TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

26/11/2015 17:07:05 - La protezione Anti-CryptoMalware di Vir.IT eXplorer PRO salva dalla crittografazione, mediamente, non meno del 99,63% dei file rispetto a sistemi ove non sia presente Vir.IT eXplorer PRO...


Il Centro Ricerche Anti-Malware di TG Soft ha monitorato gli attacchi di questi agenti redigendo un report specifico riguardante tutti e soli gli attacchi Crypto-Malware dei clienti e degli utenti che abbiano richiesto supporto tecnico telefonico. Questo ci ha permesso di registrate, con precisione, il numero dei file effettivamente crittografati sul totale e rilevare anche le situazioni singolari ove i file crittografati abbiano superato qualche decina. Prima di procedere riteniamo sia utile spiegare cosa siano e come operino i Crypto-Malware. Quando il tuo PC / SERVER dovesse venire attaccato da Crypto-Malware

Cosa sono e come operano i Crypto-Malware

I Crypto-malware sono dei ransomware cioè dei malware che crittografano file di documenti all'interno dei computer rendendoli inutilizzabili e, per la loro decrittografazione, richiedono un pagamento/riscatto. Ogni ora vengono re-impacchettate nuove varianti di malware, ad esempio: CryptoLocker; CryptoWall; TeslaCrypt etc. etc. rendendo difficoltosa la loro intercettazione tramite il metodo delle firme di identificazione. Il metodo delle firme in particolare per la protezione in tempo reale, per queste tipoligie di attacchi, risulta in molti casi inefficace.
La peculiarità di questa tipologia di malware è che quando viene eseguito il file, si attiva immediatamente la crittografazione dei documenti rendendo la protezione dell'AntiVirus attraverso le firme di univoca identificazione inefficace.
 
Videata dopo crittografazione file da attacco CryptoWall Videata dopo crittografazione file da attacco CTB-Locker

I Crypto-malware hanno, in sintesi, e senza la presunzione dell'esaustività, le seguenti caratteristiche peculiari:
  • sono generalmente dei malware "polimorfici" cioè mutanti. Polimorfismo ottenuto attraverso l'attivazione di file totalmente diversi dal medesimo link ad intervalli di tempo molto ravvicinati anche nell'ordine del quarto d'ora (15'), da dove vengono scaricati file che potranno scatenare la crittografazione dei file di dati oppure, in altenativa, l'attacco di altre tipologie di virus/malware quali dropper, rootkit etc. etc. Di fatto con una frequenza di mutazione/distribuzione così ravvicinata che nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme/pattern di identificazione), potrà ragionevolmente essere in grado di bloccare preventivamente.
  • hanno un periodo di incubazione praticamente nullo. L'attivazione del Crypto-Malware produce immediatamente i propri effetti malevoli/dannosi come la crittografazione dei file di uso più comune quali, ad esempio: .doc, .xls, .mdb, .jpg etc. etc. e in più di qualche occasione anche i file di backup di alcuni dei più comuni sistemi in uso;
  • crittografano i dati con algoritmi estremamente sofisticati anche a 2.048 bit rendendoli, di fatto, praticamente irrecuperabili. 
  • richiedono un riscatto, in molti casi in BitCoin attraveso la rete Tor-Onion (deep-web / dark-web), per la decrittografazione dei file quindi, i loro creatori, visto il ritorno economico, per mantenere elevata l'efficacia del tentativo di truffa hanno tutto l'interesse di variare i file portatori con la massima velocità di modo che alcun software AntiVirus-AntiSpyware-AntiMalware possa intercettarli preventivamente.

 

Attacchi Crypto-Malware verificati dai ricercatori del C.R.A.M. nell'ottobre 2015

Il periodo di rilevamento di questi attacchi è il mese di ottobre 2015 e si tratta, lo ribadiamo, di tutti e soli gli attacchi di clienti/utenti che hanno avuto modo di rapportarsi telefonicamente con il nostro supporto tecnico.

Cryptolocker Cryptolocker

Distribuzione territoriale degli attacchi Crypto-Malware supportati dal C.R.A.M.

Tabella diffusione geografica Crypto-Malware ottobre 2015 Grafico diffusione geografica Crypto-Malware ottobre 2015

Con quali escamotage si sono diffusi i CryptoMalware in Italia nel mese di ottobre 2015

Nel mese di ottobre vi sono state alcune campagne con l'invio via email di finte bollette o avvisi di pagamento da parte di CryptoLocker e CTBLocker.
Il C.R.A.M. di TG Soft ha rilevato che gli attacchi di CryptoLocker e CTB Locker collegati a campagne già utilizzate in passato, bollette ENEL e Telecom in particolare, è stato abbastanza contenuto probabilmente perchè queste tecniche di diffusione erano già state utilizzate nei mesi scorsi e molti utenti hanno evitato di cliccare sui link allodola.
Tabella campagne di diffusione Crypto-Malware ottobre 2015
Di fatto si sono registrati maggiori diffusione di attacchi CryptoMalware ad opera di varianti della famiglia CryptoWall che per la sua diffusione non utilizzata la tecnica "classica" della mail allodola ma si diffonde sfruttando vulnerabilità durante la navigazioni su siti compromessi o per adulti, oppure viene iniettato sul computer della vittima attraverso altri malware già presenti nel computer stesso.
 

Analisi di alcuni casi dove la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO era attiva

Nei casi verificati dal supporto tecnico di TG Soft sui clienti licenziatari di Vir.IT eXplorer PRO segnaliamo:
  • numero minimo di file crittografati 5 (cinque), il resto dei file è stato preservato dalla crittografazione;
  • in poco meno del 58% dei casi i file crittografati NON hanno superato le 20 unità;
  • in oltre l'83% (57,97+26,09) dei casi analizzati i file crittografati NON superato le 100 unità;
  • solamente nel 5,8% dei casi i file crittografati hanno superato le 225 unità.
Tabella file crittografati da Crypto-Malware ottobre 2015

Segnaliamo che in molti casi i file crittografati si trovano all'interno del cestino e quindi i file di uso quotidiano salvati dalla crittografazione dell'attacco CryptoMalware, grazie alla protezione integrata in Vir.IT eXplorer PRO, può considerarsi nell'ordine del 100%.

Analisi di alcuni dei casi ove si siano registrati un numero di file crittografati da considerarsi non trascurabile

Procediamo di seguito ad analizzare i motivi che hanno portato alla crittografazione di un numero di file NON trascurabile.

Caso con 2.970 file crittografati
I file crittografati sono stati numericamente così elevati a causa dell'esclusione dal controllo in tempo reale di Vir.IT eXplorer PRO di alcune cartelle. Si è verificato che sulle cartelle presidiate dalla protezione Anti-CryptoMalware i file crittografati sono stati solamente 7 (sette).

Caso con 181 file crittografati
I file crittografati sembrerebbero essere stati molti ma 129 erano collocati nel cestino. Di fatto i file crittografati di uso quotidiano sono stati (181-129) = 52.

Caso con 1.723 file crittografati
I file crittografati hanno raggiunto un numero consistente poichè la variante ha crittografato file con estensione NON controllato dalla protezione Anti-CryptoMalware.

Caso con 2.293 file crittografati
Si tratta di file presenti nelle cartelle escluse dalla protezione Anti-CryptoMalware.

Caso con 224 file crittografati
I file crittografati sono stati molti ma 143 erano collocati nel cestino. Di fatto i file crittografati di uso quotidiano sono stati (224-143) = 81.

Caso con 1.685 file crittografati
I file crittografati sono stati numericamente così elevati a causa dell'esclusione dal controllo in tempo reale di Vir.IT eXplorer PRO di alcune cartelle.

Come si può notare dall'analisi di ogni caso singolare, l'esclusione delle cartelle dalla protezione in tempo reale di Vir.IT eXplorer PRO, comporta anche, conseguentemente, la disattivazione del modulo di protezione Anti-Crypto Malware su quelle cartelle, lasciado la possibilità al Crypto Malware di crittare i file presenti in tali directory.

Anche il fattore di riavviare il computer, quando il pc è infetto da Crypto Malware, comporta un maggiore numero di file crittati.
Più riavvii verranno eseguiti maggiori saranno i file crittografati !!!

Per avere le migliori prestazioni dalla protezione Anti-Crypto Malware di Vir.IT eXplorer PRO  è consigliabile:
  • Non escludere cartelle dalla protezione in tempo reale.
  • NON riavviare il computer quando scatta la protezione Anti-Crypto Malware.

Si consiglia di eseguire una copia di Backup dei file delle cartelle escluse attraverso il modulo Vir.IT BackUp.

Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
 

Analisi dei casi dove Vir.IT eXplorer PRO non era installato o la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO era stata disattivata

Il supporto tecnico di TG Soft è stato contattato anche da alcuni clienti che avevano acquisito una Licenza/Multilicenza di Vir.IT eXplorer PRO per un numero di PC / SERVER inferiore al numero dei computer complessivi aziendali affidando la protezione ad altri prodotti AV diversi da Vir.IT.
Sui computer ove NON sia installata la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO segnaliamo:
  • il massimo numero di file crittogarfati registrati è stato di 129.714;
  • il minimo è stato di 2.813, di fatto tutti i file di dati presenti su quel PC / SERVER;
  • la media dei file crittografati su PC / SERVER ove NON era presente la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO è stata di 42.452. 


Qual'è l'efficacia della protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO

Per dare un reale valore alla tecnologia di protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO è necessario confrontare la media dei file crittografati sui PC / SERVER ove fosse attiva la protezione Anti-CryptoMalware con la media dei file crittografati dove la protezione sia stata disattivata o dove Vir.IT eXplorer PRO non fosse stato installato:
  • la media dei file crittografati su PC / SERVER con la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO è stata di 157 file;
  • la media dei file crittografati con Anti Virus-Malware diverso da Vir.IT è stata di 42.452.
Noti questi due valori è ragionevole determinare l'efficacia della protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO come il rapporto tra la differenza tra la media dei file che potrebbero essere stati salvati se su quei PC / SERVER se fosse stata attiva la protezione di Vir.IT (42.452-157) e la media dei file che sono stati effettivamente crittografati (42.452) essendo presente un AV diverso da Vir.IT.
Matematicamente: [ ( 42.452 - 157 ) / 42.452 ] * 100 = 99,63% 
Protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO
Efficacia della tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO 99,63%

Conclusioni

Sebbene il campione sia limitato, trattandosi dei soli clienti di Vir.IT eXplorer PRO che hanno contattato il nostro supporto tecnico telefonicamente, possimo notare che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO, se correttamente installata e utilizzata secondo le specifiche della casa madre, è in grado di limitare la crittograzione dei file:

Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware ITALIANO con tecnologie Anti-CryptoMalware
  • fino ad un massimo di 20 file nel 57,97% dei casi rilevati;
  • tra 21 e 100 nel 26,09% dei casi rilevati;
  • tra 101 e 225 nel 10,14% dei casi rilevati.
Nei casi residui sono stati crittografati oltre 225 file, la maggior parte dei quali, collocati nelle cartelle escluse dalla protezione Anti-CryptoMalware.

Se confrontiamo il numero di file crittografati da attacchi CryptoMalware su computer dove non era installato Vir.IT eXplorer PRO o la protezione Anti-CryptoMalware era disattivata, ove i file crittografati hanno toccato il picco di quasi 130.000 con una media di 42.452, possiamo concludere che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO se utilizzata secondo le specifiche raccomandate dal produttore è in grado di arginare con ragionevole affidabilità attacchi CryptoMalware delle famiglie ad oggi note anche dalle varianti di nuova generazione con una mitigazione del danno rispetto a sistemi privi di protezione del 99,63%. 

Il modulo Anti-CryptoMalware di Vir.IT inoltre utilizza un sistema di backup automatico, chiamato backup on-the-fly, che permette:
  • backup di file documenti (.doc, .docx, .xls, .xlsx, .jpg, .pdf, etc) con dimensione compresa tra 2 KB e 3 MB;
  • conservazione del backup on-the-fly per 48 ore.
Senza contare la possibilità di ripristinare i file crittografati dalle copie di backup generati da Vir.IT BackUp dove potremmo avere a disposizione file aggiornati al giorno precedente l'attacco riducendo ulteriormente le perdite ai soli nuovi file creati successivamente all'ultima BackUp disponibile.
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft
Protezione Euristica Crypto-Malware integrata in Vir.IT eXplorer PRO
Vir.IT BackUp, il BackUp avanzato che salva i tuoi preziosi dati dai Crypto-Malware


TG Soft - Divisione Ricerca & Sviluppo




Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283