venerdì 16 settembre 2016

Ransomware alert: in diffusione “Cerber3”




Come si diffonde?
Ci segnalano casi di utenti che, dopo aver scaricato dal popolare sito “Ammyy Admin” la demo del software di assistenza remota, hanno subito l'infezione, durante il processo di installazione, di un ransomware: nel dettaglio stiamo parlando del ransomware Cerber, che cripta i file (nella versione diffusa dal sito di Ammyy) in .cerber3 e chiede un riscatto di circa 500 dollari in bitcoin.

Come cripta i file?
Eseguendo il file eseguibile scaricato dal sito ufficiale di Ammyy, si avvia anzitutto il file ENCRYPTED.EXE, contenente appunto Cerber, che avvierà la criptazione  dei file present sul pc, sul server e nelle unità mappate di rete. In contemporanea, viene comunque copiato ed estratto il file originale di installazione di Ammyy.
Il processo segue le seguenti fasi:


1. Si scarica l'installer dal sito Ammyy, è già si notano le prime differenze con l'originale
Versione corrotta


Versione originale

Non a caso, quando si apre la finestra di installazione, il Sistema Operativo avvisa del fatto che l'autore del software è sconosciuto, come si può vedere sotto:



2. In realtà l'installer copia ed esegue il payload del ransomware in background, insieme al file di installazione originale. Ecco i file: %temp%\AA_v3.exe [.exe originale di Ammyy Admin]
 %temp%\encrypted.exe [payload di Cerber]

Il 12 Settembre, da ulteriore analisi, è risultato che il payload del malware ha cambiato nome in in.exe, forse perchè encrypted.exe rischiava di attirare troppo l'attenzione. 


3. Si avvia quindi la criptazione: viene eseguito il file encrypted.exe che avvierà la criptazione dell'utente in maniera nascosta, cifrando i file presenti sul PC/Server e delle unità di rete mappate.
L'estensione dei file viene modificata in ".cerber3".

4. Si apre la richiesta di riscatto


Il problema è stato ripetutamente segnalato ai gestori del sito di Ammyy Admin, senza però sortire, ad oggi, alcun effetto: non si tratta, tuttavia, di una notizia sorprendente. Infatti, questo sito ha ospitato malware in diversi altri casi, come ad esempio il famigerato ransomware Cryptowall 4.0.


Tornando a Cerber3, ransomware al centro della nostra discussione, è disponibile la descrizione tecnica nel file in PDF presente alla fine dell'articolo.

Versioni infette di Ammyy

Data: 2016-09-20

Nome File: AA_v3.5.exe
Dimensione: 1303197 byte
MD5: 300e85c8ab120c432cf81aeafbefb090
Data di compilazione: 19/06/1992 22.22.17
Firma digitale: -
Commento: Il file infetto contiene il ransonmware CryptoCerber 3 nel file Encrypted.exe(dimensione 331966 byte, MD5 20bfaa96d3560dc255a5766c12350367, data compilazione 19/09/2016 19.59.29), e il file originale di Ammyy v.  3.5

Nome File: AA_v3.5.exe
Dimensione: 1320400 byte
MD5: 83b4f905612388a76302eb4d93f7eeae
Data di compilazione: 19/06/1992 22.22.17
Firma digitale: -
Commento: Il file infetto contiene il ransonmware CryptoCerber 3 nel file in.exe (dimensione 349072 byte, MD5 2a07b570a5146f0007fcf04604001c41, data compilazione 11/05/2014 20.05.39), e il file originale di Ammyy v.  3.5

In che modo Quick Heal può aiutarvi?

Quick Heal Web Security rileva in modo proattivo e blocca siti web in base alla loro dannosità.

Inoltre, è consigliabile seguire questi suggerimenti:

1. Evitare di visitare il sito "Ammyy Admin".
2. Rimuovere il software "Ammyy Admin" se presente nel vostro computer.
3. Non rispondere a e-mail sconosciute e/o indesiderate che spingono a scaricare allegati o cliccare su link, anche se tali e-mail hanno la sembianza di essere importanti. 
4. Eseguire un software antivirus che rileva e blocca siti web infetti e e-mail dannose.
5. Eseguire regolarmente il backup di file importanti e ricordarsi di disconnettere Internet quando il backup viene eseguito su disco rigido. Scollegare l'unità prima di connettersi nuovamente.
6. Per risolvere le debolezze di sicurezza e prevenire malware, effettuare tutti gli aggiornamenti consigliati per il Sistema Operativo come Adobe, Java, Internet Explorer.

Per la descrizione tecnica del ransomware Cerber3, clicca qui: 
  

2 commenti: