Selected news item is not available in the requested language.

Italian language proposed.

Close

31/08/2016
11:39

Falsa email diffonde il ransomware CryptoZepto, incoronato quale "erede" di CryptoLocky...


Mail con allegato un archivio .ZIP contenente il dropper che, se attivato, scatena l'attacco di nuove e temibili varianti di CryptoZepto!

Il ransomware CryptoZepto giunge nel PC della vittima attraverso e-mail infette, che chiedono l'apertura del loro allegato facendo credere si tratti di fatture o, in questo caso, di scansioni.

Nelle e-mail analizzate dal C.R.A.M si è riscontrato che il dominio del destinatario coincide con quello del mittente. Questo per indurre l'utente a pensare che la e-mail provenga da un mittente sicuro (collega), come ad esempio quello di una persona all'interno della stessa azienda in cui lavora.
Vai al pagina del Centro Ricerche Anti-Malware di TG Soft 

Riteniamo utile far notare che il mittente delle e-mail analizzate sono caraterizzati dalla seguente struttura: prefisso [document] @ <miodominio.com>, dove [document] vuole indicare che il mittente potrebbe essere, ad esempio, un apparecchio elettronico adibito alla scansione appartenente all'azienda per cui lavora il destinatario. L'indirizzo email del destinatario per rendere maggiormente credibile la e-mail stessa, non può che essere quella dell'effettivo ricevente dove, in particolare si potrà notare la coincidenza del dominio aziendale sia del mittente che del destinatario. L'obbiettivo dell'attaccante è quello di indurre il ricevente nel considerare attendibile la e-mail e procedere "serenamente" ad aprire l'allegato, poichè la e-mail sembra arrivare da un collega o da un dispositivo facente parte della medesima azienda.
          

Analizzando il contenuto della e-mail, abbiamo notato che essa viene spedita con un allegato contienente un archivio .ZIP.

 
Se scaricate l'allegato in questione e estraete l'archivio ZIP seguente [B0408F17A9.zip], vi troverete un file che riporta un nome casuale .WSF (si tratta di un file in formato Microsoft Windows Scripting Format) . Nella e-mail incriminata il file ha il seguente nome  <bsUZ0wE>.

L'archivio ZIP allegato alla e-mail una volta scompattato renderà disponibile un file .WSF che una volta eseguito, si porrà in esecuzione automatica di Windows procedendo cosi a contattare un server remoto dal quale scaricherà ed eseguirà una nuova variante CryptoZepto.

Per maggiori info sulle modalità di attacco e cifratura di ZEPTO alias CryptoZepto, si invita alla consultazione dell'analisi tecnica realizzata dal C.R.A.M al seguente link.

10/07/2016 12:20:42 - Zepto, il ransomware "erede" di CryptoLocky...

Considerazioni finali

Consigliamo, sempre e comunque, di NON farvi sopraffare dalla curiosità, evitando di aprire/eseguire allegati di e-mail sospette che, seppur apparentemente credibili provenendo da indirizzi e-mail noti, possono celare Crypto-Malware di nuova generazione, come il ransomware CryptoZepto, il cui obbiettivo è quello di cifrare i vostri dati più preziosi per poi richiederne un riscatto.



TG Soft
Centro Ricerche Anti-Malware
Torna ad inizio pagina
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: