TG Soft Software House - Vir.IT eXplorer: l'AntiVirus, AntiSpyware e AntiMalware ITALIANO
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2017-04

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

27/06/2017 10:20:46 - CryptoBubble nuovo ransomware made in Italy!




Il C.R.A.M. (Centro di Ricerca Anti-Malware) di TG Sof ha identificato nella notte del 26 giugno un nuovo ransomware chiamato CryptoBubble. Molto probabilmente questo ransomware potrebbe essere stato realizzato in Italia.

INDICE

==> In che modo cifra CryptoBubble
 
==> Come proteggersi dai Ransomware

==> Come comportarsi per mitigare i danni derivanti da CryptoBubble


In che modo cifra CryptoBubble


CryptoBubble  è un ransomware scritto in linguaggio C# (MSIL). Il nome della classe principale è "preventivo.pdf", che ci fa pensare che sia stato sviluppato in Italia.

E' stato analizzato il seguente file infetto da CryptoBubble:
  • nome: preventivo.pdf.exe
  • dimensione: 473.600 byte
  • MD5: 390684C72E22BDE7DFDDCE234F1EFFAA

All'esecuzione il ransomware genera una chiave casuale di 8 bytes, che verrà utilizzatata per cifrare i file.

Dopo inizia a enumerare le seguente cartelle speciali:
  • MyPictures
  • Personal
  • MyVideos
  • MyMusic
  • DesktopDirectory
Il ransomware si limita a cifrare i file solo all'interno di quelle cartelle, quindi non si propaga in rete o cifra ulteriori unità.

Nella cartella speciale "MyPictures" cifra i file con le seguenti estensioni:
png, jpeg, jpg, 3gp, bmp, tiff, mp4, mov, mpeg, avi


Nella cartella speciale "Personal" cifra i file con le seguenti estensioni:
zip, doc, docx, docm, pdf, xls, xlsm, xlsx, mdb, accdb, accdt, dwg, cdr, rar, odt, ods, odg, odp, odb, odf, otg, otp, ott, csv, txt, png, jpeg, jpg, 3gp, bmp, tiff, mp4, mov, mpeg, avi


Nella cartella speciale "MyVideos" cifra i file con le seguenti estensioni:
mp3, ac3, DivX, mpg, mpeg, mp4, mov, ogv, ogg, avi


Nella cartella speciale "MyMusic" cifra i file con le seguenti estensioni:
mp3, ac3, mid, wav, mp4, mov, mpeg


Nella cartella speciale "DesktopDirectory" cifra i file con le seguenti estensioni:
mp3, docx, zip, doc, docx, docm, pdf, xls, xlsm, xlsx, mdb, accdb, accdt, dwg, cdr, rar, odt, ods, odg, odp, odb, odf, otg, otp, ott, csv, txt, png, jpeg, jpg, 3gp, bmp, tiff, mp4, mov, mpeg, avi

Il ransomware per ogni documento crea un nuovo file avente per nome quello del file originale e vi aggiunge l'estensione .bubble (es. relazione.doc -> relazione.doc.bubble).

CryptoBubble usa l'algoritmo di cifratura DES per criptare i file con la chiave segreta di 8 byte generata in precedenza. La stessa chiave di 8 byte è utilizzata anche come vettore di inizializzazione (IV).

Terminata la cifratura, inizia a cancellare tutti i file di documenti, ma prima li sovrascrive con 50 linee di testo con:
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...                  



Il ransomware recupere le seguente informazioni di sistema:
  • sistema operativo
  • platform
  • versione sistema operativo
  • nome del pc
  • username
  • se il S. O. è a 64 bit
Il ransomware CryptoBubble non utilizza nessun server di C&C, ma si avvale di inviare le informazioni via posta elettronica.
Infatti invia un email dall'account bubble.lck@gmail.com a bubble_lck@hmamail.com con le seguenti informazioni:
  • chiave di cifratura
  • informazioni sul sistema operativo e sull'utente
La vittima non viene identificata da un ID univoco, ma attraverso le infomazioni del pc e il nome dell'utente.

Se il ransomware fallisce l'invio dell'email, la chiave di cifratura viene memorizzata nella seguente chiave:
HKEY_CURRENT_USER\WinNT
[SerialNumber] = chiave di cifratura


A questo punto visualizza il seguente message box con le istruzioni del riscatto:
Hello, I am Bob, do you remember the game? Unfortunately, the world has changed and I have changed too: once spit bubbles, today i encode your file! :)
Well, if you want to recover your files, please contact us at 'br5wf@notsharingmy.info' and we will find a solution and will promptly send you the unlock key to retrieve all your files... Good Lucky        




Inoltre aggiunge la seguente chiave per eseguirsi all'avvio del pc:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[preventivo.pdf] = %path%\preventivo.pdf.exe
       

Torna ad inizio pagina

Come proteggersi dai Ransomware / Crypto-Malware

Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare anche questo Crypto-Malware già nelle fasi iniziale dell'attacco di cifratura dei file di dati del PC / SERVER.
Come già segnalato, le tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware integrate in Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, sono in grado di mitigare anche questa tipologia di attacchi riuscendo a salvaguardare dalla cifratura, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.
 
Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti da CryptoBubble

Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico",  NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  1. NON RIAVVIARE IL COMPUTER: consigliamo di non spegnere e/o riavviare il PC/Server ma contattare, il prima possibile, il nostro supporto tecnico scrivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente per i clienti in possesso della licenza Vir.IT eXplorer PRO, nelle giornate lavorative dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer PRO ==> Consulta l'informativa

Torna ad inizio pagina



Hai installato sui tuoi computer
Vir.IT eXplorer
PRO

Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO

Vir.IT eXplorer PRO
se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di de-cifrare e ripristinare i file cifrati è possibile de-cifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.

Queste tecnologie vengono di seguito elencate:
  • Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
  • Per alcune tipologie/famiglie di Crypto-Malware  Vir.IT eXplorer PRO mediante il Backup on-the-fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on-the-fly permettono il ripristino dei file senza perdere alcuna modifica.
  • Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.

NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...


Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco Crypto-Malware, consigliamo di:
  • SCOLLEGARE il CAVO di RETE LAN;
  • SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
  • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.

Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.


Autore: Gianfranco Tonello
C.R.A.M. - Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina


*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.



Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimneto/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.a.s. - via Pitagora 11/B, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283