Cryptolocker e la sua variante italiana (in aggiornamento)

| |

Ieri mattina ho visto spuntare fuori un aggiornamento di stato su Facebook, poi un altro su Twitter, un altro ancora su entrambi e via andare così per svariate ore, è evidentemente stata una giornata “piena“. Mail scritte in italiano corretto, manca giusto qualche simbolo ma si tratta di sciocchezze perché l’occhio viene facilmente ingannato dalla scorrevolezza del testo e dal “possibile contenuto” dato che si parla di ordini, fatture e rimborsi, terreno fertile è la tipica azienda italiana più che il privato cittadino (ma non fa eccezione). Fate attenzione a questo articolo riepilogativo, cercherò di riportare tutti i dati che vi servono per riconoscere le mail con a bordo Cryptolocker prima che sia troppo tardi.

Cryptolocker

Di cosa si tratta

Sarò breve perché non è la parte che interessa “ai più“. Cryptolocker è un software di tipo ransomware, prendono in ostaggio i vostri file crittografandoli con una chiave privata che non potrete avere a meno di versare una cifra stabilita (da loro) entro un tetto massimo di ore (variabili) oltre le quali i file sono da considerarsi definitivamente persi. Volete approfondire? Qui trovate la definizione di Ransomware (in inglese) di e qui Michele ne parlava lo scorso dicembre su ilSoftware. Sul forum di BleepingComputer si parla delle nuove varianti in più lingue (e in questo caso il messaggio in italiano non è così perfetto).

Dettaglio da non sottovalutare: il software è in grado di modificare e impedire l’utilizzo dei file sul vostro PC tanto quanto quelli presenti nei dischi di rete qualora questi dovessero essere per voi accessibili in lettura e scrittura, il danno potrebbe essere potenzialmente devastante.

Le mail che possono arrivare

Sono di diverso tipo e –come detto inizialmente– scritte in italiano tutto sommato corretto e fluente, i dettagli “errati” (e neanche tanto) sono pochi, pochissimi, praticamente appigli inesistenti per l’utente di base (o quasi).

Cryptolocker

Non dovrei dirlo ma quel file (un %Nome a caso sempre variabile%.CAB, per la cronaca) non dovrete mai aprirlo. È una ovvietà ma le telefonate arrivate in HelpDesk (in ufficio da me) non sono state poche, fortunatamente parecchi utenti del gruppo sanno benissimo che possono girare questo tipo di comunicazioni e sanno altrettanto bene che vanno immediatamente cestinate senza pensarci su due volte. Sono rari i casi in cui vengono inoltrate “as-is” all’indirizzo dell’assistenza per una ulteriore verifica. Non è così per tutti, è importante che facciate attenzione a ciò che andate ad aprire spesso “con troppa spensieratezza. Un amico e collega di mestiere è arrivato ad affermare che con i propri clienti è diventato più semplice chiedere di pagare piuttosto che debellare la minaccia e recuperare i file, spesso mancano i backup (soprattutto quando si tratta di privati che pensano di essere al di sopra delle più banali norme di sicurezza e protezione dei dati) e non esistono ancora metodi sicuri per rimuovere l’infezione e rimuovere la crittografia applicata ai propri documenti. Allo stato attuale delle cose ci sono alcuni antivirus che ancora faticano a rilevare Cryptolocker e le sue varianti più giovani.

Qui il report di VirusTotal su un file CAB infetto: virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692 (1 solo motore antivirus lo rileva senza sapere di preciso di cosa si tratta, tanto per farvi capire quanto può essere pericoloso e apparentemente innocuo).

È di solo 48 ore fa (circa) la discussione nella Mailing List di Sikurezza.org riguardo questo nuovo attacco verso gli indirizzi di posta italiani, consiglio ai più curiosi di dare un’occhiata: mail-archive.com/ml@sikurezza.org/msg04940.html

Incollo un’ulteriore mail che -come noterete- assomiglia parecchio alla prima in immagine poco sopra, in allegato il solito file cab :

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver 
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: V27E67848DA82536
Azienda: A.P.TEX. S.A.S.

I seguenti oggetti sono stati rimborsati come richiesto:
=====
1 x CARTUCCIA EPSON NERO MATT X R1900 C13T0878402: 14.14 EUR
1 x TONER SAMSUNG NERO ML-D3470A X SER. 3560-3561: 90.66 EUR
6 x SW NUANCE OMNIPAGE 16 PRO FULL IT: 460.47*6 = 2762.82 EUR
1 x CORLDESS BRONDI DC2080V GRIGIO: 24.39 EUR
1 x FLOPPY LOCK KENSINGTON 3.5: 17.85 EUR
=====
Totale: 2909.86 EUR

Si prega di aprire il file allegato per maggiori informazioni.

=====
Rubens Cotti"

Dubbi o curiosi di sapere ulteriore informazioni? L’area commenti è a vostra totale disposizione. Colgo l’occasione per ringraziare le varie fonti in ordine sparso per le informazioni e parte dei testi e delle immagini (Andrea e Cristian, ma anche gli utenti della lista di Sikurezza.org)

Fate attenzione!

Aggiornamento 30/1 08:30
Altri articoli raccolti sul web:

Aggiornamento 29/1 08:20
Si parla di attacco hacker ma ovviamente non lo è, il classico doppio clic di troppo ed ecco servita la chiusura per due giorni affinché si possano recuperare i dati dal backup e verificare l’integrità di tutto prima di ricominciare a prestare servizio per la clientela:

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

3 Commenti
Oldest
Newest Most Voted
Inline Feedbacks
View all comments