Selected news item is not available in the requested language.

Italian language proposed.

Close

08/12/2015
12:26

Come proteggere al meglio PC e SERVER da attacchi Crypto-Malware, anche di nuova generazione, con le tecnologie integrate in Vir.IT eXplorer PRO!!!

Dopo gli attacchi Crypto-Malware delle ultime settimane abbiamo redatto un'informativa puntuale per configurare al meglio PC e SERVER proteggendoli da attacchi Crypto-Malware anche di nuova generazione...
Il Centro Ricerche Anti-Malware di TG Soft ha registrato nell'ultima settimana di novembre un notevole incremento di attacchi Crypto-Malware di nuova generazione della famiglia/tipologia TeslaCrypt che si è diffuso attraverso vari messaggi di posta elettronica, quantomai spartani, con un file allegato .ZIP dai nomi più disparati, tra i quali:
Principali argomenti trattati
  • info.zip;
  • img.zip;
  • love.zip;
  • part1.zip.
 Quando il tuo PC / SERVER dovesse venire attaccato da Crypto-Malware   

Il TeslaCrypt utilizza l'algoritmo di crittazione AES CBC a 256 bit. La chiave utilizzata per crittare non viene memorizzata all'interno dei file o del computer, ma inviata ad un server attraverso la rete TOR-Onion.
Questo Crypto-Malware utilizza l'algoritmo ECDH (Ellipitc Curve Cryptography Diffie-Hellman) per la generazione della chiave pubblica.

A tutt'oggi è impossibile decrittare i file crittografati dalle ultime varianti di TeslaCrypt, a meno che non si conosca la chiave privata a 256 bit .

I file crittati da TeslaCrypt sono riconoscibili perchè hanno estensione .vvv.		 Immagine di un attacco da CyrptoMalware della famiglia TeslaCrypt

Prima di procedere riteniamo sia utile spiegare cosa siano e come operino i Crypto-Malware.

Cosa sono e come operano i Crypto-Malware

I Crypto-malware sono dei ransomware cioè dei malware che crittografano file di documenti all'interno dei computer rendendoli inutilizzabili e, per la loro decrittografazione, richiedono un pagamento/riscatto. Ogni ora vengono re-impacchettate nuove varianti di malware, ad esempio: CryptoLocker; CryptoWall; TeslaCrypt etc. etc. rendendo difficoltosa la loro intercettazione tramite il metodo delle firme di identificazione. Il metodo delle firme in particolare per la protezione in tempo reale, per queste tipoligie di attacchi, risulta in molti casi inefficace.
La peculiarità di questa tipologia di malware è che quando viene eseguito il file, si attiva immediatamente la crittografazione dei documenti rendendo la protezione dell'AntiVirus attraverso le firme di univoca identificazione inefficace.
 
Videata dopo crittografazione file da attacco CryptoWall Videata dopo crittografazione file da attacco CTB-Locker

I Crypto-malware hanno, in sintesi, e senza la presunzione dell'esaustività, le seguenti caratteristiche peculiari:
  • sono generalmente dei malware "polimorfici" cioè mutanti. Polimorfismo ottenuto attraverso l'attivazione di file totalmente diversi dal medesimo link ad intervalli di tempo molto ravvicinati anche nell'ordine del quarto d'ora (15'), da dove vengono scaricati file che potranno scatenare la crittografazione dei file di dati oppure, in altenativa, l'attacco di altre tipologie di virus/malware quali dropper, rootkit etc. etc. Di fatto con una frequenza di mutazione/distribuzione così ravvicinata che nessun software basato su un approccio preventivo tradizionale (scudo residente in tempo reale basato sulle firme/pattern di identificazione), potrà ragionevolmente essere in grado di bloccare preventivamente.
  • hanno un periodo di incubazione praticamente nullo. L'attivazione del Crypto-Malware produce immediatamente i propri effetti malevoli/dannosi come la crittografazione dei file di uso più comune quali, ad esempio: .doc, .xls, .mdb, .jpg etc. etc. e in più di qualche occasione anche i file di backup di alcuni dei più comuni sistemi in uso;
  • crittografano i dati con algoritmi estremamente sofisticati anche a 2.048 bit rendendoli, di fatto, praticamente irrecuperabili. 
  • richiedono un riscatto, in molti casi in BitCoin attraveso la rete Tor-Onion (deep-web / dark-web), per la decrittografazione dei file quindi, i loro creatori, visto il ritorno economico, per mantenere elevata l'efficacia del tentativo di truffa hanno tutto l'interesse di variare i file portatori con la massima velocità di modo che alcun software AntiVirus-AntiSpyware-AntiMalware possa intercettarli preventivamente.

Come proteggersi da attacchi Crytpo-Malware, anche di nuova generazione, con le tecnologie integrate in Vir.IT eXplorer PRO

Nell'informativa dello scorso 26 novembre 2015, analizzando gli attacchi Crypto-Malware registrati dai ricercatori del nostro Centro Ricerche Anti-Malware abbiamo cercato di mettere in evidenza le tecnologie integrate in Vir.IT eXplorer PRO ed il loro uso più corretto.

Il Centro Ricerche Anti-Malware di TG Soft ha analizzato negli ultimi 3 anni alcune delle tipologie di Crypto-Malware più diffuse ed ha messo a punto due tecnologie:

  • la prima è Vir.IT BackUp, -prevenire è meglio che curare, soprattutto se il male è incurabile...- o, in altenativa, -pensarci prima per non piangere dopo...-. Si tratta di un sistema di backup avanzato progettato per salvaguardare i file di dati usati più comunemente da ogni utente. Vir.IT BackUp, con estrema semplicità ed immediatezza, permette all'utente di mappare le cartelle che ospitano i file di uso più comune e di queste cartelle, ma soprattutto del loro contenuto, in modo pianificato, procederà ad effettuarne un BackUp automatico con cadenza giornaliera o settimanale. In questo modo, se su quel PC / SERVER dovesse giungere una nuova variante di Crypto-Malware non ancora identificata che procedesse a crittografare i file di dati, questi potranno essere ripristinati da Vir.IT BackUp, poichè i file generati da Vir.IT BackUp, trattandosi di un sistema di BackUp AVANZATO, sono ragionevolmente garantiti dalla cancellazione da un eventuale utente maldestro o dalla modificati da un agente informatico, cioè non potranno essere crittografati da alcuna tipologia di Crypto-Malware anche di nuova generazione.
  • la seconda ha un approccio euristico-comportamentale con l'obiettivo della mitigazione del danno che attraverso lo scudo residente in tempo reale di Vir.IT eXplorer PRO, tra le altre cose, monitora anche i processi ed è in grado di identificare quelli che effettuano delle attività di modifica dei file riconducibili alla crittografazione degli stessi. Individuato il processo sospetto, questo viene "inabilitato", permettendo il salvataggio dalla crittografazione di oltre il 99,63% dei file di dati. Su attacchi reali si è verificato che il minimo numero di file crittografati nella fase iniziale dell'attacco CryptoMalware, anche di nuova generazione, è stato 5 (cinque) salvando tutti gli altri file di dati. Considerando mediamente che i file di dati potenzialmente crittografabili siano dell'ordine dei 10.000, di fatto la percentuale di efficacia di questa tecnologia può arrivare al (1-5/10.000)*100 = 99,95%.
  • Nella fase iniziale dell'attacco CryptoMalware, quando l'approccio euristico-comportamentale sta valutando di intevernire per "inabilitare" il processo, il modulo AntiCryptoMalware di Vir.IT eXplorer PRO possiede un sistema di salvataggio "al volo", chiamato backup on-the-fly, che effettua letteralmente "al volo":
    • il backup dei file documenti (.doc, .docx, .xls, .xlsx, .jpg, .pdf, etc) con dimensione compresa tra 2 KB e 3 MB;
    • la conservazione del backup on-the-fly per 48 ore nella cartella tmpbkp presente in radice della cartella VirITeXp.
 		 C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

Vir.IT BackUp, il BackUp avanzato che salva i tuoi preziosi dati dai Crypto-Malware

Protezione Euristica Crypto-Malware
Vir.IT eXplorer PRO preserva i tuoi preziosi dati anche dai Crypto-Malware
In buona sostanza attraverso un corretto utilizzo di Vir.IT eXplorer PRO sarà possibile salvare, in buona parte dei casi, se non il 100% dei nostri preziosi file di dati, una percentuale asintotica al 100% poichè la maggior parte verrà protetta. Inoltre i file che, nella fase iniziale dovessero essere stati crittografati dal Crypto-Malware, potranno essere ripristinati, in modo selettivo dai file di backup generati con Vir.IT BackUp il che riduce ad una piccola porzione di file, quantificabile in 15/20, la "perdita" delle modifiche effettuate dagli utenti dalla data di effettuazione dell'ultimo backup  fino all'avvenuta crittografazione di questi file da parte del Crypto-Malware che malauguratamente lo stesso utente dovesse aver avuto modo, disgraziatamente, di attivare.
 

Come configurare e utilizzare al meglio le tecnologie Anti-CryptoMalware integrate in Vir.IT eXplorer PRO per mitigare le possibili conseguenze di un attacco anche di nuova generazione

Come evidenziato dall'analisi degli attacchi CryptoMalware avvenuti nell'ottobre scorso ed illustrati nell'infomativa del 26/11/2015 - La protezione Anti-CryptoMalware di Vir.IT eXplorer PRO salva dalla crittografazione, mediamente, non meno del 99,63% dei file rispetto a sistemi ove non sia presente Vir.IT eXplorer PRO... si può notare dal dettaglio di ogni caso singolare indagato che le situazioni più critiche, cioè quelle che hanno avuto il maggior numero di file crittografati, si sono verificate per i seguenti motivi:

  • Vir.IT eXplorer PRO era stato disinstallato o disabilitato ==> NON bisogna disinstallare Vir.IT eXplorer PRO o disabilitarne componenti !
  • Seppur Vir.IT eXplorer PRO fosse installato, era stata effettuata la scelta di escludere delle cartelle dal controllo dello scudo residente in tempo reale e quindi anche dalla protezione euristico-comportamentale Anti-CryptoMalware di Vir.IT eXplorer PRO ==> NON è consigliato escludere cartelle dal controllo in tempo reale !
  • L'utente ha effettuato uno o più riavvii del PC / SERVER dando l'opportunità al CryptoMalware di procedere progressivamente, dopo ogni riavvio, alla  crittografazione di un numero cumulativamente crescente dei file di dati. Più riavvii verranno eseguiti maggiori saranno i file crittografati !!! ==> E' bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare il nostro supporto tecnico come indicato, per altro, anche nella videata di ALERT di seguito riportata.
Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO

Da queste considerazioni consigliamo di procedere come segue:
  1. Configurare Vir.IT BackUp facendo particolare attenzione a mappare:
    • le cartelle contenenti i file di dati di utilizzo più comune e di maggiore interesse per l'utente;
    • le cartelle eventualmente escluse dal controllo in tempo reale come, ad esempio, le cartelle dei dBase di eventuali software gestionali che, per prassi, alcuni sistemisti sono usi escludere. Il contenuto di queste cartelle, nel caso di attacco non potrà essere preservato dalla crittografazione ma almeno, grazia a Vir.IT BackUp, si avrà a disposzione un BackUp recente da cui effettuare il ripristino dei file eventualmente crittati.
  2. Effettuare, se possibile, i backup su dischi esterni collegati via USB al computer presidiato con Vir.IT eXplorer PRO così da preservarli, con ragionevole certezza, da maldestre cancellazioni o da modifiche di agenti informatici noti o ancora sconosciuti come l'eventuale tentativo di crittografazione da parte di crypto-malware. Se non si dovesse disporre di un disco esterno collegato via USB alla macchina dove sia presente Vir.IT eXplorer PRO effettuare il backup sul disco rigido stesso della macchina protetta con Vir.IT eXplorer PRO.
  3. Schedulare/Pianificare Vir.IT BackUp con frequenza giornaliera in un orario ove la macchina sia accesa ma non utilizzata come, ad esempio, in pausa pranzo.
  4. Per il miglior utilizzo di Vir.IT BackUp vi invitiamo a consultare l'informativa del 03/04/2014 - E' arrivata la stagione di proteggere i Vostri dati più preziosi con Vir.IT Backup


Cosa fare quando scatta la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalawre integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
  • SCOLLEGARE IL CAVO DI RETE ==> In questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  • NON RIAVVIARE IL COMPUTER ==> E' bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e contestualmente chiamando i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nei giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.

 

 Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 

99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa

Se su quel PC / SERVER oggetto dell'attacco CryptoMalware non vi siano cartelle escluse dalla protezione residente in tempo reale di Vir.IT eXplorer PRO, e siano state correttamenrte e tempestivamente eseguite le attività suggerite,  l'aspettativa di salvataggio dei file di dati dalla crittografazione è mediamente del 99,63%!!!

I file che dovessero venire crittografati nella fase iniziale o nelle eventuali cartelle escluse da controllo in tempo reale potranno essere ripristinati selettivamente da Vir.IT BackUp, sempre che sia stato correttamente configurato e attivato.



TG Soft - Divisione Ricerca & Sviluppo

* Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.
 

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: