TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

16/09/2016 18:26:42 - CTB-Locker torna ad attaccare attraverso un nuovo invio massivo di false email EQUITALIA


Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft da giovedì 15 settembre ha riscontrato una nuova ondata di crypto-malware della famiglia del CTB-Locker -> versione di VirIT che segnalerà il file è la 8.2.61

Questa ennesima diffusione è nuovamente dovuta all'invio massivo di false email di EQUITALIA.

CTB-Locker, lo ricordiamo, fa parte della famiglia dei Ransomware / Crypto-Malware, cioè di quella tipologia di malware che crittografano i file e richiedono un riscatto per la loro decrittografazione.

Anche in questo caso, la mail infetta è mascherata da comunicazione da parte di EQUITALIA S.p.A., avente l'oggetto

"AVVISO DI PAGAMENTO n.<numerocasuale>"

L'obiettivo della mail è di convincere il malcapitato ricevente a cliccare sul falso link, attraverso la seguente comunicazione:
Immagine della falsa email che dissimulae EQUITALIA che diffonde nuove varianti di CTB-Locker.
Clicca per ingrandire l'immagine

"Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge, di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento "Documento n.006943470915" del 09/15/2016 , composto da 5 pagina/e di elenchi contribuenti a nr. 9 atti."

Si prega di scaricare il fattura


Cliccando sul link si accede alla pagina dell'immagine riportata a destra ==>
 
Clicca per ingrandire l'immagine...
di cui evidenziamo il link: http://myphamvietnam(dot)dgn(dot)vn/db1/(dot)lib1/documento(dot)html

da questa pagina viene scaricato il file Documento n.006943470915.zip

All'interno del file .ZIP vi è il seguente file con doppia estensione:

Documento n.006943470915.pdf.exe
MD5: 813B12BFF02ABC9F539ED1D97BA3F21E

Cliccando, cioè eseguendo il file con doppia estensione Documento n.006943470915.pdf.exe si avvia il processo di cifratura dei file.
L'estensione dei file cifrati è casuale, nel senso che rimane fissa nell'ambito del medesimo attacco, ma cambia nel caso si dovesse rieseguire il file portatore.
I file cifrati hanno l'estensione che si può anche leggere nei file di readme che vengono lasciati in ogni cartella dove il malware riesce a scrivere.
Questi file di readme, ad esempio sono:
  • !Decrypt-All-Files-lplevtf.bmp dove lplevtf è l'estensione dei file cifrati;
  • !Decrypt-All-Files-lplevtf.html dove lplevtf è l'estensione dei file cifrati;
  • !Decrypt-All-Files-lplevtf.txt dove lplevtf è l'estensione dei file cifrati.
Al termine della cifratura viene visualizzata l'immagine a destra con le istruzioni per il pagamento del riscatto.

Viene invitato l'utente a:
  1. scaricare il bowser Tor-Onion;
  2. aprire il dominio indicato per collegarsi al sito di pagamento del riscatto richiesto nel Dark/Deep-Web. 
Si arriverà alla videata sottostante dove inserire la chiave pubblica per il pagamento del riscatto:
Clicca per ingrandire l'immagine della richiesta di riscatto da parte di CTB-Lockerffonde nuove varianti di CTB-Locker.

 

Clicca per ingrandire l'immagine della videata del sito sito di Tor-Onion dove inserire la chiave pubblica per il pagamento del riscattosimulae EQUITALIA che diffonde nuove varianti di CTB-Locker.
Clicca per ingrandire l'immagine del sito su Tor-Onion per il pagamento effettivo del riscatto

Nel caso non si ritenesse opportuno pagare il riscatto nell'immediatezza della cifratura dei file, continuerà a comparire la seguente videata di invito al pagamento del riscatto di ben 2 BitCoin pari a 1240 USD che al cambio, seppur variabile, corrispondono indicativamente a circa 1.080 €

Clicca per ingrandire l'immagine del Count-down che segnala che i file sono cifrati ed invita al pagamento del riscatto per la de-codifical che dissimulae EQUITALIA che diffonde nuove varianti di CTB-Locker.

Vir.IT eXplorer PRO è in grado di difendere PC e SERVER anche da questi attacchi di CTB-Locker

Se un cliente di Vir.IT eXplorer PRO dovesse ricevere la mail di EQUITALIA e tentasse maluguratamente di accedere al link tentare di eseguire il file portatore di CTB-Locker cliccando sul link:
Si prega di scaricare il fattura

Avendo Vir.IT Web Filter Protection attivo non sarà in grado di accedere al sito da dove viene scaricato il file con doppia estensione ( Documento n.006943470915.zip ) e conseguentemente sarà salvo dalla cifratura in via preventiva.

Nel caso non doveste avere Vir.IT WebFilter Protection attivo, seppur scaricando il file .ZIP contenente al suo interno il file con doppia estensione Documento n.006943470915.pdf.exe, cercando di eseguirlo, interverrà lo scurdo residente in tempo reale Vir.IT Security Monitor che ne bloccherà preventivamente l'esecuzione e quindi PC e SERVER saranno salvati dalla cifratura, anche in questo caso, in via preventiva. Immagine della falsa email che dissimulae EQUITALIA che diffonde nuove varianti di CTB-Locker.

Ad ogni buon conto questo file variante di CTB-Locker viene già intercettato con il nome di Trojan.Win32.CTBLocker.EC dalla versione 8.2.61 di Vir.IT eXplorer PRO come per altro viene già identificato e preventivamente bloccato il sito diffusore
http://myphamvietnam(dot)dgn(dot)vn/db1/(dot)lib1/documento(dot)html
da Vir.IT WebFilter Protection

Naturalmente se si dovesse ricevere questa tipologia di mail vi invitiamo a NON farvi sopraffare dalla curiosità, evitando di sfidare la sorte cliccando su link o pulsanti.


TG Soft
C.R.A.M. Centro Ricerche Anti-Malware

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283