mercoledì 18 gennaio 2017

Al Namrood Ransomware: campagna di attacchi contro utenti italiani


Ci stanno arrivando molte segnalazioni di infezione, in Italia, del ransomware Al Namrood.
Nel dettaglio è in diffusione la versione 2.0 dello stesso ransomware, messa in diffusione qualche settimana fa in sostituzione alla versione 1.0 che era stata decriptata con successo.

Come si diffonde?
Questo ransomware non si diffonde tramite le classiche vie (campagna di email di spam con allegati o exploit kit): attacca i server via desktop remoto, con un brute- force attack contro la porta RDP.  In sunto è un attacco mirato, che tenta di individuare le password delle porte (RDP) aperte per ottenere l'accesso.
Le vecchie versioni erano in diffusione tramite le più comuni tecniche di campagne di spam.



Come cripta i file?
Al Namrood cripta i file utilizzando la crittografia AES. Versioni precedenti criptavano i file modificandone l'estensione in .namrood e in .unavailable. La versione attualmente in circolazione cripta i file, rendendoli illeggibile, e ne modifica il nome secondo il seguente schema:

nomefile.ID-<identificativo della vittima 10 caratteri>[cyrptsvc@mail.ru].<9-10-11 caratteri random>

Alcuni esempi:
contatti_000.TIF.ID-646B8197IT[cryptsvc@mail.ru].nqawadaana
bolletta.pdf.ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq

Cripta moltissimi tipi di file, qui i più comuni
 .doc, .docx, .xls, .xlsx, .ppt, .pptx, .asp, .aspx, .txt, .pdf, .rar, .zip, .html, .wps, .bkp, .xml, .raw, .jpg, .jpeg, .bmp, .gif, .png, .tif, .tiff, .psd, .dll, .sys, .cer, .bat, .sql, .qic, .pak, .ai, .csv, .reg, .ini, .rtf, .iff, .mdb, .db, .pfx, .mp3, .wma, .wav, .mid, .ogg, .m3u, .m4a, .eps, .bin, .sct, .vb, .dng, .cdr, .pfx, .crw, .wsc, .avi, .wmv, .mpg, .mpeg, .mkv, .mov, .mp4, .asf, .sln, .arw, .exe, .ps1, .dat, .bdf, .srf, .lnk, .js


Oltre a questo cancella le copie shadow dei file, rendendo impossibile il recupero dei file dalle SSV.

La richiesta di riscatto: 
Questo il testo della richiesta di riscatto:

"All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.

You can contact us via Email:
cryptsvc@mail.ru

Your Personal ID: xxxxxxxxxx
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.

For fast communication, you can write us to Jabber (It is not Email !!!): cryptsvc@securejabber.me
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account

You have 3 working days to contact us, otherwise recovering may be harder for you.

Regards."

Contatti presenti nelle varie richieste di riscatto:
cyrptsvc@mail.ru
cryptservice@inbox.ru
cryptsvc@securejabber.me

Soluzione...Questa nuova versione non ha per ora una soluzione.

Tre consigli sono importanti, considerando che la diffusione è in corso in queste ore:
1. eseguite il backup dei dati frequentemente. La soluzione ottimale è quella del backup in cloud: qualora non disponiate di questa possibilità, eseguite il backup su un hard disk esterno e scollegate FISICAMENTE il dispositivo alla fine del backup.
2. chiudete le porte per l'RDP. Qualora aveste bisogno di utilizzare l'RDP, la soluzione migliore per farlo in sicurezza è creare una whitelist di indirizzi IP sicuri e di non esporla in Internet. Mettete l'RDP "dietro" un firewall, consentendo l'RDP solo dal traffico locale, usate una password molto sicura a protezione dell'account Admin e di tutti gli account con privilegi RDP.

Nessun commento:

Posta un commento