Un'altra ondata di Trojan - Encoder

Doctor Web — azienda produttrice di programmi per la sicurezza informatica — segnala un aumento di incidenti causati dai trojan studiati per criptare file memorizzati sui computer. Il programma più diffuso è Trojan.Encoder.94. Anche Trojan.Encoder.225 è molto attivo: recentemente il laboratorio antivirale di Doctor Web ha ricevuto richieste di assistenza da oltre 160 utenti che sono diventati vittime delle attività malevole di questo trojan.

I trojan della famiglia Trojan.Encoder criptano file memorizzati sul disco fisso del computer compromesso dopo di che i malintenzionati domandano all'utente di pagare una somma per la possibilità di recuperare i dati. A seconda della versione, i Trojan.Encoder registrano sul disco file di testo con le istruzioni su come procedere con il riscatto o cambiano lo sfondo del desktop con un'immagine contenente tale messaggio. La somma chiesta dai malintenzionati varia da decine a migliaia di dollari.

I trojan – encoder si propagano soprattutto in email inviate in grandi quantità. Per esempio, Trojan.Encoder.225 può essere inserito nel sistema operativo tramite un'email con allegati del formato RTF (ma l'estensione visualizzata è .doc) che sfruttano una vulnerabilità di Microsoft Office. Tramite questo exploit, sul computer vittima viene installato un trojan – downloader che a suo turno scarica Trojan.Encoder dal server di controllo dei malintenzionati. La variante Trojan.Encoder.94 spesso viene scaricata mediante il programma BackDoor.Poison incluso nelle email malevole che imitano informative o notifiche, per esempio, possono contenere gli allegati Come riscuotere gli arretrati.doc e Sentenza della Corte di arbitrato.exe.

A giungo 2013, abbiamo notato un aumento del numero di trojan – encoder, così Trojan.Encoder.225, una versione comparsa di recente ha infettato i pc di oltre 160 utenti in Russia e Ucraina rivolti a Doctor Web. Questo programma è scritto nel linguaggio Delphi e possiede tre versioni. Nella versione precedente, i malintenzionati utilizzavano l'indirizzo di email milenium56m1@yahoo.com, mentre nella versione più recente l'indirizzo è marikol8965@yahoo.com. I file elaborati dalle prime versioni di Trojan.Encoder.225 possono essere decifrati tramite i nostri metodi. Attualmente, stiamo cercando un modo per poter decifrare anche i file elaborati dalla versione nuova dell'encoder.

Il trojan – encoder più diffuso Trojan.Encoder.94 ha oltre 350 versioni, che è un record. È possibile decifrare file elaborati dalla maggior parte delle versioni di Trojan.Encoder.94. Nel mese passato, questo trojan ha infettato i pc di oltre 680 utenti.

In totale, negli ultimi tre mesi, al laboratorio antivirale di Doctor Web sono arrivate circa 2.800 richieste di assistenza per il recupero dei file resi inaccessibili dagli encoder. Siccome i malintenzionati utilizzano sempre più complessi metodi di crittografia, i nostri specialisti devono risolvere problemi di matematica sempre più difficili in un numero sempre maggiore. A causa del grande numero di richieste di assistenza e dell'elevato carico sul personale del laboratorio, dal 19 giugno 2013 abbiamo cominciato a fornire l'assistenza per il recupero di file cifrati solo agli utenti registrati dei prodotti Dr.Web.

Se i Vostri file sono inaccessibili a seguito delle azioni di un encoder, Vi consigliamo di non trasferire la somma richiesta dai criminali informatici e di non cercare di recuperare i dati da soli (non tentate di reinstallare il sistema operativo o di rimuovere alcuni file dal computer) perché in tale caso correte il rischio di perdere i dati in modo irrimediabile. Una valida misura preventiva è fare copie di backup di tutti i dati a scadenze regolari. Se siete utenti registrati dei prodotti Dr.Web, inviate alcuni file cifrati al laboratorio antivirale di Doctor Web tramite questo modulo speciale dopo aver selezionato il tipo appropriato di richiesta, cioè "Richiesta di cura". Attendete una risposta del nostro personale e seguite rigorosamente le istruzioni fornite dallo specialista.

Fonte: http://www.freedrweb.com/show/?i=3633&c=19&lng=it

Pharming – Cos’è e come si può evitare

Se un giorno avete intenzione di andare in un centro commerciale, ma finite in un mercato del pesce, allora questo è un caso di cattivo senso dell’orientamento. Nel mondo digitale, invece, si parla di pharming!

Come funziona il pharming?

Il phishing è una frode on-line in cui un truffatore invia messaggi di posta elettronica fraudolenti ad una vittima specifica. Le e-mail fingono autentiche comunicazioni da un impresa di fiducia, come una banca. Lo scopo di queste e-mail è quello di ingannare la vittima e fargli visitare un sito web falso in modo da rubare informazioni sensibili come le coordinate bancarie.

Ora, il phishing ha un cugino più infido chiamato pharming, ma è più difficile da individuare ed è una minaccia per l'identità di una persona e per le loro attività finanziarie. A differenza del phishing, non fa uso di email, ma reindirizza segretamente la vittima su un sito web falso, anche se hanno digitato manualmente l'indirizzo web vero e proprio. Nella maggior parte dei casi, il falso sito web è stato progettato per apparire come quello originale, come ad esempio il sito di una banca. Se l'utente cade nel tranello, poi potrebbe perdere i dati account personali o bancari, che verrebbero poi sfruttati dal truffatore.

Per eseguire il pharming, un pharmer può compromettere il computer sia con l'installazione di un software dannoso in esso, sia infettando il server collegato al computer.

Suggerimenti per proteggersi dal pharming

1. Ogni volta che visitate un sito web banking o e-commerce, cercate l'icona "lucchetto" da qualche parte nella finestra del browser, e assicuratevi che l'URL del sito inizi con "https". La presenza di questi due elementi significa che siete su un sito web protetto.

2. è fondamentale assicurarsi che il sito abbia un certificato valido di autorità da parte di un servizio di fiducia come VeriSign, Inc., Entrust, Inc., GeoTrust, Inc., ecc. Il certificato deve riportare il nome corretto del sito web. È possibile verificare questo certificato cliccando sull'icona "lucchetto" nella barra degli indirizzi del browser, come si può vedere nelle immagini qui sotto riportate.

Su Mozilla Firefox

Su Internet Explorer

Su Google Chrome

3. Dopo essere arrivati su un sito web, controllate il suo URL. Per esempio, se digitate "www.google.com" e siete sulla home page di Google, ma con un URL "www.goglee.com", allora probabilmente c’è un’attività di pharming. Non andate oltre.

4. Si noti che i siti web pharming di solito chiedono informazioni "extra". Per esempio, se il sito web della vostra banca richiede il vostro user id, password, pin bancomat, numero di carta di credito, password di transazione, ecc tutto in una volta, allora è più probabile che sia un sito di pharming.

5. Mantenete una stretta traccia dei vostri estratti conto ogni mese.

6. Utilizzate una protezione multistrato per il computer, e tenete sempre i software di sicurezza aggiornati. Inoltre, utilizzate la versione più recente del browser, visto che vengono aggiornati continuamente con correzioni per le vulnerabilità di sicurezza recentemente rilevate.

7. Tenetevi aggiornati sulle ultime minacce alla sicurezza.

Sebbene il pharming non sia così vecchio o comune come il phishing, fornisce una via più grande per i cyber criminali per colpire le loro vittime. Soluzioni rapide di sicurezza offrono un'ampia protezione contro il phishing, pharming e diverse altre minacce alla sicurezza informatica, attraverso piattaforme desktop e mobili.


Fonte: http://blogs.quickheal.com/wp/pharming-what-is-it-and-how-can-you-dodge-it/

Nuovo cavallo di troia infastidisce gli utenti di Facebook, Twitter e Google Plus

Doctor Web — produttore del software antivirus Dr.Web — ha scoperto nuove funzioni dannose nel programma malevolo per Facebook di cui molte riviste hanno già scritto sulla Rete. Trojan.Facebook.311 può pubblicare nuovi status all’insaputa dell’utente, aderire a gruppi, lasciare commenti e anche spedire messaggi indesiderati in Twitter e Google Plus.

Trojan.Facebook.311 è un’estensione scritta in JavaScript con versioni per Google Chrome e Mozilla Firefox. I truffatori cercano di diffondere il malware adoperando metodi del social engineering. Così il programma malevolo si intrufola nel sistema operativo attraverso un installer che si maschera da “un aggiornamento di sicurezza per la riproduzione del video”. Va notato che l’installer dispone di una firma digitale, quella della società Updates LTD posseduta da Comodo. Le estensioni si chiamano Chrome Service Pack e Mozilla Service Pack. Ai fini della diffusione, i truffatori di rete hanno creato una pagina web speciale, redatta in lingua portoghese, probabilmente orientata agli utenti di Facebook in Brasile.

Completata l’installazione, al momento dell’avvio del browser, Trojan.Facebook.311cerca di scaricare dal server remoto dei malintenzionati un file contenente una serie di comandi. In seguito, le estensioni malevole incorporate nel browser aspettano il momento in cui l’utente accede a Facebook. Dopo l’autenticazione dell’utente in Facebook, le estensioni possono cominciare a eseguire a nome dell’utente diverse azioni che dipendono dai comandi definiti dai pirati informatici nel file di configurazione relativo. Le possibilità sono: mettere “Mi piace”, pubblicare uno status, collocare una notizia sulla bacheca, aderire a un gruppo, commentare una notizia, invitare a un gruppo gli utenti inclusi tra i contatti della vittima o mandare loro messaggi. Oltre a questo, secondo un comando dei malintenzionati, il malware può scaricare e installare nuove versioni delle estensioni e anche interagire con Twitter e Google Plus, in particolare, inviarci messaggi di spam.



Recentemente, Trojan.Facebook.311 diffondeva su Facebook messaggi contenenti un’immagine che imita un lettore multimediale incorporato nel browser. Se l’utente fa clic su tale immagine, viene reindirizzato verso varie risorse web fraudolente. Inoltre, tramite messaggi personali e status, il trojan pubblicizzava quiz in cui sarebbe possibile vincere premi di valore.



La firma antivirale di questo trojan è stata inserita nel database di Dr.Web quindi la minaccia non può compromettere computer dei nostri utenti. Nonostante il target attuale di Trojan.Facebook.311 (presumibilmente Brasile), lo stesso schema di propagazione potrebbe essere impiegato anche per imbrogliare gli utenti di Facebook in altri paesi. Il team di Doctor Web Vi consiglia di stare attenti e di non scaricare, né installare applicazioni o “aggiornamenti di sicurezza” per browser che suscitano il Vostro sospetto.

Fonte: http://www.freedrweb.com/show/?i=3527&c=19&lng=it