Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Dharma Ransomware: è risorto con una nuova versione
- LUNEDÌ 16 APRILE 2018


E' stata individuata una nuova variante del ransomware Dharma, osservata "in the wild". Questa variante cripta i file e ne modifica l'estensione in .arrow. Si diffonde tramite email di spam.

Come cripta i file?
Una volta eseguita, la variante Arrow di Dharma usa i comandi (visibili sotto) per disabilitare le opzioni di ripristino e backup di Windows, usando vssadmin.exe. 

C:\Windows\system32\vssadmin.exe, vssadmin delete shadows /all /quiet

Crea quindi il processo visibile sotto usando mode.com, che è un processo genuino di Windows. 

C:\Windows\system32\mode.com, mode  con cp select=1251


L'uso effettivo di mode.com si ha dopo il riavvio del computer: modifica le impostazioni della porta di comunicazione (COM) nel valore di default.



“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”

Nell'immagine sotto, un esempio di come si presentano i file criptati.


La nota di riscatto
La versione Arrow di Dharma rilascia una nota di riscatto in due versioni: .hta e .txt. 


Nota di riscatto .hta


Nota di riscatto .txt

La protezione da parte di Quick Heal
Quick Heal protegge proattivamente gli utenti dalla variante Arrow del ransomware Dharma, grazie all'individuazione comportamentale e alla funzione di individuazione statica.

Individuazione comportamentale

Individuazione statica

Come stare al riparo dai ransomware
  1. Usa un antivirus multi libello, che sia capace di bloccare le minacce in tempo reale.
  2. Mantieni aggiornato il tuo antivirus.
  3. Mantieni aggiornato il tuo sistema operativo, installa le patch critiche che vengono rilasciate ogni giorno.
  4. Mantieni aggiornati tutti i software che hai sul tuo computer.
  5. Non connettere mai i sistemi remoti direttamente ad Internet.
  6. Non fare mai clic su link o su allegati contenuti in email provenienti da fonti sconosciute.
  7. Esegui regolarmente, in una location sicura, il backup dei tuoi dati.
Indicatori di compromissione
MD5: – d07bc4924a0b84f4f36871b47eed0593


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 20 APRILE 2018
Che cosa sono i cookie e a cosa servono (ma sopratutto, mettono a rischio la privacy)?
I cookie sono righe di testo contenute in file di piccole dimensioni inviati da un sito web ad un browser impiegato per la navigazione: sono le tracce che i siti web che ...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login