Virus Ransomware

Cos'è il ransomware?

I virus ransomware sono una categoria di malware che compromette l'accesso ai documenti rendendoli inutilizzabili, consentendo comunque all'utente di accedere al computer. I creatori di ransomware costringono le vittime a pagare il riscatto attraverso metodi di pagamento specifici, dopodiché possono restituire alle vittime l'accesso ai loro dati. Purtroppo, la decrittografia del ransomware non è possibile utilizzando gli strumenti di rimozione.

I ransomlocker sono un tipo di malware che impedisce agli utenti di accedere ai loro dispositivi o ai dati bloccando il loro computer. La vittima riceve un messaggio che sembra provenire dalle forze dell'ordine locali nel quale gli viene chiesto di pagare una "sanzione" per evitare l'arresto e sbloccare il computer.

Tipi di ransomware

Il seguente elenco, anche se non è completo, illustra alcuni esempi di tipi di virus ransomware degni di nota.

Petya

Petya è un ransomware Trojan horse che crittografa i file sul computer compromesso. Simile a WannaCry, Petya si avvale dell'exploit EternalBlue come uno dei metodi per propagarsi. Tuttavia, utilizza anche tecniche classiche per diffondersi nelle reti di piccole e medie aziende, il che significa che può introdursi all'interno delle organizzazioni anche se queste hanno applicato le patch contro EternalBlue.

Altre informazioni

WannaCry

WannaCry è molto più pericoloso degli altri tipi di ransomware comuni a causa della sua capacità di diffondersi nella rete di un'organizzazione sfruttando una vulnerabilità critica presente nei computer Windows, che è stata corretta con una patch di Microsoft nel marzo 2017 (MS17-010). L'exploit, noto come "Eternal Blue", è stato reso noto online in aprile come parte di una serie di fughe di notizie trapelate da un gruppo conosciuto come Shadow Brokers, che ha rivendicato di avere rubato i dati dal gruppo di spionaggio informatico Equation.

WannaCry cerca e crittografa 176 diversi tipi di file e aggiunge .WCRY alla fine del nome del file. Chiede agli utenti di pagare un riscatto di $300 USD in bitcoin. Nella richiesta di riscatto la vittima viene anche avvisata che, in caso il pagamento non avvenga entro tre giorni, la somma sarà raddoppiata. Dopo sette giorni di attesa, i file crittografati saranno cancellati. Tuttavia, Symantec non ha trovato alcun codice all'interno del ransomware che possa causare l'eliminazione dei file.

Altre informazioni

La protezione dal ransomware dei prodotti Symantec

Per fermare il ransomware è necessaria una difesa in profondità su tutti i punti di controllo

E-mail

Symantec Email Security.cloud, Symantec Messaging Gateway

  • Eseguono analisi statiche di indicatori nocivi all'interno di file o documenti
  • Eseguono la detonazione di script potenzialmente dannosi in sandbox prima che le e-mail vengano recapitate e bloccate
    se vengono rilevati segni di comportamento nocivo
  • Bloccano i link nocivi tracciando l'origine in tempo reale prima che le e-mail vengano recapitate e analizzano i link selezionati con un clic dopo il recapito

Web

Soluzioni Symantec Secure Web Gateway1

  • Bloccano i siti nocivi tra cui i server di comando e controllo e di crittografia
  • Analizzano i file alla ricerca di comportamenti sospetti provenienti da URL sconosciuti per individuare attività di ransomware avvalendosi di feed sulle minacce multilivello e in linea
  • Malware Analysis cerca comportamenti specifici del ransomware e fa detonare i file sconosciuti in una sandbox prima del recapito

Endpoint

Symantec Endpoint Protection 142, ATP: Endpoint (EDR)

  • L'apprendimento automatico avanzato rileva il malware polimorfico
  • Emulator decomprime il malware elusivo mentre Behavior Analysis rivela le azioni del ransomware
  • IPS blocca il tentativo del ransomware di scaricare le chiavi di crittografia
  • Isolano gli endpoint quando viene rilevato un ransomware per impedire la diffusione nella rete
  • Cercano indicatori di compromissione (IoC) ransomware su tutti gli endpoint

Carico di lavoro

Symantec Data Center Security: Server Advanced

  • Regole IPS predefinite sono in grado di impedire che i file eseguibili del ransomware vengano rilasciati o eseguiti nel sistema
  • I clienti che non utilizzano protezioni IPS complete possono implementare politiche per bloccare specifici file eseguibili di malware
  • È possibile applicare regole aggiuntive per bloccare tutto il traffico SMB in entrata e in uscita
  • Il ransomware può anche essere bloccato aggiungendo gli hash degli eseguibili agli elenchi globali di file da non eseguire

Altre informazioni

Symantec Internet Security Threat Report 2018

Da grosso affare, il ransomware diventa una merce di scambio, con i prezzi che scendono e le varianti che aumentano del 46%.

Leggi il report

Blog

WannaCry: gli attacchi di ransomware mostrano stretti legami con il gruppo Lazarus

Somiglianze nel codice e nell'infrastruttura indicano una stretta connessione con il gruppo che era collegato agli attacchi sferrati contro la Sony Pictures e la Bangladesh Bank.

Una strategia di difesa integrata per combattere il ransomware in ogni punto di attacco

Le soluzioni avanzate per la protezione dal ransomware di Symantec offrono una difesa integrata su TUTTI i punti di controllo.

Data Center Security Server Advanced blocca WannaCry

Scopri come Symantec fornisce protezione contro il ransomware WannaCry.

Ransomware WannaCry: 10 tattiche con cui Symantec Incident Response può essere di aiuto

Come IR può rilevare, correggere e proteggere da futuri attacchi di ransomware.

Ransomware WannaCry: 6 implicazioni per il settore delle assicurazioni

Questo articolo illustra i rischi emergenti che il settore assicurativo deve affrontare in tema di attacchi informatici.

Possibile decrittografare i file bloccati da WannaCry: un'analisi tecnica

Da quando ha iniziato a diffondersi il worm ransomware WannaCry ha catturato l'attenzione dei notiziari di tutto il mondo.

Cosa è necessario sapere sul ransomware WannaCry

Scopri come questo attacco ransomware si è diffuso e come proteggere la tua rete da attacchi simili.

Symantec protegge i clienti contro il ransomware con difese multilivello su più linee di prodotti, sorvegliando molteplici vettori e obiettivi di attacco tra cui e-mail, Web, endpoint e server di data center. Anche la tecnologia di rilevazione del comportamento SONAR protegge proattivamente dalle infezioni.

Endpoint: Symantec Endpoint Protection e Norton
Symantec Endpoint Protection (SEP) e Norton hanno bloccato qualsiasi tentativo di exploit della vulnerabilità utilizzata da WannaCry fin dal 24 aprile, prima che WannaCry facesse la sua prima apparizione, utilizzando una combinazione di varie tecnologie. Infatti, la sola funzionalità di apprendimento automatico avanzato disponibile in SEP ha bloccato in modo proattivo tutte le infezioni WannaCry fin dal giorno zero, senza alcun aggiornamento. Tutte le versioni di SEP, comprese SEP 14, SEP Cloud e SEP Small Business Edition dispongono di queste protezioni automatiche contro WannaCry. Per ulteriori informazioni, consulta la sezione Dettagli e consigli di seguito.

E-mail: Symantec Email Security.cloud e Symantec Messaging Gateway
I prodotti Symantec Email Security.cloud e Symantec Messaging Gateway offrono protezione automatica contro WannaCry per gli attacchi basati su e-mail.

Web: Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG) blocca l'accesso a siti Web nocivi e i download che potrebbero contenere ransomware. Le soluzioni SWG comprendono ProxySG, WSS, GIN, Content e Malware Analysis, Security Analytics e SSLV.

Carico di lavoro: Symantec Data Center Security: Server Advanced
Le politiche di rilevazione delle intrusioni di Symantec Data Center Security: Server Advanced (DCS:SA) bloccano WannaCry in modo predefinito. Tutti e tre i livelli delle politiche di Symantec DCS:SA, Windows 6.0 (e successivi) Basic, Hardening e Whitelisting bloccano l'attacco del ransomware WannaCry impedendo il rilascio dei file eseguibili nocivi nei sistemi. I clienti che non adottano funzionalità complete di prevenzione delle intrusioni possono applicare politiche di prevenzione delle intrusioni mirate per bloccare l'esecuzione del ransomware.

Nota: leggi l'articolo del blog su Data Center Security Server per ulteriori dettagli e istruzioni.

Gestione degli endpoint: Symantec IT Management Suite
Symantec IT Management Suite (ITMS) offre patch e aggiornamenti delle vulnerabilità per endpoint e server di data center. La patch di aggiornamento della protezione per Microsoft Windows SMB Server (4013389), che protegge da WannaCry, è stata rilasciata in marzo da Microsoft e ITMS ne garantisce il supporto dalla stessa data.

Nota: ITMS 7.5 applicherà la patch ai sistemi Windows 7/8.1, tuttavia per applicare la patch ai sistemi WIndows 10 è necessario ITMS 7.6 o versione successiva.

Cyber Security Services:  i clienti possono trarre vantaggio da Managed Security Services di Symantec per monitorare gli avvisi di WannaCry e rilevare la diffusione di ransomware all'interno dell'organizzazione. Symantec può inoltre fornire servizi di risposta agli incidenti, compresi servizi di preparazione, ricerca e risposta per le vittime di WannaCry.

Visualizza la panoramica dettagliata  su come i prodotti Symantec ti proteggono da Wannacry e altri ransomware.

Dettagli e consigli per i clienti di Symantec Endpoint Protection e Norton

Per una protezione proattiva completa Symantec consiglia ai clienti di attivare le seguenti tecnologie:

  • Prevenzione delle intrusioni
  • Tecnologia per la rilevazione del comportamento SONAR
  • Apprendimento automatico avanzato

Nota: si consiglia ai clienti di Symantec Endpoint Protection di migrare a SEP 14 per usufruire della protezione proattiva fornita dall'apprendimento automatico avanzato.