Il C.R.A.M. di TG Soft ha rilevato un nuovo cripto-malware "Anubis". Questo nuovo cripto-malware ,quando viene avviato, crittografa tutti i file presenti nel computer e li rinomina aggiungendo l'estensione ".coded". Per decifrare i file è necessario mandare una mail per ottenere la chiave e il programma per decrittografazione agli indirizzi indicati nelle istruzioni del riscatto.

INDICE ==> Come si manifesta Anubis   ==> Il riscatto richiesto da Anubis ==> Come proteggersi da Anubis ==> Come comportarsi per mitigare i danni derivanti da Anubis ==> Posso recuperare i file cifrati? ==> Considerazioni finali

Come si manifesta Anubis

Il malware si presenta con il nome di ANUBIS.EXE

Nome file: ANUBIS.EXE
Dimensione file: 117248 byte
MD5:104d38009f6b36bab64b625735907c88


Anubis durante l' esecuzione genera un ID per il computer che verrà mandata al server di C&C 190.14.37.177 insieme al nome dell'utente e il nome del PC attraverso una richiesta POST alla seguente pagina:

http://190.14.37.177/rs/createkeys.php

Form item: "idnumber" = "jPhHt30nkKhGBBYKzo1d"     Form item: "username" = "XXXXXX"     Form item: "pcname" = "XXXXXX-PC"

in risposta viene mandato una chiave RSA che verrà utilizzato per cifrare la chiave AES.
Ora Anubis esegue una richiesta POST alla seguente pagina:

http://190.14.37.177/rs/savekey.php

Form item: "idnumber" = "jPhHt30nkKhGBBYKzo1d"     Form item: "pcname" = "XXXXXX-PC"     Form item: "aesencrypted" = "UslM29xzZfq4HRnwmwJ/vSi/vFSSZmdFJ7sAyEELB90eJaM Vtb80hs2XnrPTou7SdixLEH8+XJRSsF0i5SgwThx5Fpv6i7epOTjgLcw70a+e5q7+OA2XRvip KiQVbHUdBiBtqSlcBl20Mov7R9FTOSMrmPC9UGFSG4MUbqeJhpeqpjGpVU0i/oEXU1FjVX MwXUr4v6e9sOmgGIM2wQ"

Dove vengono inviate le informazioni relative a idnumber, pcname e aesencrypted.


Anubis crittografa i file con estensioni, come quelle riportate nella tabella sottostante, e li rinomina aggiungendo al nome originale l'estensione .coded.

.3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv .djvu, .doc .docb .docm .docx, .dot .dotm, .dwg .dotx, .exe, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar .java .jpeg, .jpg, .key, .lay .lay6, .ldf, .lnk, .log, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot .potm .potx .ppam, .pps .ppsm .ppsx, .ppt .pptm .pptx, .psd, .rar, .raw, .rtf, .sch .sldm .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .sql .sqlitedb, .tar, .tbk, .tgz, .tif .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls .xlsb .xlsm .xlsx, .xlt .xltm .xltx, .xlw, .zip, .7z

Il riscatto richiesto da Anubis:

Il cripto-Malware genera sul desktop della vittima un file "Decryption Instructions"(privo di estensione) contenente le istruzioni per pagare il riscatto e rimane in esecuzione.

IMPORTANT INFORMATION! -------------------------- Your Computer ID: jPhHt30nkKhGBBYKzo1d <---- Remember it and send to my email. -------------------------- All your files are encrypted strongly.! - How to open my file?   - You need Original KEY and Decrypt Program   - Where can i get?   - Email to me: support.code@aol.com or support.code@india.com (Open file Decryption Instructions on your Desktop and send your SID)

Viene scaricato sempre dallo stesso indirizzo immagine "ransom.jpg" come mostrato di sotto nella cartella del utente


Inviando l' email  si viene a conoscenza che il costo per aver il programma e la chiave  per recuperare i file è di 2.5 BTC  poco meno di 1500 €, ma dopo un giorno passano a 3 BTC.

Come proteggersi

Vir.IT eXplorer Pro e' già in grado di identificare e bloccare nelle prime fasi dell'attacco del cripto-Malware Anubis.
Come già segnalato, la tecnologia Anti-CryptoMalware di Vir.IT eXplorer Pro se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.

 

Come comportarsi per mitigare i danni derivanti da Anubis

 

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata inVir.IT eXplorer Pro sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus. SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer. ESEGUIRE una SCANSIONE con Vir.IT eXplorer Pro su tutto il disco per rilevare la presenza della variante di TeslaCrypt. NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer Pro quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.

Clicca per ingrandire l'immagine   99,63%* Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer Pro ==> Consulta l'informativa

Considerazioni finali:

Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:

1. siete clienti di Vir.IT eXplorer Pro che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
2. NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso specifico di attacco Anubis, procedere a:
   
   • COLLEGARE il CAVO di RETE LAN;
   • SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
   • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.

Se vi troviate nel caso 1, dove grazie a Vir.IT eXplorer Pro e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il supporto tecnico di TG Soft.

Nel caso 2, non avendo Vir.IT eXplorer Pro, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft