Nuova campagna Cryp0L0cker

 

Proto: N040316.

Con la presente Yoroi desidera comunicarLe che negli ultimi giorni si sta sviluppando una epidemia legata ad una nuova variante di Crypt0L0cker, ransomware già noto come successore di TorrentLocker. I sistemi antivirus non sono ancora in grado di identificare la nuova minaccia per cui è necessario prestare particolare attenzione. Il malware viene distribuito attraverso messaggi di posta elettronica, alle vittime viene inviata una mail che riproduce molto fedelmente i messaggi del servizio di bollette elettroniche di Enel.

Nei messaggi vi è allegato Bolletta.zip che contiene al suo interno il file Bolletta.exe.

 


Come viene mostrato nell’immagine l’eseguibile utilizza l’icona tipica del software Adobe Reader, combinata all’opzione che nasconde l’estensione dei file più comuni può facilmente ingannare gli utenti che finiranno per eseguire il Ransomware pensando di aprire il documento PDF della bolletta.
 
Crypt0L0cker ricerca e cifra tutti i file ad eccezione degli eseguibili, inserendo in ogni cartella i file “COME_RIPRISTINARE_I_FILE.html” e “COME_RIPRISTINARE_I_FILE.txt” contenenti le istruzioni per il recupero dei file e la richiesta di riscatto.

 


Durante le operazioni di cifratura il ransomware procede come segue:

  1. Lettura del contenuto del file
  2. Creazione e scrittura della copia cifrata del file
  3. Cancellazione del file originale

Sebbene l’algoritmo di cifratura utilizzato dal malware sia sicuro questo processo lascia qualche possibilità nel recupero dei file. La copia cifrata non va a sovrascrivere l’originale ma viene memorizzata in un area del disco differente, questo significa che utilizzando la tecnica denominata File Carving, in cui strumenti specifici vengono utilizzati per analizzare l’intera memoria del disco della macchina infetta, è possibile ritrovare il contenuto dei file eliminati e ripristinare i documenti originali. Per rendere possibile questo tipo di intervento però è necessario spegnere il PC non appena ci si accorge di essere stati infettati perché con il passare del tempo il sistema può riutilizzare la memoria liberata e sovrascrivere i dati cancellati.

Al fine di evitare questo tipo di minacce Yoroi suggerisce di verificare il mittente dei messaggi e controllare il formato dei file negli allegati prima di aprirli, per fare questo è necessario abilitare la visualizzazione di tutte le estensioni seguendo questa procedura:

  • Aprire il menu di ricerca premendo il tasto Windows
  • Digitare: “Opzioni cartella” e premere Invio
  • Selezionare la tab “Visualizzazione
  • Togliere la spunta da “Nascondi le estensioni per i tipi di file conosciuti
  • Premere il pulsante “Ok

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index