giovedì 31 ottobre 2013

Attenzione: nuovo ransomware in azione. Ecco quali precauzioni si dovrebbe prendere per prevenire la perdita dei dati

Poche settimane fa avevamo informato i nostri lettori circa CryptoLocker - un nuovo tipo di ransomware che si è scatenato su Internet. Questo post illustra alcuni fatti più importanti di questo malware, e le precauzuibu che si devono prendere per evitare che infetti il computer.

Che cosa è un ransomware?

Un ransomware è un programma dannoso che blocca il computer della vittima e lo rende non funzionale . Il malware richiede alla vittima a pagare una certa somma di denaro per sbloccare la macchina compromessa. Alcuni ransomware invece crittografano tutti i documenti e file del computer e chiedono soldi per poterli decifrare.

Che cosa è CryptoLocker?

CryptoLocker è un tipo di ransomware che si sta diffondendo ampiamente su Internet. Dopo aver invaso la macchina, CryptoLocker inizia la crittografia di tutti i tipi di file sul computer come immagini, video, documenti, presentazioni e fogli di calcolo. Una volta che ha criptato i file, si rivela nella forma di una pagina per il pagamento. La pagina informa l'utente che i file sul proprio computer sono stati crittografati. Per recuperarli, l'utente deve acquistare una chiave privata. Il riscatto tipico richiesto dal CryptoLocker è di $ 300. Inoltre, l' utente dispone di un periodo di tempo limitato per pagare il riscatto, dopo di che la chiave privata sarà distrutta e i file persi per sempre.





Purtroppo, una volta che CryptoLocker ha crittografato i file, non c'è modo di recuperarli fino a quando si ha la chiave privata. Quindi, si dovrebbe pagare il riscatto? Ci piacerebbe rispondervi con un sonoro NO.
Avete a che fare con i criminali veri e propri, che sono qui per estorcervi denaro. E non c'è certezza che vi consegneranno i file anche dopo aver effettuato il pagamento. Naturalmente i dati che avete perso potrebbe essere cruciali, ma si può perdere dati in diversi altri modi.
C'è una buona notizia però. I file che sono criptati da CryptoLocker, non sono accessibili dagli hacker. I file rimangono dove sono, sul vostro sistema, ma in forma crittografata.

Come si può prevenire una catastrofe causata da CryptoLokcer?

Nulla si adatterebbe meglio allo scenario di CryptoLocker che il detto: "Prevenire è meglio che curare". L'unico modo possibile per recuperare i dati crittografati da un attacco CryptoLocker è quello di prendere le giuste precauzioni. Eccole qua di seguito:

• Il backup è importante, ma con malware nefasti come CryptoLocker intorno, può davvero salvare la vita! Il malware attacca direttamente i tuoi file personali importanti, quindi la perdita di tali file può essere gestita solo con backup regolari. Fate copie di ogni file che è importante per voi e pianificate i vostri backup.

• Assicuratevi che nel computer sia in esecuzione un software antivirus che fornisce una protezione multistrato e che sia sempre aggiornato. Considerate che se il computer è già stato infettato da un backdoor [un accesso a un programma per computer che bypassa meccanismi di sicurezza], può essere utilizzato dagli hacker per installare CrytoLocker. Quindi utilizzare un antivirus affidabile riduce significativamente i rischi di un attacco CryptoLocker e di altri malware.

• Lo stesso vale per il sistema operativo del computer, software e browser. Teneteli patchati e aggiornati. Questo è un altro livello di precauzione che si deve prendere. Il malware può entrare nel vostro computer tramite siti web compromessi, buchi di sicurezza nel browser Internet e software dannosi. E come detto, CryptoLocker necessita solo di un malware esistente nel vostro sistema per fare il suo ingresso.

• Si consiglia vivamente di evitare di utilizzare gli account di amministratore per il vostro lavoro quotidiano. Un malware che attacca un account con privilegi elevati può fare danni irreparabili. Pertanto meglio utilizzare un account utente normale (che almeno riduce i rischi). Per istruzioni su come configurare un nuovo account con privilegi standard o a basso livello, si prega di seguire questi link, a seconda del sistema operativo in esecuzione: Windows 7, Windows Vista, Windows XP. [fonte: http://www.it.cornell.edu/]

• Poiché i siti web infetti o compromessi possono anche lasciare CryptoLocker nella vostra macchina, è una buona idea avere la funzionalità di protezione sandbox. Si tratta di una funzionalità di sicurezza avanzata per la navigazione sicura. Una volta che la funzione è attivata, lancia il browser Internet in un ambiente virtuale. Mentre si naviga all'interno del Sandbox, il sistema operativo del PC, locazioni di memoria, file e altre zone vitali sono controllati lontano dal browser. Quindi, anche se avvenisse una qualsiasi infezione, rimarrà confinata all'interno dell'ambiente virtuale senza influenzare il vero PC .

• CryptoLocker può anche attaccarvi sotto forma di allegati e-mail. Un modo semplice per evitare questo rischio è di cestinare mail non richieste e indesiderate. Prestate particolare attenzione nei confronti di mail inaspettate che parlano di lotteria, corrieri non inviati e quelle provenienti da banche e istituzioni finanziarie.

Nota: Recentemente ci siamo imbattuti in un nuovo ransomware che va sotto il nome di Anti-Child Porn Spam Protection. Questo afferma che il computer bersaglio sta spammando link dei siti web di pornografia infantile e sostiene di aver criptato i dati del computer al fine di proteggere l’utente e altri da tali messaggi di spam. Questo messaggio è seguito dalla richiesta di una certa somma di denaro per ottenere una password per recuperare i dati. Anche in tali casi, si prega di non pagare alcuna somma.

Dati i crescenti casi di ransomware e le sue varianti, invitiamo i nostri lettori a prendere in seria considerazione le misure precauzionali elencate in questo post.

lunedì 21 ottobre 2013

L'antivirus Dr.Web per Android ha rilevato oltre undicimilioni di minacce mobile a settembre

2 ottobre 2013

A settembre 2013 il monitor residente di Dr.Web per Android ha rilevato sui dispositivi protetti oltre undicimilioni di programmi dannosi o potenzialmente pericolosi, mentre oltre quattromilioni di malware sono stati scoperti durante scansioni avviate dagli utenti.


L'analisi delle informazioni statistiche raccolte dall'antivirus Dr.Web per Android ha mostrato che a settembre 2013 i nostri utenti hanno avviato la scansione circa diciassettemilioni di volte di cui in oltre quattromilioni di casi sul dispositivo sono stati trovati programmi malevoli o sospetti. Il numero reale di minacce rilevate è ancora più grande poiché tutte le minacce trovate durante una scansione si elencano nella stessa finestra come un singolo caso di rilevamento.

Mentre lo scanner si avvia a richiesta dell'utente, il monitor antivirale funziona ininterrottamente in tempo reale. Nel periodo dal 1° al 30 settembre 2013, il monitor dell'antivirus Dr.Web per Android è scattato circa 11.500.000 di volte rilevando programmi malevoli o tentativi di installare o copiare tali programmi sul dispositivo mobile. Ogni giorno si registravano circa 450.000 casi di rilevamento, mentre il numero più grande di minacce (489.357) è stato scoperto il 21 settembre. 


È stata analizzata la posizione geografica dei dispositivi mobili su cui, secondo le statistiche, il monitor dell'antivirus Dr.Web per Android trovava programmi malevoli. La maggioranza dei dispositivi si trova in Russia (oltre 3.500.000 di casi), al secondo posto sta Arabia Saudita (1.800.000 di casi) seguita da Iraq con una cifra di 1.700.000 milioni. Il quarto posto è occupato da Ucraina (670.000 rilevamenti). L'immagine di seguito mostra la distribuzione geografica dei dispositivi Android su cui sono state rilevate minacce informatiche a settembre 2013.






Per quanto riguarda lo scanner di Dr.Web per Android, le statistiche della distribuzione per paese sono quasi le stesse con poche differenze. 145.564 minacce sono state rilevate sui dispositivi degli utenti pakistani, 113.281 casi di rilevamento sono stati registrati in Malaysia e 103.192 casi in Vietnam. Una cosa interessante: sebbene i giapponesi costituiscano una parte considerevole del totale degli utenti di Dr.Web per Android (9,45%), sono abbastanza rari i casi di rilevamento di malware sui loro dispositivi: le minacce rilevate dal monitor sono 54.767 e quelle trovate durante scansioni a richiesta sono 4.324. Per il numero generale di infezioni Giappone si trova al cinquantaquattresimo posto tra gli altri paesi. Questo potrebbe provare in modo indiretto che gli utenti giapponesi conoscono molto bene la situazione nella sfera della sicurezza informatica e sono prudenti nell'utilizzo delle applicazioni per il SO Android.

Le minacce per Android più diffuse sono, come prima, i trojan della famiglia Android.SmsSend. Al secondo posto per il numero di versioni conosciute stanno i trojan della famiglia Android.SmsSpy e il terzo posto è occupato dagli spyware Android.Spy. Inoltre, sono molto diffusi i programmi Android.DownLoader, Android.Backdoor, Android.Gingersploit, Android.Basebridge e Android.Fakealert, nonché diversi adware, per esempio: "not a virus Tool.SMSSend", "not a virus Tool.Rooter" e "not a virus Adware.Airpush". I dati statistici riportati sopra mostrano che i malware per Android sono un serio problema per i proprietari dei dispositivi mobili i quali dovrebbero pensare a procurarsi strumenti di protezione adeguati se non ne hanno ancora. Il team di Doctor Web segue gli sviluppi della situazione.

Fonte

giovedì 3 ottobre 2013

Il malware Android che sfrutta Simple Mail Transfer Protocol

Parlando di nuovi e sofisticati malware Android, potremmo avere un vincitore. Infatti, è appena apparso un malware che utilizza i server Simple Mail Transfer Protocol (SMTP) per inviare le informazioni rubate all'autore del malware. Quando si tratta di sofisticatezza, questo malware mobile è noto per superare la maggior parte delle famiglie di malware.

Parte della complessità del malware mobile deriva dal suo alto livello segretezza. Questo perché tali tipi di malware possono accedere ai "privilegi da amministratore" del dispositivo.


Alcune brevi notizie su l'SMTP Android

Che cos'è e cosa fa?

- Android.Agentsmtp è un Trojan.

- Viene installato nel dispositivo della vittima, come una vera e propria applicazione che simula "GoogleService".



Attività del malware

Ecco come funziona SMTP Android una volta installato:

- Una volta lanciato Android.AgentSmtp, esso continua a chiedere all'utente di concedere i privilegi da amministratore.




- Lo schermo visualizza due opzioni - "Attiva" e "Annulla"

- Anche se l'utente seleziona "Annulla", l'applicazione maligna acquisisce i privilegi da amministratore lo stesso.


Altri fatti:

- Quando una qualsiasi applicazione guadagna i privilegi da amministratore, appare la casella di controllo nella seguente posizione:

Impostazioni --> Sicurezza --> Amministratori dispositivo --> Nome app



- Dopo aver ottenuto i privilegi da amministratore, l'applicazione esegue le seguenti attività, all'insaputa della vittima:

1. Raccoglie numeri di telefono
2. Raccoglie SMS
3. Registra audio - mantiene anche traccia delle chiamate di inizio e fine chiamata
4. Invia tutte le informazioni rubate al server SMTP smtp.126.com

Sul blog Quick Heal trovate anche il codice maligno del malware: LINK