Selected news item is not available in the requested language.

Italian language proposed.

Close

05/12/2014
18:21

Attenzione a quel pacchetto!! Finte email celano il Cryptolocker!!


Spacciandosi per SDA, moltissime email truffa invitano a scaricare un pacchetto di una mancata consegna!! Al suo interno si cela il temibile Cryptolocker!!

Torna a colpire il temibile Cryptolocker dopo un lungo periodo di inattività (leggi news -> "Brutte notizie con il ritorno del Cryptolocker") in modo molto più massivo utilizzando la tecnica del social engineering.

 
Come si può osservare nelle immagini sottostanti, arriva una email truffa della SDA (ricordiamo che la ditta non è l'autore di queste truffe) contenente un link (modificato ogni giorno) che rimanda ad una fantomatica pagina dove invita a scaricare il tanto amato pacchetto riguardo la spedizione non avvenuta. L'immagine a destra riguarda l'email truffa girata in data 16/12/2014 alle ore 15:00.
 
Email truffa SDA
Click per ingrandire
Email truffa SDA
Click per ingrandire


Finta pagina SDA
Click per ingrandire
Nella immagine a sinistra, la finta pagina web dove viene chiesto di inserire un finto CAPTCHA (il numero rimane sempre 22558) che permette il download del "pacchetto_numerocasuale.zip".


All'interno del "pacchetto" si trova il file .exe con lo stesso nome quindi "pacchetto_numerocasuale.exe".

L'elenco qui sotto riporta qualche pacchetto scaricato dal finto sito di sda:

Nome File Dimensione File MD5
pacchetto_3829838293002.exe 473.600 byte 9790F907D4E8BA245862CECD1A2D1343
pacchetto_3829838293885.exe 480.768 byte 362479F2BF81ADB0231C5D608DDAE80D
pacchetto_3829838293880.exe 477.184 byte CCBF300A66B3D815EA40AC9EF35F1378
pacchetto_3829838293004.exe 465.408 byte 43CE7A42D275D1351DE591B3B5D2661D

Nuovo sample 16/12/2014 - 15:00
pacco_3897289329739203.exe 599.552 byte FBD02D93AB443570B97480D9149F5869


Mentre qui sotto alcuni sample del Cryptolocker che vengono generati dopo l'apertura del pacchetto:

Nome File Dimensione File MD5
ABACAQAM.EXE 465.920 byte 00CB45C4EFD4053CEF8BB8567DC0638E
ALARISQF.EXE 477.184 byte CCBF300A66B3D815EA40AC9EF35F1378
EPOHYDEZ.EXE 476.160 byte 67860B57C32C3D210C014A321CF071D9
EXICARIP.EXE 465.920 byte 00CB45C4EFD4053CEF8BB8567DC0638E
ILFXEZYJ.EXE 473.600 byte D57F6921B2EAD0C79F425BDE13822847
IWAMYXTP.EXE 473.600 byte 49E5824DDB4F1229A7124617234BBFF0
ONARETUV.EXE 465.920 byte 00CB45C4EFD4053CEF8BB8567DC0638E

Ricordiamo che pagare i creatori non assicura la restituzione dei file anzi si alimenta la loro sete di truffare la gente.

Per evitare queste tipologie di attacchi la migliore soluzione è:

1) tenere sempre i browser aggiornati (Internet Explorer, Firefox, Google Chrome) che, nella maggior parte dei casi, avvertono del tentativo di truffa bloccando la navigazione o il file scaricato.

2) utilizzare sempre copie di backup su unità esterne da collegare solo nel momento di utilizzo dato che il Cryptolocker crittografa i file su tutti i dischi e unità di rete mappate dove l'accesso in scrittura è consentito.
Ricordiamo che Vir.IT è dotato di un modulo di Backup disponibile da numerosi mesi (leggi news -> Vir.IT Backup). Vir.IT Backup protegge le copie di backup proprio da queste tipologie di malware.

C.R.A.M. Centro Ricerche Anti-Malware by TG Soft
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: