Mercoledì 28 Gennaio 2015
Allarme nuova variante CryptoLocker

Una nuova variante di CryptoLocker si sta propagando nelle ultime ore, eludendo il controllo della maggior parte degli antivirus.  

Il meccanismo è conforme a tutti i Cryptolocker: cripta i dati della vittima, chiedendo il versamento di una somma a titolo di riscatto.
Il ransomware viene veicolato tramite email contenente un messaggio simile a questo:

Buongiorno,
Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.
Il tuo numero di riferimento…

e l’invito ad aprire un allegato per  maggiori informazioni.
L’allegato in questione appare col nome bolla*******.cab, e al suo interno un file di estensione bolla****.scr, un file eseguibile a tutti gli effetti, contenente codice malevolo che scansiona l'intero filesystem, comprese le condivisioni di rete, e ne cripta il contenuto.

Una volta aperto, si apre il seguente documento:

 

Il rischio è elevato, in quanto la variante viene rilevata allo stato attuale soltanto da pochissimi antivirus.
E’ dunque della massima importanza prestare attenzione alle email con allegato provenienti da fonti sconosciute.

Per proteggersi è essenziale, oltre a tenere aggiornato l’antivirus, verificare il corretto funzionamento del backup, così da avere una copia dei dati su un supporto disconnesso e non raggiungibile dal ransomware.

Azioni suggerite:

  • Blocco degli allegati delle email con estensioni pericolose (in questo caso .scr e .cab), controllando anche i file compressi. 
  • Antivirus costantemente aggiornato.
  • Check sulle share di rete della presenza di file cab,exe,scr,rtf. Potrebbe copiarsi in rete per farsi eseguire da qualche altro utente.
Vedi anche: