|
All'inizio del mese di maggio, il CRAM di TG Soft ha rilevato ed analizzato un nuovo ransomware che si identifica come CryptoPec.
Il vettore di diffusione principale è stato verificato essere la posta elettronica e come nel passato, sono stati studiati nuovi stratagemmi per indurre il malcapitato lettore ad aprire l'allegato.Di seguito vengono illustrate alcune mail portatrici di questo nuovo ransomware.
|
INDICE
==> Come si manifesta
==> Il riscatto richiesto
==> Come proteggersi
==> Come comportarsi
==> Considerazioni finali
|
Come si manifesta CryptoPEC
Nella prima mail Nevia Ferrara invia un "curriculum vitae" candidandosi come analista contabile.
Nella seconda mail, sempre questa fantomatica Nevia Ferrara intende rendere noto ad un Primo Cittadino, la propria denuncia riguardo un dissesto stradale che le ha provocato un incidente.
Nelle due mail di esempio (a destra), non si rilevano grossolani errori grammaticali o di traduzione che in altri casi risultavano essere un buon motivo per scartare immediatamente la fraudolenta comunicazione. Anche gli allegati presenti hanno un nome congruo al contesto del messaggio.
Unico indizio che può insospettire il ricevente è il fatto che la mail viene inviata da un indirizzo di posta elettronica chiamato:
nevia.ferrara@agenzia-entrate.com
E' molto IMPROBABILE che un funzionario dell'agenzia delle entrate invii una mail personale utilizzando la casella di posta di lavoro.
Anche se questa fantomatica "Nevia Ferrara" è presente in entrambe le mail rilevate, non va escluso il fatto che tale nominativo e/o indirizzo mail possa essere cambiato.
|
Clicca per ingrandire l'immagine
Clicca per ingrandire l'immagine |
Qualora si fosse di fronte a tali mail, la cosa fondamentale è NON APRIRE L'ALLEGATO
Tale operazione esegue una macro che scarica il CryptoPEC nella cartella TEMP dll'utente per poi essere eseguito dando inizio alla cifratura dei file di dati.
Tutti i file cifrati vengono rinominati con estensione .PEC
Il riscatto richiesto da CryptoPEC
Al termine della cifratura, viene creato in ogni cartella dove il crypto-malware ha agito, un file (foto a destra) in formato HTML chiamato:
AIUTO_COME_DECIFRARE_FILE.html
Nella sezione relativa alle istruzioni, i testi sono espletati in italiano e senza errori grammaticali. Nello specifico si viene invitati ad acquistare un software chiamato PEC CLENAER o PEC DECRYPTOR che stando alle indicazioni , dovrebbe riportare i dati cifrati allo stato originale.
Il riscatto, se eseguito entro 120 ore è di 1 Bitcoin per poi raddoppiare qualora si vada oltre il termine indicato.
Trascorsi 30 giorni, non sarà più possibile eseguire nessuna transazione. |
|
E' importante sapere/valutare che:
- non vi è la certezza che dopo il pagamento venga inoltrata la chiave per la de-cifratura;
- pagando si dà forza ai malfattori che con i guadagni realizzati continueranno la loro attività estorsiva con ancora maggiore impegno e con metologie ancora più sofisticate. E' bene quindi evitare di alimentare questo "mercato".
Purtroppo, in alcune situazioni disperate, quando cioè i propri dati non siano recuperabili in altri modi e sia assolutamente indispensabile tentare di "riscattarli", qualcuno dovrà fare ogni opportuna valutazione.
|
|
Di seguito verranno illustrati
importanti suggerimenti per proteggersi dai
Crypto-Malware e/o mitigarne i danni qualora si fosse caduti nella trappola presente nella mail segnalata.
Come proteggersi dai Ransomware / Crypto-Malware
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare anche questo Crypto-Malware già nelle fasi iniziale dell'attacco di cifratura dei file di dati del PC / SERVER.
Come già segnalato, le tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware integrate in
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, sono in grado di mitigare anche questa tipologia di attacchi riuscendo a salvaguardare dalla cifratura, mediamente, non meno del
99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al
100% grazie a
Vir.IT BackUp.
Come comportarsi per mitigare i danni derivanti da CryptoPEC
Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico", NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il Crypto-Malware, in questo caso il CryptoPEC, riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scrivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorative dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer PRO ==> Consulta l'informativa
|
Considerazioni finali:
Nel caso si sia scatenata la cifratura vi invitiamo, come sempre, a
mantenere la calma poichè potreste trovarvi in una di queste situazioni:
Hai installato sui tuoi computer
Vir.IT eXplorer PRO
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di decifrare e ripristinare i file cifrati è possibile decifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.
Queste tecnologie vengono di seguito elencate:
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO mediante il Backup on the fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on the Fly permettono il ripristino dei file senza perdere alcuna modifica.
- Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.
|
NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...
Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco Crypto-Malware, consigliamo di:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
|
Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft
Torna ad inizio pagina
*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.
