VirusLab

Inviato da admin_cms il Mer, 05/11/2016 - 13:41

Venerdi 19 Febbraio 2016

TESLA CRYPT La variante del momento.

Questa nuova versione del malware della famiglia RamsonWare, (cripta i dati e chiede un riscatto) ha fatto registrare molti danni nella Provincia di Frosinone e nel resto d' Italia. Ai tanti messaggi di allerta, agli articoli sui giornali e nelle televisioni locali, manca a nostro avviso una informazione fondamentale per gli utilizzatori della rete. 

Il meccanismo di attacco parte, in questa versione, da un piccolo pezzo di codice scritto in JavaScript. Tale codice richiama il vero e proprio malware da un sito web,ma il tutto avviene nel più assoluto silenzio dei classici motori di scansione Antivirus (protezione Host Based). 

Oltre a ciò va aggiunto che ci è capitato, durante la rimozione di inutili software dai pc's, di vederci recapitare a fine disinstallazione questo codice JavaScript. Quindi i veicoli dell' inoculazione del malware possono anche essere nascosti e non basta badare ai soli siti WEB o alla posta elettronica proveniente da sconosciuti. Si potrebbe essere colpiti anche a mesi di distanza dal termine del focolaio, quando l' attenzione viene riservata ad altro ed in maniera non immediatamente idividuabile.

Vorremmo quindi invitare i lettori ad eseguire backup dati a cadenza regolare, sempre come primo consiglio, a valutare poi l' inizio di una politica di sicurezza che parte da uno scambio informazioni con esperti del settore, analisi della propria situazione informatica, ricerca di soluzioni.

Una delle soluzioni che possiamo suggerirvi è disabilitare il motore JavaScript dai vostri Browser, anche se ciò comporta dei disagi nella navigazione, tale motore dovrebbe essere solo attivato nei siti che servono per la propria attività e non per tutti quelli visitati.

Porre attenzione al fatto che un sito sicuro oggi non lo sarà domani, quindi non rilasciate breccie sulla sicurezza sulla fiducia di nomi blasonati o altro.

Infine pensare di superare il concetto di Protezione Host Based (Antivirus per intenderci o altri software residenti) e prevedere soluzioni che abbraccino tutta la vostra infrastruttura di trattamento dei dati. 

Giov. 19 Febbraio 2015

CTB-LOCKER ha mutato il proprio meccanismo di attacco.

Alcuni ricercatori di Trend Micro hanno riportato in un post evidenze di una nuova ondata della diffusione del noto ransomware CTB-Locker che utilizza come esche Email che sembrano provenire da Google Chrome o Facebook.

In particolare, l’Email relativa a Chrome si spaccia per una notifica di aggiornamento del browser e contiene un link che reindirizza l’utente verso un sito che ospita il malware rilevato come TROJ_CRYPCTB.YUX. Si noti che, all’apparenza, sembrerebbe un pacchetto di installazione legittimo.

Esempio di messaggio del ctblocker in Chrome Browser

Per quello che riguarda Facebook, invece, l’Email notifica la sospensione dell’account e invita l’utente a seguire un link per risolvere il problema scaricando invece il malware (TROJ_CRYPCTB.NSA) camuffato per mezzo di un’icona di un file PDF.

Esempio di avviso phishing per facebook

Per le Email che veicolano il malware sono stati usati per il mittente principalmente indirizzi che ad un rapido sguardo assomigliano a sorgenti legittime:

  • goog.le.com

  • noreply@mail.fb.com

  • service@paypal.co.uk

I ricercatori hanno rilevato che i siti compromessi sono associati anche ad attività di phishing utilizzanti come esca PayPal. In questo caso l’Email induce il destinatario ad accedere al proprio conto ma tramite un link ad un sito di phishing che richiede, oltre alle consuete credenziali di accesso, notizie quali informazioni su carte di credito e contatti personali.

Esempio di avviso phishing per PayPal

Una volta inseriti tali dati, il sito, con la scusa di dover accedere nuovamente per la verifica, reindirizza l’utente verso la vera pagina di login di PayPal per non destare sospetti.

I ricercatori hanno pubblicato una tabella contenente i dati relativi alle rilevazioni di CTB-Locker nel periodo 21 gennaio – 6 febbraio 2015 che pone l’Italia al primo posto come paese interessato da questa variante di ramsonware, precisamente con il 16.5% seguita dalla Francia con l’11%, dall’India con l’8,7% e gli Stati Uniti con il 4,6%.

Si consiglia quindi agli utenti di controllare attentamente ogni Email ricevuta anche se apparentemente proveniente da mittenti conosciuti o legittimi e di eseguire un backup periodico dei propri dati su supporti diversi che permetta il recupero nel caso di una compromissione da parte di un ransomware.

Fonte: CerntNazionale.it

https://www.certnazionale.it/news/2015/02/13/ctb-locker-imita-chrome-facebook-si-lega-ad-attivita-phishing/

 

Esempi Dimostrativi:

Esempio di Attacco CTB-LockerEsempio di Attacco CTB-Locker con phishing facebookEsempio di Attacco CTB-Locker con phishing PayPal

Esempio di Attacco CTB-Locker con phishing PayPalEsempio di Attacco CTB-Locker con phishing PayPal


Merc. 11 Febbraio 2015

Già diversi PC di: Comuni, Scuole, Aziende, Professionisti e Privati sono stati attaccati nel frusinate e in Val di Comino

Da diversi mesi e soprattutto in questi ultimi giorni, è in atto un attacco di una nuova frontiera di virus informatici, che sta mettendo a rischio centinaia di computer di: comuni, uffici pubblici, scuole, aziende, professionisti, studenti, privati ecc. alcuni dei quali già messi KO.

Stanno circolando e-mail contenenti virus, provenienti apparentemente da indirizzi/mittenti conosciuti, o regolarmente presenti nei contatti. Si tratta di una variante della campagna CTB-Locker. Il file contenuto nell'e-mail (.cab), se aperto/eseguito, comporta automaticamente l'installazione del virus.

  

Tale problematica riguarda tutto il sistema informatico e qualunque account e-mail (sia legato al dominio privato o attivato presso altri gestori di posta gratuita). La raccomandazione quindi è quella di prestare la massima attenzione qualora venissero ricevuti dei messaggi con allegati anomali o che non si aspettano, anche se il mittente è noto e l'indirizzo di provenienza del tutto regolare. Quasi tutte le mail si presentano, come un ordine di acquisto di centinaia/migliaia di euro. Quindi l'utente cade nella trappola per verificare il messaggio.

Il tipo di virus di cui parliamo cripta tutti i dati contenuti nel pc e chiede un riscatto da pagare entro 96 ore (in Bitcoins) per avere la chiave di sblocco. Anche pagando non si ha alcuna sicurezza. Una volta infettati tutti i dati del pc sono persi senza alcuna speranza di recupero.

Prevenire l' infezione con un salvataggio dati

L’ unica soluzione è PREVENIRE, effettuando immediatamente un back-up dei dati (privatamente o rivolgendosi ad esperti)  prima di essere colpiti.

Intanto esperti informatici e le case produttrici di antivirus, sono al lavoro per trovare un sistema che consenta il recupero dei dati e un ‘antidoto’ che riesca a preservare i pc dall’invasione dell’ultimo e più potente ransomware che si sia visto in giro.

Siamo a disposizione per eventuali chiarimenti e informazioni.

Per contattarci:

Office: 0776/510866 - Email: sicurezza@diecisystem.net – Web: www.diecisystem.net