TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

18/07/2016 16:15:10 - Nuovo Crypto-Malware in circolazione: attenti a UltraCrypt!


Il C.R.A.M. di TG Soft ha individuato una nuova famiglia di crypto-malware chiamata UltraCrypt.

Questo crypto-malware crittografa file di documenti (come .txt, .doc, .ppt, .mdb, .xls, etc), rinominandoli con nome ed estensione casuale.

Per decifrare i file, come gli altri Crypto-Malware, anche questo richiede il  pagamento di un riscatto in BitCoin.
 

INDICE

==> Come si manifesta UltraCrypt
 
==> Il riscatto richiesto da UltraCrypt

==> Come proteggersi da UltraCrypt

==> Come comportarsi per mitigare i danni derivanti da UltraCrypt

==> Posso recuperare i file cifrati?

==> Considerazioni finali


Come si manifesta UltraCrypt

 
Molto probabilmente, visto il numero ridotto di casi ad oggi analizzati, poichè l'attacco non risulta venire scatenato nè dall'esecuzione file allegati ad e-mail o link malevoli in queste inseriti ad arte, si presume che la diffusione di Trojan.Win32.UltraCrypt.A sfrutti siti compromessi che possono contenere vulnerabilità su applicativi quali Java, Adobe Flash Player o Adobe Reader.

Il Trojan.Win32.UltraCrypt.A si presenta con il nome radC18FE.tmp.dll e viene copiato all'interno di cartella roaming dell'utente %user%\appdata\local\temp:
  • NOME FILE: radC18FE.tmp.dll
  • DIMENSIONE FILE: 648704 byte
  • MD5: CEE34E9262FB8026146B2512D2ED479B
Il Trojan.Win32.UltraCrypt crittografa i file di documenti (come .doc, .xls. .ppt, .jpg, etc) e li rinomina modificando nome ed estensione in modo casuale con una sequenza alfa numerica ad esempio:


Il Trojan.Win32.UltraCryp mette in esecuzione automatica del menu di avvio se stesso tramite il link al cui interno è contenuta l'istruzione che esegue il virus "C:\WINDOWS\SYSWOW64\REGSVR32.EXE -S C:\USERS\UTENTE\APPDATA\LOCAL\TEMP\RADC18FE.TMP.DLL" :

%user%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Statup\3486883BD5D0.lnk

Le istruzioni del riscatto invece sono contenute nella cartella seguente in formato html e bmp:

%user%\AppData\Roaming\Microsoft\Windows\Network Shortcut\@README.HTML
%user%\AppData\Roaming\Microsoft\Windows\Network Shortcut\@README.BMP
Torna ad inizio pagina

Il riscatto richiesto da UltraCrypt

Il file @README.HTML, così come viene lanciato dal virus, è visibile nell'immagine qui sotto. In questo file sono contenute le istruzioni per procedere al pagamento del riscatto corredato dal numero ID personale della vittima che servirà poi per associare il pagamento al PC infetto.


Click per ingrandire

 
Click per ingrandire


Click per ingrandire
 
Una volta inserito il codice personale saranno visualizzati tutti i passaggi per portare a termine il pagamento imposto, come si può vedere nelle immagini a seguire. Il pagamento richiesto è di 2 BitCoin pari ad un valore 1215.59 Euro (in data 19-07-2016). Tale pagamento allo scadere delle 100 ore concesse verrà aumentato a 2,4 BitCoin per un importo complessivo pari ad Euro 1458.71 (in data 19-07-2016).
 

Click per ingrandire


Click per ingrandire
Torna ad inizio pagina


Come proteggersi da UltraCrypt

Le tecnologie euristico-comportamentali di Vir.IT eXplorer PRO sono già in grado di identificare e bloccare nelle prime fasi dell'attacco anche UltraCrypt.

Come già segnalato, la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.

Date per ragionevolmente certi e corretti i seguenti passaggi:

  • INSTALLAZIONE;
  • AGGIORNAMENTO sia delle Firme sia del Motore;
  • CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino;
  • UTILIZZO di Vir.IT eXplorer PRO da parte dell'utente;
si ha ragionevole aspettativa di preservare dal tentativo di cifratura, come già segnalato, mediamente, non meno del 99,63% dei dei file di dati di PC e SERVER.

Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti da UltraCrypt

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
  2. SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  3. ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di TeslaCrypt.
  4. NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa


Posso recuperare i file cifrati?

Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da UltraCrypt saranno al più qualche decina.  I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup per il ripristino di quei pochi file crittografati nella fase iniziale dell'attacco. 

Torna ad inizio pagina

Considerazioni finali

Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
  1. siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
  2. NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso specifico di attacco UltraCrypt, procedere a:
    • SCOLLEGARE il CAVO di RETE LAN;
    • SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
    • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
Se vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il supporto tecnico di TG Soft.

Nel caso 2., non avendo Vir.IT eXplorer PRO, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.


TG Soft
Centro Ricerche Anti-Malware
Torna ad inizio pagina

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283