Selected news item is not available in the requested language.

Italian language proposed.

Close

29/07/2016
14:55

Nuovo crypto-malware in circolazione: attenti a CryptoPPP!


Questo crypto-malware cifra i file di documenti rendendoli illeggibili senza rinominarli. Scoprite come difendersi da questa nuova minaccia con Vir.IT eXplorer PRO...

Il C.R.A.M. di TG Soft ha individuato una nuova famiglia di crypto-malware chiamata CryptoPPP.

Questo crypto-malware crittografa file di documenti (come .txt, .doc, .ppt, .mdb, .xls, ecc.) senza però rinominarli o aggiungendo estensioni particolari.

Per decifrare i file, come gli altri crypto-malware, questo richiede il  pagamento di un riscatto in BitCoin.
 

INDICE

==> Come si manifesta CryptoPPP
 
==> Il riscatto richiesto da CryptoPPP

==> Come proteggersi da CryptoPPP

==> Come comportarsi per mitigare i danni derivanti da CryptoPPP

==> Posso recuperare i file cifrati?

==> Considerazioni finali


Come si manifesta CryptoPPP

 
Poichè l'attacco non risulta venire scatenato dall'esecuzione file allegati ad e-mail o link malevoli in queste inseriti ad arte, si presume che la diffusione di Trojan.Win32.CryptoPPP.A sfrutti siti compromessi che possono contenere vulnerabilità su applicativi quali Java, Adobe Flash Player o Adobe Reader.

Il Trojan.Win32.CryptoPPP.A si presenta come un file DLL, con il nome rad<5 caratteri esadecimali>.tmp.dll e viene copiato all'interno della cartella temporanea dell'utente %user%\appdata\local\temp:
  • NOME FILE: radF09F1.tmp.dll
  • DIMENSIONE FILE: 358.400 byte
  • MD5: E819D1D1584589757A717A88DFC94BDC
Il Trojan.Win32.CryptoPPP.A crittografa i file di documenti (come .doc, .xls., .ppt, .jpg, ecc.) senza però rinominarli, complicando l'individuazione e la quantificazione dei file crittografati.

Il Trojan.Win32.CryptoPPP.A mette sé stesso in esecuzione automatica, tramite un link nella cartella STARTUP del menù di avvio che contiene l'istruzione che esegue il virus "C:\WINDOWS\SYSWOW64\REGSVR32.EXE -S C:\USERS\UTENTE\APPDATA\LOCAL\TEMP\RADF09F1.TMP.DLL".

%appdata%\Microsoft\Windows\StartMenu\Programs\Startup\3486883BD5D0.lnk 


Le istruzioni del riscatto, sotto forma di tre file "README.HTML", "README.BMP" e "README.TXT", sono contenute in tutte le cartelle interessate dall'operato del crypto-malware.
In particolare, una copia di questi file è viene creata nella cartella STARTUP del menù di avvio per farle eseguire in automatico all'avvio del sistema, ed una copie di "README.HTML" è posta nella cartella contenente le scorciatoie di rete visualizzate nelle Risorse del Computer.
 
%appdata%\Microsoft\Windows\StartMenu\Programs\Startup\README.{HTML|BMP|TXT}
%appdata%
\Microsoft\Windows\Network Shortcut\README.HTML
Torna ad inizio pagina

Il riscatto richiesto da CryptoPPP

Il file "README.BMP", così come viene lanciato dal virus, è visibile nell'immagine qui sotto. In questo file sono contenute le istruzioni per procedere al pagamento del riscatto corredato dal numero ID personale della vittima che servirà poi per associare il pagamento al PC infetto.

Videata del file "README.BMP"
Click per ingrandire

La seguente è la videata del file "README.HTML" aperta nel browser.

 Videata del file "README.HTML"
Click per ingrandire
 
Torna ad inizio pagina


Come proteggersi da CryptoPPP

Con la release 8.2.27 del 29 luglio 2016 è stato adeguato l'automa euristico-comportamentale integrato in Vir.IT eXplorer PRO, che è ora in grado di identificare e bloccare nelle prime fasi dell'attacco anche CryptoPPP, come già accade per altre famiglie/tipologie di crypto-malware come CryptoLocker, CryptoLocky/Zepto, CryptoEncoder, e molti altri meno noti alla maggior parte dei non addetti ai lavori.
 
Come già segnalato, Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, grazie alla propria tecnologia Anti-CryptoMalware è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.

Date per ragionevolmente certi e corretti i seguenti passaggi:

  • INSTALLAZIONE;
  • AGGIORNAMENTO sia delle Firme sia del Motore;
  • CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino;
  • UTILIZZO di Vir.IT eXplorer PRO da parte dell'utente;
si ha ragionevole aspettativa di preservare dal tentativo di cifratura, come già segnalato, mediamente, non meno del 99,63% dei dei file di dati di PC e SERVER.

Dettagli sistemistici per rendere operativo l'aggiornamento del motore di Vir.IT eXplorer PRO

Dopo aver scaricato l'aggiornamento 8.2.27 sarà necessario procedere ad eseguire un RIAVVIO COMPLETO del PC / SERVER per rendere tale update operativo.
Segnaliamo che il semplice ARRESTO del sistema e successiva RI-ACCENSIONE, in particolare per Windows 88.1 e 10, non permettono l'aggiornamento del motore di scansione di Vir.IT eXplorer PRO come avviene per eventuali aggiornamenti di qualsiasi altro applicativo.
Il RIAVVIO del sistema dev'essere eseguito aprendo il menù di avvio di Windows  , cliccando l'icona di spegnimento alla voce "Arresta" e successimavente "Riavvia il sistema".

Per avere la certezza che l'aggiornamento venga definitivamente caricato, è consigliabile eseguire il riavvio due volte.

Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti da UltraCrypt

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
  2. SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  3. ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza di questo crypto-malware.
  4. NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa


Posso recuperare i file cifrati?

Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da CryptoPPP saranno al più qualche decina.

Nella fase iniziale dell'attacco CryptoMalware, quando l'approccio euristico-comportamentale sta valutando di intevernire per "inabilitare" il processo, il modulo AntiCryptoMalware di Vir.IT eXplorer PRO possiede un sistema di salvataggio "al volo", chiamato backup On-the-Fly, che effettua il backup dei file di documenti (.doc, .docx, .xls, .xlsx, .jpg, .pdf, ecc.) con dimensione compresa tra 2 KB e 3 MB e conserva i file realizzati attraverso il backup automatico on-the-fly per 48 ore in modo da permetterne il ripristino in caso di necessità.

I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup per il ripristino di quei pochi file crittografati nella fase iniziale dell'attacco. 

Torna ad inizio pagina

Considerazioni finali

Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
  1. siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
  2. NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso specifico di attacco CryptoPPP, procedere a:
    • SCOLLEGARE il CAVO di RETE LAN;
    • SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
    • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
Se vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il supporto tecnico di TG Soft.

Nel caso 2., non avendo Vir.IT eXplorer PRO, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.


TG Soft
Centro Ricerche Anti-Malware
Torna ad inizio pagina
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: