Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il ransomware Dharma distribuito con email di spam a tema Covid-19
- MARTEDÌ 14 APRILE 2020


Abbiamo già raccontato di come il Coronavirus sia diventato una vera e propria "onda da cavalcare" per i cyberattaccanti: una copertura molto efficace per attacchi di vario tipo, dalla distribuzione di malware all'uso di domini dannosi, al furto dati ecc ecc..

Oltre a centinaia di email recanti malware, presentate come vademecum anti contagio, avvisi importanti di autorità sanitarie e governative, sono stati individuati centinaia di domini falsi contenenti perfino mappe aggiornate coi dati relativi ai contagi  e ai decessi: tutti strumenti ben congegnati e che hanno prodotto danni ragguardevoli ad utenti ed aziende. 

Una delle ultime campagne di distribuzione malware a tema Covid-19 individuata dai Quick Heal Security Labs vede protagonista il ransomware Dharma. Individuato già nel 2016, è in circolazione da quasi 5 anni e continua a comparire periodicamente con nuove varianti. I suoi sviluppatori sono stati sempre molto attenti ad equipaggiare questo ransomware con tutti gli strumenti utili per evitare l'individuazione da parte delle soluzioni di sicurezza. 

Il payload principale della versione attualmente in diffusione si chiama "1codiv.exe": una volta eseguito avvia immediatamente la criptazione dei file e mostra sullo schermo la nota di riscatto. L'estensione che questo malware aggiunge ai file criptati è .ncov. 


La nota di riscatto è distribuita un vari formati, html ma anche .txt. Contiene le indicazioni per contattare gli attaccanti all'email coronavirus@qq.com, per riportare i file in chiaro. 


Analisi tecnica
Il ransomware non impiega alcuna tecnica per bypassare gli User Account Control di Microsoft: al momento dell'esecuzione viene mostrato il prompt relativo e questo rende possibile all'utente, se abbastanza attento, bloccare il malware prima che si esegua. Il malware non appare compresso, ma ha API e librerie criptate. 

Contiene una lista di estensioni di file solitamente importanti per gli utenti, come:
  • Doc: .doc;.docx;.pdf;.xls;.xlsx;.ppt;
  • Arc: .zip;.rar;.bz2;.7z;
  • Dbf: .dbf;
  • Jpg: .jpg;
Questi saranno le tipologie di file presenti nel computer che verranno criptate. Contiene anche una lista di processi da arrestare tutti correlati ai software outlook.exe, postgres.exe, mysqld-nt.exe, mysqld.exe, sqlservr.exe ecc...

Utilizza inoltre molteplici tecniche per ottenere la persistenza sul sistema:
  1. scarica una copia di se sesso in %windir%system32;
  2. legge le voci nel registro di sturtup e vi copia se stesso;
Cancella inoltre le shadow copies, usando il tool vssadmin, per impedire il ripristino del sistema. 


Ha anche la possibilità di criptare tutti i drive e le condivisioni di rete. 

L'individuazione da parte di Quick Heal
Quick Heal individua questo malware come  Ransom.Crysis.A3., non solo tramite la protezione in tempo reale, ma anche grazie alle funzionalità di protezione Antiransomware e al Sistema di Individuazione Comportamentale.


Alcuni consigli
Come detto, i malware diffusi sfruttando la fobia da Coronavirus sono tantissimi e con tecniche diverse. Alcuni consigli utili sono:
  • attiva la protezione email della tua soluzione antivirus;
  • non fare click su alcun link e non scaricare nessun allegato contenuti in email della cui autenticità non hai certezza;
  • non eseguire alcun file contenuto in allegati provenienti da fonti non verificate. 
Consigliamo di visualizzare, in coda all'articolo originale disponibile qui una lista dei domini dannosi che sfruttano riferimenti al Coronavirus. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MERCOLEDÌ 25 NOVEMBRE 2020
Quanto sei protetto quando effettui transazioni e pagamenti online?
Home banking e shopping online sono diventati una realtà che è parte integrante delle nostre vite, specialmente in questo periodo di pandemia. Probabilmente siamo tutti c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2020 nwk - Privacy Policy - Cookie Policy - Login