05/12/2014
18:21

Attenzione a quel pacchetto!! Finte email celano il Cryptolocker!!

Spacciandosi per SDA, moltissime email truffa invitano a scaricare un pacchetto di una mancata consegna!! Al suo interno si cela il temibile Cryptolocker!!

Torna a colpire il temibile Cryptolocker dopo un lungo periodo di inattività (leggi news -> "Brutte notizie con il ritorno del Cryptolocker") in modo molto più massivo utilizzando la tecnica del social engineering.

 
Come si può osservare nelle immagini sottostanti, arriva una email truffa della SDA (ricordiamo che la ditta non è l'autore di queste truffe) contenente un link (modificato ogni giorno) che rimanda ad una fantomatica pagina dove invita a scaricare il tanto amato pacchetto riguardo la spedizione non avvenuta. L'immagine a destra riguarda l'email truffa girata in data 16/12/2014 alle ore 15:00.
 
Email truffa SDA
Click per ingrandire		 Email truffa SDA
Click per ingrandire


Finta pagina SDA
Click per ingrandire		 Nella immagine a sinistra, la finta pagina web dove viene chiesto di inserire un finto CAPTCHA (il numero rimane sempre 22558) che permette il download del "pacchetto_numerocasuale.zip".


All'interno del "pacchetto" si trova il file .exe con lo stesso nome quindi "pacchetto_numerocasuale.exe".

L'elenco qui sotto riporta qualche pacchetto scaricato dal finto sito di sda:

Nome File Dimensione File MD5
pacchetto_3829838293002.exe 473.600 byte 9790F907D4E8BA245862CECD1A2D1343
pacchetto_3829838293885.exe 480.768 byte 362479F2BF81ADB0231C5D608DDAE80D
pacchetto_3829838293880.exe 477.184 byte CCBF300A66B3D815EA40AC9EF35F1378
pacchetto_3829838293004.exe 465.408 byte 43CE7A42D275D1351DE591B3B5D2661D

Nuovo sample 16/12/2014 - 15:00
pacco_3897289329739203.exe 599.552 byte FBD02D93AB443570B97480D9149F5869


Mentre qui sotto alcuni sample del Cryptolocker che vengono generati dopo l'apertura del pacchetto:

Nome File Dimensione File MD5
ABACAQAM.EXE 465.920 byte 00CB45C4EFD4053CEF8BB8567DC0638E
ALARISQF.EXE 477.184 byte CCBF300A66B3D815EA40AC9EF35F1378
EPOHYDEZ.EXE 476.160 byte 67860B57C32C3D210C014A321CF071D9
EXICARIP.EXE 465.920 byte 00CB45C4EFD4053CEF8BB8567DC0638E
ILFXEZYJ.EXE 473.600 byte D57F6921B2EAD0C79F425BDE13822847
IWAMYXTP.EXE 473.600 byte 49E5824DDB4F1229A7124617234BBFF0
ONARETUV.EXE 465.920 byte 00CB45C4EFD4053CEF8BB8567DC0638E

Ricordiamo che pagare i creatori non assicura la restituzione dei file anzi si alimenta la loro sete di truffare la gente.

Per evitare queste tipologie di attacchi la migliore soluzione è:

1) tenere sempre i browser aggiornati (Internet Explorer, Firefox, Google Chrome) che, nella maggior parte dei casi, avvertono del tentativo di truffa bloccando la navigazione o il file scaricato.

2) utilizzare sempre copie di backup su unità esterne da collegare solo nel momento di utilizzo dato che il Cryptolocker crittografa i file su tutti i dischi e unità di rete mappate dove l'accesso in scrittura è consentito.
Ricordiamo che Vir.IT è dotato di un modulo di Backup disponibile da numerosi mesi (leggi news -> Vir.IT Backup). Vir.IT Backup protegge le copie di backup proprio da queste tipologie di malware.

C.R.A.M. Centro Ricerche Anti-Malware by TG Soft
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: