Come si manifesta CryptoEncoder Saraswati
|
Non si conoscono le modalità di diffusione del Trojan.Win32.CryptoEncoder Saraswati, molto probabilmente si diffonde attraverso siti compromessi che possono contenere vulnerabilità di Java, Adobe Flash Player o Adobe Reader.
Il Trojan.Win32.CryptoEncoder Saraswati si presenta con il nome saraswati.exe e viene copiato all'interno di cartella roaming dell'utente %user%\appdata\roaming\:
- NOME FILE: saraswati.exe
- DIMENSIONE: 114688 byte
- MD5: 67f54ddc01178bb5878fe14a567813fc
Nome del progetto trovato all'interno del crypto-malware: C:\crysis\Release\PDB\payload.pdb |
|
| CryptoEncoder Saraswati crittografa i file di documenti (come .doc, .xls. .ppt, .jpg, etc) ma anche file binari (come .exe, .dll, etc) e li rinomina aggiungendo al nome originale l'estensione .id-????????.{mahasaraswati@india.com}.xtbl |
 |
Il
Trojan.Win32.CryptoEncoder Saraswati mette in esecuzione automatica se stesso aggiungendo la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[lttmrsuc] = %windir%\System32\Saraswati.exe
Mette in esecuzione automatica del menu di avvio se stesso e le istruzioni del riscatto in formato txt e jpg:
%user%\Menu Avvio\Programmi\Esecuzione automatica\Saraswati.exe
%user%\Menu Avvio\Programmi\Esecuzione automatica\How to decrypt your files.jpg
%user%\Menu Avvio\Programmi\Esecuzione automatica\How to decrypt your files.txt
Sul desktop dell'utente viene copiato il seguente file:
%user%\Desktop\How to decrypt your files.txt
Nella cartella dell'utente viene copiato il seguente file:
%user%\How to decrypt your files.jpg
Il riscatto richiesto da CryptoEncoder Saraswati
Per conosce il riscatto richiesto da CryptoEncoder Saraswati è necessario inviare un email all'indirizzo mahasaraswati@india.com, come indicato nel file delle istruzioni rilasciate.
CryptoEncoder Saraswati al termine della crittografazione, genera nelle cartelle interessate dal suo operato due file con le istruzioni per il pagamento del riscatto:
- How to decrypt your files.txt
- How to decrypt your files.jpg
To decrypt your data write me to mahasaraswati@india.com
|
Abbiamo inviato una mail all'indirizzo indicato e questa è stata la loro risposta:
Good morning, dear friend!
We are writing to inform you that our team of network security specialists has analyzed your system and has identified vulnerabilities in the protection.
We kindly draw your attention that defensive operation on your computer is not running properly and now the whole database is at risk.
All your files are encrypted and can not be accepted back without our professional help.
Obviously vulnerability analysis, troubleshooting, decoding the information and then ensuring safety are not a simple matter.
And so our high-grade and quick service is not free.
Please note that today the price of your files recovery is 3 Bitcoins, but next day it will cost 5 Bitcoins.
You should buy bitcoins here https://localbitcoins.com/faq
Read the paragraphs:
1. How to buy Bitcoins?
2. How do I send Bitcoins and how can I pay with Bitcoins after buying them?
The Bitcoin wallet for payment is 1DGMeKSALSkYGkedYDUgcvV8mP77WEGusQ
After the transfer of bitcoins please send email with screenshot of the payment page.
We does not advise you to lose time, because the price will encrese with each passing day.
As proof of our desire and readiness to help you, we can decipher a few of your files for test.
To check this you can upload any encrypted file on web site dropmefiles.com, size no more than 10 MB (only text file or a photo) and send us a download link.
Certainly after payment we guarantee prompt solution of the problem, decrypt the database to return to its former condition and consultation how to secure the rules of the system safety.
Kind regards, Saraswati. |
I file che vengono crittati da
CryptoEncoder Saraswati per essere decrittografati necessitano del pagamento di un riscatto pari a 3 BitCoin, ma il riscatto salirà a 5 BitCoin il giorno successivo.
Come proteggersi da CryptoEncoder Saraswati
La versione attuale di Anti-Ransomware (l'automa euristico-comportamentale) integrato in
Vir.IT eXplorer PRO è già in grado di bloccare nella fase iniziale l'attacco del
CryptoEncoder Saraswati.
Come già segnalato, la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.
Dati per ragionevolmente certi i corretti:
- INSTALLAZIONE;
- AGGIORNAMENTO sia delle Firme sia del Motore;
- CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.
Torna ad inizio pagina
Come comportarsi per mitigare i danni derivanti da CryptoEncoder Saraswati
Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
- SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di TeslaCrypt.
- NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa
|
Posso recuperare i file cifrati?
Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da
CryptoEncoder Saraswati saranno al più qualche decina.
I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup o provando qualche tool, attualmente esistente, per il recupero dei file crittografati
.id-????????.{mahasaraswati@india.com}.xtbl
Nei casi analizzati dal C.R.A.M. di TG Soft, non è stato possibile recuperare i file utilizzando le
shadow copies dei giorni precedenti all'attacco dato che il malware ne effettua la cancellazione.
Considerazioni finali
Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
- siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
- NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso speciofico di attacco CryptoEncoder Saraswati, procedere a:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
Se vi troviate nel caso 1., dove grazie a
Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il
supporto tecnico di TG Soft.
Nel caso 2., non avendo Vir.IT eXplorer PRO, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di
Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.
TG Soft
Centro Ricerche Anti-Malware
