02/02/2016
16:10

Attacchi TeslaCrypt 3.0 => NON APRITE quelle MAIL... Ecco come procedere per difendersi al meglio con Vir.IT eXplorer PRO

Come già segnalato la tecnologia Anti-CrytpoMalware di Vir.IT eXplorer PRO ha retto egregiamente a questi attacchi riuscendo a salvare dalla crittografazione, mediamente, il 99,63% dei file...

Anche oggi martedì 2 febbraio sta continuando l'attacco TeslaCrypt 3.0 con un massivo invio di e-mail avente i seguenti oggetti:
  • Nome del mittente;
  • Data e ora;
  • Hi.
Il corpo del messaggio è costituito da una decina di righe vuote e termina con una riportante data e ora. In allegato vi è un file zippato avente nome casuale di 3 caratteri al cui interno si cela un file JavaScript che inizia con nome INVOICE_ come riportato nei seguenti esempi:
  • invoice_SCAN_qH7le.js;
  • invoice_copy_StXQDm.js;
  • invoice_GavJVj.js;
 Clicca per ingrandire l'immagine di un esempio di email infetta che, se eseguito l'allegato, scatena TeslaCrypt 3.0
Clicca per ingrandire l'immagine
Le prime avvisaglie erano state riscontrare lo scorso 25 gennaio,  poi nel fine settimana tra il 30 e il 31 gennaio attraverso un massivo invio di e-mail  strutturate come segnalato molti utenti, considerandole attendibli, hanno eseguito l'allegato scatenando l'inferno.

Il riscatto richiesto da TeslaCrypt 3.0

I file che vengono crittati da TeslaCrypt 3.0 per essere decrittografati necessitano del pagamento di un riscatto di 500 dollari in BitCoin per ogni chiave. Questo significa che se il malcapitato utente ha riavviato il PC / SERVER per "n" volte i sui file saranno crittografati con "n+1" chiavi differenti e il riscatto da pagare per decrittografarli tutti sarà di 500*"n+1" dollari. Ad esempio 3 chiavi => (3*500) = 1.500 dollari in bitcoin

Come proteggersi da TeslaCrypt 3.0

Come regola generale, non bisogna mai dimenticarsi, che dietro ogni link o ogni allegato di ogni mail può celarsi un malware. Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro. Se distrattamente abbiamo eseguito l'allegato che scatena l'inferno della varianti di TeslaCrypt 3.0 e siano clienti Vir.IT eXplorer PRO abbiamo più di qualche probabilità di salvare i nostri preziosi dati dalla crittografazione!

Come già segnalato la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, ha retto egregiamente a questi attacchi riuscendo a salvare dalla crittografazione fino al 99,63% dei file e permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie alle tecnologie di BackUp integrate:
  • BackUp-On-The-Fly;
  • Vir.IT Backup.

Dato per ragionevolmente certa la corretta:

  • INSTALLAZIONE;
  • AGGIORNAMENTO sia delle Firme sia del Motore;
  • CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.


Per questa particolare varianti di TeslaCrypt 3.0 (.micro) in Vir.IT (dalla versione 8.0.98) è stata implementata la possibilità di carpire la chiave di crittazione durante la fase di attacco del CryptoMalware. Questo permetterà il recupero dei file crittati da TeslaCrypt 3.0 ove Vir.IT abbia catturato la chiave utilizzata.
Per la decrittazione dei file è necessario il supporto tecnico TG Soft attraverso il tool Ninjavir.
Ricordiamo che il TeslaCrypt ad ogni esecuzione del malware utilizza una chiave di crittazione differente. Questo significa che ad ogni riavvio del computer con il malware attivo, al riavvio questo critterà i file con una chiave differente dalla precedente. Ad esempio, se su un computer infetto è stato eseguito il CryptoMalware e successivamente sono stati eseguiti 2 riavvii, i file saranno crittati con 3 chiavi differenti.

Come comportarsi per mitigare i danni derivanti da TeslaCrypt 3.0

Come segnalato poichè questa famiglia di TeslaCrypt modifica la chiave di cifratura ad ogni esecuzione del malware, quindi ad ogni riavvio, logica vuole che per ridurre al minimo il numero delle chiavi con le quali vengono crittografati i file di dati non si procedesse MAI al riavvio del PC / SERVER fino all'intervento tecnico qualificato ad esempio quello del supporto TG Soft.

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus;
  2. SCOLLEGARE IL CAVO DI RETE ==> In questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  3. ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di TeslaCrypt.
  4. NON RIAVVIARE IL COMPUTER ==> E' bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 8:30-12:30 e 14:30-18:30.

 

 Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 

99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa

Posso decrittare i file .micro ?

Si a patto che Vir.IT eXplorer PRO sia stato installato prima dell'infezione da TeslaCrypt 3.0 e che abbia carpito le chiavi di codifica dei file che sono stati crittografati.

Considerazioni finali

Vi invitiamo a mantenere la calma e ad avere pazienza si tratta di un'emergenza diffusissima poichè molti sono stati indotti in inganno nell'esecuzione dell'allegato alla mail già segnalata poichè il mittente per la maggior parte dei casi analizzati sembrava essere conosciuto dal destinatario ma, purtroppo, così non era.



TG Soft
Relazioni Esterne


Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: