lunedì 29 aprile 2013

Cavalli di troia del genere “encoder” si propagano in Russia e nella CSI

Le informazioni statistiche delle minacce moderne dimostrano che i Trojan.Encoder sono tra i programmi malevoli più diffusi. Doctor Web — sviluppatore russo di software antivirus — avvisa gli utenti che attualmente si propagano due nuove versioni di questi programmi: Trojan.Encoder.205 eTrojan.Encoder.215. Gli encoder sono malware molto pericolosi perché utilizzandoli i malintenzionati possono cifrare file dell’utente e poi chiedere una cospicua somma per il ripristino dei file. Il team di Doctor Web ha proposto alcune raccomandazioni che possono aiutare gli utenti a liberarsi da questi cavalli di troia e a recuperare file tenuti in ostaggio.


Negli anni recenti, i trojan - encoder, o ransomware, sono diventati molto diffusi. Una delle cause di diffusione, è che questi programmi permettono ai pirati informatici di guadagnare con facilità. Lo stesso metodo di guadagno è stato utilizzato in precedenza con l’impiego del malware Trojan.Winlock. I cavalli di troia della famiglia Trojan.Encoder cercano sui dischi del computer infetto file dell’utente, in particolare, documenti Microsoft Office, brani musicali, foto, immagini e archivi, dopo di che li criptano e li rendono inaccessibili all’utente. Fatto questo, gli encoder visualizzano una richiesta di riscatto dei file che può raggiungere diverse migliaia di dollari.

Il cavallo di troia Trojan.Encoder.205 e la sua variante più recente —Trojan.Encoder.215 — si propagavano su larga scala alla fine di marzo e all’inizio di aprile 2013. Di solito, l’infezione è trasportata in email inviate in grande quantità e contenenti l’exploit per una vulnerabilità (CVE-2012-0158). Utilizzando quest’exploit, il trojan - downloader penetra sul computer bersaglio e poi scarica e installa l’encoder. Secondo i dati del 19 aprile 2013, il servizio di supporto tecnico di Doctor Web ha ricevuto 105 richieste di assistenza riguardanti il cavallo di troia Trojan.Encoder.205 e altre 74 richieste che riferiscono problemi causati dalla versione Trojan.Encoder.215. Attualmente il servizio di supporto tecnico riceve ulteriori richieste.

Una volta cifrati i file dell’utente, l’encoder mette sullo schermo del computer infetto un messaggio di riscatto. Ne riportiamo una parte: “Se sta leggendo questo messaggio, vuol dire che il Suo computer è stato attaccato da un virus informatico molto potente. Tutte le Sue informazioni (documenti, database, copie di backup e altri file) sul computer sono stati criptati tramite un algoritmo più sicuro nel mondo RSA1024”.Oppure: “Tutte le informazioni importanti che si trovano su questo computer (documenti, immagini, database, email ecc.) sono state criptate tramite un algoritmo unico di criptografia. Ci vuole circa un anno per decifrare un file utilizzando il computer più potente se non si ha un software speciale”. Alla vittima viene proposto di mandare un’email a uno degli indirizzi muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com o decrypfiles@yahoo.com.



Recentemente, abbiamo scoperto anche una versione di questo malware ancora più nuova. Il suo testo dell’ estorsione è diverso e si specifica un altro indirizzo di email. Il 19 aprile il servizio di supporto tecnico di Doctor Web ha ricevuto 58 richieste di assistenza dagli utenti i cui computer sono stati attaccati da questa minaccia.

Sebbene i malintenzionati dicano che queste versioni degli encoder utilizzino un metodo complesso di cifratura, in realtà l’algoritmo è abbastanza semplice (algoritmo di crittografia corrente). A causa di difetti del programma, qualche volta i malintenzionati stessi non sono capaci di decifrare i file. Tuttavia, è possibile decifrare tali file e lo possono fare gli esperti di Doctor Web. Se le Vostre informazioni sono state rese inaccessibili da questi trojan, Vi consigliamo di fare il seguente:
  • fate una denuncia alla polizia;
  • non tentate in nessun caso di reinstallare il sistema operativo;
  • non rimuovete alcuni file dal computer;
  • non tentate di ripristinare da soli i file criptati;
  • rivolgetevi all’assistenza tecnica di Doctor Web creando una richiesta nella categoria “Cura”. Questo servizio è gratuito;
  • allegate alla Vostra richiesta un file criptato dall’encoder;
  • Vi risponderà un nostro analista dei virus. Perché vi sono tante richieste degli utenti, probabilmente dovrete aspettare la risposta per un certo tempo.

martedì 23 aprile 2013

Facebook Graph Search potrebbe interferire con la privacy online

Quattro mesi fa, Facebook ha annunciato Facebook Graph Search, scatenando un sacco di opinioni contrastanti. Mentre da alcuni viene considerato un ottimo strumento di marketing per i messaggi diretti, altri hanno espresso l’obiezione che potrebbe invece portare enormi problemi di sicurezza.
Che cosa è Facebook Graph Search?


Pubblicizzato per essere lo strumento di ricerca finale che raccoglie le informazioni dei tuoi amici come “like”, interessi, simpatie, check-in e foto, permette inoltre di esplorare cose nuove. Questo strumento può essere utilizzato anche per cercare tutte le immagini dove sei taggato da quando è arrivato Facebook. Si potrebbe sostituire a LinkedIn per la creazione di connessioni professionali o a burrp.com (Let it out!) per ricerche varie.
Suona come una cosa formidabile, non è vero? Chi non vorrebbe un suggerimento da un amico? In superficie, sì, suona bene, ma se si scava più in profondità, si potrebbe voler riconsiderare ciò che si posta e piace su Facebook.
Il blog Tumblr dà una buona idea di ciò il Graph Search può essere. Ecco un esempio: 



Abbastanza ficcanaso, non è vero?!
Ma lo strumento in realtà non fa altro che dare un sacco di vecchi contenuti e interessi (foto, post, tag, likes ecc) al pubblico di Facebook. Per tutti quelli che solo recentemente hanno adottato il News Feed e la Timeline aggiornata, questo potrebbe significare un sacco di contenuti indesiderati che escono allo scoperto.
Allora, che cosa fare? Prendete un approccio graduale. 

Prima – Editate i vostri “mi piace"


È possibile modificare le impostazioni di visibilità della vostra “pagina dei likes” così che solo voi o i vostri amici possano vedere i vostri interessi.
Dopo l'accesso fate clic sulla casella “mi piace” sul tuo profilo. Si arriva su una pagina che sembra la schermata qui sotto. Fare clic sul pulsante “Modifica” in alto a destra.
 

Ogni categoria, verrà visualizzata in un menu a discesa che consente di decidere chi può vedere cosa.
 


Fare clic su “Fine modifica” per salvare le modifiche.


In secondo luogo - Rimozione Tags indesiderati da Foto


È possibile utilizzare le impostazioni per le foto per ridurre le possibilità che spunti una foto non desiderata dal nulla. 
Selezionare la scheda Foto nella parte sinistra della home page. 




Questo vi porterà a una pagina che mostra l'elenco delle foto dove siete stati taggati. Selezionate la scheda “Opzioni” nella parte inferiore dell'immagine e scegliere “Report / Rimuovi tag”. Questo consente di rimuovere i tag da ogni immagine. 

Ricordate che Graph Search è ancora nella sua fase beta e questo implica che ci potrebbero essere ulteriori cambiamenti e alterazioni.




giovedì 18 aprile 2013

Falso antivirus per Android si diffonde tramite pubblicità incorporata in app


Doctor Web — produttore russo di software antivirali — avverte che sotto forma di un antivirus per la piattaforma Android, si propaga un trojan classificato da Dr.Web come Android.Fakealert. Il malware si propaga in messaggi pubblicitari, visualizzati all’interno di diverse applicazioni per Android, che offrono di controllare la presenza dei virus sul dispositivo mobile.


La funzione di visualizzazione pubblicità nelle applicazioni per Android viene sfruttata già da lungo tempo dai pirati informatici ai fini di diffondere vari codici dannosi. È un metodo valido e semplice per consegnare virus a molti utenti. Il messaggio pubblicitario scoperto dal team di Doctor Web offre ai proprietari dei dispostivi Android di eseguire una scansione del sistema operativo alla ricerca di virus. Se l’utente fa clic su questo messaggio, nel browser viene aperta una pagina su cui è disponibile per il download un falso antivirus che in realtà è il cavallo di troia Android.Fakealert.4.origin.







                                     
La famiglia di malware Android.Fakealert è conosciuta a partire dall’ottobre 2012. Questi trojan imitano l’aspetto dei veri antivirus e fanno finta di eseguire una scansione e di trovare qualche virus. Alla fine della scansione viene notificato all’utente che dovrà pagare una certa somma per poter ripulire il dispositivo dai virus rivelati.


Come vediamo sulle schermate sotto, Android.Fakealert.4.origin avvisa l’utente di aver scoperto una minaccia. Se l’utente clicca sul pulsante di neutralizzazione, il falso antivirus lo informa della necessità di avere una versione completa a pagamento per poter utilizzare tale funzione. Effettuando il pagamento, l’utente non ottiene sicuramente alcuna versione completa.





Oltre all’avviso di minaccia visualizzato nel suo menu principale, Android.Fakealert.4.origin può mettere avvisi nell’area di notifica del sistema operativo.






Doctor Web consiglia agli utenti dei dispositivi Android di trattare con prudenza pubblicità visualizzata in applicazioni e giochi. Inoltre, si consiglia di proteggere il dispositivo con soluzioni antivirali affidabili e di buona fama.

martedì 16 aprile 2013

Facebook Graph Search: un motore di ricerca utile o un sogno che si avvera per i phisher?




Facebook ha da qualche tempo lanciato una nuova funzionalità (ancora solo in prova per alcuni utenti) nota come Graph Search. Mark Zuckerberg ha evidenziato questa caratteristica come uno dei tre pilastri di Facebook (dopo Newsfeed e Timeline) che rendono il social network importante e personalizzato. Ma quanto è sicuro il Graph Search? Riteniamo che ci siano diversi problemi di sicurezza e di privacy che accompagnano questa funzione ed è essenziale per gli utenti essere a conoscenza delle relative impostazioni sulla privacy.



Che cosa è esattamente Facebook Graph Search?

Facebook Graph Search è un servizio che, una volta loggati sul proprio profilo di Facebook, consente di usare qualunque frase come query di ricerca. Si ricevono poi risultati personalizzati (relativi a se stessi o degli amici). Questa funzionalità farà di Facebook un motore di ricerca simile a Google. Tuttavia, la differenza principale è che i risultati della ricerca saranno specificamente basati sulla rete di amici di un utente.





Per esempio, si può cercare "ristoranti cinesi che piacciono ai miei amici" o qualcosa tipo "foto dei miei amici a Goa". Si può anche inviare le query come "Foto che mi piacciono" o "Amici degli amici che lavorano o studiano in ________". Graph Search intrinsecamente consente ad un utente di Facebook di trovare le cose sulla base di relazioni e di contesto. La funzione utilizza la collezione infinita di likes, tag e check-in che sono stati pubblicati da oltre un miliardo di utenti di Facebook in tutto il mondo. Questo significa che Graph Search funziona anche come un motore di raccomandazione per le persone per vedere ciò che ai loro amici piace.


Come è Facebook Graph Cerca una minaccia?

Mentre è facile vedere i benefici di Graph Search, la realtà è che truffatori e phisher potranno anche utilizzare questa funzione per effettuare attacchi di social engineering più avanzati rispetto a quelli che conosciamo. Molti utenti di Facebook potrebbero anche finire per affrontare situazioni potenzialmente imbarazzanti grazie all'accumulo dei dati che hanno postato.

È anche plausibile che alcuni utenti possano effettuare ricerche non etiche. Alcuni gruppi di persone possono anche cercare qualcosa di accusatorio e poi diffamare altri utenti per quello che trovano. I governi potrebbero utilizzare Graph Search per trovare persone che sono affiliate a qualcosa che sentono come non appropriato. Questo consentirà di aumentare la censura, il controllo e metterà in pericolo la libertà di Internet.




D’altra parte, le informazioni che possono essere viste attraverso Graph Search sono già presenti su Facebook e questo semplicemente le raccoglie e le presenta. Ma è anche lecito ritenere che Facebook finirà per utilizzare queste informazioni per migliorare il target degli sforzi pubblicitari e quindi per invadere la privacy degli utenti come conseguenza.

La minaccia principale è che i phisher possono ricavare un sacco di informazioni sulle loro potenziali vittime. Queste possono essere utilizzate per adattare gli attacchi di phishing specificamente per una vittima. Dipendenti aziendali possono anche finire per rivelare troppe informazioni che facilmente visualizzabili con il Graph Search, quindi le aziende devono includere Facebook o Formazione Social Media come parte integrante delle loro iniziative di sensibilizzazione alla sicurezza. Il fatto è che tutti i trucchi di micro-targeting che sono stati utilizzati dagli inserzionisti online per tanto tempo saranno ora disponibili anche per i cyber criminali.

Sembra che gli utenti di Facebook non possano rinunciare a questa caratteristica in più, ma è bene che regolino le impostazioni sulla privacy per impedire che i loro likes e le altre informazioni siano visibili a tutti. Graph Search tiene conto delle impostazioni di sicurezza, tuttavia molti utenti non regolare attivamente le loro impostazioni di privacy e molti altri non ne sono semplicemente a conoscenza. Queste saranno le più colpite visto che le loro informazioni saranno visibili a chiunque. Oltre a regolare le impostazioni sulla privacy, gli utenti di Facebook sono inoltre invitati a installare l'ultima versione di un software antivirus come Quick Heal Total Security per rimanere protetti da attacchi di phishing e altri trucchi di social engineering.

Fonte: http://blogs.quickheal.com/wp/facebook-graph-search-useful-search-engine-or-phishers-dream-come-true/

lunedì 8 aprile 2013

Ultime news sul Trojan.ArchiveLock

Ritorniamo su questa minaccia che sta infettando molti server Windows in Italia e in tutta Europa. Innanzitutto dobbiamo precisare che nessun tipo di antivirus può prevenire questo trojan o risolverne gli effetti: gli hacker attaccano i server Windows con il desktop remoto attivo e vanno a trovare le password deboli con un metodo brute-force (provando e riprovando centinaia di migliaia di password). Una volta entrati nel server criptano tutti i file e chiedono un riscatto di 5000$ per la chiave di decriptaggio. 




Purtroppo ad ora non esiste una soluzione per risolvere il problema e recuperare i files poiché il sistema di criptaggio è molto sofisticato e pagare il riscatto non dà comunque nessuna garanzia (sconsigliatissimo). 

Ci sono però alcuni piccoli consigli per evitare di essere colpiti dai cyber-criminali: 

- Fare tutti gli aggiornamenti del sistema operativo Windows Server 

- Impostare password forti (lunghe, con presenza di lettere e numeri, maiuscole e minuscole, ecc…) 





Un’altra possibile prevenzione per chi non può fare a meno di tenere attivo il desktop remoto sul proprio server è data da un programma della nostra gamma: myPCkey. 



myPCkey si installa su una chiavetta USB e permette di accedere in remoto al proprio PC da qualsiasi altro computer. Solo la chiavetta USB (hardware) è abilitata a connettersi al PC. Connessione a cui è associata una password (software) indipendente dal login di Windows. Per poter anche solo tentare di accedere al PC è necessario quindi poter disporre della chiavetta e conoscere la password. 

Con questo programma sarà superfluo tenere attivo l’accesso remoto sul vostro server e il pericolo di venire colpiti dal Trojan.ArchiveLock.20 è scampato. 

Se volete altre informazioni su myPCkey non esitate a contattarci o visitate il sito http://www.s-mart.biz/