mercoledì 6 settembre 2017

Nuovo ransomware della famiglia CryptoMix: arriva Arena


Qualche giorno fa è stata individuata un'altra variante della famiglia di ransomware CryptoMix: sulla famiglia CryptoMix stiamo scrivendo ormai da molto tempo non solo per l'alto numero di infezioni che si registrano da ormai un anno, ma anche perché è una delle famiglie ransomware più attive e costantemente in espansione/miglioramento, con una media di una nuova variante ogni settimana.  

L'ultima variante: Arena Ransomware
L'ultima variante, individuata dai ricercatori di MalwareHunterTeam, cripta i file modificandone l'estensione in .arena. E' il secondo ransomware, rilasciato nelle ultime settimane, che modifica l'estensione in .arena: non vanno però confusi, in quanto l'altro, individuato qualche settimana prima, appartiene alla famiglia Crysis. La differenza più lampante tra le due varianti è che quella appartenente alla famiglia CryptoMix modifica il nome dei file con una stringa esadecimale.


Come cripta i file?
Il meccanismo di criptazione non è cambiato rispetto alla precedente versione (chiamata Error poiché modifica l'estensione dei file in .error): il nome dei file viene sostituito con una serie di 16 caratteri e numeri e l'estensione modificata in .arena. In comune con la vecchia variante è anche il fatto che Arena- CryptoMix contiene 11 chiavi di criptazione pubbliche RSA-1024, che verranno usate per criptare la chiave AES privata usata per criptare i file delle vittime. Questo consente al ransomware di poter operare offline, senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle usate in una ulteriore precedente versione, il ransomware Empty Criptomix. Empty ha preceduto Error: la cosa dimostra che le varie versioni si differenziano, mano a mano, per piccoli upgrade o affinamenti.

Sotto un'immagine di file criptati da Arena-CryptoMix.

Che cosa fa?
Oltre a criptare i file, questo ransomware, esegue molti comandi per impedire il recupero dei file:

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

son tutti comandi eseguiti dal ransomware allo scopo di disabilitare la risoluzione problemi di Windows e di cancellare le copie shadow di volume. 

La nota di riscatto
La nota di riscatto non ha modificato il nome:  _HELP_INSTRUCTION.TXT. L'unica modifica rilevante è l'email di contatto per il pagamento, che per questa versione è ms.heisenberg@aol.com


Alcuni consigli:
"curare" gli effetti di un ransomware è spesso difficile: nonostante gli sforzi, molti di questi restano senza soluzione. Impedire le infezioni diventa quindi necessario. Ecco alcuni consigli:

  1. fai sempre il backup dei file, almeno di quelli più importanti. Se fai il backup su un hard drive esterno, disconnettiti da Internet prima di iniziare il backup. Rimuovi quindi la periferica contenente il backup PRIMA di riconetterti. La forma più sicura di backup è quella in cloud.
  2. Non aprire allegati né fare click su link contenuti in email inaspettate o dubbie. 
  3. Se proprio hai dei dubbi, prima di aprire un qualsiasi allegato, esegui una scansione usando il tuo antivirus o tool online come Virus Total
  4. Contro i ransomware che si diffondono via exploit-kit, l'unica difesa è tenere sempre aggiornati tutti i software in uso, dal sistema operativo ai browser. 
  5. Consigliamo l'installazione di un buon antivirus con specifici moduli anti-ransomware e di individuazione comportamentale, oltre che di scansione proattiva. 

Sei in cerca di un Antivirus affidabile e completo? Ti ricordiamo che S-mart è distributrice italiana Quick-Heal. Vedi il sito Quick Heal Italia e, se sei un rivenditore, visita il nostro portale www.s-mart.biz

Nessun commento:

Posta un commento