informaticage

Ricerca TR.cryptolocker

Dec 2nd, 2014 (edited)
136
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 2.42 KB | None | 0 0
  1. ____________________ RICERCA SUL MALWARE "Trojan.Cryptolocker.F" __________________________
  2.  
  3. Il seguente trojan è solito arrivare come allegato ad email.
  4.  
  5. Nel momento in cui il trojan viene eseguito, crea il seguente file:
  6. %Windir%\[RANDOM FILE NAME].exe
  7. [RANDOM FILE NAME] >> un file con un nome casuale.
  8.  
  9. Il trojan crea la seguente chiave di registro:
  10. HKEY_CURRENT_USER\Software\Bit Torrent Application
  11. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"kygxiuqw" = %Windir%\[RANDOM FILE
  12.  
  13. NAME].exe
  14.  
  15. Il trojan crypta i dati nel pc compromesso.
  16.  
  17. Tutti i file cryptati avranno un estensione aggiuntiva ".encrypted".
  18.  
  19. Il trojan potrebbe creare il seguente file contenente i file cryptati:
  20. PLEASE_READ.txt
  21.  
  22. Il malware POTREBBE mostrare la seguente finestra:
  23. http://www.symantec.com/content/en/us/global/images/threat_writeups/2014-060208-2817-99.1.jpg
  24.  
  25. La ricerca è stata effettuata sul sito della Symantec quindi Norton è in grado di rilevarlo.
  26. Tuttavia il malware è di qualche mese fa quindi la maggiorparte degli antivirus può eliminarlo.
  27.  
  28. I miei consigli per la rimozione sono:
  29. Utilizzare un firewall con regole severe.
  30. Se non per la rimozione utilizzare un account con bassi privilegi.
  31. Impostare i software di gestione email come Outlook per non inviare allegati .bat .exe .cmd .vbs .pif .src
  32. Riconfigurare il DNS
  33. Dopo la scansione con norton, utilizzare anche un antimalware come Mbam.
  34. Se sono stati cancellati file di sistema utilizzare il disco di ripristino di windows e ripristinarli dal
  35.  
  36. prompt dei comandi.
  37. Da MSCONFIG disabilitare il malware dall'avvio automatico.
  38. Mi sembra che il malware sia scritto in un linguaggio Microsoft del framework.net quindi in caso di
  39.  
  40. impossibilità di rimozione basterà disinstallare il framework per impedire al virus di attivarsi.
  41. Tuttavia non ho la certezza di quest'ultima informazione.
  42.  
  43. I file che il malware crypta sono:
  44. *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb,
  45.  
  46. *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf,
  47.  
  48. *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2,
  49.  
  50. *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2,
  51.  
  52. *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Add Comment
Please, Sign In to add comment