Lo sviluppatore Fabian Wosar ha pubblicato un decryptor per recuperare i file criptati dal ransomware Philadelpia che cifra i file e chiede un riscatto in bitcoin, scritto dallo stesso autore del cryptovirus Stampado e venduto sul black market Alphabay nel dark web. Così come Stampado, anche il trojan Philadelpia è scritto in linguaggio AutoIT, cifra il contenuto dei file tramite algoritmo AES 256 e il nome dei file tramite algoritmo RC4, modificando i nomi del file aggiungendo l’estensione “.LOCKED”. Fabian Wosar ha annunciato su twitter la pubblicazione del tool per decifrare gratuitamente i documenti criptati dal ransomware Philadelpia, aggiungendo che “alla fine Philadelpia non è poi così innovativo”.

Per utilizzare il decryptor di Fabian Wosar per il ransomware Philadelpia, è necessario reperire un file non criptato corrispondente a uno di quelli con estensione “.LOCKED” criptati dal cryptovirus. Dato che anche il nome del file viene criptato dal ransomware, non è facile capire quale file criptato corrisponda a quello in chiaro, ci si può quindi basare sulla dimensione dei file. Se riuscite a recuperare – tramite backup, allegati email, altri PC, etc… – un file non criptato, cercatene uno della stessa esatta dimensione tra quelli cifrati con estensione “LOCKED”. Attenzione perché il ransomware Philadelpia non chiede cifre considerevoli (0.3 bitcoin) ma se si ritarda con il pagamento (o con l’utilizzo dell’antiransomware di Fabian Wosar) il trojan comincia a cancellare file dal PC, che diventeranno quindi irrecuperabili anche se utilizzate il decryptor. Il decryptor sviluppato dal ricercatore Fabian Wosar è disponibile gratuitamente a questo link.

Da ramsomware-blog

Ranscam, conosciuto anche come CryptoFinancial, è una nuova variante di ransomware molto subdola e pericolosa che tenta di ingannare la vittima e spingerla a pagare il riscatto minacciando la cancellazione di un file ad ogni mancata verifica del pagamento. Questo malware avvisa l’utente che tutti i suoi file sono stati cifrati e spostati su una partizione nascosta del disco e che per riaverli indietro “all’istante” è sufficiente pagare 0,2 bitcoin (circa 120€) all’indirizzo indicato nella nota di riscatto (vedi Figura 1). In realtà si tratta di una vera e propria truffa in Inglese “scam”, da cui il nome Ranscam), in quanto i file sono già stati completamente cancellati dal disco e non possono essere in alcun modo recuperati. Semplicemente, non vi è all’interno del malware alcuna funzionalità di recupero dei file.Oltre alla cancellazione dei file, Ranscam effettua le seguenti azioni distruttive:

I ricercatori hanno scoperto un nuovo ceppo di ransomware che utilizza Google Docs per evitare il rilevamento.
Il modulo - soprannominato 'cuteRansomware' - è stato trovato dalla società di sicurezza cloud Netskope.
Sembra essere una variante cinese del pacchetto 'My-Little-ransomware', che è stato pubblicato su GitHub qualche mese fa.
La maggior parte del codice sorgente rimane invariato dal campione ransomware originale, a parte alcune modifiche di rilievo.
In primo luogo, l'elenco delle estensioni di file ricercato e crittografato da cuteRansomware era molto più piccola
del malware originale, compreso .bmp, .png, .jpg, .zip, .txt, .pdf, .pptx, .docx, .py,. cpp, .pcap, .enc, .pem e file .csr
Ancora più importante, tuttavia, una volta infettato, il ransomware modificato utilizzato un modulo di Google Docs
per inviare l'attaccante nome del computer della vittima e le chiavi di crittografia RSA utilizzati per la crittografia loro file.

Nell’era dei ransomware si rischia fortemente di perdere di vista le altre tipologie di malware, questo perché i primi colpiscono direttamente e in maniera palese gli utenti prendendone in ostaggio le risorse e richiedendo un riscatto alle vittime. Questo comportamento è alla base del clamore e della preoccupazione suscitati da malware come il Cryptolocker che spinge l’opinione pubblica a considerali come l’unica minaccia attuale, ma non è assolutamente così. Negli ultimi anni il numero delle infezioni da ransomware è cresciuto esponenzialmente, ma rimane molto inferiore a quello di malware tecnologicamente più sofisticati come gli spyware, che da anni contribuiscono ad aumentare i profitti derivanti dal furto dei dati e delle proprietà intellettuali. Prendendo anche in esame il giro d’affari di queste due tipologie di minaccia informatica, i numeri rimangono palesemente a favore degli spyware che producono un indotto globale di miliardi di dollari contro le poche decine dei ransomware.

Quante volte nel nostro lavoro, contattando piccoli uffici - negozi o liberi professionisti, ci siamo sentiti dire "cosa vuoi che stia a proteggere i miei dati che tanto non interessano a nessuno... mi costa di piu' la protezione! Se mi hackerano o se prendo un virus riformatto e via...." Salvo poi rimpiangere di non avere un backup affidabile quando ti cade il portatile (magari in acqua) - ti muore il disco fisso o ti capita un cryptolocker, e anche se hai una piccola attività quanto ti costa recuperare i dati per te piu' importanti? Partiamo anche dalla considerazione che la tua attività (per quanto piccola) è di interesse per i dispensatori di virus (il loro rischio è nullo e il ritorno da un investimento minimo è immenso). Infatti ora si trovano sul web programmi ramsomware a 39$.

Una nuova e sorprendentemente a buon mercato ransomware definito come Stampado è stato recentemente scoperto di essere venduto nel DARK WEB per $ 39 per tutta la vita licenza una frazione del prezzo di altri ransomware offerti sul mercato ransomware-as-a-service (RaaS). Stampado ransomware reca una serie di somiglianze con cryptolocker in termini di funzionalità. Cryptolocker (rilevato da Trend Micro comeRANSOM_CRILOCK / CRYPLOCK ), è stato scoperto nel 2013.

Un ceppo ramsomware ha colpito La scorsa settimana (primi di Luglio 2016) la Clinica Asthma in Colorado.

A seguito di segnalazioni di difficoltà di accesso ai file del computer e documenti, il reparto IT dello stabilimento ha chiuso i server temendo un attacco di virus sulla loro rete, e cio' ha portato alla scoperta di prove di ransomware sui sistemi il 16 maggio 2016. Rappresentante AAIR Kari Hershey rileva che, mentre ulteriori dettagli dell'infezione sono stati scoperti da parte del personale IT della clinica, ciò che è stato visto era una bozza di richiesta di riscatto. Come tale, le azioni Hershey in una dichiarazione , "Il modo in cui è stato spiegato a me è che essenzialmente sembrava che gli hacker erano ancora testando il ransomware". Mentre gli analisti sono ancora incerti della specifica famiglia ransomware coinvolti, si è affermato che l'infezione non comporta Locky o Samsam , che erano tra i ceppi ransomware che hanno preso di mira le organizzazioni sanitarie di ritardo. Come il malware è entrato nel loro sistema rimane sconosciuto. Hershey osserva che ciò che è chiaro è che l'infezione è riuscito a "passare attraverso un firewall protetto da password". Secondo gli analisti, questo potrebbe essere un drive-by download che ha avuto luogo dopo che un dipendente è stato spinto a visitare un sito web avvelenato.

L'FBI ha rilasciato un annuncio di sul picco improvviso della posta elettronica aziendale di compromessa (BEC) che comporta truffe online. Secondo l'annuncio ( I-061.416-PSA ), che comprende i reclami Center (IC3) nuovo Internet Crime Complaint e dati statistici aggiornati, BEC ha continuato a crescere, evolversi, e le imprese di tutte le dimensioni di destinazione. Secondo il nuovo set di dati, sistemi di BEC hanno causato US $ 3 miliardi di danni da parte delle vittime nazionali e internazionali.

Secondo l'FBI, ottobre 2013 a maggio 2016, degli Stati Uniti e le vittime straniere hanno riportato 22.143 casi BEC-correlati, con un conseguente aumento del 1300% delle perdite individuate dal gennaio 2015. A seguito di predecessori di BEC Predator dolore, senza limiti, e Hawkeye, Olympic Visionera il quarto malware utilizzato in una campagna BEC ed è stato trovato aver preso di mira 18 aziende negli Stati Uniti, Medio Oriente e Asia. Gli aggressori dietro questa campagna olimpica usato Vision, un keylogger acquistati on-line per $ 25 che è venuto come allegato in messaggi di posta elettronica. Una volta aperto, una backdoor è installato e infetta il sistema della vittima e ruba informazioni vitali.

Il paesaggio ramsomware è ceresciuto in tempini esponenziali dal 2013, con l'intreoduzione infinita di famiglie e varianti e aggiornamenti, ed è tuttora in crescita. Peraltro le tattiche intimidatorie messe in atto nei confronti dei colpiti hanno successo . La richiesta di riscatto ha indicazioni precise per fare il pagamento, con la comunicazione delle contromisure intimidatore se il pagamento non avviene: I colpiti cercano maggiori informazioni, decrittatori e consulenze per superare il problema, ma questo tempo a loro disposizione diminuisce costantemente senza che una soluzione sia possibile, ricercano e provano soluzioni di decriptazione on line (sino a poco tempo fa anche gratuite). Per far questo servono maggiori informazioni sul tipo di ramsomware di cui sè vittima - vediamo di elencarne alcuni.

I malware che sovrascrivono l’MBR del disco rigido allo scopo di impedire agli utenti l’accesso alle macchine infette non sono una novità: Petya ne è un esempio recente. Un nuovo tipo di ransomware appena scoperto e fortunatamente non ancora molto diffuso, denominato Satana, si comporta in maniera analoga.

Satana cifra il contenuto dell’MBR, lo sposta in un’altra porzione del disco e lo sovrascrive sostituendolo con il codice della nota di riscatto.

È stata scoperta una nuova variante del ransomware Locky in grado ci cifrare i file dell’utente anche in assenza di collegamento verso il server C&C.Quando la nuova variante viene lanciata sul PC della vittima, inizia un processo di comunicazione in cui tenta prima di tutto di connettersi a tutti i server C&C memorizzati nella configurazione, poi a tutti quelli generati dinamicamente mediante un apposito algoritmo DGA (Domain Generation Algorithm) (12 al giorno). Se non riesce a connettersi, il malware tenta di nuovo con tutti i C&C e infine nuovamente con uno preso dalla configurazione. Se tutti questi tentativi falliscono, Locky entra nella modalità di cifratura non in linea.

Il team di ricercatori di sicurezza di Sucuri ha individuato una nuova massiccia campagna di malware, denominata Realstatistics, che ha raggiunto un picco di infezioni nelle ultime due settimane.Gli attori di questa campagna hanno compromesso migliaia di siti Web, il 90% dei quali basati su versioni non aggiornate di notiCMS. La maggioranza dei siti colpiti, circa il 60%, è realizzata con WordPress e Joomla!. Stando a quanto riportato da Sucuri, è probabile che le vulnerabilità sfruttate dagli attaccanti non risiedano tanto nel codice “core” di questi CMS, quanto in plugin o estensioni di terze parti non aggiornate.

Trend Micro ha pubblicato da alcuni giorni il tool RansomwareFileDecryptor, un decryptor in grado di decifrare file criptati da diversi ransomware, che va ad aggiungersi al TeslaCryptDecryptor già disponibile da tempo. Il tool è in grado di recuperare file criptati da diverse versioni di cryptovirus, incluse (anche se in modo parziale) alcune varianti recenti del trojan CryptXXX oltre al noto TeslaCrypt in qualunque versione e alcuni trojan minori come SNSLocker, AutoLocky, BadBlock, 777, XORIST e XORBAT. Il tool RansomwareFileDecryptor può essere scaricato da questo link, mentre la versione precedente del tool, TeslaCryptDecryptorè disponibile a questo link.

I ricercatori Cisco hanno scoperto, alcuni giorni fa, una nuova infezione di cryptovirus che cifra i file aggiungendo l’estensione “.ZEPTO” e chiede un riscatto in bitcoin. Il ransomware si diffonde tramite spam di messaggi di posta elettronica di phishing che citano presunti documenti, fatture o scannerizzazioni in formato DOCM o ZIP presenti in allegato invitando la vittima ad aprirli. Nei primi giorni di diffusione sono state identificate diverse migliaia di varianti del dropper, inviate a decine di migliaia di indirizzi e cominciano ad arrivare le prime segnalazioni di vittime i cui PC sono stati infettati dal trojan ZEPTO e che si ritrovano tutti i loro documenti criptati con estensione “.ZEPTO”.

Il servizio è attivo già da alcuni mesi, di recente è stato tradotto in italiano e migliorato al punto da diventare il punto di riferimento per chi vuole sapere come identificare il ransomware che ha infettato il proprio PC, criptato i propri documenti, e richiesto un riscatto tipicamente in bitcoin.Il servizio è davvero semplice da utilizzare, si deve cliccare sull’immagine qui sotto per connettersi al sito ID Ransomware sviluppato dal MalwareHunterTeam e avere pronti a disposizione un file criptato (quindi dal contenuto illeggibile dal PC) e la richiesta di riscatto, un file che viene lasciato dal cryptovirus in genere nelle cartelle dove sono stati criptati file e documenti.

Diversi esperti di sicurezza hanno unito gli sforzi per realizzare e mantenere aggiornato un documento, noto con il nome di “Ransmware Overview“, contenente l’elenco di tutti i cryptovirus noti, con le loro caratteristiche peculiari e le possibilità di recupero dei dati criptatitramite decryptor o sistemi alternativi. Il documento è noto con il nome di “Ransomware Overview”, viene distribuito sotto forma di Google Sheet, foglio di calcolo online, ed è visibile in ogni momento a questo link. Il foglio di calcolo online si aggiorna automaticamente e, volendo, è anche possibile scaricarne una copia sul proprio PC cliccando su “Download” nella barra in alto e selezionando il formato di XLSX oppure ODS.All’interno dell’elenco, per ogni ransomware e per ogni versione sono presenti diverse informazioni preziose, come l’eventuale estensione che viene aggiunta al nome dei file, commenti, algoritmo di cifratura, nomi alternativi con cui il trojan è noto, eventual presenza di decryptor o sistemi per recuperare file, screenshot del messaggio di richiesta del riscatto.

Il segmento business sta diventando un obiettivo sempre più interessante per gli sviluppatori di malware a basso costo. Secondo una ricerca Kaspersky Lab, basata sui dati raccolti da Kaspersky Security Network (KSN) , il numero di attacchi contro il settore corporate nel periodo 2015-2016 è aumentato di sei volte (da 27.000 a 158.000) rispetto al 2014-2015. I ransomware hanno quindi cercato di crittografare i dati di un utente B2B su dieci. Grazie ai ransomware, i cyber criminali hanno iniziato ad attaccare più frequentemente le aziende, in particolare le piccole e medie imprese. Questa tendenza è confermata dalla ricerca IT Security Risks 2016, condotta da Kaspersky Lab e B2B International, in cui il 44,5% degli intervistati delle PMI ha concordato sul fatto che i crypto-malware sono una delle minacce più importanti che hanno dovuto affrontare lo scorso anno. Per le piccole imprese, l’assenza di disponibilità dei dati – per quanto breve – può determinare perdite significative o bloccare completamente le attività. Se un’azienda non ha adottato le giuste misure per proteggere le proprie informazioni importanti, acquistare la chiave di decriptazione dai cyber criminali può essere l’unico modo per ottenere i propri dati. Tuttavia, questo non ne garantisce il recupero completo. Il modo migliore per proteggere la propria azienda da malware è, in primo luogo, prevenire l’attacco. 

Ora ci sono più di 120 famiglie separate di ransomware, detto che gli esperti che studiano il software dannoso. Altri ricercatori hanno visto un aumento del 3.500% in uso criminale di infrastruttura di rete che aiuta le campagne run ransomware. L'aumento è guidato dal denaro ladri fanno con ransomware e l'aumento in kit che li aiutano a rullante vittime. Ransomware è un software dannoso che rimescola i dati sul PC della vittima e poi chiede il pagamento prima di ripristinare i dati al suo stato originale. I costi di dati di sblocco variano, con gli individui in genere pagare poche centinaia di sterline e le imprese poche migliaia.

Il numero di utenti attaccati da ransomware criptatori è in forte aumento, con 718.536 colpiti tra aprile 2015 e marzo 2016: una cifra 5,5 volte superiore rispetto a quanto riscontrato nello stesso periodo 2014-2015. Le conseguenze irreversibili di questo genere di infezioni malware, insieme al valore elevato dei dati criptati dai ransomware, portano le vittime a pagare per la decriptazione, il che spinge altri cyber criminali a entrare nel business. Non è un segreto che i crypto-ransomware, che criptano i dati sui dispositivi degli utenti, negli ultimi anni siano diventati un grave problema di sicurezza informatica. Sono ormai così diffusi che li si potrebbe definire un’epidemia. Per comprendere a pieno la dimensione di questa minaccia, Kaspersky Lab ha condotto una ricerca su come i ransomware si siano evoluti in un periodo di 24 mesi. L’analisi dell’azienda comprende statistiche sia per quanto riguarda gli attacchi dei ransomware “screen-blocker”, sia per quelli criptatori. Il report copre un periodo completo di due anni, che, per motivi di comparazione, è stato diviso in due parti di 12 mesi: da aprile 2014 a marzo 2015 e da aprile 2015 a marzo 2016. È stata scelta questa suddivisione temporale perché presenta significativi cambiamenti nel panorama delle minacce ransomware. Di seguito i principali risultati della ricerca.

Per ridurre il rischio di attacco informatico, i sistemi di controllo industriale (Industrial Control Systems, ICS) sono pensati per operare in un ambiente fisicamente isolato. Tuttavia, non è sempre così. Nel report sul panorama delle minacce per gli ICS, gli esperti di Kaspersky Lab hanno svelato l’esistenza di 13.698 sistemi di controllo industriale connessi a Internet che molto probabilmente appartengono a grandi organizzazioni. Queste ultime appartengono ai settori energia, trasporti, aerospaziale, oil and gas, chimico, automotive, manifatturiero, alimentare e delle bevande, governativo, finanziario e istituzioni sanitarie. Il 91,1% di questi sistemi di controllo industriale ha vulnerabilità che possono essere sfruttate da remoto. Ma c’è di peggio: il 3,3% degli ICS situati in queste organizzazioni contiene vulnerabilità critiche eseguibili da remoto. Esporre i componenti ICS a Internet offre molte opportunità, ma anche diverse preoccupazioni di sicurezza. Da un lato, i sistemi connessi sono più flessibili in termini di reazione rapida alle situazioni critiche e di implementazione degli aggiornamenti. Ma, dall’altro lato, l’espansione di Internet offre ai cyber criminali la possibilità di controllare da remoto i componenti critici dei sistemi di controllo industriale, che possono comportare danni fisici alle attrezzature, oltre a un potenziale pericolo per l’intera infrastruttura critica.

AVG ha rilasciato un decryptor per l' Bart ransomware infezione, che memorizza i file nel file zip protetti da password. Creato dagli stessi attori dietro Dridex e Locky, Bart ransomware sarà proteggere con password i dati di una vittima senza comunicare con un server di comando e controllo. In questo modo il ransomware di proteggere con password i file di una vittima, anche se il computer non è connesso a Internet. Utilizzando decryptor di AVG è abbastanza semplice, ma richiede una vittima per avere lo stesso file nel suo formato zip protetto da password e il suo formato originale. Questi due file saranno poi essere confrontati dal Decryptor AVG al fine di assistere nella bruta forzando la password per il file zip.Così, per esempio, per utilizzare il decryptor ho potuto utilizzare l'esempio finestra immaginedesert.jpg e il suo omologo Bart zip desert.jpg.bart.zip .

Subscribe to our mailing list

* indicates required

(C) 2015 Monev Software LLC / JoomlaXTC.

Bakappa.it è una soluzione Pinet Internetworking http://www.pinet.it





Ns. dati contabili e fiscali: Pinet di Finesso Giancarlo - Via emilio Faa' di Bruno 69 - 15121 Alessandria - Tel 0131263767 - P.I. 01166420065 - CF FNSGCR52P02A182Y