martedì 5 dicembre 2017

Ransomware Shadow: la nuova versione della famiglia BTCWare


E' stata individuata qualche giorno fa da Michael Gillespie, una nuova variante della pericolosa famiglia di ransomware BTCWare: la famiglia non è assolutamente nuova, è stata scoperta  per la prima volta lo scorso Marzo e da allora si è diffusa con più versioni (ne abbiamo parlato qui).
Questa versione, chiamata Shadow proprio dall'estensione che il ransomware aggiunge ai file che cripta, segue l'ultima, chiamata Payday (ne abbiamo parlato qui).

La nuova variante, Shadow appunto, cripta i file modificandone l'estensione in .[email]-id-id.shadow ai file criptati. Come ogni altro membro della famiglia BTCWare, anche Shadow attacca i servizi di remote desktop poco protetti ottenendo così l'accesso al sistema necessario per installare manualmente il ransomware.  

Le differenze con le altre versioni:
Nell'ultima versione diffusa non è cambiato molto, a parte agli indirizzi email di contatto (per ottenere le informazioni necessarie al pagamento del riscatto) e l'estensione aggiunta ai file criptati. Nello specifico, l'indirizzo email di contatto di questa variante è paydayz@cock.li, come si può vedere nell'immagine della nota di riscatto sottostante: 
L'altro cambiamento di rilievo riguarda invece l'estensione aggiunta ai file criptati: il ransomware andrà stavolta a modificare il nome del file aggiungendo l'estensione .[email]-id-[id].shadow al nome del file criptato

Ad esempio, il file test.jpg sarà criptato e rinominato "test.jpg.[paydayz@cock.li]-id-C0C.shadow". Sotto alcuni esempi di file criptati:

Fonte: bleepingcomputer.com

Attualmente non ha soluzione.

Come difendersi?
Per proteggersi efficacemente da Shadow (e da qualsiasi ransomware) è importante avere sempre a disposizione un backup affidabile e testato dei proprio dati da poter ripristinare in caso di emergenza, per esempio di fronte ad un attacco ransomware. 

Ultimo, ma non certo per importanza, è necessario assicurarsi di seguire delle corrette abitudini per quanto riguarda la sicurezza online che, il più delle volte, costituiscono il passaggio più importante.
  • Non aprire gli allegati se non si conosce chi li ha inviati.
  • Non aprire gli allegati finché non si hanno conferme sull’ identità della persona che li ha effettivamente inviati.
  • Scansionare gli allegati con strumenti come VirusTotal.
  • Assicurarsi di installare tutti gli aggiornamenti di Windows non appena vengono resi disponibili. Assicurarsi inoltre di aggiornare tutti i programmi, in particolare Java, Flash ed Adobe Reader. I programmi non aggiornati presentano maggiori vulnerabilità di sicurezza, che vengono comunemente sfruttate dai distributori di malware. Per queste ragione è importante tenersi sempre aggiornati.
  •  Assicurarsi di aver installato un adeguato software di sicurezza, possibilmente con un modulo anti ransomware e con una protezione multilivello. 
  • Utilizzare password complesse e soprattutto non utilizzare mai la stessa su più siti diversi.
Indicatori di compromissione :
1. Mail di contatto
- paydayz@cock.li

 2. Estensione aggiunta
 - .[email]-id-[id].shadow

3. File associati
- %AppData%\payday.hta
Pubblicato da alle
Etichette: ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)