Come QuickHeal e Seqrite  proteggono dal ransomware WannaCry?

QuickHeal/Seqrite  Virus Protection ha rilevato e ripulito i sistemi dai file maligni responsabili della criptazione, come il file “TrojanRansom.Wanna”.

Quick Heal/Seqrite  Advanced Behavior Detection System ha individuato l’attività di WannaCry con successo basandosi sul suo comportamento.  Si ricorda che, in situazioni di minaccia, gli utenti devono fare click nel bottone BLOCCA per fermare l’attività del ransomware.

Anche la tecnologia  Anti-Ransomware di QuickHeal-Seqrite  ha rilevato l’attività di criptazione dei file del ransomware WannaCry.

[ap_divider color="#CCCCCC" style="solid" thickness="1px" width="100%" mar_top="20px" mar_bot="20px"]

Raccomandazioni per ridurre gli attacchi ransomware:
Quick Heal Security Labs raccomanda vivamente di prendere le seguenti misure di sicurezza per ridurre il rischio d’infezione del ransomware WannaCry:

• Effettuare l’aggiornamento per la vulnerabilità usata da questo ransomware. tenere i sistemi operativi aggiornati
• Eseguire regolari backup dei tuoi dati, sopratutto quelli più importanti e verificare periodamente il corretto funzionamento del  processo di rispritino dei file da backup. Assicurarsi di avere un sistema di backup incrementale in grado di tenere in automatico diverse copie in date diverse e possibilmente criptate. Tenere copie aggiornate esterne all'azienda.
  
• Assicurarsi che le soluzioni per la sicurezza siano attive in tutti i nodi della rete.
• Tenere sempre aggiornati i software di sicurezza installati.
• Eseguire la scansione totale del sistema usando i software di sicurezza installati.
• Evitare di cliccare link e aprire allegati di email provenienti da fonti sconosciute e sospette.

[ap_divider color="#CCCCCC" style="solid" thickness="1px" width="100%" mar_top="20px" mar_bot="20px"]

Una breve Panoramica dell’ Advanced Behavior Based Detection System

Come raccontiamo ogni giorno ormai, malware e ransomware non sono più da tempo una minaccia sporadica e di interesse solo per ricercatori e operatori nel campo dell’informatica; si sono evoluti in  una piaga dilagante ormai che colpisce moltissimi utenti comuni. I programmi dannosi vengono ormai utilizzati per appropriarsi delle password, diffondere spam, attuare furti di identità, e praticamente per tutto ciò che può generare un profitto. E non è solo l’indice di diffusione ad aumentare vertiginosamente, ma sempre più questi nuovi virus si evolvono diventando sempre più complessi e difficili da sconfiggere. I criminali informatici continuano infatti a modificare e aggiornare il loro codice malware, per eludere il rilevamento da parte di software di sicurezza.

Ogni volta che un programma tenta di eseguirsi sulla macchina dell’Utente, questo viene prima intercettato dal Modulo di Protezione Virus. Questo esegue una scansione in cerca delle firme di vari tipi di malware, cerca di capire se presenti caratteristiche simili a  qualche famiglia di malware conosciuta, svolge indagini di tipo euristico. Se c’è un qualsiasi riscontro, il programma viene segnalato come dannoso e quindi bloccato. Se invece il programma non viene identificato come dannoso, allora viene deviato sul Sistema Avanzato di Individuazione comportamentale, che monitora comunque costantemente le attività svolte da ogni programma in uso. Se il programma, pur non risultato dannoso, tenta di svolgere anche una di queste attività sospette, viene immediatamente segnalato come dannoso:

1. Aggiungere file eseguibili nella cartella dei file di sistema.
2  Aggiungere voci auto-eseguibili nel registro
3. Immettere codici nei processi di sistema

In base alle impostazioni scelte dall’utente, il  Modulo di Analisi Comportamentale metterà in quarantena automaticamente il programma e richiederà all'utente di intraprendere l'azione appropriata.

Il Ransomware WannaCry getta il mondo nel caos: al momento non ha soluzione.
Venerdì 12 Maggio ha avuto inizio uno dei più grandi e capillari attacchi ransomware dall'inizio della diffusione dei ransomware stessi. Due le particolarità: l'aggressività della falla sfruttata e la scala dell'attacco stesso.

Il ransomware in questione, finito sui media di tutto il mondo, si chiama Wana Decrypt 2.0, ma è diventato famoso col nome di WannaCry.

NB: è già in diffusione 2.0 del ransomware WannaCry. Aggiorneremo nei prossimi giorni
La diffusione...

WannaCry ha colpito in prima battuta Spagna, Russia, Portogallo e Regno Unito. In Spagna la vittima d'eccellenza è stata la carrier di telecomunicazioni Telefonica: è stato colpito il server interno, il quale ha poi iniziato a diffondere il malware entro l'organizzazione stessa. Altre vittime illustri sono la Banca Santander (tra le major bank spagnole) e Gas Natural (fornitore di gas). Nel Regno Unito sono stati colpiti principalmente ospedali, la maggior parte dei quali del tutto incapaci di fronteggiare l'infezione: da qualche giorno infatti gli ospedali colpiti stanno rifiutando tutti i pazienti che non versano in gravi condizioni. Lo stesso Servizio di Sanità Pubblica inglese ha rilasciato una nota nella quale specifica che tutti i computer relativi al servizio sono stati spenti per riuscire a contenere gli effetti di questo attacco su larga scala. In termini di diffusione a home user i paesi più colpiti sono attualmente Russia, Ucraina e Taiwan.  In tutto si stima che i paesi colpiti siano 150: anche in Italia si sono registrati alcuni casi. Tra questi, il più eclatante riguarda l'Università Bicocca di Milano.

Come si diffonde?

Il ransomware era già stato individuato qualche settimana fa, ma non pareva poter contare su una rete di diffusione così impressionante. All'improvviso però ha cominciato ad essere diffuso tramite un exploit chiamato ETERNALBLUE, che pare essere un exploit kit dell'NSA (National Security Agence statunitense) diffuso online da un gruppo di hacker chiamato The Shadow Brokers. Questo exploit sfrutta una vulnerabilità molto aggressiva di Windows, che però era già stata individuata e risolta un paio di mesi fa da Microsoft. L'SMB (Server Message Block) era stato exploitato "in the wild" già a fine Aprile, sempre da Shadow Brokers: in risposta a ciò Microsoft aveva rilasciato un bollettino col quale annunciava di aver "tappato la falla" e invitava quindi gli utenti a procedere all'aggiornamento. Una successiva informativa ne valutava il grado di rischio a seconda dei sistemi operativi.

L'exploit

Il ransomware si diffonde tramite un worm eseguibile che esegue una scansione in Internet in cerca di server Windows che abbiano la porta Samba TCP 445 accessibile. Questa è la porta SMB che viene sfruttata dall'exploit ETERNALBLUE per  ottenere l'accesso ai computer. Quando il worm ottiene l'accesso, crea una copia di sé stesso e esegue il programma sul computer infetto.

Una volta eseguitosi, si connette al dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Se la connessione riesce il ransomware non si installerà e semplicemente "lascerà" la macchina infetta. Questo dominio funge da interruttore del ransomware ed è stato scoperto casualmente da un ricercatore di sicurezza che stava conducendo analisi statistiche riguardanti la diffusione dell'infezione. Se invece il Worm non riesce a connettersi al dominio, estrae un archivio .zip protetto da password nella stessa cartella dove si trova il Worm. Il file .zip contiene il ransomware, che viene quindi eseguito: a questo punto inizia il processo di criptazione.

Come cripta i file?
La prima operazione che compie, una volta estratti i file dall'archivio .zip, è estrarre la nota di riscatto secondo la lingua sulla quale è settato il computer infetto. Il ransomware è disponibile in moltissime lingue tra cui tedesco, italiano, greco, francese, bulgaro, cinese, croato, polacco, portoghese, rumeno, russo, spagnolo, turco, giapponese ecc..

Scarica quindi un client TOR e lo estrae nella cartella TaskData: questo client Tor serve al rasnomware per comunicare col proprio server C&C agli indirizzi servers at gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion e cwwnhwhlz52maqm7.onion.

Al fine di preparare il computer affinchè il processo di criptazione sia il più esteso possibile, WannaCry esegue il comando icacls . /grant Everyone:F /T /C /Q per concedere tutti i permessi ai file locati nelle cartelle e sottocartelle dove il ransomware è in esecuzione. Termina quindi i processi associati ai database server e ai server di posta, così da garantirsi perfino la possibilità di criptare database e lo storage delle email.

Questi i comandi eseguiti per terminare i database server e gli exchange server
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange.

Ora è il ransomware è pronto per criptare i file: mentre esegue questo processo, esegue la scansione di tutti i drive e dei drive di rete mappati in cerca di circa una 50ina di diversi tipi di file. Quando cripta i file aggiunge la stringa WANACRY! all'inizio del file criptato, quindi ne modifica l'estensione aggiungendo .WNCRY o .WCRY dopo l'estensione originaria. Quindi copia in ogni cartella in cui i file sono stati criptati la nota di riscatto assieme ad una copia del decryptor @WanaDecryptor@.exe.
IMPORTANTE: bisogna far notare che se un utente ha in uso un servizio di storage in cloud e sincronizza regolarmente i dati in locale con quelli in cloud, i file in cloud verranno sovrascritti dalle versioni criptate. 

Infine esegue i seguenti comandi per cancellare le Shadov Volume Copies (per impedire il ripristino da backup), disabilitare la possibilità di ripristino di Windows e cancellare la cronologia di Windows Server Backup:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Siccome questi comandi richiedono i privilegi dell'Admin, WannaCry mostra alle vittime un prompt UAC simile a questo sotto

La schermata di blocco e la richiesta di riscatto.
A questo punto il processo di criptazione è finito: viene quindi avviato il programma @WanaDecryptor@.exe, che mostrerà la schermata di blocco. Una volta  visualizzata questa schermata i file sono già stati criptati, ma WanaDecrypt va comunque terminato, altrimenti continuerà a criptare tutti i nuovi file appena vengono creati.

 

Il ransomware modifica anche lo sfondo del Desktop con l'immagine sotto

Infine, la nota di riscatto in formato .txt verrà visualizzata nel desktop: oltre alle solite informazioni di piegazione e contatto, contiene anche una serie di FAQ.

C'è una soluzione?
Attualmente no, quindi chi ha subito questa infezione non ha che da aspettare una soluzione oppure ripristinare i file, qualora sia attivo un meccanismo regolare di backup sicuro.

Chi non ha una soluzione di backup può sperare di recuperare i file attraverso le Shadow Volume Copies: nel caso infatti in cui l'utente non abbia fatto clic su YES nel prompt UAC è probabile che le copie Shadow di Volume non siano state del tutto cancellate.

Chi non ha ancora subito l'infezione, deve immediatamente correre ai ripari "tappando" la falla SMB di cui si parla in precedenza: è fortemente consigliato aggiornare all'ultima versione tutti i software il sistema operativo.

In generale è sempre più importante tenere sempre aggiornati sia il Sistema Operativo sia tutti i software in uso nel sistema. Per le aziende, dove è difficile tenere sott'occhio tutti gli aggiornamenti, è necessario uno strumento di "Gestione centralizzata delle Patch".

Chi non riesce ad installare la patch tramite update dei software, può fare riferimento al bollettino Microsoft MS17-010- Security Update for Microsoft Windows SMB Server.

Microsoft, data la gravità della situazione, ha rilasciato l'update anche per Windows XP, Windows 8 e Windows Server 2003, tutti sistemi operativi che solitamente non ricevono aggiornamenti di sicurezza.

Una indicazione: la maggior parte degli antivirus a pagamento ha un sistema di individuazione comportamentale, che analizza il comportamento di ogni file presente nel sistema e blocca e mette in quarantena quei file che mostrano comportamenti inaspettati o dannosi. Si consiglia il passaggio ad una soluzione che preveda questa caratteristica. Come ridurre i rischi

 

L'importanza del software aggiornato

 *Software e sistemi operativi, perché è importante aggiornarli*

L'argomento da trattare non è banale. Cercheremo di semplificare per mantenere la Vs. attenzione su un argomento così importante per il buon funzionamento  dell'infrastruttura informatica, alla base di un  business  di successo.

L'infrastruttura informatica,  composta da Pc, server, posta, gestionale, office, multifunzioni etc. consente oggi in azienda , ma anche nella vita di tutti i giorni,  di svolgere molti compiti ad una velocità immensamente superiore rispetto agli anni passati.

Tutte le componenti dell'infrastruttura IT aziendale sono cambiati!

e sono governati da software!

ovvero bios, sistemi operativi e software applicativi

(gestionali, office, progettazione, posta, e-commerce, siti web, produzione CNC etc).

quindi  è il software che fa viaggiare  velocemente l'azienda e il business.

Risulta chiaro che va mantenuto in efficienza.

 

L'importanza del software aggiornato - Update

Come mai gli aggiornamenti assumono così tanta importanza? Perché bisogna rilasciare (e installare) gli update se un programma, anche se buggato, continua a funzionare?

I motivi sono diversi almeno 4 fondamentali.

Un buon update corregge, rafforza la sicurezza, migliora le prestazioni e introduce migliorie , non solo del programma, ma dell’intero sistema.

 

L'importanza del software aggiornato - Correggere

Il programma informatico (software)  perfetto è ancora molto di là da venire. Non ce ne vogliano i pur bravi programmatori, ma ogni programma nasconde in sé qualche bug. È, potremmo dire, fisiologico: al crescere delle righe di cui è composto il programma, crescono le probabilità che lì in mezzo ci sia nascosto qualche piccolo errore.

Se un software ha un bug, non funziona al suo meglio. Un aggiornamento o una patch servono proprio a correggere malfunzionamenti del programma, magari segnalati dagli utenti stessi. Sono utili, per quanto possibile, ad avvicinarlo alla perfezione. Un esempio ci aiuterà a capire meglio ciò di cui stiamo parlando. Quando lo scorso luglio Apple rilasciò OS X Mountain Lion, ossia la nuova versione del sistema operativo utilizzato dai Mac,gli utenti riscontrarono immediatamente un problema gravissimo. La durata della batteria dei loro MacBook passò dalle usuali otto ore ad appena quattro. Un errore gravissimo in fase di progettazione software aveva reso la nuova release del sistema operativo Apple una vera e propria “batteriasuga”. Nel giro di pochi giorni (e innumerevoli segnalazioni da parte degli utenti), la casa di Cupertino rilasciò una patch che rimise a posto le cose.

 

L'importanza del software aggiornato - Sicurezza

Secondo, ogni bug è un piccolo  spiraglio che un abile hacker può trasformare in un vero e proprio portone d’ingresso. Nelle passate settimane Java è stata nell’occhio del ciclone a causa di un bug zero-day che ha spalancato le porte di milioni di computer ad abilissimi hacker. Nel giro di pochissime ore Oracle ha rilasciato la consueta patch, che ha reso nuovamente sicuri i computer di mezzo mondo.

 

 

 

L'importanza del software aggiornato - Prestazioni

Terzo, L'aggiornamento del software include come finalità anche il miglioramento delle prestazioni generali. Per ottenere quindi le migliori prestazioni dai vostri dispositivi occorre regolarmente verificare la disponibilità di aggiornamenti software ed installarli.

L'importanza del software aggiornato - Migliorie

Last but not least le Migliorie. Ultimo ma non per importanza è il fatto che gli aggiornamenti consentono di inserire nel proprio sistema tute le migliorie che nel tempo i produttori hanno ritenuto di inserire sul software.

Le migliorie sono nuove funzionalità, scorciatoie all'utilizzo di certe funzioni, richieste di miglioramenti pervenute  dalla comunità di utenti che i produttori realizzano e mettono a disposizione di tutti gli utilizzatori. Queste migliorie sono , come spesso accade per i software gestionali, anche nuove funzioni o modifiche per adempimenti a nuove disposizioni e normative fiscali.

E' in corso una campagna di diffusione di malware via email di SPAM:

le email si fingono comunicazioni da parte dei più diffusi corrieri internazionali. Queste email diffondono in realtà non un solo malware, ma una terribile combinazione tra il ransomware Cerber e il trojan Kovter. La mail di spam contiene programma dannoso che si collega ad un sito web compromesso dove è possibile scaricare componenti aggiuntivi. Sono stati rintracciati circa 300 siti web compromessi usati durante questa campagna: siti web hackerati e compromessi da attaccanti ignoti.

Come funziona l'attacco?

La vittima, per prima cosa, apre l'allegato email contenente un file.  Questo file si esegue e si connette ad uno dei circa 300 siti web compromessi per scaricare un file .doc . Questo file è responsabile poi del download del ransomware Cerber e comincia il processo di criptazione dei file della vittima. L'attacco tuttavia non si limita alla sola criptazione dei dati,  procede inoltre all'installazione del malware Kovter. Kovter si nasconderà nel Windows Registry, rendendosi praticamente invisibile all'individuazione.

Che cosa fa Kovter?

Kovter, come altri trojan, colleziona i dati degli utenti sono attacco e li invia ad un server controllato da hacker.

L'individuazione da parte di Quick Heal

1. La caratteristica di Protezione Email di Quick Heal blocca con successo questi allegati dannosi (in questo caso il file script), ancora prima che siano eseguiti
2. La caratteristica di Sicurezza Web blocca i siti dannosi collegati a questi allegati.

Misure precauzionali

1. Non aprire mail con un allegato che abbia doppie estensioni, come .doc.js  oppure doc.vbs: generalmente contengono malware.  Abilita la visualizzazione dell'estensione dei file nelle cartelle: potrai vedere le estensioni complete dei file individuando quelli pericolosi.
2. Non scaricare mail allegati e non fare mai clic su link contenuti in mail ricevute da mittenti sconosciuti, inaspettati o indesiderati.
3. Non rispondere a alert o notifiche pop-ip mentre stai visitando siti web a te non familiari.
4. Mantieni aggiornati i tuoi software regolarmente siano essi: sistema operativo, software in generale e  browser.
5. Installa un antivirus solido ed efficiente sul tuo pc, capace di bloccare le email di spam o quelle dannose e di restringere automaticamente l'accesso a sitti web dannosi.