martedì 24 febbraio 2015 di Michele Nasi 41446 Letture

Cryptolocker: nuova variante, falso messaggio da SDA

Cryptolocker torna a prendere di mira gli italiani. In queste ore, infatti, si sta diffondendo a macchia d'olio una nuova variante di Cryptolocker, il noto ransomware che, una volta insediatosi sul sistema, prende in ostaggio i file dell'utente richiedendo il versamento di una somma a titolo di riscatto.

Il nuovo Cryptolocker si presenta generalmente via email, con un messaggio simile a quello riprodotto nell'immagine di seguito. Per cercare di indurre l'utente ad eseguire l'allegato malevolo, gli autori di Cryptolocker hanno avviato un'intensa campagna phishing. Con un'email truffaldina che, ad una prima occhiata, sembra provenire dal corriere espresso SDA, Cryptolocker cerca di trarre in inganno gli utenti meno attenti. "Il vostro pacchetto con codice di spedizione (...) è arrivato al (...). Stampare l'etichetta di spedizione e mostrarla in un ufficio postale più vicino per ottenere il pacchetto". Questo l'incipit dell'email fraudolenta.

Cryptolocker: nuova variante, falso messaggio da SDA

Una volta eseguito l'allegato malevolo, lo schema seguito da Crytplocker è sempre lo stesso: i file personali dell'utente vengono cifrati con il solido algoritmo RSA (crittografia a chive asimmetrica). Per ottenere la chiave privata per lo sblocco dei file, viene richiesto il versamento di un importo in denaro sotto forma di Bitcoin.

La nuova variante di Cryptolocker non è al momento riconosciuta da alcun motore di scansione antivirus ed antimalware: ne fa da testimonianza quest'analisi su VirusTotal.


Marco Giuliani, CEO dell'italiana Saferbytes, spiega che il nuovo Cryptolocker si inietta nel processo explorer.exe ed elimina le cosiddette copie shadow dei file impedendo così, ad esempio, l'utilizzo della funzionalità "Versioni precedenti" di Windows 7 per il recupero dei file originali dell'utente (Windows 7: a spasso nel tempo con la funzionalità "Versioni precedenti").


Ecco l'elenco completo dei file crittografati dalla nuova variante di Cryptolocker:

txt, html, docx, docm, dotx, dotm, xlsx, xlsm, xltx, xltm, xlsb, xlam, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, accdb, accde, accdt, accdr, djvu, ibank, moneywell, backup, backupdb, db-journal, erbsql, kdbx, kpdx, psafe3, s3db, sas7bdat, sqlite, sqlite3, sqlitedb, jpeg, craw, gray, grey, ycbcra, agd1, cdr3, cdr4, cdr5, cdr6, cdrw, ddoc, ddrw, design, blend, incpas


Per approfondire il tema Cryptolocker, suggeriamo la lettura dei seguenti articoli:
- Infezione da Cryptolocker e CryptoWall: dati in pericolo
- Cryptolocker: nuova ondata di attacchi in Italia
- Cryptolocker e CryptoWall: Italia sotto attacco
- Ransomware attacca la pubblica amministrazione
- Bloccare esecuzione di programmi in Windows

  1. Avatar
    [Claudio]
    12/12/2016 11:24:41
    Alcuni certamente, ma sono palliativi del momento e per quelle singole varianti di malware .... ma il problema è che, ogni giorno, cambiano le modalità e le varianti con cui veicolare malware di questo tipo. Dotatevi di software antimalware e Antiexploit (in particolare, il secondo).
  2. Avatar
    samuelecarpene
    12/12/2016 09:39:22
    Sapete se esistono dei decrypter?
  3. Avatar
    Lmb
    26/02/2015 09:02:19
    Arrivato ieri 26/02/2015, priorità di criptazione descktop poi rete poi sottocartelle pc; 10 minuti corrotti 23600 file in rete più una serie di file su pc ricevente. Kaspersky inutile! PC ricevente rifatto completamente, server ripristinato 600 gb di file una bella giornata di m...
  4. Avatar
    unax
    25/02/2015 15:38:03
    ma non capite che non potete fare affidamento sugli antivirus? vengono create varianti per non farle riconoscere, forse una volta avviato il virus l'antivirus può riconoscere qualcosa con l'euristica o analizzando il comportamento ma a quel punto potrebbe essere anche troppo tardi insomma l'antivirus vero siete voi, eseguire un exe che si spaccia per pdf o doc è comunque una cretinata ora domani e sempre, cryptolocker trojan o spyware che sia
  5. Avatar
    eraser
    25/02/2015 15:21:18
    Citazione: E' possibile sapere se viene criptato solo l'hard disk di sistema oppure tutti gli hard disck collegati al pc?
    Infetta anche altri hard disk collegati, ed in alcuni casi (a seconda delle varianti) anche eventuali cartella condivise da server
  6. Avatar
    1enry1
    25/02/2015 14:05:02
    arrivato a me oggi 25 febbraio... e sia WOT che avg sul pc non mi dà infezione!!! okkio !!!
  7. Avatar
    ITAKID63
    25/02/2015 09:31:26
    E' possibile sapere se viene criptato solo l'hard disk di sistema oppure tutti gli hard disck collegati al pc?
  8. Avatar
    Sampei Nihira
    24/02/2015 15:39:30
    Considerazione personale dello scrivente. Coloro che pur ricevendo un'email scritta in quel guazzabuglio di "italiano" che è possibile leggere dall'articolo di Michele e nemmeno si domandano per un momento se ciò potrebbe essere un inganno e seguono "alla lettera" i consigli (che oltrettuto cozzano contro la logica dei fatti) dati dai soliti furboni...........farebbero meglio a ripassare la lingua di Dante.
  9. Avatar
    Michele Nasi
    24/02/2015 15:01:40
    Citazione: E' stato colpito un pc dell'azienda dove lavoro. Cripta i file ad una velocità disarmante, oltre 300 i soli 3 minuti, come priorità cripta quelli in rete. Comunque, incredibile ma vero, Microsoft Security Essential ha riconosciuto la minaccia è ha limitato i danni, mentre altri antivirus ancora nada de nada. Questa variante è in giro dai primi di febbraio.
    La variante descritta nell'articolo è nuova, non è la stessa di fine gennaio. Qualche motore comincia appena adesso a riconoscerla ma senza un'indicazione chiara sulla tipologia della minaccia (è un Cryptolocker puro): https://www.virustotal.com/it/file/a3e9 ... 424785263/
  10. Avatar
    albertobertoldo
    24/02/2015 14:13:38
    Vi comunico che WEBROOT riconosce già la nuova variante. ciao a tutti