Trend Micro ha reso noto nuove informazioni sul malware che sta mietendo migliaia di vittime in Italia, un Crypto-Ransomware che una volta eseguito ha la capacità di infettare qualsiasi sistema Windows
criptando quasi immediatamente dopo tutti i dati presenti sul disco rigido richiedendo poi un pagamento all'utente per ottenere una chiave di decriptazione.
La nuova variante si chiama
CTB-locker e di solito si diffonde tramite un allegato di posta elettronica che utilizzano approcci di “social engineering” e che solitamente proviene da fonti legittime oppure tramite una botnet.
Del metodo di trasmissione ne avevamo già parlato
in questo articolo.
Ora vediamo, grazie ai preziosi consigli di Trend Micro come difendersi da questo pericolosissimo malware.
La protezione migliore è come sempre
la prevenzione. Alcuni malware si presentano come allegato e-mail di messaggi spam che come detto in precedenza utilizzano approcci di “social engineering” per indurre gli utenti ad eseguire il file, i più noti malware che utilizzano questa tecnica sono spesso identificabili in
WORM_BAGLE e
TROJ_UPATRE. Quest'ultimo scarica
ZBOT, che successivamente scarica
Ransomware.CryptoLocker o
FakeAV.
Anche se i prodotti di sicurezza sono progettati per trovare questa minaccia, può capitare che
CTB-locker non venga individuato, o magari venga individuato solo dopo che la cifratura è iniziata o addirittura è stata completata. Se si sospetta un attacco o è ancora al primo stadio, poiché è necessario un po' di tempo perché sia completata la cifratura,
la rimozione immediata del malware prima del completamento della cifratura può almeno ridurre la perdita di dati ma ovviamente non risolve completamente il problema.Quindi vanno assolutamente implementate politiche di sicurezza molto restrittive che impediscano che CTB-locker venga eseguito.
Come trovare il computer infettato? Il PC dell'utente finale contiene file con estensione "
.encrypted". Come misura proattiva, bisogna isolare immediatamente il computer togliendolo dalla rete.
Per individuare l'origine dell'infezione, se i file su server NAS/SAN sono infetti, bisogna controllare l'ultimo utente che ha modificato i file o le attuali sessioni aperte ai file crittografati. Se l'audit NAS/SAN è abilitato, controllare i registri di log per sapere
quale utente sta crittografando i file. Isolare poi la sorgente che esegue la crittografia cercando poi quali utenti/aree aziendali hanno accesso alle condivisioni.
Maggiori informazioni si possono trovare sul blog di TendMicro:
http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline.