Punto informatico Network
20100616130746_1879890253_20100616130737_1610363355_virus.png

Windows Server sotto attacco: un ransomware di nuova generazione cripta i file e cancella i backup di sistema

29/03/2013
- A cura di
Sicurezza - Una nuova infezione sta colpendo migliaia di PC e server aziendali, mettendo a dura prova le capacità degli amministratori di sistema.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , assistenza remota (1) , rdp (1) , controllo remoto (1) , ransomware (1) , server (1) , malware (1) , trojan (1) , cracker (1) , pirati (1) , bug (1) , windows (1) , archivelock (1) .

Valutazione

  •  
Voto complessivo 3.5 calcolato su 8 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Sul nostro portale abbiamo trattato in passato la diffusione di un nuovo tipo di malware, sfruttato principalmente a scopo d'estorsione ai danni dei malcapitati utenti: i Ransomware.

Finora questo tipo di virus era appannaggio degli utenti casalinghi di Windows, che spesso si infettavano visitando siti compromessi (anche legittimi, ma trasformati in "untori").

Stavolta i cracker hanno puntato più in alto: un nuovo ransomware ha iniziato a propagarsi in queste settimane a velocità impressionanti, colpendo in particolare le reti aziendali gestite da Windows Server e sfruttando le debolezze di tale sistema nello stabilire connessioni remote.

Il ransomware è identificato con tale nomenclatura: Trojan.ArchiveLock.20

Metodica di diffusione e vulnerabilità sfruttate

Il virus non è stato diffuso da un sito untore o via P2P, quindi non esiste un vero "0-Day" per tale minaccia.

I cracker si sono occupati di inserire il malware direttamente dentro i sistemi potenziali (Windows Server), sfruttando una vulnerabilità del protocollo RDP e prendendo il controllo totale del sistema.

Una volta inserito, il malware rimane latente ed invisibile all'amministratore di sistema.

I cracker si sono occupati di avviare i malware "a distanza", risvegliando i terminali infettati.

Il malware "attivato" si occupa di comprimere e cifrare numerosi file presenti nel sistema, utilizzando un archiver WinRAR per la compressione e la cifratura, ottenendo così un elevato livello di sicurezza (password casuali a 50 caratteri, con codifica diversa per ogni utente infettato).

Infine il malware mostra una schermata d'avviso, bloccando l'utilizzo dell'interfaccia.

Archivelock20.1.png

Richiesta di estorsione in piena regola.

Come ultimo "regalo" il malware si occupa di cancellare tutti gli eventuali backup presenti nel sistema (Punti di ripristino inutilizzabili più altri backup).

Metodi di rimozione e decriptazione file, aggiornamenti d'emergenza e possibili rimedi

Il malware (e la relativa schermata d'avviso) possono essere eliminati con facilità con qualsiasi cleaner o antivirus, ma i file criptati restano dove sono, mettendo a rischio l'integrità e la privacy dei documenti e dei file custoditi sui server.

AVVERTENZA: Allo stato attuale (28/03/2013) non è possibile decriptare i file criptati dal ransomware. Vi terremmo aggiornati non appena ci saranno novità.

Molti esperti e laboratori di sicurezza sono al lavoro per ricavare l'algoritmo di codifica utilizzato, ma la sfida si sta dimostrando piuttosto ardua.

È altamente consigliabile non cedere al ricatto, in ogni caso: le cifre richieste per sbloccare i file sono alte (anche 5000 dollari), non c'è la certezza del funzionamento del codice fornito e si cede al gioco di questi criminali.

Se siete tra i malcapitati admin o utenti infettati dal ransomware, non resta che aspettare risposte positive dalle software house specializzate in security.

Non siete ancora stati infettati? Provvedere a bloccare ogni tipo di connessione RDP e le comunicazioni della relativa porta (3389) tramite firewall.

Verificare in ogni caso di aver installato tutti gli aggiornamenti di sistema, che contengono anche la patch per risolvere la vulnerabilità sfruttata da tale malware.

Per maggiori informazioni è possibile visitare anche il topic sul ransomware, nella sezione Sicurezza del nostro forum.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2019 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.22 sec.
    •  | Utenti conn.: 57
    •  | Revisione 2.0.1
    •  | Numero query: 43
    •  | Tempo totale query: 0.06