Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Arriva Nodera: il primo ransomware in Node.js
- MERCOLEDÌ 29 GENNAIO 2020


I Quick Heal Security Labs hanno recentemente individuato, nel corso dell'attività di ricerca malware e cyber minacce, un ransomware piuttosto inusuale, basato sul framework Node.js. L'uso di Node.js è piuttosto raro nelle famiglie di ransomware. 

Node.js è framework / piattaforma per l’esecuzione di applicazioni JavaScript, opensource e multipiattaforma, che esegue codice JavaScript al di fuori di un browser. Si basa sul motore V8 JavaScript, che è un motore opensource ad alte prestazioni di Google, scritto in C++. E' usato in Chrome e Node.js, tra gli altri e si esegue su Windows 7 e successivi, macOS 10.12 e sucessivi e sistemi Linux con processori x64, IA-32, ARM o MIPDS. 

E' interessante notare che gli utenti possono facilmente cadere vittima del ransomware Nodera durante al navigazione online, facendo clic su un file HTA oppure su annunci pubblicitari dannosi. 

Qualche dettaglio tecnico
Il campione analizzato nel nostro laboratorio si presenta come uno script VBS con molteplici script js integrati. Una volta eseguito crea la directory "GFp0JAk” in  “%userprofile%\AppData\Local\”. Crea anche una sottocartella “node_modules”, per lo storage delle librerie Node.js, necessarie per l'esecuzione del payload del ransomware. Per l'esecuzione, questi script necessitano di node.exe che viene scaricato dal sito ufficiale nodejs.org: il file node.exe viene scaricato nella directory creata in precedenza. 

Vengono anche create tre diverse chiavi di registro, "Microsoft Office", "Startup", e "Windows" su HKCU\Software\Microsoft\Windows\CurrentVersion\Run| per ottenere la persistenza sul sistema. 


Vengono quindi scaricate ulteriori librerie, poi il malware esegue un check in cerca del file “%userprofile%\AppData\Local\GFp0JAk\GFp0JAk.exe”. Se questo file è presente verrà avviata l'esecuzione dello script: in questo caso il payload è lo script lLT8PCI.js, che esegue tutte le attività relative al ransomware. 

Lo script JS esgeue per cosa le inizializzazioni di alcune variavili come "bitcoinAddress" e il suo prezzo. Vi integra anche la chiave pubblica RSA di 4096 bit nel formato PEM, come si vede in figura sotto


Verificherà quindi i diritti di amministrazione in “%WinDir%” cercando di creare un file con nome random. La funzione “generateKey” viene usata per generare un nome file e una estensione random. 


A questo punto viene richiamata la funzione di scansione per la verifica di tutti i drive presenti nello stesso sistema: viene creata quindi una lista di tutti quelli rintracciati. Rispetto a al drive "C:" vi sono alcune esclusioni: come si può vedere nella foto sotto, il malware considera soltanto alcune specifiche directory. 


Viene creato il file {randomname_of_len_6}.key dove viene salvata la password AES-256, criptata con RSA. La foto sotto mostra tutti  moduli del ransomware Nodera. 

Ancora non viene però avviata la criptazione: prima infatti il malware procedere all'arresto di alcuni processi come winword.exe, excel.exe, outlook.exe e procedere alla cancellazione delle Shadow Volume Copies per impedire il ripristino dei file. 

A questo punto viene avviata la criptazione: i file criptati subiscono l'aggiunta dell'estenzione .encrypted. Vengono creati due ulteriori file 
  • “%userprofile%\AppData\Local\GFp0JAk\“How-to-buy-bitcoins.html”
  • “%userprofile%\Desktop\Decrypt-your-files.bat”. 

Sotto è visibile la nota di riscatto

Ecco invece come si presentano i file una volta criptati


Quick Heal protegge gli utenti da questo tipo di attacchi: 
I prodotti Quick Heal sono costruiti con le seguenti funzioni di sicurezza multi-livello, per difendere gli utenti da questo tipo di attacchi:
  1. Antiransomware
    Strumento di difesa specifico contro attacchi ransomware. Individua un ransomware tracciando la sequenza di esecuzione del malware.
  2. Firewall
    Blocca tutti i tentativi illegittimi di accesso dannoso alla rete. 
  3. IDS/IPS
    Individua i tentativi di brute force sull'RDP e blocca l'indirizzo IP degli attaccanti remoti per un periodo di tempo definito. 
  4. Protezione Virus
    Il servizio di protezione virus online individua le varianti ransomware già conosciute.
  5. Sistema di individuazione comportamentale
    Traccia le attività dei file eseguibili e blocca quelli che eseguono attività dannose. 
  6. Backup e Restore
    Aiuta a eseguire il backup a  cadenza regolare, così da rendere possibile il ripristino in qualsiasi momento. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MERCOLEDÌ 1 APRILE 2020
Il Coronavirus è diventato un canale di attacco per i ransomware?
Ormai non si trova più nessuna persona sul pianeta che non conosca il termine "Nuovo Coronavirus".  In tutto il mondo, almeno 7.7 miliardi di persone ne sono stati r...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2020 nwk - Privacy Policy - Cookie Policy - Login