Selected news item is not available in the requested language.

Italian language proposed.

Close

24/06/2016
15:01

Falsa email di TIM scatena nuove varianti di CTB-Locker

È stata riscontrata nella giornata odierna dal C.R.A.M. di TG Soft una nuova recrudescenza dell'invio di false email TIM/Telecom Italia che possono diffondere CTB-Locker.
Il Centro Ricerche Anti-Malware di TG Soft ha riscontrato una nuova ondata di crypto-malware della famiglia CTB-Locker.

Questo notevole incremento di infezioni è dovuto all'invio massivo di false email da parte di TIM.

CTB-Locker, lo ricordiamo, fa parte della famiglia dei crypto-malware, cioè di quella tipologia di malware che crittografano i file e richiedono un riscatto per la loro decrittografazione.
INDICE
 
==> La mail infetta

==> Come proteggersi da CTB-Locker

==> Come comportarsi per mitigare i danni derivanti da CTB-Locker

==> Posso recuperare i file cifrati?

==> Considerazioni finali


La mail infetta 

Questa nuova variante di CTB-Locker giunge nel PC dell'ignara vittima attraverso una falsa mail di TIM. Stando a quanto riportato, l'ipotetica fattura per il mese di Giugno 2016 è disponibile online e raggiungibile cliccando il link riportato.
Analizziamo l'intestazione dell'e-mail:
  • Oggetto: Fattura TIM linea Fissa - Giugno 2016 - scadenza 24/06/2016*
  • Mittente: Telecom Italia-TIM <clienti@tim.it>
* la data può variare in base a quando la finta mail è stata generata e spedita
Intestazione della falsa e-mail di TIM che diffonde nuove varianti di CTB-Locker

È stata adottata una certa cura nell'impaginazione della email, con accorgimenti grafici come i loghi di TIM e Telecom Italia che rendono il tutto molto credibile, almeno graficamente.

Ma ad un controllo si possono notare delle anomalie e incongruenze.
Il numero di telefono indicato non corrisponde a quello effettivo del destinatario, sempre ammesso che possieda un'utenza TIM.

Inoltre il link che ci invita a scaricare ed aprire l'allegato "si prega di scaricare IL fattura" dovrebbe far insospettire sull'autenticità di questa mail che dovrebbe provenire da un ente italiano.
 		  Falsa e-mail di TIM che diffonde nuove varianti di CTB-LockerVisualizza la falsa e-mail di TIM che diffonde nuove varianti di CTB-Locker
Tale link non rimanda al sito di TIM nell'area apposita per la consultazione delle fatture/bollette, ma farà scaricare un archivio ZIP, chiamato Fattura [Numero Linea].ZIP.
Al suo interno vi è un file con doppia estensione: Fattura [Numero Linea].PDF.EXE.
Con questo accorgimento, chiunque non abbia attivato la visualizzazione completa delle estensioni dei file, nella convinzione di aprire un file innocuo in formato PDF, effettuerà invece l'attivazione di un file eseguibile (EXE) che scatenerà la crittografazione dei file di dati su PC e SERVER.

Il CTB-Locker è già stato analizzato dai ricercatori del C.R.A.M. di TG Soft. Per maggiori dettagli vi invitiamo a consultare questa informativa.

Naturalmente se doveste ricevere questa tipologia di mail vi invitiamo a NON farvi sopraffare dall'agitazione, cercando di accere subito al link indicato ed eseguire il file malevole che poi scaricherà il CTB-Locker.
Il nostro consiglio è quello di inoltrare la mail al nostro Centro Ricerche Anti-Malware per l'analisi all'indirizzo e-mail lite@virit.com.

Torna ad inizio pagina


Come proteggersi da CTB-Locker

La versione attuale di Anti-Ransomware (l'automa euristico-comportamentale) integrato in Vir.IT eXplorer PRO è già in grado di bloccare nella fase iniziale l'attacco di CTB-Locker.

Come già segnalato, la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.

Dati per ragionevolmente certi i corretti:

  • INSTALLAZIONE;
  • AGGIORNAMENTO sia delle Firme sia del Motore;
  • CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.

Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti da CTB-Locker

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
  2. SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  3. ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di TeslaCrypt.
  4. NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.
 Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa
Torna ad inizio pagina


Posso recuperare i file cifrati?

Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da CTB-Locker saranno al più qualche decina.

I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup o provando qualche tool, attualmente esistente, per il recupero dei file crittografati.

Torna ad inizio pagina


Considerazioni finali

Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
  1. siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
  2. NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso speciofico di attacco CTB-Locker, procedere a:
    • SCOLLEGARE il CAVO di RETE LAN;
    • SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
    • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
Se vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il supporto tecnico di TG Soft.

Nel caso 2., non avendo Vir.IT eXplorer PRO, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.


TG Soft
Centro Ricerche Anti-Malware
Torna ad inizio pagina
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: