TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-02

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

25/01/2016 17:07:36 - Primi casi del nuovo TeslaCrypt 3.0 anche in Italia.


Riscontrati dai ricercatori del C.R.A.M. anche in Italia i primi casi di TeslaCrypt 3.0 che critta i file di documenti rinominandoli con estensione .micro e ne richiede un riscatto.

INDICE

==> TeslaCrypt 3.0 come si manifesta...
 
==> Cosa sono e come operano i Crypto-Malware

==> Come proteggersi da attacchi Crytpo-Malware, anche di nuova generazione, con le tecnologie integrate in Vir.IT eXplorer PRO

==> Come e dove acquistare Vir.IT eXplorer PRO

Il TeslaCrypt tra la fine di novembre e inizio dicembre 2015 si era diffuso massivamente, con numerosi utenti colpiti, attraverso vari messaggi di posta elettronica. Quando il tuo PC / SERVER dovesse venire attaccato da Crypto-Malware   

Ora il TeslaCrypt è tornato con una nuova versione 3.0, attualmente sembra diffondersi in 2 modi:
  • attraverso altri malware, come il SathurBot
  • via email
La diffusione via email, avviene attraverso messaggi di posta elettronica, quantomai spartani, con la seguente tipologia:
  • oggetto: "<nome del mittente>"
  • corpo del messaggio:  "DATE:1/26/2016 2:26:46 PM"
  • allegato: file zip con nome casuale di 3 caratteri
Il corpo del messaggio è composto da varie righe vuoto, dove l'ultima riga inizia con "DATE:" e la data dell'invio del messaggio

Attacco TeslaCrypt

Diagramma di Flusso

Quando il tuo PC / SERVER dovesse venire attaccato da Crypto-Malware

L'allegato è un file .ZIP dai nomi più disparati, che contiene al suo interno un file javascript (.js)i:
  • invoice_SCAN_qH7le.js;
  • invoice_copy_StXQDm.js;
  • invoice_GavJVj.js;

Quando verrà eseguito il file javascript, questo eseguirà il dowload e l'esecuzione del TeslaCrypt 3.0.

Il file contenente la nuova variante del TeslaCrypt 3.0 ha la seguente forma:
<nome casuale>he45.exe

Nome MD5 Dimensione
RDCWJHE45.exe F366798A03E0CF9F8492EA1198F7FB5B 585728
TMWLCHE45.exe DEE372F96C13203DAFA03DA0AC92B810 589824
WNFLOHE45.exe 65F225234F235BD36ED3E789F5D0B7BC 585728
MYNHDHE45.exe 5520D165361BDB5F87DEB343E34DC8E7 585728


Modifica la seguente chiave di registro per mettersi in esecuzione automatica all'avvio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[zsevice-455] = C:\USERS\<nome user>\APPDATA\ROAMING\<random>HE45.EXE

Il TeslaCrypt utilizza l'algoritmo di crittazione AES CBC a 256 bit.
La chiave utilizzata per crittare non viene memorizzata all'interno dei file o del computer, ma inviata ad un server attraverso la rete TOR-Onion.
Questo Crypto-Malware utilizza l'algoritmo ECDH (Ellipitc Curve Cryptography Diffie-Hellman) per la generazione della chiave pubblica.

A tutt'oggi è impossibile decrittare i file crittografati dalle ultime varianti di TeslaCrypt, a meno che non si conosca la chiave privata a 256 bit.
Immagine di un attacco da CyrptoMalware della famiglia TeslaCrypt
Clicca per ingrandire l'immagine di un attacco TeslaCrypt 3.0

I file crittati da TeslaCrypt 3.0 sono riconoscibili dall'estensione .micro, e dai file di instruzioni di riscatto:
  • help_recover_instructions.BMP
  • help_recover_instructions+xjp.txt
  • help_recover_instructions+xso.html
I file con le istruzioni di riscatto hanno la seguente forma:
help_recover_instructions+<3 caratteri casuali>.txt oppure .html o .bmp

  __!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
__!@#!@#! 

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://kjsdfuo9ndskj4.flueymari.com/690D17425F15A49
2. http://p5vnwj4nfszlk.chamablunk.com/690D17425F15A49
3. http://g4nsjn45nldflef.polypdicot.com/690D17425F15A49
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 4nauizsaaopuj3qj.onion/690D17425F15A49
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://kjsdfuo9ndskj4.flueymari.com/690D17425F15A49
http://p5vnwj4nfszlk.chamablunk.com/690D17425F15A49
http://g4nsjn45nldflef.polypdicot.com/690D17425F15A49
!!! Your personal page in TOR Browser: 4nauizsaaopuj3qj.onion/690D17425F15A49
!!! Your personal identification ID: 690D17425F15A49
11111111111111111111111111111111111111111111111111111

Non è superfluo segnalare che le tecnologie euristico-comportamentali integrate in Vir.IT eXplorer PRO, denominata VirIT Anti-Crypto Malware, se correttamente configurate ed utilizzate, sono già in grado di arginare anche attacchi di TeslaCrypt 3.0 anche da varianti di nuova generazione. Inoltre è possibile recuperare i file crittati quando il sistema VirIT Anti-Crypto Malware carpisce al volo la chiave di crittazione utilizzata dal malware.

Prima di procedere riteniamo sia utile spiegare cosa siano e come operino i Crypto-Malware.

 
Cosa sono e come operano i Crypto-Malware

I Crypto-malware sono dei ransomware cioè dei malware che crittografano file di documenti all'interno dei computer rendendoli inutilizzabili e, per la loro decrittografazione, richiedono un pagamento/riscatto. Ogni ora vengono re-impacchettate nuove varianti di malware, ad esempio: CryptoLocker; CTB-Locker, CryptoWall; TeslaCrypt etc. etc. rendendo difficoltosa la loro intercettazione tramite il metodo delle firme di identificazione. Il metodo delle firme in particolare per la protezione in tempo reale, per queste tipoligie di attacchi, risulta in molti casi inefficace.
La peculiarità di questa tipologia di malware è che quando viene eseguito il file, si attiva immediatamente la crittografazione dei documenti rendendo la protezione dell'AntiVirus attraverso le firme di univoca identificazione inefficace.
 
Videata dopo crittografazione file da attacco CryptoWall Videata dopo crittografazione file da attacco CTB-Locker

I Crypto-malware hanno, in sintesi, e senza la presunzione dell'esaustività, le seguenti caratteristiche peculiari:
  • sono generalmente dei malware "polimorfici" cioè mutanti. Polimorfismo ottenuto attraverso l'attivazione di file totalmente diversi dal medesimo link ad intervalli di tempo molto ravvicinati anche nell'ordine del quarto d'ora (15'), da dove vengono scaricati file che potranno scatenare la crittografazione dei file di dati oppure, in altenativa, l'attacco di altre tipologie di virus/malware quali dropper, rootkit etc. etc. Di fatto con una frequenza di mutazione/distribuzione così ravvicinata che nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme/pattern di identificazione), potrà ragionevolmente essere in grado di bloccare preventivamente.
  • hanno un periodo di incubazione praticamente nullo. L'attivazione del Crypto-Malware produce immediatamente i propri effetti malevoli/dannosi come la crittografazione dei file di uso più comune quali, ad esempio: .doc, .xls, .mdb, .jpg etc. etc. e in più di qualche occasione anche i file di backup di alcuni dei più comuni sistemi in uso;
  • crittografano i dati con algoritmi estremamente sofisticati anche a 2.048 bit rendendoli, di fatto, praticamente irrecuperabili. 
  • richiedono un riscatto, in molti casi in BitCoin attraveso la rete Tor-Onion (deep-web / dark-web), per la decrittografazione dei file quindi, i loro creatori, visto il ritorno economico, per mantenere elevata l'efficacia del tentativo di truffa hanno tutto l'interesse di variare i file portatori con la massima velocità di modo che alcun software AntiVirus-AntiSpyware-AntiMalware possa intercettarli preventivamente.

    
Come proteggersi da attacchi Crytpo-Malware, anche di nuova generazione, con le tecnologie integrate in Vir.IT eXplorer PRO

Nell'informativa dello scorso 26 novembre 2015, analizzando gli attacchi Crypto-Malware registrati dai ricercatori del nostro Centro Ricerche Anti-Malware abbiamo cercato di mettere in evidenza le tecnologie integrate in Vir.IT eXplorer PRO ed il loro uso più corretto.

Il Centro Ricerche Anti-Malware di TG Soft ha analizzato negli ultimi 3 anni alcune delle tipologie di Crypto-Malware più diffuse e gli Autori di Vir.IT eXplorer PRO hanno messo a punto due tecnologie:

  • la prima è Vir.IT BackUp, -prevenire è meglio che curare, soprattutto se il male è incurabile...- o, in altenativa, -pensarci prima per non piangere dopo...-. Si tratta di un sistema di backup avanzato progettato per salvaguardare i file di dati usati più comunemente da ogni utente. Vir.IT BackUp, con estrema semplicità ed immediatezza, permette all'utente di mappare le cartelle che ospitano i file di uso più comune e di queste cartelle, ma soprattutto del loro contenuto, in modo pianificato, procederà ad effettuarne un BackUp automatico con cadenza giornaliera o settimanale. In questo modo, se su quel PC / SERVER dovesse giungere una nuova variante di Crypto-Malware non ancora identificata che procedesse a crittografare i file di dati, questi potranno essere ripristinati da Vir.IT BackUp, poichè i file generati da Vir.IT BackUp, trattandosi di un sistema di BackUp AVANZATO, sono ragionevolmente garantiti dalla cancellazione da un eventuale utente maldestro o dalla modificati da un agente informatico, cioè non potranno essere crittografati da alcuna tipologia di Crypto-Malware anche di nuova generazione.
  • la seconda ha un approccio euristico-comportamentale con l'obiettivo della mitigazione del danno che attraverso lo scudo residente in tempo reale di Vir.IT eXplorer PRO, tra le altre cose, monitora anche i processi ed è in grado di identificare quelli che effettuano delle attività di modifica dei file riconducibili alla crittografazione degli stessi. Individuato il processo sospetto, questo viene "inabilitato", permettendo il salvataggio dalla crittografazione di oltre il 99,63% dei file di dati. Su attacchi reali si è verificato che il minimo numero di file crittografati nella fase iniziale dell'attacco CryptoMalware, anche di nuova generazione, è stato 5 (cinque) salvando tutti gli altri file di dati. Considerando mediamente che i file di dati potenzialmente crittografabili siano dell'ordine dei 10.000, di fatto la percentuale di efficacia di questa tecnologia può arrivare al (1-5/10.000)*100 = 99,95%.
  • Nella fase iniziale dell'attacco CryptoMalware, quando l'approccio euristico-comportamentale sta valutando di intevernire per "inabilitare" il processo, il modulo AntiCryptoMalware di Vir.IT eXplorer PRO possiede un sistema di salvataggio "al volo", chiamato backup On-the-Fly, che effettua:
    • il backup dei file documenti (.doc, .docx, .xls, .xlsx, .jpg, .pdf, etc) con dimensione compresa tra 2 KB e 3 MB;
    • la conservazione dei file realizzati attraverso il backup automatico on-the-fly per 48 ore di modo da permetterne il ripristino in caso di necessità.
 
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

Vir.IT BackUp, il BackUp avanzato che salva i tuoi preziosi dati dai Crypto-Malware

Protezione Euristica Crypto-Malware
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione dalla protezione Anti-CryptoMalware di Vir.IT eXplore PRO
Vir.IT eXplorer PRO preserva i tuoi preziosi dati anche dai Crypto-Malware

Vir.IT eXplorer PRO preserva i tuoi preziosi dati anche dai Crypto-Malware
In buona sostanza attraverso un corretto utilizzo di Vir.IT eXplorer PRO sarà possibile salvare, in buona parte dei casi, se non il 100% dei nostri preziosi file di dati, una percentuale asintotica al 100% poichè la maggior parte verrà protetta. Inoltre i file che, nella fase iniziale dovessero essere stati crittografati dal Crypto-Malware, potranno essere ripristinati, in modo selettivo dai file di backup generati con Vir.IT BackUp il che riduce ad una piccola porzione di file, quantificabile in 15/20, la "perdita" delle modifiche effettuate dagli utenti dalla data di effettuazione dell'ultimo backup  fino all'avvenuta crittografazione di questi file da parte del Crypto-Malware che malauguratamente lo stesso utente dovesse aver avuto modo, disgraziatamente, di attivare.
 


Ricordiamo che i clienti di Vir.IT eXplorer PRO possono usufruire delle tecnologie segnalate, in particolare Vir.IT Backup, per creare i backup dei file di dati di più comune utilizzo, cioè quei file di cui i Crypto-Malware sono particolarmente "ghiotti", che venendo protette dall'antivirus verranno preservati dalla fortuita cancellazione e/o dalla loro modifica quindi anche dalla crittografazione di agenti Crypto-Malware anche di nuova generazione, cosa verificata con tutte le tipologie/famiglie di Crypto-Malware ad oggi note e loro varianti.

    
Come e dove acquistare Vir.IT eXplorer PRO

Per coloro, privati, liberi professionisti, aziende, enti pubblici etc. etc. che non fossero ancora clienti di Vir.IT eXplorer PRO vi invitiamo a valutarne l'acquisto poichè nel caso di attacco Crypto-Malware l'unica strategia possibile è la prevenzione.
La cura/de-crittografazione dei file, venendo crittografati con chiavi di crittazione fino a 2048 bit è solo teoricamente possibile ma, di fatto, impraticabile.

L'acquisto della versione PRO di Vir.IT eXplorer può avvenire:
  • Direttamente dalla pagina di commercio elettronico del nostro sito per l'acquisto di Licenze/Multilicenze fino a 10 PC / SERVER.
  • Attraverso i numerosi rivenditori sul territorio italiano ==> Accedi alla pagina di ricerca dei rivenditori più vicini a te che hanno al momento della consultazione il nostro software disponibile per la rivendita sia come Licenza Monoutente sia come Multilicenza per più PC / SERVER.
  • Richiedendo un preventivo personalizzato quando l'ente/impresa sia interessato a valutare l'acquisto di una multilicenza superiore ai 10 PC / SERVER che vedrà quotazioni specifiche per la tipologia di cliente (AZIENDALE / ISTITUZIONALE) e con sconto di UpGrade Competitivo / CrossUpGrade sul prodotto AntiVirus in uso ==> Vai alla pagina di richiesta preventivi.
  • Se siete un'Ente pubblico vi segnaliamo che sarà possibile procedere all'acquisto di Licenze/Multilicenze di Vir.IT eXplorer PRO attraverso il MEPA (Mercato Elettronico della Pubblica Amministrazione).
  • Se siete un'azienda informatica interessata alla rivendita di Vir.IT eXplorer PRO vi invitiamo ad accreditarVi richiedendo il nostro listino RIVENDITORI ==> Vai alla pagina di accreditamento oppure invia una mail a commerciale@viritpro.com.


TG Soft - Relazioni Esterne

* Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.

 


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283