Il
C.R.A.M. di
TG Soft ha riscontrato una nuova variante di cryptomalware, intercettato da
Vir.IT eXplorer PRO versione 8.1.35 come
Trojan.Win32.CryptoRokku.A
NOME FILE: bg.jpg.exe
MD5: 97512F4617019C907CD0F88193039E7C
DIMENSIONE: 681894 byte
Come si manifesta il CryptoRokku
Attualmente non si conosce la provenienza del campione del file inviato ai nostri laboratori ne le modalità di infezione che vengono utilizzate per la diffusione di questo cryptomalware.
Il malware dopo il processo di crittografazione copia all'interno delle cartelle le informazioni del riscatto in due file distinti:
- README_HOW_TO_UNLOCK.TXT contenente il testo:
YOUR FILE HAS BEEN LOCKED
In order to unlock your files, follow the instructions bellow:
1. Download and install Tor Browser
2. After a successful installation, run Tor Browser and wait for its initialization.
3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
4. Follow the instructions on the site.
- README_HOW_TO_UNLOCK.HTML contenente sempre il riscatto in formato HTML. Come si può notare hanno incluso il componente di Google Translate per effettuare la traduzione.
Click per ingrandire
| Come si può osservare dalla immagine a destra il Trojan.Win32.CryptoRokku crittografa i file mantenendo i nomi e relative estensioni dei file originali ed aggiunge una seconda estensione .rokku. |
Click per ingrandire |
Torna ad inizio pagina
Il riscatto richiesto da CryptoRokku
A destra la pagina del servizio di decriptazione: bisognerà innanzitutto caricare un file criptato per recuperare l'identificativo della infezione (order-id).
Successivamente sarà possibile ricollegarsi alla pagina del servizio senza dover ricaricare il file ma semplicemente inserendo il codice personale precedentemente ottenuto. |
Click per ingrandire |
Click per ingrandire |
Per decrittografare i file viene richiesto un pagamento di circa 100$, uno dei più economici tra la famiglia dei cryptomalware.
Il bitcoin address è disponibile anche in qr code. |
Dalla pagina sarà possibile scaricare il software per la decriptazione dei file.
La ROOT KEY è la chiave che permetterà di decrittografare tutti i file e sarà disponibile solo dopo il pagamento.
Inoltre è possibile decrittografare un file gratuitamente: bisognerà caricare il file per recuperare una chiave univoca che permetterà di decrittografarlo. |
Click per ingrandire |
Torna ad inizio pagina
Come proteggersi da CryptoRokku
Come regola generale, non bisogna mai dimenticarsi, che dietro ogni link o ogni allegato di ogni mail può celarsi un malware. Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro. Se distrattamente abbiamo eseguito l'allegato che scatena l'inferno della varianti di CryptoRokku e siano clienti Vir.IT eXplorer PRO abbiamo più di qualche probabilità di salvare i nostri preziosi dati dalla crittografazione!
Come già segnalato la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato alla versione 8.1.37 (versione di VIr.IT eXplorer PRO che aggiorna il motore per il blocco preventivo del CryptoRokku) ed utilizzato, ha retto egregiamente a questi attacchi riuscendo a salvare dalla crittografazione fino al 99,63% dei file e permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie alle tecnologie di BackUp integrate:
- BackUp-On-The-Fly;
- Vir.IT Backup.
Dato per ragionevolmente certa la corretta:
- INSTALLAZIONE;
- AGGIORNAMENTO sia delle Firme sia del Motore;
- CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.
Torna ad inizio pagina
Come comportarsi per mitigare i danni derivanti da CryptoRokku
Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus;
- SCOLLEGARE IL CAVO DI RETE ==> In questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di CryptoRokku.
- NON RIAVVIARE IL COMPUTER ==> E' bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 8:30-12:30 e 14:30-18:30.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa
|
Torna ad inizio pagina
Posso recuperare i file cifrati ?
Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da CryptoRokku saranno al più qualche decina.
I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup, attualmente non vi sono tool per il recupero dei file .rokku.
Torna ad inizio pagina
Considerazioni finali
Naturalmente invitiamo tutti a fare molta attenzione nell'aprire/eseguire gli allegati delle mail, anche se arrivano da un mittente noto o la navigazione su siti poco raccomandabili.
Segnaliamo di controllare preventivamente l'indirizzo e-mail del mittente prima di azzardarvi ad aprire/eseguire l'allegato.
Nel caso abbiate aperto/eseguito l'allegato e/o si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
- siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
- NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, in ogni caso varrà la pena, sempre e comunque, procedere a:
- SCOLLEGARE il CAVO di RETE LAN;
- NON RIAVVIARE il PC / SERVER di modo da limitare il numero di chiavi di crittografazione diverse attraverso le quali, ad ogni riavvio, vengono crittografati i file rimanenti. In questo modo, limiterete il costo dell'eventuale riscatto nel caso doveste decidere di effettuare il pagamento, scelta assolutamente sconsigliata.
Sia che vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, sia nel caso 2., vi invitiamo a mantenere la calma.
TG Soft
Relazioni Esterne
Torna ad inizio pagina
