Puma/Aurora (estensioni .puma .pumax .aurora .zorro .animus .desu .ONI)

 

Cosa sono? Posso recuperare i miei Files?

Puma e Aurora sono dei malware molto recenti ed evoluti, che stanno colpendo nelle ultime settimane vari professionisti ed aziende approfittando di lacune e vulnerabilità nei sistemi informatici usati da questi soggetti.

E' bene ricordare come la prima causa di infezione è data da una configurazione scadente a livello di sicurezza informatica, come più avanti illustrato; bisogna sottolineare inoltre come la prevenzione resti lo strumento più efficiente ed economico per proteggere i propri computer e la propria rete da questa tipologia di attacchi.

 

I files infettati da Puma/Aurora posso avere un'estensione .puma .pumax .aurora .zorro .animus .desu .ONI

Il malware infetta e sigilla i file degli utenti con una crittografia forte quale quella RSA a 1048bit, rendendo la risoluzione diretta molto difficile e spesso possibile tramite la chiave di decodifica originale, tramite l'analisi del malware alla ricerca di qualche bug che permetta di recuperarla o tramite qualche traccia lasciata nei files o nella memoria del pc infetto.

L'utente potrebbe trovarsi sul pc un file di testo o una pagina web che contengono un messaggio che indirizza a una pagina web, a sua volta infetta, dove consigliano l'acquisto della chiave ed il successivo scaricamento di un decryptor: non vi consigliamo assolutamente di contattarli in quanto si rischia solamente di peggiorare la situazione e di contrarre altre infezioni, ma di rivolgervi a dei professionisti che potrebbero avere la soluzione o crearne una ad hoc per voi.

 

 

 

Cosa è consigliato fare a seguito dell'infezione?? 

E' consigliato scollegare dalla rete i pc/server infetti ed analizzare immediatamente l'origine dell'infezione. Solitamente non viene danneggiato il sistema operativo ma è molto probabile la presenza di backdoor nascoste all'interno del sistema.

 

La mia password RDP era molto sicura, come hanno fatto a trovarla? 

Purtroppo anche con una password di 20 caratteri casuali, tipicamente molto sicura, non c'è nessuna protezione efficace in quanto vengono utilizzati degli exploit sulla porta RDP, permettendo di fatto un bypass della password.

L'account administrator era disattivato, cosa è successo? 

Spesso l'account "administrator" viene disattivato per motivi di sicurezza, eppure tutto il processo di criptazione è avvenuto da quell'account, come è stato possibile?

Il tutto avviene tramite una "escalation di privilegi", ovvero ci si connette tramite un utente "normale", vengono alzati i privilegi di questo utente il quale a sua volta crea o riattiva l'account di administrator, al quale ci si connetterà in seguito per eseguire la criptazione.  

Avevo limitato le connessioni che potevano accedere al servizio RDP, come hanno fatto a collegarsi? 

Nella tua rete ci sono dei client "aperti" su internet? Anche se il tuo server limita le connessioni da cui si può accedere (tramite firewall, VPN, ipfiltering, whitelisting ecc.) la connessione avviene tramite l'RDP del client connesso ad internet. 

Una volta preso il controllo di questo client ci si connette tramite lo stesso al server presente nella rete interna rendendo di fatto inutile il filtraggio di tutti gli ip esterni.

La porta del servizio RDP non era quella standard, come hanno trovato il servizio? 

Le porte standard per il servizio RDP sono la 445 e la 3389, eppure io avevo impostato il servizio sulla porta 5555, come lo hanno trovato? Semplicemente con un networks scanner, che analizza tutte le porte dalla 1 alla 65000​ in cerca del servizio RDP.

Quindi cosa posso fare per proteggermi da futuri attacchi di Puma/Aurora?​

I due consigli che diamo ai nostri clienti per proteggersi da eventuali infezioni sono:​

- chiudere immediatamente e su tutte le macchine locali e remote il servizio RDP 

- installare il nostro script di protezione contro i ransomware, maggiori info QUI

Dove sono finiti i miei backup? E le macchine virtuali?​

A seguito dell'infezione da Dharma vengono cancellati i files .backup e spesso anche eventuali macchine virtuali (VMware, Oracle VM VirtualBox ecc.), le quali vengono avviate e poi cancellate o criptate.​

Altri dubbi o necessiti di maggiori informazioni?​

 

Scrivici pure a info@recuperafiles.it e cercheremo di chiarire ogni tuo dubbio.

 

.puma .pumax .aurora .zorro .desu .OI

Documenti illegibili con estensioni modificate .aurora .zorro .desu .ONI

.animus .puma .pumax

Come si presentano i files in seguito all'infezione di puma/aurora