Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il Ransomware Satan è tornato!
- VENERDÌ 22 GIUGNO 2018


l ransomware Satan è stato individuato per la prima volta nel 2017. E' tornato poi sulla cresta dell'onda quest'anno, ma con una nuova variante. I Quick Heal Security Labs hanno analizzato questa nuova variante e scoperto tecniche innovative di diffusione come l'uso dell'exploit EternalBlue per distribuirsi lungo le reti compromesse. 

Questa variante del ransomware Satan si diffonde usando le seguenti tecniche:
Analisi tecnica
1. Il file principale è compresso con MPRESS (vedi immagine sotto), il quale rilascia dopo l'esecuzione i file (la versione pubblica) di EternalBlue sul computer della vittima. L'uso del packer Mpress serve a rendere più difficile l'analisi di un file eseguibile, ma anche di ridurne il peso. 


2. Questi file sono salvati nella location ‘C:\Users\All Users\’. Anche questi file sono compressi usando Mpress. 

3. Il file principale esegue la scansione di tutti i sistemi che si trovano nella stessa rete usando appunto EternalBlue: lo scopo di questa analisi è individuare sistemi con i servizi SMB obsoleti, protetti da password deboli o non aggiornati. Sui sui sistemi dove l'exploit ha successo, i file vengono criptati: un sistema assai efficace per massimizzare i profitti derivanti da un attacco (sotto i file di EternalBlue). 


Questa versione di Satan salva sul computer anche il file mmkt.exe (Mimikatz), un tool open-source che consente ad un attaccante di estrarre le credenziali dal Windows Isaas (Local Secuirty Autority Subsystem). L'uso di Mimikatz permette la memorizzazione delle credenziali dei computer nella rete e l'infezione delle macchine nella rete stessa usando appunto le credenziali raccolte. 

Quindi viene scaricato sui pc bersaglio il file satan.exe sul drive C: l'esecuzione, che avviene in maniera automatica, comporta la criptazione dei file presenti sulla macchina. 


Il file “KSession”, che viene salvato su “C:\Windows\Temp\” contiene l'identificatore unico per ogni host infetto. I file criptati invece vengono rinominati secondo il seguente schema (vedi anche foto sotto): "example.jpg" diventa " [dbger@protonmail.com] Example.jpg.dbger". 


La nota di riscatto è questa:


Conclusa la criptazione dei dati, Satan.exe viene terminato, ma il file principale continua ad essere in esecuzione perchè necessario per l'invio dei dati al server di Command e Control sotto controllo degli attaccanti.

Come ti protegge Quick Heal dal ransomware Satan?
Quick Heal ti garantisce una protezione multilivello, molto utile per contrastare questo tipo di attacchi. In questi livelli troviamo:
  • Protezione Virus
  • Sistema di individuazione comportamentale
  • Anti Ransomware
Identificazione su base comportamentale:



Individuazione funzione Anti Ransomware:


Come stare al riparo dai ransomware
  • Esegui sempre un backup dei tuoi file, almeno di quelli più importanti, su un drive esterno (hard disk, chiavetta USB ecc...). Tieni in considerazione i vantaggi dei sistemi di backup in cloud per ospitare i dati.
  • Non installare mai, se possibile, freeware o versioni cracckate di qualsiasi software.
  • Non aprire pagine pubblicitarie mostrate su altri siti web senza avere la certezza che siano autentiche. 
  • Disabilita le macro mentre usi Microsoft Office.
  • Installa sempre un solido antivirus sul tuo computer e mantienilo aggiornato. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

P.IVA: 05345670482
Telefono: 055430352
distribuito da
© 2021 nwk - Privacy Policy - Cookie Policy - Login