26/03/2013
08:43

Nuovo attacco mirato ai SERVER, diffonde malware che cripta i file chiedendo un riscatto di 5000 $ !!!

Da Lunedì 25 marzo 2013, una serie di attacchi mirati ai Server, diffonde malware che cripta tutti i file del computer, richiedendo un riscatto di 5000 $ inviando un email a italyhelp1@gmail.com
Da Lunedì 25 Marzo 2013, il C.R.A.M. ha rilevato una serie di attacchi mirati ai Windows Server.

Un nuovo malware, il Trojan.Win32.ACCDFISA.A  e  Trojan.Win32.ACCDFISA.B sta attaccando i sistemi server Microsoft criptando i documenti o file dati in questo modo:
<nome file documento>
sarà criptato con il seguente nome: <nome file documento>(!! to get password email id ????????? to italyhelp1@gmail.com !!).exe

dove l'ID "????????" è numero che cambia da computer a computer.

esempio: fattura.doc(!! to get password email id 1288927338 to italyhelp1@gmail.com !!).exe

Il computer viene infettato da un cracker sfruttando una falla dei sistemi operativi Microsoft.

Il cracker infetta il computer mettendo in esecuzione automatica i seguenti file:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[svchost] = %programdata%\<cartella casuale>\svchost.exe  --> Trojan.Win32.ACCDFISA.A

[HKLM\System\CurrentControlSet\Services\WinSamSs]
[image path] = %system%\lsassw86s.exe    --> Trojan.Win32.ACCDFISA.B

Il Trojan.Win32.ACCDFISA.A è costituito dai seguenti file:
  • svchost.exe (182.784 byte): il suo compito è quello di visualizzare il messaggio di riscatto del computer di 5000 $ bloccando il pc
  • scsvserv.exe (17.920 byte): modifica il registro di Windows, disabiltando report degli errori e cancellando tutte le voci da HKLM e HKCU di RUN.
Dentro la cartella "c:\programdata" vi sono una serie di cartelle numeriche (esempio: 03230240582). Dentro queste cartelle numeriche vi sono svariati file:
  • <numero casuale>.dll
  • <numero casuale>.bat
  • <numero casuale>fspall1.dll
  • <numero casuale>.dll.dlls
  • BKR<numero>.dll
  • S1_<numero>.dlls
  • DB1_<numero>.dlls
Esempi: 032302405814.dll

Il file <numero casuale>.dll contiene un numero casuale molto lungo:
3423434534512333466576743532423423545657567657465345345234234

Il file <numero casuale>fspall1.dll contiene un numero casuale:
768969456453464765875345436568679678673453457568679678678567767

Il file <numero casuale>.dll.dlls contiene il file <numero casuale>.dll criptato con RAR.
 
Il file <numero casuale>.bat contiene il seguente comando:
netsh.exe Interface ip Set address "Connessione di rete" Static 172.245.0.1 255.255.0.0 172.245.0.1 1
  
Il file BKR<numero>.dll contiene una lista dei file .log.
Il file S1_<numero>.dll contiene una lista dei file .jp. txt, pdf, etc.
Il file DB1_<numero>.dll contiene una lista dei file .DB



Il Trojan.Win32.ACCDFISA.B è costituito da i seguenti file:
  • lsassw86s.exe (80.896 - 84.480 byte): il suo compito è quello di criptare i documenti, viene eseguito come servizio.
Il Trojan.Win32.ACCDFISA.B cancella la chiave di registro del "SafeBoot", impossibilitando il riavvio del computer in modalità provvisoria.


Il malware scarica i seguenti file:
svchost.exe  (404.992 byte) - > è il Command line RAR
cfwin32.dll  (404.992 byte) - > è il Command line RAR
sdelete.dll (155.936 byte) -> dll della Sysinternals, firmato digitalmente da Microsoft, utilizzato per eliminare in modo sicuro (senza possibilità di recupero) i file dal disco
nsf.exe (48.640 byte) -> Infetto da Trojan.Win32.NoSafeMode.A
NoSafeMode.dll (12.800 byte) -> Infetto Trojan.Win32.NoSafeMode.B

Il malware utilizza il "Command Line RAR" per crittografare i documenti.

La falla utilizzata sta nella possibilità di collegarsi con terminal server anche da un indirizzo ip esterno alla rete dove risiede il server; successivamente, il cracker, mediante attacchi bruteforce individua le password degli account sul server.

Per proteggersi da questi tipi di attacchi ci sono tre operazioni da eseguire:

1) installare tutti gli aggiornamenti di Windows e riavviare il server per renderli effettivi, dato che la Microsoft ha già risolto questa falla con l'aggiornamento KB2621440 essenziale per la protezione, rilasciato circa un anno fa (13 Marzo 2012) e trascurato per la generale cattiva manutenzione riscontrata sui server.

2) nelle impostazioni del terminal server, bisogna bloccare le connessioni in ingresso da indirizzi ip esterni alla rete in modo tale che i Cracker non possono collegarsi e diffondere il malware;

3) impostare password di elevata complessità (numeri, lettere maiuscole e minuscole, caratteri speciali, di lunghezza di almeno 12 caratteri) su tutti gli account presenti sul server, così da rendere molto difficile la individuazione da parte dei cracker.
Il malware diffuso, cripta tutti i file di testo (.txt, .doc, .dat, ecc...) in archivi autoestraenti con una password impossibile da recuperare dato che viene inviata al/i creatore/i del malware e non lascia nessuna traccia.

Inoltre, crea un servizio che, al successivo riavvio, cripta tutti i file che non stati criptati la prima volta, con una password generata in modo differente dalla prima.
Al momento non esistono metodi per recuperare i file criptati, dato che utilizzano la criptazione di winrar basata sull'algoritmo AES.
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: