Contattaci

Compila il form, ti risponderemo il prima possibile

Locky – ci risiamo …

Ransomware Locky – il nuovo Cryptolocker

Un nuovo ransomware è stato scoperto e ci terrà compagnia per un po’ …Locky! that Il simpatico amico cripta i vs. file usando AES encryption e poi vi chiede .5 bitcoins per decriptare i dati.
Anche se il ransomware suona con un nome simpatico, non c’è nulla di carino in lui. Intacca una grande varietà di dati e tipologie di file e può crittografare dati su condivisioni di rete mappate. La crittografia dei dati su condivisioni di rete non mappate è ormai all’ordine del giorno. Come CryptoWall, anche Locky cambia completamente i nomi dei file per i file crittografati per rendere più difficile ripristinare i dati corretti.

Ad oggi, non ci sono soluzioni conosciute per decriptare i file.

Locky si attiva attraverso false fatture … occhio!!!

Locky è attualmente distribuito via mail contenenti un documento di WORD contenente “macro” malevole. Il messagio e-mail contiene un oggetto simile a “Nome-Cognome/Ragione Sociale: bolletta per la fornitura di energia elettrica” e messaggi del tipo “Vedi allegata la fattura (Microsoft Word Document) …. “.  Eccone un esempio, con spiegazione tratta da un articolo di Lawrence Abrams:

cit.

Locky Email Distribution
Locky Email Distribution

Attached to these email messages will be a malicious Word document that contains a name similar to invoice_J-17105013.doc. When the document is opened, the text will be scrambled and the document will display a message stating that you should enable the macros if the text is unreadable.

Malicious Word Document
Malicious Word Document

Once a victim enables the macros, the macros will download an executable from a remote server and execute it.

Malicious Macro
Malicious Macro

The file that is downloaded by the macro will be stored in the %Temp% folder and executed. This executable is the Locky ransomware that when started will begin to encrypt the files on your computer.

Locky encrypts your data and completely changes the filenames

When Locky is started it will create and assign a unique 16 hexadecimal number to the victim and will look like F67091F1D24A922B. Locky will then scan all local drives and unmapped network shares for data files to encrypt. When encrypting files it will use the AES encryption algorithm and only encrypt those files that match the following extensions:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Furthermore, Locky will skip any files where the full pathname and filename contain one of the following strings:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

When Locky encrypts a file it will rename the file to the format [unique_id][identifier].locky.  So when test.jpg is encrypted it would be renamed to something like F67091F1D24A922B1A7FC27E19A9D9BC.locky.  The unique ID and other information will also be embedded into the end of the encrypted file.

It is important to stress that Locky will encrypt files on network shares even when they are not mapped to a local drive. As predicted, this is becoming more and more common and all system administrators should lock down all open network shared to the lowest permissions possible.

As part of the encryption process, Locky will also delete all of the Shadow Volume Copies on the machine so that they cannot be used to restore the victim’s files. Locky does this by executing the following command:

vssadmin.exe Delete Shadows /All /Quiet

In the Windows desktop and in each folder where a file was encrypted, Locky will create ransom notes called _Locky_recover_instructions.txt. This ransom note contains information about what happened to the victim’s files and links to the decrypter page.

Locky Text Ransom Note
Locky Text Ransom Note

Locky will change the Windows wallpaper to %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, which contains the same instructions as the text ransom notes.

Locky Wallpaper
Locky Wallpaper

Last, but not least, Locky will store various information in the registry under the following keys:

  • HKCU\Software\Locky\id – The unique ID assigned to the victim.
  • HKCU\Software\Locky\pubkey – The RSA public key.
  • HKCU\Software\Locky\paytext – The text that is stored in the ransom notes.
  • HKCU\Software\Locky\completed – Whether the ransomware finished encrypting the compute.r

 

The Locky Decrypter Page

Inside the Locky ransom notes are links to a Tor site called the Locky Decrypter Page. This page is located at 6dtxgqam4crv6rr6.onion and contains the amount of bitcoins to send as a payment, how to purchase the bitcoins, and the bitcoin address you should send payment to.  Once a victim sends payment to the assigned bitcoin address, this page will provide a decrypter that can be used to decrypt their files.

Locky Decrypter Page
Locky Decrypter Page

 

Locky related Files

%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe

Locky related Registry entries

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey	
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed	1
HKCU\Control Panel\Desktop\Wallpaper	"%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

 

Perché Remote Spark?

10 Buoni Motivi per acquistare le soluzioni Remote Spark:

Semplici, facilmente comprensibili e chiari: ecco a voi le motivazioni per cui un’azienda dovrebbe scegliere Remote Spark.

  • unico ambiente per gestire Application & Desktop publishing
  • grande facilità d’uso e di gestione (risparmi sui costi di management)
  • client multi-piattaforma (windows/linux/mac/android/iPAD/iPHONE/Web)
  • pubblicazione applicazioni in modalità seamless
  • integrazione con USB / scanner / audio locali
  • universal printer tool per la gestione delle stampe
  • possibilità di clustering
  • load balancing
  • fail over
  • grande cost saving su tutti i principali competitor

Contattaci per avere più informazioni!

Remote Spark arriva in Italia!

Global Informatica Srl è lieta di portare sul mercato italiano una soluzione incredibilmente potente ed innovativa: si chiama Remote Spark: consente di pubblicare WEB qualsiasi cosa.

  • Avete applicazioni legacy vecchie e da aggiornare, ma perfettamente calzanti con le Vs. esigenze operative?
  • Queste applicazioni non sono facilmente distribuibili per obsolescenza tecnologica?
  • Queste applicazioni non sono nelle condizioni di avere un livello di sicurezza accettabile per essere direttamente esposte all’esterno dell’azienda?
  • Una risposta economica e valida alle domande precedentemente elencate, non l’avete ancora trovata?

Bene, è il momento di incontrarci e fare due parole in merito a Remote Spark!

Grazie alla partnership con l’azienda sviluppatrice della soluzione ed al privilegiato canale creato, grazie all’expertise maturato sulla soluzione, siamo il partner ideale per progetti di introduzione di questa tecnologia nella Vs. azienda.

Vi invitiamo a visualizzare la pagina dedicata al prodotto.

Se siete interessati ad un approfondimento in merito, non dovete far altro che contattarci.

Buon lavoro!

Inventory & Asset Management!

LookOUT!

Grazie alla potente tecnologia di LookOUT!  siamo in grado di erogare un servizio di gestione degli asset IT in outsourcing a basso costo e molto efficace.
Dettagliare e censire i Vs. asset IT non sarà più un problema! Una vasta gamma di dettagli sui Vs. computer vengono analizzati e stoccati per macchine Windows, Linux, Mac.
Hardware, software, log degli eventi, aggiornamenti di Windows e le chiavi di prodotto sono solo alcuni degli elementi che sarete in grado di verificare in ogni momento. Contratti di supporto, garanzie, e altre informazioni riguardanti l’assistenza sono alcuni dei dettagli che vi renderemo sempre disponibili.

computer-inventory

LookOUT! scopre, analizza e organizza anche i vostri dispositivi di rete quali stampanti, router e switch.
I dispositivi analizzati sono ordinati e organizzati in categorie in base alla loro tipologia. Questo rende facile trovare le info che servono.
Il servizio di management IT prevede anche delle visite periodiche di nostro personale specializzato per attività programmate on-site di manutenzione dell’infrastruttura.

Ecco il nuovo Stonesoft Security Engine 5.5!!

Helsinki, Finland –19 June 2013 – The cyber security expert Stonesoft introduces the new Stonesoft Security Engine platform and Stonesoft Management Center version 5.5. The Security Engine platform is the core of the Stonesoft Next Generation Firewall and other security solutions. The new version allows MSSPs (Managed Security Service Providers) to serve multiple customers with a single appliance. It also provides major improvements in deep packet inspection performance.

Virtual engines

Virtual engines allow MSSPs to serve more customers with less physical devices, whereby they benefit from significantly improved cost efficiency through lower initial costs and reduced management/personnel resources. Virtual engines are also an ideal solution for governmental or enterprise environments in which strict isolation between networks is mandatory.

Stonesoft Security Engine 5.5 has been designed to be fully MSSP compatible, allowing them to run up to 250 virtual instances of Security Engine in a single physical appliance. The solution can be also clustered, for scalability or high availability reasons. The same engine can have simultaneously different security policies, separate routing tables and overlapping IP addresses for different interfaces. All these can be managed with the Stonesoft multitenant centralized management system.

Deep packet inspection performance

Stonesoft 5.5 introduces significant performance improvements for deep packet inspection, resulting in over 100% improved throughput compared to the previous version. In particular, small packet handling has been improved.

“Traditionally, performance and security have been mutually exclusive and hardware based security solutions have been unbeatable with regard to performance. Now, for the first time, software offers even better performance without compromising security at any point”, says Antti Kuvaja, Director, Product Management, Stonesoft.

Availability

The 5.5 versions of Stonesoft Security Engine and Stonesoft Management Center are available in June.

– See more here

Attacchi DDOS a Register.it – e disservizi

Fra martedì e mercoledì di questa settimana si sono verificati numerosi disservizi su e-mail e servizi web a causa di un attacco di DDOS sull’infrastruttura di Register.it. Ecco una comunicazione tratta dalla pagina Facebook del provider:

“Comunicazione in merito alla discontinuità dei servizi registrata in data odierna

da Register.it Martedì 21 maggio 2013 alle ore 13.39
 

Register.it, società italiana del Gruppo DADA leader in Europa nei servizi per la presenza e la pubblicità in Rete, ha rilevato picchi di traffico anomalo sulla propria piattaforma informatica generati da un attacco hacker esterno DDoS (distributed denial-of-service) contro alcuni siti ospitati, che ha compromesso il corretto funzionamento di taluni servizi erogati.

 La Società, scusandosi per il disagio arrecato ai propri clienti, ha prontamente attivato tutte le procedure di remediation per ripristinare la situazione in breve tempo. Le misure tecniche messe in atto stanno già generando risultati in termini di regolarizzazione del traffico e normalizzazione della situazione.

 Tutti i dati dei clienti di Register.it non sono mai stati in alcun modo a rischio e la Società garantisce il mantenimento dei massimi standard di sicurezza e riservatezza, pur non potendo escludere a priori il verificarsi in futuro di tali eventi criminali.

 Sono già in corso verifiche e indagini sull’accaduto e la Società ha già sporto denuncia contro ignoti.

 Register.it continuerà a fornire costanti aggiornamenti attraverso i propri canali ufficiali quali l’home page o attraverso i propri canali social come la pagina facebook e l’account twitter @registerit. “

La protezione da attacchi di questo tipo è importante!

Visita la sezione relativa questo argomento sul sito Stonesoft!

McAfee acquisisce Stonesoft

 McAfee to Acquire Stonesoft

SANTA CLARA, Calif., May 6, 2013 – McAfee today announced the execution of a definitive agreement to initiate a conditional tender offer for the acquisition of Stonesoft Oyj (NASDAQ OMX Helsinki: SFT1V), a leading innovator in next-generation network firewall products, for an aggregate equity value of approximately $389 million in cash.

More info.

Copyright 2016 © All Rights Reserved