 |
Già da domenica scorsa 18 settembre il C.R.A.M. di TG Soft ha verificato che scaricando dal sito ufficiale la versione demo del software di assitenza remota AMMYY, procedendo all'installazione, attiva il temibile ransomware CryptoCerber nella sua nuova versione 3. |
Attivando il file di installazione scaricato dal sito ufficiale di AMMYY, come detto, si attiva in prima battuta il processo
ENCRYPTED.EXE contenenente il
Cerber 3, che andrà a cifrare i file di dati del PC / SERVER e delle unità mappate di rete.
Di fatto contemporaneamente viene estratto/copiato il file di installazoine originale di AMMYY.
La cosa seppure già segnalata al produttore ad oggi sembra non aver sortito alcun tipo di provvedimento da parte della società produttrice stante la disponibilità del pacchetto di installazione ancora infetto.
CryptoCerber, ora giunto alla versione 3, risulta essere
ransomware estremamente pericoloso poichè ad oggi non sono disponibli tool per la decifratura/de-crittografazione de file eventualmente colpiti/cifrati.
Vir.IT eXplorer PRO, grazie alle tecnologie euristico-comportamentali
AntiRansomware protezione Crypto-Malware è già in grado di proteggere dalla cifratura, mediamente, non meno del 99,63% dei file di dati anche da CryptoCerber v. 3 e con le tecnologie di decifratura/recupero/ripristino di quei pochi file cifrati nella fase iniziale dell'attacco vi è la ragionevole aspettativa di raggiungere, nella maggior parte dei casi, fino al 100% di salvataggio dei file eventualmente cifrati.
Per proteggersi da
CryptoCerber v. 3 è necessario aver aggiornato il modulo
AntiRansomware di
VirIT alla versione
3.47 o successive. Per verificare la versione clickare sullo scudo residente
VirIT Security Monitor e dal menu
About->About comparirà la finestra con la versione del software indicata.
Per i sistemi operativi con
Windows 8, 8.1 e 10 si consiglia di aggiornare
VirIT e
RIAVVIARE IL COMPUTER per rendere attivo l'aggiornamento.
Per chi non avesse in disponibilità al versione PRO di Vir.IT eXplorer raccomandiamo di evitare accuratamente i prelevare le demo di questo software poichè, come detto, si rischia di avere la cifratura dei file di dati dei propri PC e/o SERVER.
Versione originale di Ammy
Nome File: AA_v3.5.exe
Dimensione: 773624 byte
MD5: 11bc606269a161555431bacf37f7c1e4
Data di compilazione: 29/05/2015 10.36.12
Firma digitale: Ammyy LLC
Versioni infette di Ammy
Data:
2016-09-21
Nome File: AA_v3.5.exe
Dimensione: 1200642 byte
MD5: a6552b7d5da2ba66238235c442df6811
Data di compilazione: 19/06/1992 22.22.17
Firma digitale: -
Commento: Il file infetto contiene il ransonmware
CryptoCerber 3 nel file
Encrypted.exe (dimensione 229433 byte, MD5 0e0c025d0c83c4823b5ddcbdc0c921fb, data compilazione 11/05/2014 20.05.39), e il file originale di Ammy v. 3.5
Nome File: AA_v3.5.exe
Dimensione: 1372416 byte
MD5: 66c423327174b54863233bc4c2e36c54
Data di compilazione: 19/06/1992 22.22.17
Firma digitale: -
Commento: Il file infetto contiene il ransonmware
CryptoCerber 3 nel file
Encrypted.exe (dimensione 401169 byte, MD5 7c98f8e3813813e1bb4b9e36904dda8d, data compilazione 11/05/2014 20.05.39), e il file originale di Ammy v. 3.5
Data:
2016-09-20
Nome File: AA_v3.5.exe
Dimensione: 1303197 byte
MD5: 300e85c8ab120c432cf81aeafbefb090
Data di compilazione: 19/06/1992 22.22.17
Firma digitale: -
Commento: Il file infetto contiene il ransonmware
CryptoCerber 3 nel file
Encrypted.exe (dimensione 331966 byte, MD5 20bfaa96d3560dc255a5766c12350367, data compilazione 19/09/2016 19.59.29), e il file originale di Ammy v. 3.5
Nome File: AA_v3.5.exe
Dimensione: 1320400 byte
MD5: 83b4f905612388a76302eb4d93f7eeae
Data di compilazione: 19/06/1992 22.22.17
Firma digitale: -
Commento: Il file infetto contiene il ransonmware
CryptoCerber 3 nel file
in.exe (dimensione 349072 byte, MD5 2a07b570a5146f0007fcf04604001c41, data compilazione 11/05/2014 20.05.39), e il file originale di Ammy v. 3
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft
