Ricerca

sabato 3 dicembre


Cryptolocker: nuova variante, falso messaggio da SDA

di Michele Nasi (24/02/2015)

Cryptolocker torna a prendere di mira gli italiani. In queste ore, infatti, si sta diffondendo a macchia d'olio una nuova variante di Cryptolocker, il noto ransomware che, una volta insediatosi sul sistema, prende in ostaggio i file dell'utente richiedendo il versamento di una somma a titolo di riscatto.

Il nuovo Cryptolocker si presenta generalmente via email, con un messaggio simile a quello riprodotto nell'immagine di seguito. Per cercare di indurre l'utente ad eseguire l'allegato malevolo, gli autori di Cryptolocker hanno avviato un'intensa campagna phishing. Con un'email truffaldina che, ad una prima occhiata, sembra provenire dal corriere espresso SDA, Cryptolocker cerca di trarre in inganno gli utenti meno attenti. "Il vostro pacchetto con codice di spedizione (...) è arrivato al (...). Stampare l'etichetta di spedizione e mostrarla in un ufficio postale più vicino per ottenere il pacchetto". Questo l'incipit dell'email fraudolenta.
Cryptolocker: nuova variante, falso messaggio da SDA

Una volta eseguito l'allegato malevolo, lo schema seguito da Crytplocker è sempre lo stesso: i file personali dell'utente vengono cifrati con il solido algoritmo RSA (crittografia a chive asimmetrica). Per ottenere la chiave privata per lo sblocco dei file, viene richiesto il versamento di un importo in denaro sotto forma di Bitcoin.

La nuova variante di Cryptolocker non è al momento riconosciuta da alcun motore di scansione antivirus ed antimalware: ne fa da testimonianza quest'analisi su VirusTotal.

Marco Giuliani, CEO dell'italiana Saferbytes, spiega che il nuovo Cryptolocker si inietta nel processo explorer.exe ed elimina le cosiddette copie shadow dei file impedendo così, ad esempio, l'utilizzo della funzionalità "Versioni precedenti" di Windows 7 per il recupero dei file originali dell'utente (Windows 7: a spasso nel tempo con la funzionalità "Versioni precedenti").

Ecco l'elenco completo dei file crittografati dalla nuova variante di Cryptolocker:

txt, html, docx, docm, dotx, dotm, xlsx, xlsm, xltx, xltm, xlsb, xlam, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, accdb, accde, accdt, accdr, djvu, ibank, moneywell, backup, backupdb, db-journal, erbsql, kdbx, kpdx, psafe3, s3db, sas7bdat, sqlite, sqlite3, sqlitedb, jpeg, craw, gray, grey, ycbcra, agd1, cdr3, cdr4, cdr5, cdr6, cdrw, ddoc, ddrw, design, blend, incpas


Per approfondire il tema Cryptolocker, suggeriamo la lettura dei seguenti articoli:
- Infezione da Cryptolocker e CryptoWall: dati in pericolo
- Cryptolocker: nuova ondata di attacchi in Italia
- Cryptolocker e CryptoWall: Italia sotto attacco
- Ransomware attacca la pubblica amministrazione
- Bloccare esecuzione di programmi in Windows

Articolo seguente: Le batterie si ricaricheranno in 60 secondi
Articolo precedente: Autocompletamento di Google Gmail: attenti al bug
40130 letture
Ultimi commenti
inviato da Lmb > pubblicato il 26/02/2015 09:02:19
Arrivato ieri 26/02/2015, priorità di criptazione descktop poi rete poi sottocartelle pc; 10 minuti corrotti 23600 file in rete più una serie di file su pc ricevente. Kaspersky inutile! PC ricevente rifatto completamente, server ripristinato 600 gb di file una bella giornata di m...
inviato da unax > pubblicato il 25/02/2015 15:38:03
ma non capite che non potete fare affidamento sugli antivirus? vengono create varianti per non farle riconoscere, forse una volta avviato il virus l'antivirus può riconoscere qualcosa con l'euristica o analizzando il comportamento ma a quel punto potrebbe essere anche troppo tardi insomma l'antivirus vero siete voi, eseguire un exe che si spaccia per pdf o doc è comunque una cretinata ora domani e sempre, cryptolocker trojan o spyware che sia
inviato da eraser > pubblicato il 25/02/2015 15:21:18
Citazione: E' possibile sapere se viene criptato solo l'hard disk di sistema oppure tutti gli hard disck collegati al pc?
Infetta anche altri hard disk collegati, ed in alcuni casi (a seconda delle varianti) anche eventuali cartella condivise da server
inviato da 1enry1 > pubblicato il 25/02/2015 14:05:02
arrivato a me oggi 25 febbraio... e sia WOT che avg sul pc non mi dà infezione!!! okkio !!!
inviato da ITAKID63 > pubblicato il 25/02/2015 09:31:26
E' possibile sapere se viene criptato solo l'hard disk di sistema oppure tutti gli hard disck collegati al pc?
inviato da Sampei Nihira > pubblicato il 24/02/2015 15:39:30
Considerazione personale dello scrivente. Coloro che pur ricevendo un'email scritta in quel guazzabuglio di "italiano" che è possibile leggere dall'articolo di Michele e nemmeno si domandano per un momento se ciò potrebbe essere un inganno e seguono "alla lettera" i consigli (che oltrettuto cozzano contro la logica dei fatti) dati dai soliti furboni...........farebbero meglio a ripassare la lingua di Dante.
inviato da Michele Nasi > pubblicato il 24/02/2015 15:01:40
Citazione: E' stato colpito un pc dell'azienda dove lavoro. Cripta i file ad una velocità disarmante, oltre 300 i soli 3 minuti, come priorità cripta quelli in rete. Comunque, incredibile ma vero, Microsoft Security Essential ha riconosciuto la minaccia è ha limitato i danni, mentre altri antivirus ancora nada de nada. Questa variante è in giro dai primi di febbraio.
La variante descritta nell'articolo è nuova, non è la stessa di fine gennaio. Qualche motore comincia appena adesso a riconoscerla ma senza un'indicazione chiara sulla tipologia della minaccia (è un Cryptolocker puro): https://www.virustotal.com/it/file/a3e9 ... 424785263/
inviato da albertobertoldo > pubblicato il 24/02/2015 14:13:38
Vi comunico che WEBROOT riconosce già la nuova variante. ciao a tutti


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2016

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS