Trojan Ransom Win32 Rannoh infection

Condividi con i tuoi amici










Inviare

Pesante attacco ai Windows Server 2003

File crittografati come * .ULTRACODE

Un nuovo gruppo di Hacker presumibilmente est-Europei, colpisce prendendo di mira le macchine con il sistema operativo Server di Microsoft.  Il pericoloso Malware cripta con chiave di cifratura AES i seguenti formati di file:

  • Documenti di testo (txt, doc, dat, rtf ecc.)
  • File di Database (mdb, db, mdbx, dbt, ecc.)
  • Immagini ( jpg, jpeg, png, bmp, ecc.)

aggiungendo a questi ultimi l’estensione *.ULTRACODE. Attualmente non esiste alcun modo per decriptare i file, se non quello di inviare del denaro ai malintenzionati sperando di ricevere un decriptatore, oppure decifrare l’algoritmo  di criptazione utilizzando i tool creati da Kaspersky Lab o da Dr.Web.

Ovviamente in ogni cartella del computer dove ha criptato file, lascerà un documento di testo di nome “HOW TO DECRYPT FILES.txt” che contiene le parole che seguono:

Screenshot del file di testo generato dal Trojan

Screenshot del file di testo generato dal Malware

Le ultime stringhe di testo oscurate sono caratteri alfanumerici che servono agli hacker per sapere che chiave hanno utilizzato per criptare i file.

Come prevenire l’attacco e tutelare i propri Server?

Attacchi del genere sono facilmente evitabili utilizzando questi semplici accorgimenti:

  • Bloccare le connessioni in ingresso attraverso Desktop Remoto da indirizzi IP esterni alla rete ed utilizzare programmi alternativi per collegarsi (es. TeamViewer o RealVNC);
  • Modificare le Password  degli utenti rendendole più complesse;
  • Scaricare sempre gli aggiornamenti di Windows, sopratutto quelli sulla sicurezza.
  • Assicurarsi di aver installato questa serie di aggiornamenti come segnalato dalla Microsoft Security Bullettinhttp://technet.microsoft.com/en-us/security/bulletin/MS12-020

Vi sconsiglio fortemente di pagare i creatori del Malware perché è ovvio che non sia nei loro interessi farvi recuperare i file crittografati, ma recuperare più somme di denaro possibili!

Come recuperare i file in Sistemi già infetti?

Kaspersy Lab Virus Utility


Scaricare RannohDecryptor.exe.
(È possibile trovare le informazioni extra su come utilizzare il tool nel Safety 101 ID 8547)

Eseguire RannohDecryptor.exe sull’host infetto dal malware.
Fare clic su Start scan per iniziare il processo.

Screenshot con il Tool di rimozione Trojan

Tool di decriptazione by Kaspersky

Per avviare la decrittografia, l’utility chiederà di indicare il percorso di almeno un file crittografato. A questo punto Il tool cercherà di decriptare i file crittografati. Un riavvio potrebbe essere necessario una volta che l’utility completa la disinfezione.

Per eliminare le copie dei file crittografati denominati come “locked-<original_name>. <4 caratteri casuali>” dopo una decrittazione avvenuta con successo, utilizzare l’opzione Delete crypted files after decryption.

Si segnalato altri tool di rimozione Trojan/Malware di Kaspersky Lab che potrebbero funzionare con l’algoritmo di cifratura del virus “Ultracode”:

  • XoristDecryptor (Trojan-Ransom.Win32.Xorist)
  • RectorDecryptor (Trojan-Ransom.Win32.Rector)

Dr. Web Trojan.Encoder.94 Decryptor 1.4.27

Allo stesso modo del tool di Kaspersky, ci può aiutare anche questa preziosa Utility di Dr.Web scaricabile al link sottostante:

Trojan Encoder 94 Decryptor

Per far sì che il programmino funzioni però, è necessario eseguirlo con “-k 85” come parametro (senza le virgolette).

Come fare a lanciare un eseguibile con un parametro? Ecco un esempio:

Mettere te94decrypt.exe in C: \

Da Esegui (Tasto Windows + R) scrivere:
C: \ te94decrypt.exe-k 85

 

Update

Una preziosissima (ma devo dire complicatissima) guida di BleepingComputer su un Malware simile (il Cryptolocker), potrebbe rivelarsi utile per la disinfezione e la decriptazione dei propri file.

http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information


Condividi con i tuoi amici










Inviare
About the Author

Andrea Pigliacelli

Andrea Pigliacelli

#ICT Consultant & Technician, Assistant #ProjectManager, #Cisco Instructor - Amante del'Informatica e della Pesca Sportiva. Scrivo di #IT per evangelizzare e fare informazione. Mi occupo principalmente di reti, Internet, e di Networking e sicurezza in generale. Mi sforzo e cerco di contribuire per avere un #Internet libero per chiunque. Segui Andrea Pigliacelli su Google+

2 Comments

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *