Virus CTB Locker: nuova (e pericolosa) versione in Italiano

Alessio Cecchi
28/01/2015

Alcuni di voi forse sapranno già cosa è “CTB Locker” o “Cryptolocker“, in sostanza si tratta di un Virus che arriva via email (spacciandosi per un messaggio di un corriere o di un ecommerce) ed il cui scopo è criptare i file del PC dell’utente (Word ed Excel principalmente) per poi chiedere un “riscatto” in denaro all’utente se vuole avere la chiave per riaprire quei file.

Fino a quando il virus si è presentato come email in lingua inglese o scritto in un italiano palesemente contraffatto e pieno di errori le vittime sono state poche ma da ieri (i primi messaggi nella variante italiana sono arrivati il 27/01/2015 alle 9.40 circa) con questa nuova variante è facile prevedere che le infezioni saranno tantissime. L’email risulta effettivamente credibile (nel senso del testo) e parla, a seconda dei casi o di un rimborso da richiedere o di merce ordinata da ritirare, in ogni caso si invita l’utente ad aprire il file allegato (il Virus appunto).

 

Il file allegato è (per adesso) sempre un .CAB simile (la stringa numerica cambia sempre) a questi:

Un esempio di come si presenta il messaggio che invita ad aprire il file allegato

Un esempio di come si presenta il messaggio che invita ad aprire il file allegato

 

L’utente che, ingenuamente, tenta di aprire il file rimane subito infettato dal virus e sul suo PC inizia la cifratura dei file. Si accorgerà del problema solo il giorno in cui andrà a riaprire quei file. Spesso è stato notato che l’utente si accorge molto in là nel tempo dell’azione di questo virus ed anche il recupero dei file dai backup risulta inutile in quanto gli stessi file nel backup sono stati cifrati.

 

Da una rapida analisi sul traffico email abbiamo notato che molti utenti stanno credendo che l’email sia credibile in quanto se la stanno inoltrando fra di loro per capire se quell’ipotetico ordine lo ha realmente eseguito qualcuno in azienda. Se, ad esempio, l’email arriva al titolare dell’azienda è molto probabile che la inoltri alla segretaria che ricevendola dal suo capo sarà portata a crederci ed aprire il file allegato come suggerito nel messaggio.

 

Purtroppo ad oggi la maggior parte degli Antivirus non riconosce ancora questa variante del virus e l’unico modo per prevenire il contagio è bloccare a livello server email tutti i file che contengono un allegato .cab (cosa che abbiamo già fatto su Qboxmail). Qui potete vedere come il riconoscimento di questo nuovo virus sia veramente basso:

https://www.metascan-online.com/en/scanresult/file/731b753c7f154e3cb7302ce6798b197a
https://www.virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692/

 

Chi volesse maggiori informazioni sulla nuova variante di questo Virus o capire come rimuoverlo da un PC infetto può consultare questi link:

http://www.bleepingcomputer.com/forums/t/563859/new-ctb-locker-campaign-underway-increased-ransom-timer-and-localization-changes/
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

 

Invitiamo tutti a prestare particolare attenzione ed a non aprire, in generale, mai allegati da email che anche solo minimamente siano strane o sospette. Purtroppo a questo giro vedremo molte vittime.

Utilizziamo i cookie per fornirti una migliore esperienza di navigazione, continuando ne accetti l’utilizzo. Per maggiori informazioni visita la pagina Privacy policy.

Accetta