Cryptowall alert! Nuova versione che usa WMI (Windows Management Instrument)

Sono arrivate nei laboratori Quicklab alcuni documenti infetti che usano le email contenenti spam per diffondere il Cryptowall Ransomware

                                                   

ANALISI
I file infetti che abbiamo analizzato contengono delle macro che, una volta aperte, scaricano ed installano il CryptoWall Ransomware sul computer. Il virus è una variante del Cryptowall 4.0. Questa nuova versione disattiva la protezione di Windows bloccando e disabilitando i servizi come ShareAccess,  wscsvc, e wuauserv. La nuova variante del virus in questione usa il WMI ( Windows Management Instrumentation) per eseguire i contenuti scaricati dal malware e criptare i dati sul pc infetto. Questa tecnica riesce ad eludere anche i sistemi di sicurezza basati sul riconoscimento del comportamento dei file.

ATTIVITA’ DEL CRYPTOWALL

Una volta che il virus è stato scaricato sul pc consente a sconosciuti il pieno accesso alla macchina, con i seguenti rischi:

• Il furto delle credenziali per il Web browser e dei contatti e-mail
• La disattivazione del Windows Security Service
• Il download e l’attivazione del Ransomware usando il WMI
  

 

MISURE PER PREVENIRE IL RANSOMWARE

1. Non scaricare allegati e non cliccare link provenienti da messaggi di posta elettronica sconosciuti, indesiderati o non richiesti
2. Non cliccare su finestre pop up indesiderate mentre si visita siti sconosciuti o poco conosciuti
3. Tenere il sistema operativo, il browser internet e tutti i programmi nel computer aggiornati con le ultime patch disponibili. Inoltre, si consiglia di attivare gli aggiornamenti automatici.
4. Fare regolarmente dei backup dei file importanti presenti sul pc. Si raccomanda di avviare la procedura di backup offline, senza essere connessi ad internet, per evitare il ransomware
5. Avere installato sul proprio computer un software efficiente che blocchi lo spam, le e-mail infette e l’accesso a siti web maligni. Quick Heal Antivirus ha integrato una difesa anti ransomware che riconosce e blocca il virus, analizzando i programmi dal loro comportamento e dalla loro attività. Questo aiuta Quick Heal Antivirus ad identificare i malware come i ransomware  in tempo reale, aiutando a prevenire possibili infezioni. Questa opzione antiransomware rimane attiva nel sistema anche quando il software antivirus è spento, per qualsiasi ragione.