Nuova ondata di infezioni da parte di un ransomware che, essendo di recente distribuzione (i primi attacchi sono stati registrati poche settimane fa), non ha ancora nome ma sembra essere una variante del cryptovirus Mobef (maggiori informazioni su Ransomware.it).

Questo  trojan colpisce sistemi server e client in maniera decisamente aggressiva, disinstallando antivirus e software di controllo eventualmente presenti come Teamviewer, disabilitando servizi quali MS SQL e MYSQL e criptando tantissimi tipi di file (non solo i soliti documenti di Office) presenti su dischi locali: in particolare riesce a criptare anche i file di dati e relativi backup di tutti i sistemi database più comuni. Come se non bastasse, tramite privilege escalation cambia la password di amministratore e si connette in RDP su tutte le macchine che trova in rete, propagando la tipologia di danno e arrivando a mappare gli interi dischi su cui viene effettuata poi la criptazione.

Solitamente gli attacchi arrivano tramite brute force su porta RDP (non solo la 3389, colpisce anche quando il servizio è mappato su porte alternative) e non sembrano essere legati a mail o pagine web infette.

Una volta terminata l’infezione e cifrati numerosi documenti senza cambiarne l’estensione (per i file più grandi vengono criptati solo i primi Kb), il ransomware lascia sul PC un file dal nome “LOKMANN.KEY993” contenente 1024 caratteri esadecimali (presumibilmente una chiave da 512 byte), un file di log nel quale vengono elencati i file cifrati e una richiesta di riscatto nel file “HELLO.0MG” dal contenuto simile a questo:

ID:255482

PC:SERVER08

USER:Administrator

=======

Hello there. I can decrypt your files.

Email me: parisher@protonmail.com

In case you don’t get a reply, please email me here*:

parisher@inbox.lv, parisher@mail.bg, parisher@india.com

* check your junk/spam folder first though ¿

These files have been encrypted (please, keep this .log): C:Windows633591.log

Il file “633591.log” lasciato dal ransomware nella cartella di Windows contiene l’elenco dei file criptati ed è necessario per poter capire quali file decifrare nel momento in cui si trova una soluzione per recuperare i file.

A differenza dei criptovirus identificati ad aprile e descritti su Ransomware.it, questo virus non fornisce la possibilità di mettersi in contatto con il ricattatore tramite sistema di comunicazione sicuro e cifrato bitmessage. Il messaggio “HELLO.0MG” lasciato sul PC indica infatti di contattare il delinquente a uno dei seguenti indirizzi di posta elettronica per richiedere come recuperare i propri file cifrati:

• parisher@protonmail.com
• parisher@inbox.lv
• parisher@mail.bg
• parisher@india.com

La richiesta per il meccanismo di decriptazione è pari a 5 bitcoin: al momento si hanno notizie di diversi utenti che sono riusciti a riavere indietro i dati, assieme a qualcuno che invece ha pagato e non ha più avuto contatti. Ovviamente sconsigliamo di intraprendere la strada del riscatto, se non altro per non incentivare i malfattori o peggio finanziare attività illecite all'estero.

Ad oggi non sono al momento disponibili decryptor gratuiti per decifrare i file criptati. Il post verrà aggiornato quando e se saranno disponibili maggiori informazioni circa il ransomware Parish Lokmann.key993 e su come decifrare i file gratuitamente tramite decryptor senza pagare il riscatto in bitcoin.

Come mi proteggo?

Di fronte ad un attacco così strutturato c'è poco da fare, se non contare su di un backup su supporto esterno quanto più fresco possibile (cosa che comunque non salva da un discreto lavoro di ripristino, poiché la criptazione spesso danneggia file fondamentali al funzionamento di diversi software). In tutti i modi, questi sono i nostri consigli:

• Non lasciare aperto su internet il servizio RDP! A prescindere dal tipo di malware che enta e dei danni che può fare, è una pratica sbagliata e pericolosa perché espone ad attacchi di tipo brute force.
• Introdurre regole sul ban degli utenti: è buona prassi sulle policy di sicurezza di Windows introdurre un ban dell'utente in seguito a login falliti (maggiori informazioni a questo link)
• Utilizzare antivirus efficaci ed aggiornati: è il miglior modo per proteggersi dai payload che accessi non autorizzati possono depositare nei sistemi
• Gestire correttamente gli accessi amministrativi: l'accesso amministratore dev'essere gestito solo da persone consapevoli dei rischi per la sicurezza!
• Utilizzare utenti complessi: sarebbe utile evitare gli utenti standard quali "admin" o "administrator" per le operazioni di amministrazione, oltre ad avere anche utenti amministratori con nomi complessi "di backup" nel caso ci sia un accesso che comprometta le credenziali dell'amministratore principale
• Utilizzare sistemi di backup robusti: se il vostro SQL server fa backup su sé stesso, è come se non lo facesse! Un backup robusto prescinde dalle macchine e si basa su supporti esterni con un grado di affidabilità elevato!
• [Se avete macchine virtuali] Fare backup periodico delle macchine stesse: un backup delle VM, correttamente conservato, permette il ripristino delle funzionalità (disaster recovery) in maniera veloce e facilitata.

Potete aiutarmi?

Trovate maggiori dettagli sulle soluzioni descritte sopra nella sezione "Servizi alle aziende": il nostro staff è a vostra disposizione per analizzare gratuitamente la vostra struttura informatica, valutare i fattori di rischio e identificare le corrette soluzioni da applicare. Perché senza adeguate misure di sicurezza, se succede, si piange!