Tag: virus

Consulenza, Database, Sicurezza informatica

Il Ransomware eCh0raix colpisce ancora

NAS di QNAP sono nuovamente il bersaglio di un attacco Ransomware, come hanno confermato diversi utenti e i dati statistici del servizio ID Ransomware. Il malware in questione è una vecchia conoscenza, ovvero eCh0raix. I dispositivi di QNAP sono stati colpiti da altri due ransomware nel corso dell’anno che hanno sfruttato le vulnerabilità presenti nel sistema operativo QTS.

Il ritorno di eCh0raix

I NAS più a rischio sono quelli con password deboli e sistema operativo non aggiornato. Non è noto il vettore di attacco, ma il risultato finale è la creazione di un nuovo utente con privilegi di amministratore ed installazione del Ransomware che applica la crittografia a tutti i file.

In un file di testo con estensione sbagliata (.txtt), l’hacker indica l’indirizzo di un sito Tor, sul quale sono pubblicate le istruzioni da seguire per pagare il riscatto. Se l’utente ha creato un backup dei file può semplicemente effettuare la re inizializzazione del NAS. In caso contrario ci sono due opzioni: pagare il riscatto e sperare di ricevere il “decryptor” oppure perdere tutti i dati.

QNAP suggerisce di utilizzare password più robuste per gli account amministratori, attivare la protezione degli accessi, cambiare il numero di porta, aggiornare il sistema operativo QTS e tutte le app installate.

NAS preferiti dai cybercriminali

NAS venduti da QNAP sembrano diventare il target preferito dei cybercriminali.

Non si conosce la cifra chiesta oggi, ma un portavoce di QNAP ha confermato che sui dispositivi compromessi è installata una vecchia versione del firmware. È quindi fortemente consigliato installare le ultime versioni di QTS o QuTS Hero e aggiornare tutte le applicazioni installate.

QNAP suggerisce inoltre di non connettere il NAS direttamente ad Internet tramite port forwarding, DMZ o IP pubblico. È possibile utilizzare una VPN.

Azioni per proteggere il NAS

Il malware può entrare nel NAS connesso ad Internet se l’utente sceglie password troppo deboli.

La sua presenza si nota subito perché il consumo di RAM e CPU cresce in maniera eccessiva.

Dieci suggerimenti per ridurre il rischio di infezione:

  • Aggiornare QTS all’ultima versione
  • Installare l’ultima versione di Malware Remover
  • Installare Security Counselor ed eseguirlo con la policy di sicurezza intermedia
  • Attivare Network Access Protection (NAP) per proteggere gli account da attacchi brute force
  • Installare un firewall
  • Usare password robuste per gli amministratori
  • Usare password robuste per gli amministratori dei database
  • Disattivare i servizi SSH e Telnet, se non usati
  • Disattivare app e servizi non usati
  • Evitare l’uso delle porte predefinite (80, 443, 8080 e 8081)

QNAP ha promesso l’arrivo di un tool per la rimozione di Dovecat dai NAS già infettati.

Clicca qui sotto per acquistare un NAS di ottima qualità.

NAS 1NAS 2

contattaci
email infette
Formazione, Internet, Sicurezza informatica

Riconoscere mail con Virus

Esistono diversi tipi di reati informatici e molti si propagano tramite lo strumento più utilizzato dagli internauti, la posta elettronica. Ogni giorno in rete viaggiano moltissime e-mail fraudolente, che hanno come unico scopo quello di truffare o intercettare la vittima interessata. Impariamo a riconoscere le mail con Virus.

Le principali minacce informatiche

  • Infezione da virus
  • Spam
  • Malware (malicious software)

Le azioni intraprese dai cyber-terroristi

  • Cyberstalking: Metodo utilizzato per molestare una persona con l’obiettivo di costringere il malcapitato ad effettuare azioni dannose ed estorcere informazioni personali senza espresso consenso;
  • Frode e falsa identità: utilizzo improprio di identità fasulla per stipulare contratti, polizze o altro, senza essere rintracciati;
  • Information Warfare: è una tecnica digitale, difensiva ma anche offensiva, utilizzata in ambito politico e militare per tutelare e trarre vantaggio nei confronti del proprio avversario;
  • Phishing: è una delle truffe più diffuse, basata sull’invio di email molto curate, spesso provviste di logo contraffatto di banche o società, con la quale si richiedono informazioni riservate agli utenti per ragioni più disparate.

Come riconoscere mail con Virus, facilmente

virus mail

Dopo un po’ di teoria veniamo alla pratica. Riconoscere una mail con virus da una senza non è poi così scontato. Alcuni provider di posta elettronica come GMail utilizzano un sistema anti-spam che riesce, quasi sempre, ad intercettare phishing mail o mail pericolose, rifilandole direttamente nella cartella di Spam.

Altri provider e in alcuni casi anche GMail non sono però in grado di filtrare i messaggi nocivi lasciando all’utente l’incombenza di decidere e rischiare. Ma come facciamo a riconoscere una mail sana da una truffaldina e pericolosa? Ecco un piccolo prospetto da seguire, punto per punto, prima di aprire una mail sospetta che non ci convince al 100%.

  • Controlla accuratamente il mittente e l’indirizzo di provenienza della mail. Se non conosci chi ti scrive, fai mente locale e prova ad associare l’oggetto della mail ad esso. Se ti sembra tutto ok passa al prossimo passo;
  • Non essere impulsivo ed evita di cliccare su qualche link o di aprire degli allegati presenti nella mail senza prima controllarla. La prima regola per evitare di essere attaccati da malware o virus è quella di non aprire allegati e non cliccare sui link se non si è certi al 100% della veridicità della mail. Se il contenuto della mail e il mittente ti convincono, procedi.

Se la mail proviene da un istituto di credito, da una finanziaria o da altri servizi a cui ti sei abbonato, non cliccare mai su eventuali link presenti al suo interno. Le probabilità che ti portino a contrarre malware e/o a essere vittima di Phishing sono elevatissime. Paypal e le banche non inseriscono mai link nella mail per chiederti di cambiare la password o di aggiornare i dati personali.

  • Non dare mai per scontato che il mittente sia quello che apparentemente sembra di essere: spesso i messaggi di spam mostrano un display name artefatto, per poi nascondere indirizzi fittizi e/o ingannevoli (es. @poste-italiane.com o @banca-intesa.org). Cestina subito questi messaggi e aggiungi il mittente allo spam.
  • Non essere mai tranquillo anche se sembra tutto perfetto: la maggior parte dei problemi di sicurezza si manifestano se siamo di fretta e quando diamo per scontato la bontà di una mail. Stare sempre all’erta è una buona premessa per evitare problemi seri.
  • Installa un buon antivirus dotato di efficace filtro anti-spam; questi software aggiungono un motore di scansione in tempo reale sulla propria mail e riescono ad analizzare in tempo reale allegati e contenuto. Gli antivirus commerciali come kaspersky e BitDefender rappresentano dei veri must in questo ambito.
  • Controlla sempre il contenuto del testo, spesso le mail di spam presentano un italiano scorretto e difficilmente risultano formattate perfettamente.
  • Ultimo ma non meno importante, se la tua casella di posta è costantemente intasata da spam, impegnati seriamente a cambiarla, optando magari per un provider differente.
contattaci
svchost.exe infetto
Formazione, Sicurezza informatica, Software

Pc infetto? Scoprilo dai processi Svchost.exe

Per scoprire se il PC è infetto da Virus o Malware, esistono svariati metodi, anche se spesso ci si avvale di antivirus o programmi di rimozione gratuiti. Tuttavia, queste soluzioni sono automatiche e ci obbligano a fidarci dei migliori antivirus e della loro capacità di debellare minacce reali. I professionisti e gli appassionati di computer sanno che esistono soluzioni più professionali ed empiriche per stanare i virus dal computer. In questa guida vedremo come scoprire se il PC è infetto, sfruttando il processo di Windows Svchost.exe e il Task Manager, o la Gestione delle Attività di Windows.

Cosa sono i processi Svchost di Windows

Svchost è un processo utilizzato dai sistemi operativi su base NT, impiegato da Windows per la gestione di un singolo servizio, oppure di gruppi di essi. Molti di voi, avranno notato che, accedendo alla Gestione delle Attività di Windows 10 o il vecchio Task Manager delle vecchie versioni, nella lista dei processi in esecuzioni sono presenti una o più istanze del processo Svchost. Si tratta di una prassi del tutto normale, che di per sé non implica problemi e non dimostra la presenza di virus nel computer. Come già detto, ciascuna istanza di questo processo è utilizzata dal sistema operativo per gestire i servizi di sistema, indispensabili al funzionamento del PC.

processi Svchost.exe

Trattandosi di un programma di sistema, svchost.exe si trova nella cartella di sistema “\Windows\System32”. Questa è una cartella protetta alla quale gli utenti sprovvisti di permessi da amministratore non hanno accesso. Il programma viene richiamato dopo l’avvio del sistema dal Service Control Manager (SCM). Questo gestisce, nel registro di sistema di Windows (Registry) un elenco dei servizi da avviare. Dopo l’avvio del sistema, il SCM esegue, per ciascun servizio contenuto nell’elenco, un’istanza di svchost.exe come processo.

A questo riguardo esiste anche la possibilità di accorpare più servizi in un unico processo. Nei computer più potenti, tuttavia, Windows tende ad avviare un processo separato per ciascun servizio. Questo permette di delimitare meglio i singoli processi e risulta vantaggioso nel caso in cui un processo vada in “crash”, ossia entri in uno stato di esecuzione indefinito. In questi casi è quindi possibile chiudere il task problematico senza andare a toccare gli altri programmi.

Quando Svchost può essere rischioso

Purtroppo, molti virus e malware sono in grado di sfruttare il processo Svchost per infettare il computer. Anche se il processo in questione dovrebbe essere riservato alla gestione degli elementi di Windows, non si dovrebbero mai escludere manipolazioni di esso e che alcuni malware possano azionare elementi pericolosi, estranei a Microsoft. Fortunatamente, esistono alcuni accorgimenti per scoprire se il PC è infetto da virus, intervenendo prontamente in caso affermativo.

servizio host

Tutti i processi Svchost di Windows sono firmati e richiamano dalla riga di comando la directory “C:\Windows\System32”. Se un processo di questo tipo non risulta firmato e non appartiene alla cartella di sistema indicata, probabilmente sarà un Malware o qualcosa di pericoloso. Il metodo più semplice per scoprire se il computer è infetto da virus, esaminando i processi attivi, è quello di utilizzare il software gratuito Process Explorer, che ci permetterà di individuare l’eventuale presenza di malware sul computer.

Come Riconoscere processi pericolosi di Windows

Seguire questa guida per riconoscere eventuali processi Svchost di Windows pericolosi, utilizzando l’applicazione gratuita Process Explorer.

  • Scaricare l’applicazione gratuita Process Explorer;
  • Scompattare l’archivio sul PC;
  • Dalla cartella decompressa eseguire il file procexp.exe;
  • Cliccare su SI e successivamente Agree;
  • Nella barra dei menu dell’applicazione cliccare su View e Select Columns;
svchost.exe process explorer
  • Selezionare le voci Verified Signer e Comand Line, mantenendo attive tutte le altre;
  • Cliccare su OK;
  • Nella barra dei menu premere Options e scegliere Verify Image Signatures;
  • A questo punto controllare che ciascuno dei processi svchost.exe abbia la firma di Microsoft Corporation sotto la colonna Company Name e riporti il percorso C:\Windows\System32\svchost.exe … nella colonna Command Line.
process explorer svchost infetto

Se firma e percorso sono differenti da quelli indicati al punto 9, il computer sarà quasi certamente infetto da Malware. In questo caso sarà utile ricorre ad un buon antivirus, oppure a qualche strumento efficace di rimozione dei malware come MalwareBytes.

contattaci
Internet, Sicurezza informatica, Software

Ransomware: un antivirus non è sufficiente

Quando un antivirus non è sufficiente per questo tipo di malware, i ransomware appunto, le problematiche si fanno serie.

ransomware sono considerati le più aggressive e temibili forme di attacco informatico (malware); sicuramente è il sistema più utilizzato dai malintenzionati anche in considerazione delle conseguenze a cui può portare. La sicurezza e la gestione dei dati diventa quindi un argomento di vitale importanza. Secondo il rapporto Clusit 2021 gli attacchi ransomware sono il 67 % di tutti quelli effettuati: due su tre. Da un altro rapporto l’Italia si colloca al quarto posto in Europa per queste forme di attacco; a livello mondiale sono sempre gli Stati Uniti il paese più colpito.

dati ransomware sui paesi colpiti

Ransomware: cos’è?

I ransomware sono dei malware, cioè dei programmi dannosi che mettono a rischio l’integrità di un sistema. Agiscono limitando l’accesso del dispositivo che infetta estorcendo denaro per la rimozione di tale limitazione. Gli effetti di un attacco ransomware portato a termine possono essere tra i più devastanti per un’azienda o un ente pubblico. Improvvisamente, non riesce più ad avere accesso ai propri dati fino al punto di vedere paralizzata l’intera attività; un vero e proprio rapimento dei dati per i quali viene chiesto un riscatto (ransom in inglese). E in più a differenza dei sequestri di persona, spesso non si effettua nessun rilascio dei dati tenuti in ostaggio. C’è sempre il dubbio che i rapitori possano usare, o abbiamo già usato i dati, per finalità losche come ad esempio altri ricatti. Oppure venduti ad altri hacker o aziende che attraverso questo sistema si assicurano un database molto ben fornito.

L’attaccante in questi casi si rivela ben strutturato. Oltre a informare immediatamente la propria vittima, mette immediatamente a disposizione tutte le istruzioni per permettergli di pagare il riscatto in moneta virtuale, magari dopo una rapida trattativa. Il sistema più utilizzato per gli attacchi ransomware resta quello delle email di phishing. Inviate solitamente sfruttando sistemi di ingegneria sociale che preventivamente carpiscono la figura del destinatario o, più probabilmente, di un suo dipendente o anche di una segretaria. Agiscono indirizzando la navigazione su siti compromessi dagli hacker o appositamente creati per indurre in errore navigatori sempre più distratti. Famosi restano i casi dei ransomware denominati Wannacry e Criptolocker che hanno fatto non pochi danni in rete.

Prevenzione e Gestione

Per un’azienda questo è il fulcro del problema “ransomware”. Problematica questa che deve essere valutata da due diverse prospettive: prima del ransomware devono essere svolte attività preventive e, dopo l’attacco, con la predisposizione di tutte le procedure a livello non solo IT, ma anche per l’informativa al Garante e ai suoi utenti, i cui dati sono esposti al rischio di essere rivenduti o utilizzati in altri modi illeciti.

È possibile difendersi anticipatamente da un malware, ma oltre al software antivirus, non si può ignorare una formazione efficace per i proprietari e i dipendenti responsabili del trattamento dei dati, in modo da avere una comprensione dell’entità del rischio e rendere consapevoli delle possibili conseguenze. Inoltre bisogna specificare che ci potrebbero essere ripercussioni anche nell’ambito disciplinare. La gestione di una fase successiva è tuttavia un lavoro che deve purtroppo essere previsto e non deve limitarsi al solo recupero dei dati.

malware

Avere un backup o possedere copie di riserva dei dati in memorie esterne sono soluzioni aziendali, ma non possono essere di utilità quando si dovrà avvisare dell’accaduto il garante e la propria clientela, con l’immaginabile crollo di reputazione. Inutile dire che si tratta solo di “piccole falle” o che gli utenti non sono esposti a rischi in rapporto ai dati. Nominativi, utenze telefoniche, mail, molto probabilmente anche iban bancari e dati di carte saranno nelle mani di hacker e malintenzionati con pochi scrupoli. 

Pagare il riscatto potrebbe non essere la soluzione, ma soltanto l’inizio di altri problemi quali nuove richieste di estorsione di denaro e l’assoluta certezza che i dati e le informazioni potrebbero essere in ogni modo usati illegittimamente e, in ogni caso, potremmo non riappropriarcene. 

contattaci
Sicurezza informatica

Non aprire questo file, sembra un PDF ma è un virus informatico

Il nome del file “CoronaVirusSafetyMeasures.pdf” potrebbe far pensare che si tratti di un semplice documento in PDF, scritto in lingua inglese, con una serie di linee-guida per proteggersi ed evitare il contagio. Per questo motivo molti utenti, ignari, potrebbero aprirlo. È un’azione assolutamente da evitare, dal momento che il vero formato di questo file eseguibile è .EXE: si tratta di un’applicazione che, una volta aperta, potrebbe arrecare danni al sistema operativo o rubare dati sensibili

Attacchi di virus informatici della famiglia Cryptolocker

La prima volta in cui l’allarme era stato lanciato risale all’inizio dello scorso marzo. I primi a lanciare l’allarme furono i dirigenti di Confcommercio, poi a certificare la pericolosità di quell’applicazione, un chiaro esempio di truffa noto come phishing, era intervenuto anche il Ministero dell’Interno. Nonostante gli appelli, nel corso dei mesi quel virus informatico ha continuato a circolare, specialmente nelle caselle di posta elettronica e nelle chat di WhatsApp.

Anche il portale di debunking e fact-checking Facta, nello scorso ottobre, aveva ribadito l’autenticità della minaccia. Quel file, diffuso da hacker senza scrupoli, continua a infestare il web e, grazie all’universalità e all’autorevolezza della lingua inglese, costituisce ancora un rischio per i sistemi operativi degli utenti in ogni parte del mondo.

Come difendersi dai virus informatici

Viene classificato come “virus” qualunque programma software in grado di replicarsi su altri computer. Questo significa che non tutti i virus costituiscono una minaccia diretta per il computer, ma spesso i virus latenti consentono a ladri cibernetici e hacker di installare programmi molto più dannosi, come worm e trojan.

Qualunque sia lo scopo del virus informatico, durante l’esecuzione il programma utilizza alcune risorse di sistema. Ciò rallenta il sistema e può addirittura provocarne l’arresto improvviso, se il virus si impossessa di molte risorse o se nel sistema vengono eseguiti molti virus contemporaneamente.

Molto spesso il virus informatico ha scopi dannosi, codificati all’interno del virus stesso o in altri componenti malware installati dal virus. Tale software può compiere varie azioni dannose, come aprire nel computer una backdoor che consente agli hacker di assumere il controllo del sistema o sottrarre informazioni personali riservate, come credenziali per operazioni bancarie online o numeri di carte di credito. Può anche connettere il browser Web a siti indesiderati, il più delle volte pornografici, o addirittura bloccare il computer e chiedere un riscatto in cambio dello sblocco. Nei casi più gravi, il virus può danneggiare file importanti, rendendo inutilizzabile il sistema.

Il passo importante per la protezione del computer e della famiglia consiste nell’installare un affidabile software di protezione del computer, che esegua attivamente la scansione del sistema. La soluzione che vi indichiamo è l’antivirus F-SECURE.

contattaci
Formazione

Egregor: Il nuovo virus che ricatta la vittima e poi propone un contratto

Egregor Team Press Release – November 30 2020“: non è un comunicato stampa di una ignota azienda americana, ma l’incipit dell’ultima comunicazione ufficiale dell’Egregor Team, cioè il gruppo di hacker che sta infettando i computer di mezzo mondo con il pericolosissimo virus Egregor.

Un collettivo di cybercriminali che si muove sempre più come una azienda, tanto è vero che ormai parla apertamente di “contratti” stipulati con le proprie vittime, che chiama “clienti“.
Sembrerebbe una presa in giro, ma non lo è poi molto visto che Egregor è un malware di tipo ransomware.

Un virus che, una volta entrato in un dispositivo, cripta e copia tutti i dati che trova e poi chiede un riscatto alla vittima. In cambio dei soldi avrà indietro i suoi dati e, se il “cliente” paga, i dati privati non verranno rivelati in pubblico. Un riscatto più che un contratto, come il termine inglese “ransom” conferma. Eppure, come detto, l’Egregor Team si muove proprio come una azienda e ha reso pubblico questo contratto, affinché le prossime vittime sappiano già cosa devono fare se vogliono tornare in possesso dei propri dati e non vogliono che le proprie informazioni vengano divulgate in pubblico. Ecco cosa c’è scritto in questo contratto.

Il contratto di Egregor

La protezione della forza lavoro ibrida: 3 consigli contro i ransomware •  RecensioneDigitale.it

L’Egregor Team, tramite la sua ultima comunicazione ufficiale, vuole sia spaventare che rassicurare le sue future vittime. Il “comunicato stampa” recita infatti: “Attenzione! Se hai stipulato un contratto con noi, tutte le conseguenze descritte in questo comunicato non ti toccheranno. Noi rispettiamo sempre i termini del contratto“. Una ditta seria, quindi, con la quale fare affari, “di noi ti puoi fidare“

Poi nel “contratto” compaiono le clausole:

  • Prima che tu decida se avere un contratto con noi oppure no le tue informazioni non verranno pubblicate o rivelate in alcun modo
  • Nel caso tu non ci contatti entro tre giorni pubblicheremo l’1%-3% delle tue informazioni. La struttura dei tuoi file non verrà rivelata a terze parti
  • In caso di contratto con noi tutte le informazioni verranno cancellate, senza possibilità di recupero. Ti verrà fornito un report sull’eliminazione dei file.
  • Poi il Team ribadisce di aver sempre rispettato i patti e che, mediamente, le società di data recovery fanno pagare dal 10% al 50% in più del riscatto richiesto per decriptare i dati. Insomma: conviene pure!

I problemi, invece, arrivano se il “contratto” non viene stipulato. Cioè se non si paga il riscatto chiesto dall’Egregor Team.

Virus Egregor: se la vittima si rifiuta di pagare, che succede?

Anche in questo caso l’Egregor Team ha una lista puntata, chiara ed esplicita:

  • I tuoi dati saranno caricati online e resi pubblici, oppure no in caso tu faccia un contratto con noi e paghi per i dati
  • La struttura dei tuoi file sarà mostrata a terze parti affinché possano scegliere cosa comprare, a meno che tu non faccia un contratto
  • I tuoi file saranno venduti e non ci importa cosa ne farà chi li ha comprati né dove verranno pubblicati
  • il team, infine, specifica che non rispondere alla richiesta di riscatto equivale a rifiutare il contratto. Con tutte le sue conseguenze.

Perché Egregor è pericoloso

Tutte queste parole sarebbero semplicemente una inutile manfrina, se non fosse che il virus Egregor è veramente pericoloso. Tecnicamente è un ransomware, cioè un virus che cripta i file e chiede soldi per decriptarli. Ma in realtà può fare molto di più.

A metà novembre Egregor è stato infiltrato nella rete del gigante sudamericano della grande distribuzione Cencosud, al quale è stato richiesto un riscatto del quale si sa però poco o nulla. Quello che è certo, però, è che Cencosud ha “rifiutato il contratto” e ha subito le conseguenze di questa decisione.

Dopo tre giorni dalla prima richiesta, infatti, è stata lanciata la prima ritorsione: dalle stampanti degli scontrini di centinaia di negozi hanno cominciato a uscire, a ripetizione, messaggi che ribadivano la richiesta di riscatto: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.

Una scena di sicuro non bella da vedere né per i dipendenti degli store né per i clienti. Decisamente un enorme danno di immagine, ma non solo: il reparto IT di Cencosud si è trovato costretto a bloccare e isolare tutta la rete interna, compresi i pagamenti elettronici, per tentare di arginare l’infezione virale di Egregor.

contattaci
Sicurezza informatica

Torna il malware bancario Emotet: come difendersi!

Il lupo perde il pelo ma non il vizio: è tornato Emotet, pericolosissimo malware che ci ruba le credenziali dell’home banking online, ed è tornato con una nuova campagna phishing parecchio sofisticata. Erano cinque mesi che non venivano registrati attacchi di Emotet, ma ora è stato rilevato nuovamente in circolazione.

Come in passato, anche questa volta la campagna di phishing usata per veicolare il virus è rivolta soprattutto a indirizzi e-mail aziendali. I nuovi messaggi contengono un allegato Word, contenente una macro che esegue un codice e fa partire l’infezione. Il meccanismo è un po’ diverso da quello usato in passato e, per questo, ora Emotet riesce a sfuggire agli antivirus “statici” che si basano su regole fisse e liste di malware già conosciuti.

Non è la prima volta, da quando è nato nel 2014, che Emotet cambia faccia per sfuggire ai controlli delle suite di sicurezza più diffuse come ricorda la società di cybersecurity che lo ha nuovamente individuato.

Come funziona Emotet

Anche questa variante di Emotet viene veicolata tramite una email di phishing basata su tecniche di ingegneria sociale raffinate. Il messaggio di posta è scritto bene, non contiene errori e sembra un vero messaggio inviato da un’azienda o un’altra divisione dell’azienda stessa che si vuole colpire.

Se l’utente ci casca e apre l’allegato, Word gli chiede di attivare le macro perché il documento ne contiene una. Ma con le macro attive vengono in realtà eseguiti dei comandi PowerShell che scaricano il virus sul computer e danno inizio all’infezione. Se il computer è connesso in rete, quindi, Emotet comincia a diffondersi tra i contatti dell’utente colpito.

Lo scopo del malware, comunque, resta sempre lo stesso: accedere ai dati dell’utente in cerca di credenziali e altri dati sensibili, specialmente account di online banking.

Come difendersi da Emotet

Il primo passo per difendersi da Emotet è quello di interrompere la catena di trasmissione, quindi cedere al phishing. Analizzare molto bene le e-mail prima di scaricare un allegato è fondamentale. Poi è certamente necessario avere installato un ottimo antivirus (leggi i migliori antivirus del 2020), con controllo della posta elettronica, allegati inclusi.

In tal modo, anche se l’utente abbocca e scarica l’allegato, l’antivirus blocca l’operazione dopo aver scansionato il file e trovato le tracce della macro che scarica il malware. Trattandosi nel caso specifico di un malware prettamente aziendale, infine, è utile che tutta l’infrastruttura di rete sia protetta a livello centrale e non solo di singoli PC usati dai dipendenti.

Formazione

I migliori antivirus del 2020 per Windows 10

Se poi sei disposto a pagare per avere una protezione completa, prima di acquistare un antivirus puoi controllare l’eventuale presenza di sconti od offerte sul sito produttore, che variano anche in funzione di quanti PC e dispositivi da proteggere sono inseriti nel pacchetto dell’abbonamento. Capitolo a parte è la privacy: un buon antivirus deve saper monitorare cosa accade al tuo PC e proteggere i tuoi dati, con l’aiuto ad esempio di un backup su cloud.

Microsoft Defender Antivirus

Windows 10 offre uno strumento completamente gratuito per la protezione del tuo computer dai virus. Microsoft Defender Antivirus, l’evoluzione di Windows Defender, protegge il tuo PC da virus, malware e ransomware in tempo reale, blocca le nuove minacce quando effettui un download e applicazioni potenzialmente malevole. L’antivirus di Microsoft è installato di default sui dispositivi Windows 10 e si disattiva quando installi un antivirus di terze parti. Se l’antivirus viene disattivato, Microsoft Defender rientra in azione, senza il bisogno di reinstallazione e ti protegge.

Bitdefender Antivirus Free Edition

Un altro programma gratuito è Bitdefender Antivirus Free Edition, che offre una protezione potente per il tuo computer Windows 10 ma allo stesso tempo leggera. Basterà scaricarlo e avviarlo per usufruire della protezione online del tuo computer dalle principali minacce sul web, nonostante il suo approccio minimalista. La versione gratuita offre anche upgrade automatici, per una protezione costante dai nuovi virus. Per accedere alle funzionalità aggiuntive, che comprendono Advanced Threat Defense, protezione dai ransomware multilivello, anti tracker, controllo del microfono e della webcam, anti-phishing, firewall per la privacy e parental control bisogna pagare.

McAfee Total Protection

L’antivirus McAfee Total Protection offre solo una versione gratuita di prova di 30 giorni, poi si attiverà l’abbonamento. Anche questo programma offre funzionalità di Total Protection, dalla protezione online in tempo reale mentre navighi da virus, malware e ransomware, funzionalità anti-phishing, protezione delle tue credenziali con password manager, protezione del firewall e della tua identità, oltre che archiviazione crittografata dei tuoi dati

Avira Free Security

Una versione gratuita di Avira Free Antivirus Security è disponibile per Windows 10, che offre possibilità di scansione del computer alla ricerca di virus, malware e altre minacce, protezione firewall, connessione sicura VPN e ottimizzazione delle prestazioni per non appesantire il tuo PC. Nelle versioni a pagamento invece si aggiungono importanti funzionalità per quanto riguarda la protezione in tempo reale dalle minacce, password manager, blocco degli annunci fastidiosi e protezione della privacy.

Norton 360 – Sicurezza All-in-One

Norton 360 – Sicurezza All-in-One è un antivirus che protegge sia i dispositivi che la tua privacy online in un’unica soluzione, ma i suoi servizi sono solo a pagamento. L’antivirus ti tiene al sicuro da virus, malware, ransomware e dal phishing. Inoltre, è dotato di un password manager per aiutarti a gestire le tue credenziali, di un sistema di backup su cloud dei tuoi dati più importanti. Norton 360 offre anche un servizio VPN, per accedere in modo sicuro al web quando sei connesso dal Wi-Fi, soprattutto in viaggio, un sistema di Firewall che monitora il PC e blocca il traffico nona autorizzato e un sistema SafeCam che ti avvisa se qualcuno tenta di accedere alla webcam senza autorizzazione. Per i più piccoli, offre anche un servizio di parental control e soprattutto una clausola di “soddisfatti o rimborsati” se non riesce a tenere al sicuro il tuo PC da un virus.

Internet

Allerta virus bancario Cerberus nascosto in app Play Store

Un virus bancario camuffato in un’app che ha rubato dati a migliaia di utenti, soprattutto in Spagna. Si chiama Cerberus ed è stato scoperto dai ricercatori del team Mobile Threat Labs di Avast. Si nascondeva su Google Play Store, il negozio digitale di Google, all’interno dell’app legittima di conversione di valuta che si chiama ‘Calculador de Moneda’, che in Spagna è stata lanciata dal mese di marzo, ha già totalizzato migliaia di download e potrebbe diffondersi anche in altri Paesi.

L’app per le prime settimane ha nascosto la propria natura, acquisendo così una base di utenti da colpire, solo in un secondo momento si è attivata per cercare di rubare credenziali di conti bancari, aggirando ogni misura di sicurezza, inclusa anche l’autenticazione a due fattori. Cerberus, ha spiegato Ondrej David di Avast, una volta installato può sovrapporsi ad un’app bancaria preesistente sullo smartphone, restando in attesa che gli utenti accedano ai propri conti bancari, per poi presentare una falsa schermata di login e rubare loro credenziali bancarie e carpendo anche messaggi di testo o eventuali codici di autenticazione multi fattore inviati tramite sms.

In Italia invece colpisce ancora il virus bancario Ursnif, scoperto due anni fa, che prende di mira i pc Windows ed è in grado di rubare informazioni finanziarie, credenziali di posta elettronica e altri dati sensibili. Secondo la società di sicurezza Check Point Software Security a giugno ha avuto un impatto sul 13% delle organizzazioni italiane.

Internet, Sicurezza informatica

Un ransomware sta circolando su macOS: come funziona e come proteggersi

Un ransomware sta circolando su macOS: come funziona e come proteggersi

EvilQuest sta minacciando i sistemi macOS. Si tratta di un ransomware che può essere installato dall’utente attraverso altri software contraffatti ad-hoc

Sta circolando una nuova variante di ransomware su macOS. Si chiama EvilQuest e si può insediare in ogni sistema attraverso l’installazione di software pirata manomessi ad-hoc. A rivelare la novità è stata la società di sicurezza Malwarebytes, che ha scritto di aver trovato il codice malevolo per la prima volta all’interno di una versione contraffatta di Little Snitch proposta da un forum russo.

Un occhio esperto può capire rapidamente che c’è qualcosa di insolito nella versione illecita del software, visto che viene installata attraverso un installer generico. Insieme all’applicazione questo inserisce nel sistema un file eseguibile chiamato “Patch” nella cartella “/Users/Shared” insieme a uno script post-install sviluppato per infettare il sistema. Nello specifico lo script sposta il file Patch in una nuova posizione e lo rinomina CrashReporter, un processo macOS legittimo, mantenendolo nascosto in Activity Monitor. Da lì, il file Patch si installa in diversi punti sul Mac.

Cos’è un ransomware
Un ransomware è un software che blocca attraverso protezione crittografica le impostazioni e i file su un sistema usando una chiave di cifratura che è nota solo all’aggressore che pianifica l’attacco, e non all’utente che utilizza il sistema. Quando si tenta di accedere ai file “protetti” si riceve un avviso e serve la chiave di cifratura per sbloccarli, chiave che di norma viene ceduta dall’aggressore solo in seguito a un pagamento. Da qui il nome “ransomware”, da ransom che significa riscatto.

Il funzionamento di EvilQuest è analogo: blocca i file e le impostazioni sul Mac infetto, così come anche il Portachiavi causando un errore anche quando si tenta di accedere al Portachiavi iCloud. Anche il Finder non funziona correttamente dopo l’installazione e si presentano problemi con il dock e altre app installate sul sistema. Malwarebytes ha notato che, nel caso specifico del test eseguito, il ransomware ha avuto problemi nel proporre le istruzioni per il riscatto.

Indagando sul forum russo in cui è stato diffuso il software, però, ha scoperto che l’obiettivo del ransomware è quello di obbligare gli utenti a pagare 50$ per riottenere l’accesso ai propri file. Non è questa però la soluzione al problema, come spesso avviene con questo tipo di malware.

Come proteggersi
Chiunque abbia un sistema infetto da qualsiasi ransomware non dovrebbe pagare la commissione, perché non è detto che la procedura sia in grado di rimuovere del tutto il malware. In questo caso, inoltre, il ransomware può essere installato sul sistema insieme a un software keylogger capace di raccogliere tutte le sequenze di tasti. Malwarebytes suggerisce il proprio software per sistemi Mac per rimuovere il ransomware, che viene rilevato come Ransom.OSX.EvilQuest, ma la procedura non consente di recuperare i file crittografati (serve il ripristino da un backup).

Il problema deve essere evitato a priori, come spesso avviene con malware di questo tipo. Codici malevoli simili ad EvilQuest sono stati trovati anche in altri software pirata diffusi online, e gli utenti Mac possono evitarli mantenendosi a distanza da fonti inaffidabili e non ufficiali, installando le applicazioni sul proprio sistema attraverso il Mac App Store o i siti web ufficiali degli sviluppatori.