Come si manifesta CryptoFBI
|
Il CryptoFBI viene scaricato ed eseguito nel PC tramite un malware appartenente alla famiglia Trojan.Win32.Sathurbot.
Il Trojan.Win32.Sathurbot viene caricato all'avvio del computer agganciandosi alla shell di windows, e più precisamente utilizza la chiave del registro:
[HKEY_CLASSES_ROOT\Drive\ShellEx\FolderExtensions\{stringaCLSID}]
dove {stringaCLSID} corrisponde alla chiave:
[HKEY_CURRENT_USER\Software\Classes\CLSID\{stringaCLSID}]
al suo interno contiene la sotto-chiave "InprocServer32" dove è presente il percorso del file .DLL contenente il Trojan.Win32.Sathurbot
%allusersprofile%\{stringaCLSID_casuale}\<nomecasuale>.dll
Il Trojan.Win32.Sathurbot esegue attività di downloader, ovvero scarica altri malware e ne permette la loro esecuzione in modalità stealth (invisibile/nascosto).
Solitamente l'infezione avviene attraverso alcune vulnerabilità presenti in:
- Java;
- Flash Player;
- Adobe Reader;
che si attivata durante la navigazione su siti web compromessi.
Il file del CryptoFBI viene salvato dentro la cartella temp dell'utente (%TEMP%).
Esempi di file del CryptoFBI raccolti dal C.R.A.M. sono riportati nell'elenco riportato sotto a sinistra.
Nella immagine a destra, invece, si può osservare sul task manager di windows come si presenta la schermata del cryptomalware mentre è attivo: la finestra si chiama "FBI WARNING".
- NOME FILE: ABDB.tmp.exe
- DIMENSIONE: 195584 byte
- MD5: 187DC47FB1455B3B47E5913DFE8D03E1
- NOME FILE: 1627.tmp.exe
- DIMENSIONE: 168960 byte
- MD5: 32219BB4A2F998364B120598FAF7929B
- NOME FILE: 321.tmp.exe
- DIMENSIONE: 160256 byte
- MD5: 45812BED1F5CAB8E30968AEE64A2D425
- NOME FILE: C3C3.tmp.exe
- DIMENSIONE: 192000 byte
- MD5: 5BD91CB7BD1768D61A1AEE960097C022
- NOME FILE: 365F.tmp.exe
- DIMENSIONE: 136192 byte
- MD5: 9CCD5A0FAB7F9DCC27E6685E310B9CCA
|
Click per ingrandire |
|
Il riscatto richiesto da CryptoFBI
I file che vengono cifrati da
CryptoFBI per essere decrittografati necessitano di un pagamento in BitCoin.
Per ottenere le informazioni riguardo al pagamento del riscatto è necessario consultare i file generati dal cryptomalware, di seguito indicati:
- 4-19-2016-INFECCIONI.TXT
- 41920160000000.KEYHOLE
Nei file di istruzioni per il pagamento del riscatto viene indicato di contattare i ricattatori o via email agli indirizzi:
momsbestfriend@protonmail.com;
torrenttracker@india.com oppure utilizzando il programma di messaggistica
BitMessage.
Nel messaggio di informazioni vengono anche indicate il proprio ID infezione ed il nome del pc infetto.
Come proteggersi da CryptoFBI
Come già segnalato, la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.
Dati per ragionevolmente certi i corretti:
- INSTALLAZIONE;
- AGGIORNAMENTO sia delle Firme sia del Motore;
- CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.
Torna ad inizio pagina
Come comportarsi per mitigare i danni derivanti da CryptoFBI
Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
- SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di CryptoFBI.
- NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa
|
Posso recuperare i file cifrati?
Con protezione Anti-Crypto Malware integrata in Vir.IT eXplorer PRO, il numero dei file cifrati da
CryptoFBI saranno al più qualche decina.
I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup.
In alcuni casi analizzati dal C.R.A.M. di TG Soft, dove il l'utente/cliente non aveva configurato e/o attivato il sistema di backup avanzato integrato in Vir.IT eXplorer PRO (
Vir.IT BackUp), è stato possibile recuperare alcuni file utilizzando le
shadow copies dei giorni precedenti all'attacco.
Considerazioni finali per mitigare l'attacco da CryptoFBI
Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
- siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
- NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso speciofico di attacco crytpoFBI, procedere a:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la sitaazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
Se vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il
supporto tecnico di TG Soft.
Nel caso 2., non avendo Vir.IT eXplorer PRO, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.
TG Soft
Centro Ricerche Anti-Malware
