TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

31/08/2016 11:39:07 - Falsa email diffonde il ransomware CryptoZepto, incoronato quale "erede" di CryptoLocky...


Il ransomware CryptoZepto giunge nel PC della vittima attraverso e-mail infette, che chiedono l'apertura del loro allegato facendo credere si tratti di fatture o, in questo caso, di scansioni.

Nelle e-mail analizzate dal C.R.A.M si è riscontrato che il dominio del destinatario coincide con quello del mittente. Questo per indurre l'utente a pensare che la e-mail provenga da un mittente sicuro (collega), come ad esempio quello di una persona all'interno della stessa azienda in cui lavora.
Vai al pagina del Centro Ricerche Anti-Malware di TG Soft 

Riteniamo utile far notare che il mittente delle e-mail analizzate sono caraterizzati dalla seguente struttura: prefisso [document] @ <miodominio.com>, dove [document] vuole indicare che il mittente potrebbe essere, ad esempio, un apparecchio elettronico adibito alla scansione appartenente all'azienda per cui lavora il destinatario. L'indirizzo email del destinatario per rendere maggiormente credibile la e-mail stessa, non può che essere quella dell'effettivo ricevente dove, in particolare si potrà notare la coincidenza del dominio aziendale sia del mittente che del destinatario. L'obbiettivo dell'attaccante è quello di indurre il ricevente nel considerare attendibile la e-mail e procedere "serenamente" ad aprire l'allegato, poichè la e-mail sembra arrivare da un collega o da un dispositivo facente parte della medesima azienda.
          

Analizzando il contenuto della e-mail, abbiamo notato che essa viene spedita con un allegato contienente un archivio .ZIP.

 
Se scaricate l'allegato in questione e estraete l'archivio ZIP seguente [B0408F17A9.zip], vi troverete un file che riporta un nome casuale .WSF (si tratta di un file in formato Microsoft Windows Scripting Format) . Nella e-mail incriminata il file ha il seguente nome  <bsUZ0wE>.

L'archivio ZIP allegato alla e-mail una volta scompattato renderà disponibile un file .WSF che una volta eseguito, si porrà in esecuzione automatica di Windows procedendo cosi a contattare un server remoto dal quale scaricherà ed eseguirà una nuova variante CryptoZepto.

Per maggiori info sulle modalità di attacco e cifratura di ZEPTO alias CryptoZepto, si invita alla consultazione dell'analisi tecnica realizzata dal C.R.A.M al seguente link.

10/07/2016 12:20:42 - Zepto, il ransomware "erede" di CryptoLocky...

Considerazioni finali

Consigliamo, sempre e comunque, di NON farvi sopraffare dalla curiosità, evitando di aprire/eseguire allegati di e-mail sospette che, seppur apparentemente credibili provenendo da indirizzi e-mail noti, possono celare Crypto-Malware di nuova generazione, come il ransomware CryptoZepto, il cui obbiettivo è quello di cifrare i vostri dati più preziosi per poi richiederne un riscatto.



TG Soft
Centro Ricerche Anti-Malware
Torna ad inizio pagina

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283