
/bin
/etc/ssh

Linux.Encoder.1 usa la crittografia asimmetrica RSA e la crittografia AES a 128 bit, ai file crittografati viene aggiunta l’estensione “.encrypted”

Il malware usa la funzionalità rand() della libreria libc che usa il timestamp come seme per generare le chiavi crittografiche.

Questo dettaglio è stato presto scoperto ed ha reso “prevedibile” la chiave utilizzata per la crittografia, dando l’opportunità ai tool di decodificare il contenuto dei file senza dover “pagare” per riscattare i file.

Petya Ransomware

Petya è un malware appartenente alla categoria dei ransomware, comparso di recente. Rispetto a tutti gli altri ransomware introduce un elemento di novità, ad essere crittografati non sono delle particolari estensioni di file, ma il Master Boot Record (MBR), ovvero quella porzione di disco dove vengono memorizzate le istruzioni necessarie all’avvio del sistema operativo.

L’infezione fin’ora ha riguardato in particolare gli utenti di lingua tedesca, e si è trasmesso con una mail di spam che non ha file allegato, ma un link ad un file .exe caricato su dropbox.

Il malware per funzionare ha necessità di disporre di diritti amministrativi, una volta che il file è stato scaricato ed eseguito, se non ne dispone li richiede con l’interfaccia User Access Control.

uac

Se l’utente conferma il sistema va in crash, al riavvio viene mostrata una schermata che simula la funzionalità CHKDSK, utilità di windows per la verifica dei problemi sul disco, comportamento coerente in caso di crash improvviso del sistema, purtroppo però non si tratta della vera funzionalità, ma del malware che è a questo punto entrato in funzione e sta crittografando la Master File Table in cui vengono memorizzati gli indici dei file.

Al termine dell’operazione compariranno le schermate che avvertono che il sistema è stato colpito da Petya

petya Il falso CHKDSK usando l’algoritmo Salsa20, con una chiave di 32 byte, questo algoritmo è utilizzato per crittografare, decrittografare e verificare la chiave.

Il malware, a differenza di altre varianti di ransomware, richiede molta interazione da parte dell’utente per poter essere pericoloso, occorre fornire i diritti di Amministratore, perché fortunamente non è stato programmato per sfruttare qualche vulnerabilità del software installato sul target per avere dei privilegi superiori. Tuttavia una volta che il pc è infettato ed il sistema è stato riavviato tutti i dati sono quasi definitivamente persi.

Nemmeno scollegando il pc e collegandolo ad un’altro permette di vedere qualcosa sul disco perchè è stata crittograta la Master File Table (MFT), inoltre ripristinando il MBR con l’utilità di Windows i dati andranno persi definitivamente.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

Locky Ransomware

Locky è un malware della famiglia dei Ransomware, che utilizza come vettore di diffusione file di Word con delle macro, spesso ricevuti come allegati a messaggi di posta elettronica aventi come oggetto Fattura oppore Ordine.

La semplice apertura del file non è sufficiente ad innescare l’azione del malware, perchè il file .doc non infettato direttamente dal Ransomware, ma è infettato da una macro che una volta attivata si occupa di scaricare il malware ed avviarlo iniziando la crittografia dei file contenuti sul proprio sistema.

I file crittografati vengono rinominati con l’estensione .locky e nel desktop viene creato un file _Locky_recover_instructions.txt contente le istruzioni per avere la chiave di decrittazione, naturalmente dopo aver pagato in BitCoint.

I file oggetto della crittografia hanno estensione:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Il malware utilizza la crittografia AES a 128 bit con chiave pubblica RSA a 2048bit, ed agisce su tre tipi di dispositivi: fissi (hard disk), dispositivi rimovibili (chiavette USB ed Hard Disk esterni) e ramdisks (condivisioni di rete).

Una curiosità su questo ransomware è che genera una statistica sul numero di file crittografati e li invia al server di riferimento dei gestori dell’attacco.

Correzioni di bug noti

Nuove funzionalità

Miglioramenti

Categorie