Mercoledì, 01 Marzo 2017 10:45

Attenzione! il Ransomware Crypt0l0cker arriva via PEC

Da alcune settimane si sta intensificando la diffusione di ransomware veicolato tramite messaggi di posta elettronica certificata PEC, in parte muniti di regolare firma digitale. Sono messaggi che provengono da indirizzi come Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ma anche domini personalizzati e inviati tramite Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Il testo del messaggi di posta elettronica certificata contenente il ransomware è il seguente:

 

"In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto.

Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione."

 

I messaggi di posta PEC hanno come oggetto “Invio fattura n. _________” con numeri diversi per ogni vittima o campagna (es. “Invio fattura n. 369067”) e contengono un allegato archivio ZIP, in genere con un nome tipo “fattura_522628.zip” (il numero può variare).

L’archivio ZIP contiene un file in javascript con un nome sulla falsariga di “fattura_522628.js” che contiene il vero e proprio dropper, cioè la parte di criptovirus che si occupa di scaricare il ransomware da siti remoti ed avviarlo sul PC della vittima.

In alcuni casi, l’email PEC è regolarmente firmata tramite firma digitale, come nel caso del cryptovirus inviato mediante servizio PEC “Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.”, di cui abbiamo ricevuto un sample con firma elettronica certificata valida e autentica. Ci sono stati già in passato altri casi di malware, virus e trojan distribuiti tramite SPAM via PEC, Posta Elettronica Certificata. Non è ancora chiaro come avvenga la diffusione, certamente la PEC non fa altro che garantire il contenuto e la data d’invio nel momento in cui il mittente – o chi per esso – esegue un invio tramite protocollo SMTP utilizzando le credenziali assegnategli. Non c’è firma digitale o identificazione certa del mittente, quindi potenzialmente qualunque malware entri in possesso delle credenziali di Posta Elettronica Certificata di una vittima può inviare PEC al posto suo.

Nel momento in cui l’allegato ZIP viene aperto, che spesso gli antivirus non identificano prontamente, il codice del “downloader” (simile ai “dropper” ma con la differenza che scarica il “payload” da remoto e non lo contiene all’interno) si connette a un sito esterno da cui scarica il payload che infetta il PC e avvia il ransomware vero e proprio, o “payload”, che procede a cifrare i documenti mediante il cryptovirus TorrentLocker lasciando poi un messaggio sul PC della vittima, in file “COME_RIPRISTINARE_I_FILE.txt” lasciati nelle cartelle criptate:

 

=======================================================
!!! abbiamo criptato vostri file con il virus Crypt0L0cker !!!
=======================================================

I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto,
video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L’unico modo per ripristinare i file è quello di pagare noi. In caso contrario,
i file verranno persi.

Per recuperare i file si deve pagare.

Al fine di ripristinare i file aperti nostro sito
http://x5sbb5gesp6kzwsh.homewind.pl/p8o93t60.php?user_code=_______&user_pass=____
e seguire le istruzioni.

Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/download-easy.html.en
2. Dopo l’installazione eseguire il browser e digitare l’indirizzo: http://xiodc6dmizahhijj.onion/p8o93t60.php?user_code=____&user_pass=____
3. Seguire le istruzioni sul sito.

========================================================

 

Accedendo tramite la rete anonima Tor all’indirizzo indicato, si ottiene la pagina con la richiesta di riscatto di 399 euro in bitcoin, dal titolo fuorviante “CryptoLocker” nonostante si tratti di cryptovirus “TorrentLocker”.

 

 

Ovviamente si sconsiglia vivamente di cedere al ricatto poiché l'invio del file di decriptazione non è cosa certa.

 

Letto 2837 volte