Guide

Sodinokibi -Cos’è e come si rimuove

Virus sodinokibi

Con una mossa scaltra, i cyber criminali hanno rilasciato il ransomware Sodinokibi che sfrutta un difetto di sicurezza recentemente documentato di un popolare software server.

Che cos’è il ransomware Sodinokibi?

La notizia del giorno dell’area InfoSec è la nascita di un nuovo ransom Trojan dal nome in codice Sodinokibi. La vasta maggioranza delle tipologie moderne di ransomware è piuttosto blanda e non fa parlare molto di sé, ma questa è speciale. Gli operatori di questa nostra campagna hanno fatto leva su una vulnerabilità di Oracle WebLogic Server catalogata come CVE-2019-2725, patchata dal venditore a fine aprile. Anche se questo loophole ha avuto breve durata, i proprietari di server che non hanno applicato l’aggiornamento critico continuano ad essere suscettibili a questo attacco. Essenzialmente, i malfattori fanno leva su questo difetto per bypassare l’autenticazione e accedere ad una infrastruttura IT di non sicura. In questo modo, possono eseguire in remoto un codice dannoso senza suscitare alcun tipo di dubbio. Da quando è stato scoperto il bug, diversi attori della minaccia hanno a quanto pare sfruttato lo stesso per installare botnet malware e cryptojacking virus sugli host. L’aggiunta più recente a questa lista è il sopraccitato Sodinokibi ransomware.

La prima cosa che fa questa entità predatrice di crittazione file all’interno di un ambiente violato è invocare un set di comandi per disabilitare il VSS (Volume Snapshot Service) e la funzionalità Startup Repair. Questa è una tattica tipica per il codice maligno che più o meno mira ad impedire alla vittima di porre rimedio ai successivi cambiamenti di sistema e dati. La fase successiva dell’attacco è anch’essa piuttosto prevedibile– Sodinokibi analizza il netto colpito alla ricerca di informazioni preziose, che diventano l’oggetto centrale del ricatto. Quando la ricerca approfondita viene completata, il colpevole rovina i file e tramite la crittografia. Come conseguenza di questo, i dati diventano inaccessibili e l’unico requisito per guadagnare accesso è la chiave segreta che si trova in possesso del criminale. Ciascun file in ostaggio inoltre riceve un’estensione casuale specifica per la vittima che viene aggiunta al nome file, ad esempio Stats.xlsx si trasformerà in qualcosa del tipo Stats.xlsx.1r3n5ts. La lunghezza di questa estensione varia, ma di solito consiste di 6-8 caratteri alfanumerici.

Anche questo Sodinokibi rispetta il copione comune dei classici ransomware rilasciando una nota di riscatto. È un documento di nome [random]-HOW-TO-DECRYPT.txt, dove la parte fra parentesi quadra corrisponda l’estensione concatenata a tutti i file colpiti su un server. In questo documento, i malfattori si rivolgono alla vittima con la frase “caro amico”, molto ironico dato che stanno per chiedere dei soldi. In breve, questi black hat raccomandano di installare Tor Browser e di usarlo per visitare una pagina specifica, che consiste in un hub di pagamento secondo il modus operandi di questi malfattori. La pagina.onion dal titolo “Your computer have [sic] been infected!” Afferma che la taglia del ricatto valida per i primi 3 giorni è di $ 2500 in controvalore di Bitcoin, e raddoppierà una volta passata la data di scadenza. La vittima dovrebbe inviare la criptovaluta ad un indirizzo BTC ricevente fornito nel sito di pagamenti.

Negli ultimi giorni di giugno 2019, gli operatori del ransomware Sodinokibi hanno raffinato il repertorio con un astuto trucco per la distribuzione. La nuova tecnica si affida alla compromissione del software Kaseya RMM (remote monitoring and management) per contaminare gli endpoint con un’infezione che cripta i file. Questa sotto-campagna fa leva sull’hack RMM per aggirare le difese di vari MSP (managed service providers) e perciò infettare centinaia di host con Sodinokibi. I venditori hanno negato le affermazioni di presunte violazioni subite tramite vulnerabilità di sicurezza, affermando che i ladri sono stati invece in grado di compromettere le credenziali dei clienti.

Questo è tutto per il comportamento del virus Sodinokibi. C’è un’altra sfaccettatura di questo attacco che è veramente sconcertante. A quanto pare i criminali stanno distribuendo una minaccia di follow-up, un esempio di un ransomware mainstream è noto come GandCrab 5.2. Tale attacco multiforme è certamente grosso motivo di preoccupazione, sia per coloro contaminati che per gli amministratori di server che sono finora al sicuro ma non hanno ancora applicato la patch per la vulnerabilità. I consigli sotto potranno fare luce su un metodo di recupero senza riscatto eseguito correttamente – potrebbero rivelarsi utili o meno, ma certamente vale la pena provare.

Rimozione automatica del virus ransomware Sodinokibi

Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.

  1. Scaricate ed installate il software di rimozione virus Sodinokibi. Dopo aver lanciato la soluzione, fate clic sul pulsante Esegui la Scansione del Computer Adesso!
  2. Lo strumento mostrerà i risultati dell’analisi, segnalando il malware rilevato. Selezionate l’opzione Ripara le Minacce per rimuovere tutte le infezioni trovate. Questo porterà alla distruzione completa del virus considerato.

Recupero dei file cifrati da ransomware Sodinokibi

È stato menzionato che Sodinokibi ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d’occhio, eccetto naturalmente sottomettersi all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti – scoprite quale sono.

1. Software automatico di ripristino file

È piuttosto interessante sapere che l’infezione Sodinokibi elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.

2. Copie Shadow di Volume

Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.

  • Utilizzare la funzione Versioni Precedenti Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.Versioni Precedenti
  • Utilizzare lo strumento Shadow Explorer Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.Shadow Explorer

3. Backup

Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da Sodinokibi sarà tanto semplice quanto accedere all’interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.

Il problema se ne è andato? Controllate

Come ho già detto, la semplice rimozione di Sodinokibi non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.

Non di rado accade che Sodinokibi sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.

Leave a Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.