Selected news item is not available in the requested language.

Italian language proposed.

Close

14/04/2017
12:45

Nuova Mail con Fattura... E' sempre CryptoLocker / Crypt0L0cker !!!


Analizzata da CRAM di TG Soft una mail portatrice del pericoloso Ransomware, contenete particolari dettagli, tra cui il logo di un noto ANTIVIRUS.




Il CRAM di TG Soft  ha posto attenzione su questa particolare veste con cui si diffonde il Cryptolocker/Crypt0locker. Nel prossimo paragrafo vengono evidenziati alcuni dettagli che possono aiutare gli utenti a non aprire il pericoloso link.
 

INDICE

==> Come si manifesta
 
==> Il riscatto richiesto

==> Come proteggersi

==> Come comportarsi

==> Considerazioni finali



Come si manifesta CryptoLocker / Crypt0l0cker



La strategia, che ricalca la tecnica della Falsa Fattura, ci pone di fronte ad una mail che, seppur confidenziale nell'approccio, riporta correttamente e nel posto giusto il nominativo del mittente, evitando grossolani errori di traduzione, cosa che nel passato aiutava, e non poco, a determinare la reale veridicità del link presente.

Altro dettaglio da non sottovalutare è la presenza all'interno del file ZIP che viene scaricato tramite il link, del logo di un noto antivirus.
Questo "piccolo" dettaglio, è un evidente stratagemma di "ingegneria sociale" per rassicurare il malcapitato utente e indurlo a considerare la mail come attendibile.

A destra le immagini della mail e il contenuto del file ZIP che si scarica tramite il link.


Immagine della falsa email che segnala in allegato fattura da saldare e tenta di diffonde nuove varianti di CryptoLocker
Clicca per ingrandire l'immagine



Immagine della falsa email che segnala in allegato fattura da saldare e tenta di diffonde nuove varianti di CryptoLocker
Clicca per ingrandire l'immagine
 
 
 
Di seguito riportiamo la comunicazione
attraverso la quale si viene indotti ad aprire il link  :


----------------- Inizio Testo messaggio fraudolento ----------
Ciao Supporto Virit Pro,

In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale,
se non specificatamente richiesto.

hxxxx://dl[.]dropboxusercontent[.]com/s/8m4pd8zwa0kcgs6/694457[.]zip?dl=0

Il documento dovrà essere stampato su formato cartaceo e avrà piena 
validità fiscale e, come tale, soggetto alle previste norme di utilizzo e
conservazione.


Cordiali saluti

Bianca Colombo

----------------- Fine Testo messaggio fraudolento ----------

E' sempre importante NON tralasciare che l'indirizzo e-mail di questa ipotetica "Bianca Colombo" o "Eleonora Rossi" o altri nomi, può arrivare, in alcune occasioni, anche da indirizzi che dissimulano la posta certificata

L'apertura/esecuzione del Link, avvia un download di un file ZIP, all'interno,  è presente un Javascript  il cui nome del file è propio il numero della fattura inviata.  Il tentativo di apertura di tale file scarica ed esegue nuove varianti di CryptoLocker / Crypt0l0cker all'interno della cartella %temp% dell'utente che vengono poi copiate all'interno della cartella C:\windows\ o C:\programdata\ ed avvia la cifratura dei file.

Le altre caratteristiche del CryptoLocker rimangono comunque
INALTERATE.

 

Torna ad inizio pagina

Il riscatto richiesto da CryptoLocker / Crypt0l0cker


Al termine della cifratura comparirà un'immagine con la richiesta di riscatto e le modalità per effettuare il pagamento per recuperare i dati cifrati come è possibile rilevare dalla immagini sulla destra.

Il riscatto richiesto è di 499 € con pagamenti effettuati entro le 120 ore e 999 € per pagamenti effettuati successivamente.
Il pagamento del riscatto è, ovviamente, sconsigliato per vari motivi:
  1. non vi è la certezza che dopo il pagamento venga inoltrata la chiave per la de-cifratura;
  2. pagando si dà forza ai malfattori che con i guadagni realizzati continueranno la loro attività estorsiva con ancora maggiore impegno e con metologie ancora più sofisticate. E' bene quindi evitare di alimentare questo "mercato".
Purtroppo, in alcune situazioni disperate, quando cioè i propri dati non siano recuperabili in altri modi e sia assolutamente indispensabile tentare di "riscattarli", qualcuno dovrà fare ogni opportuna valutazione.

Nei successivi paragrafi , vengono espletati importanti suggerimenti per proteggersi dal CryptoLocker e/o mitigarne i danni qualora si fosse caduti nella trappola presente nella mail segnalata. Suggerimenti ancora validi anche per altre forme di e-mail come SDA EXPREES
Non è superfluo ricordare che CryptoLocker è stato diffuso in passato anche con mail legate ad altri contesti,  ENEL , TIM / TELECOM, DHL i più gettonati nel 2016.

La famiglia/tipologia dei CryptoLocker è stata ampiamente analizzata dal C.R.A.M. di TG Soft con un'analisi tecnica già nel 2013. Per maggiore dettagli vi invitiamo a consultare l'informativa del 06/12/2013 - Brutte notizie con il ritorno del CryptoLocker


 

 

Di seguito altre news redatte dal CRAM di TG Soft

 07/04/2017 Dalla Falsa Fattura al Falso Contratto, CryptoLocker / Crypt0l0cker si rinnova.
 21/03/2017 CryptoLocker / Crypt0l0cker... Ancora false fatture... Rilevati nuovi allegati pericolosi dal CRAM di TG Soft.
 25/01/2017 E-mail che segnala il recapito di una fattura in allegato in formato .ZIP scatena, ancora una volta, CryptoLocker...
 25/11/2016 CryptoLocker ritorna a fine novembre, le mail SDA EXPRESS nascondono il pericoloso ransomware.
 27/09/2016 ATTENZIONE: falsa e-mail simile a TIM Impresa Semplice vi invita a scaricare la fattura ma...
 08/04/2016 CryptoLocker ritorna a colpire diffondendosi tramite una falsa email di SDA!
 04/04/2016 Falsa email di SDA scatena nuova variante di CryptoLocker!
 19/01/2016 Anno nuovo... vecchie conoscenze... CryptoLocker is back !
Per visualizzare tutte le news premere QUI
Torna ad inizio pagina

Come proteggersi

Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare anche questo Crypto-Malware già nelle fasi iniziale dell'attacco di cifratura dei file di dati del PC / SERVER.
Come già segnalato, le tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware integrate in Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, sono in grado di mitigare anche questa tipologia di attacchi riuscendo a salvaguardare dalla cifratura, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.
 
Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti da CryptoLocker o anche Crypt0L0cker

Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico",  NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  2. NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione,  ha come risultato quello di far progressivamente aumentare il numero di file che il Crypto-Malware, in questo caso il CryptoLocker, riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scrivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer PRO ==> Consulta l'informativa

Torna ad inizio pagina


Considerazioni finali:

Nel caso si sia scatenata la cifratura vi invitiamo, come sempre, a mantenere la calma poichè potreste trovarvi in una di queste situazioni:

Hai installato sui tuoi computer
Vir.IT eXplorer
PRO

Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO

Vir.IT eXplorer PRO
se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di decifrare e ripristinare i file cifrati è possibile decifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.

Queste tecnologie vengono di seguito elencate:
  • Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
  • Per alcune tipologie/famiglie di Crypto-Malware  Vir.IT eXplorer PRO mediante il Backup on the fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on the Fly permettono il ripristino dei file senza perdere alcuna modifica.
  • Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.

NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...

Se non si ha un software in grado di proteggere dalla cifratura dei file di dati...

Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco CryptoLocker , consigliamo di:
  • SCOLLEGARE il CAVO di RETE LAN;
  • SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
  • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.

Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.



C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina


*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.


Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: