Attenzione, il ransomware Cryptolocker arriva via PEC

Da alcune settimane si sta intensificando la diffusione di ransomware veicolato tramite messaggi di posta elettronica certificata PEC, in parte muniti di regolare firma digitale. Sono messaggi che provengono da indirizzi come 531608465@legalmail.it, 409018@legalmail.it ma anche domini personalizzati e inviati tramite posta-certificata@legalmail.it o posta-certificata@sicurezzapostale.it

Il testo del messaggi di posta elettronica certificata contenente il ransomware è il seguente:

“In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto.
Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione.”

I messaggi di posta PEC hanno come oggetto “Invio fattura n. _________” con numeri diversi per ogni vittima o campagna (es. “Invio fattura n. 369067”) e contengono un allegato archivio ZIP, in genere con un nome tipo “fattura_522628.zip” (il numero può variare).

L’archivio ZIP contiene un file in javascript con un nome sulla falsariga di “fattura_522628.js” che contiene il vero e proprio dropper, cioè la parte di criptovirus che si occupa di scaricare il ransomware da siti remoti ed avviarlo sul PC della vittima.

In alcuni casi, l’email PEC è regolarmente firmata tramite firma digitale, come nel caso del cryptovirus inviato mediante servizio PEC “posta-certificata@sicurezzapostale.it”, di cui abbiamo ricevuto un esempio con firma elettronica certificata valida e autentica. Ci sono stati già in passato altri casi di malware, virus e trojan distribuiti tramite SPAM via PEC, Posta Elettronica Certificata. Non è ancora chiaro come avvenga la diffusione, certamente la PEC non fa altro che garantire il contenuto e la data d’invio nel momento in cui il mittente – o chi per esso – esegue un invio tramite protocollo SMTP utilizzando le credenziali assegnategli. Non c’è firma digitale o identificazione certa del mittente, quindi potenzialmente qualunque malware entri in possesso delle credenziali di Posta Elettronica Certificata di una vittima può inviare PEC al posto suo.

Nel momento in cui l’allegato ZIP viene aperto, che spesso gli antivirus non identificano prontamente, il codice del “downloader” si connette a un sito esterno da cui scarica il payload che infetta il PC e avvia il ransomware vero e proprio, o “payload”, che procede a cifrare i documenti mediante il cryptovirus TorrentLocker lasciando poi un messaggio sul PC della vittima, in file “COME_RIPRISTINARE_I_FILE.txt” lasciati nelle cartelle criptate:

=======================================================
!!! abbiamo criptato vostri file con il virus Crypt0L0cker !!!
=======================================================

I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto,
video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L’unico modo per ripristinare i file è quello di pagare noi. In caso contrario,
i file verranno persi.

Per recuperare i file si deve pagare.

Al fine di ripristinare i file aperti nostro sito
http://x5sbb5gesp6kzwsh.homewind.pl/p8o93t60.php?user_code=_______&user_pass=____
e seguire le istruzioni.

Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/download-easy.html.en
2. Dopo l’installazione eseguire il browser e digitare l’indirizzo: http://xiodc6dmizahhijj.onion/p8o93t60.php?user_code=____&user_pass=____
3. Seguire le istruzioni sul sito.

========================================================

Accedendo tramite la rete anonima Tor all’indirizzo indicato, si ottiene la pagina con la richiesta di riscatto di 399 euro in bitcoin, dal titolo fuorviante “CryptoLocker” nonostante si tratti di cryptovirus “TorrentLocker”.

 

 

Fonte: http://www.ransomware.it/