Come si manifesta Trojan.Win32.Renamer
Il vettore d'infezione utilizzato dal
Trojan.Win32.Renamer è l'attacco al desktop remoto attraverso l'utente "
Guest" o altri utenti con
password deboli.
Quando il malfattore è riuscito ad entrare nel computer delle vittima esegue il paylod con il
Trojan.Win32.Renamer.
Nel caso analizzato il 1° Febbraio, il Trojan.Win32.Renamer era memorizzato nel file:
- Nome: smsss.exe
- Dimensione: 10.752 byte
- MD5: D9943F2BE5FB3966F019A66C79CC1D81
- Data di compilazione: 01/02/2017 13.26.48
La prima operazione che fa il Trojan.Win32.Renamer è quella di creare il file "
Readme.txt" nel desktop:
YOUR PERSONAL ID: 38392E39362E35352E3234353A33333939405345525645522D323031325C67756573743B
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail unCrypte@INDIA.COM
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
Per ogni unità il Trojan.Win32.Renamer cifra i nomi dei file e non il loro contenuto.
Le seguenti cartelle sono escluse dalla cifratura dei nomi dei file:
- Windows
- $Recycle.Bin
- Config.Msi
- MSOCache
- System Volume Information
- Recovery
In ogni cartella viene creato il file "ReadMe.txt".
I seguenti file non vengono rinominati:
- Readme.txt
- bootmgr
- BOOTNXT
- pagefile.sys
- swapfile.sys
- hiberfil.sys
- loadmgr
Ogni file viene rinominato aggiungendo il prefisso iniziale "unCrypte@INDIA.COM_" seguito dalla cifrauta del nome originale con l'algoritmo AES 256:
unCrypte@INDIA.COM_FADD7F772EC4A6601466E441136E13ED
unCrypte@INDIA.COM_5447E3C55CE4844C94C9500F381335AA
La strutta del file rinominato è la seguente:
unCrypte@INDIA.COM_<aes256 del nome originale del file>
Il contenuto del file rimane invariato, ma la rinominazione rende inutilizzabile ogni programma.
Il riscatto richiesto da Trojan.Win32.Renamer
Per conoscere il riscatto richiesto è necessario inviare un email a: unCrypte@INDIA.COM
Questa è stata la loro richiesta:
Gli autori del
Trojan.Win32.Renamer chiedono un riscatto di 0,5 BTC, ma si consiglia di non pagare il riscatto poichè possibile recuperare i file che sono stati cifrati riportandoli al loro nome originario.
Come recuperare i file rinominati da Trojan.Win32.Renamer
Per recuperare i file rinominati dal
Trojan.Win32.Renamer senza pagare il riscatto è possibile utilizzare la versione free di
VirIT eXplorer Lite o la versione
PRO di
VirIT eXplorer.
Il tool
Ninjavir aggiornato per il recupero dei file cifrati dal
Trojan.Win32.Renamer è disponibile dalla versione
8.3.59 di VirIT eXplorer.
E' necessario aggiornare
VirIT eXplorer alla versione
8.3.59 e se nel caso venisse richiesto riavviare il computer.
La versione free di VirIT eXplorer Lite è scaricabile da qui:
http://www.tgsoft.it/english/download_eng.asp
Per il recupero dei file eseguire il tool
Ninjavir di VirIT:
- dalla versione Lite eseguire il file: C:\VEXPLite\gui.bat
- dalla versione PRO eseguire il file: c:\viritexp\gui.bat
Dopo alcuni secondi comparità la finestra di
Ninjavir, selezionare il menu
Decoder->Decrypt Renamer:
Comparirà la finestra di dialogo:
La versione corrente deò tool decifra i file con prefisso:
unCrypte@INDIA.COM_
Selezionare la cartella desiderata attraverso il pulsante "
Browse source" dove decifrare i file rinominati dal
Trojan.Win32.Ransom.
Si consiglia prima di testare una cartella di prova e dopo di procedere su tutto il disco.
Nel caso si trattasse di una nuova versione del
Trojan.Win32.Renamer di contattare via email gli indirizzi del supporto tecnico:
- versione PRO: assistenza @ viritpro.com
- versione LITE: lite @ virit.com
Come proteggersi dai CryptoMalware
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare il crypto malware già nelle fasi iniziale dell'infezione del computer.
Come già segnalato, le tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware integrate in
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, sono in grado di mitigare anche questa tipologia di attacchi riuscendo a salvaguardare dalla cifratura, mediamente, non meno del
99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al
100% grazie a
Vir.IT BackUp.
Come comportarsi per mitigare i danni derivanti da CryptoMalware
Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico", NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il Crypto-Malware, in questo caso il CryptoLocker, riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scrivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer PRO ==> Consulta l'informativa
|
Considerazioni finali:
Nel caso si sia scatenata la cifratura vi invitiamo, come sempre, a
mantenere la calma poichè potreste trovarvi in una di queste situazioni:
Hai installato sui tuoi computer
Vir.IT eXplorer PRO
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di decifrare e ripristinare i file cifrati è possibile decifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.
Queste tecnologie vengono di seguito elencate:
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO mediante il Backup on the fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on the Fly permettono il ripristino dei file senza perdere alcuna modifica.
- Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.
|
NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...
Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco Crypto-malware , consigliamo di:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
|
Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft
Torna ad inizio pagina
*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.
