ATTENZIONE a questi malware/virus

**dav** · 14-11-2014, 17:31

Ecco gli argomenti trattati in questa Discussione:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1) Attenzione a questo malware... "Cryptolocker" novembre 2014 al Post #02
Avviso Straordinario Urgente
.......porre particolare attenzione agli allegati delle e-mail ricevute. In caso di dubbi contattare sempre con altri mezzi il mittente dell'e-mail per verificarne l'autenticità;
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

2) E’ arrivato un pacco? No, è un virus!novembre 2014 al Post #03
E' in corso una estesa campagna di phishing, chi “abbocca” corre qualche rischio in più del solito.
Il testo contenuto nella e-mail è più o meno sempre di questo tipo:
“OGGETTO: [nome e cognome del destinatario della mail] pacchi non consegnati
Gentile [nome, cognome]
Il vostro pacchetto con il codice di spedizione 57979776 è arrivato al 25 novembre 2014.
Corriere non ha espresso un pacco per te.
Stampare l’etichetta di spedizione e mostrarlo in ufficio postale più vicino per ottenere il pacchetto [...]“
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
3) Nuova Versione RansomWare gennaio 2015 al Post #06
Questa nuova variante si sta diffondendo tramite email con allegato un file .SCR (Salvaschermo) , compresso due volte all’interno di un archivio zip/rar etc…
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
4) Appena successo a me ora... email di Rimborso con dentro file zippato.cab 26 gennaio 2015
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
5) Attacco di AdobeFlash → "zeroday" .20 ottobre 2015

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
6) .06 aprile 2016 Email → Malware ZBOT (della famiglia ZEUS) il Vs PC diventa
parte integrante di una rete “nascosta” (BOTNET) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

7) 27 mag 2016 Campagna di spear phishing perpetrata attraverso l’invio di mail accuratamente contraffatte che contengono falsi effigi di una sedicente “Procura della Repubblica”.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

8)31 ago 2016 Attenzione “IOs Apple 9.3.04 presenta falle di sicurezza”.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

9)31 ago 2016 Campagna phishing perpetrata attraverso l’invio di SMS dal numero +393314647140 “poste.it regala 50 Euro”.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

10)8 set 2016 Eliminare virus http://chromestart4.ru/i/rt4.html

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

11)19 set 2016 Campagna di phishing sui dispositivi APPLE attraverso la ricezione di sms

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

12)25 nov 2016 Attacco ransomware sui social network con false immagini

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

**dav** · 14-11-2014, 17:31

Attenzione a questo malware... "Cryptolocker"
Avviso Straordinario Urgente

Ci sono informazioni in merito ad una diffusione massiccia, di una nuova variante del malware denominato “Cryptolocker”.

Questo malware, che rientra nella categoria denominata “ransomware”, quando attivato effettua la cifratura di alcuni tipi di file presenti nei dischi locali o di rete, utilizzando una chiave pubblica RSA. Successivamente il codice malevolo visualizzerà un messaggio che richiede il pagamento di una somma di denaro per decifrare tutti i propri documenti e poterli quindi renderli nuovamente fruibili.

Il malware potrebbe essere diffuso in vari modi, principalmente tramite phishing, con la caratteristica che le fonti usate per portare avanti l’attacco sembrano essere affidabili e autentiche.

Da una prima analisi effettuata è stato rilevato che una delle fonti di infezione è il dominio “octoberpics.ru”, in particolare la URL: “hxxps://octoberpics.ru/topic.php”.

Per quanto sopra si raccomanda a tutti gli utenti, di:

porre particolare attenzione agli allegati delle e-mail ricevute. In caso di dubbi contattare sempre con altri mezzi il mittente dell'e-mail per verificarne l'autenticità;

non decomprimere mai allegati che contengano file exe, com, pif o altri tpi di files di sistema;

Altresì, si forniscono di seguito alcune informazioni utili all’individuazione e mitigazione della minaccia legata alla diffusione della nuova variante del noto malware "Cryptolocker” denominato “Torrentlocker”.

Links rilevati nel corpo delle e-mail utilizzate per diffondere l’infezione
(Attenzione ---> ho scritto h%p invece di http per non attivare i Link) :

h%p://www.ael.it/Compenso.zip
h%p://www.ael.it/Transazione.zip
h%p://www.ael.it/Saldo.zip
h%p://www.laamigo.com/Compenso.zip
h%p://www.laamigo.com/Transazione.zip
h%p://thedistanceeducation.org/Compenso.zip
h%p://thedistanceeducation.org/Transazione.zip
h%p://thedistanceeducation.org/Saldo.zip
h%p://eminencehrsci.com/Compenso.zip
h%p://eminencehrsci.com/Transazione.zip
h%p://eminencehrsci.com/Saldo.zip
h%p://www.educouncil.in/Compenso.zip
h%p://www.educouncil.in/Transazione.zip
h%p://www.educouncil.in/Saldo.zip
h%p://hotelrajpalacemorena.com/Compenso.zip
h%p://hotelrajpalacemorena.com/Transazione.zip
h%p://hotelrajpalacemorena.com/Saldo.zip
h%p://casadahospedagem.com.br/Compenso.zip
h%p://casadahospedagem.com.br/Transazione.zip
h%p://casadahospedagem.com.br/Saldo.zip
h%p://positief-online.be/Compenso.zip
h%p://positief-online.be/Transazione.zip

nei file zippati sono contenuti file con i seguenti nomi:
Compenso.Pdf______________ .exe
Saldo.Pdf__________________ .exe
Transazione.Pdf_____________ .exe

Si tratta quindi in tutto e per tutto di un programma e non di un documento PDF.

**dav** · 20-12-2014, 02:31

E’ arrivato un pacco? No, è un virus!

E' in corso una estesa campagna di phishing, chi “abbocca” corre qualche rischio in più del solito.
Il testo contenuto nella e-mail è più o meno sempre di questo tipo:

“OGGETTO: [nome e cognome del destinatario della mail] pacchi non consegnati
Gentile [nome, cognome]
Il vostro pacchetto con il codice di spedizione 57979776 è arrivato al 25 novembre 2014.
Corriere non ha espresso un pacco per te.
Stampare l’etichetta di spedizione e mostrarlo in ufficio postale più vicino per ottenere il pacchetto [...]“

Notare i numerosi errori ortografici e di traduzione presente nel testo, sintomi che dovrebbero subito renderci sospettosi.

Perchè è importante saperlo

La mail invita a cliccare su un link malevolo che fa navigare su un sito “clone” della SDA o di altri siti di corrieri.

Si tratta di un sito molto simile nell’aspetto a quello originale, ma che rappresenta una seria minaccia per il computer dell’utente: potrebbe infettare il PC e in modo da rendere inaccessibile tutti i dati in esso immagazzinati e addirittura richiedere il pagamento di un riscatto in denaro.

COME COMPORTARSI?

1) Se per errore si è navigato sulla pagina del sito “clone”, nessun timore: chiudete la finestra del browser per evitare qualsiasi problema.

2) Non cliccare per nessuna ragione sul pulsante “Scarica” perchè questa azione attiva lo scaricamento di un pericoloso Malware sul PC (più precisamente si tratta di un Ransmoware).

3) Non inserire per nessun motivo alcuna credenziale per l’accesso nelle caselle mostrate a video.

4) Cancellare l’e-mail di phishing ricevuta.

5) Se invece il PC risulta infetto, si notano quindi file non più apribili (di solito con l’estensione “.encrypted”).

Altre Informazioni utili a riguardo prese di seguito a questo Post:

Originariamente Scritto da bottoni

..in se per se non è che sia difficile debellarlo ..il problema è che una volta preso vi cripta tutti i file ...ci stiamo lottando da diversi mesi ma ancora non esiste un antidoto per decriptarli ..tecnicamente parlando è una criptazione che segue l'id della macchina che è univoco .....parecchi miei clienti l'hanno preso anche con @ di Bartolini, Ups, Gls ..insomma si nasconde sotto l'@ dei corrieri ... qualche macchina abbiamo risolto e ottenuto la password dei file andando su questo sito (ma il + delle volte non funziona ) : https://www.decryptcryptolocker.com/

Originariamente Scritto da bottoni

per finire sempre per dovere di cronaca ....chi ha creato sto virus chiede dei soldi per decriptare i file (500€ e 1000€ ) ....è inutile pagare xchè non vi arriverà mai nulla per decriptare ...quindi occhio

Originariamente Scritto da fr52

a volte funzionano pure Unhide e ListCrilok, ma è sempre dura, occhio...................

**bottoni** · 20-12-2014, 06:44

in se per se non è che sia difficile debellarlo ..il problema è che una volta preso vi cripta tutti i file ...ci stiamo lottando da diversi mesi ma ancora non esiste un antidoto per decriptarli ..tecnicamente parlando è una criptazione che segue l'id della macchina che è univoco .....parecchi miei clienti l'hanno preso anche con @ di Bartolini, Ups, Gls ..insomma si nasconde sotto l'@ dei corrieri ...

qualche macchina abbiamo risolto e ottenuto la password dei file andando su questo sito (ma il + delle volte non funziona ) :
https://www.decryptcryptolocker.com/

**fr52** · 20-12-2014, 09:44

a volte funzionano pure Unhide e ListCrilok, ma è sempre dura, occhio...................

**dav** · 26-01-2015, 19:38

Nuova Versione RansomWare

Ultimamente si sta verificando un improvviso incremento dell’attività malware legata ad una nuova forma di RansomWare sul quale è necessario porre molta attenzione.

I trojan ransomware sono un tipo di minaccia progettato per estorcere denaro a una vittima.

Spesso un ransomware richiede un pagamento in cambio dell'annullamento delle modifiche che un virus trojan ha apportato al computer della vittima. Tali modifiche possono essere:

· Crittografia dei dati memorizzati sul disco della vittima, impedendo in tal modo l'accesso alle informazioni

· Blocco del normale accesso al sistema della vittima

In particolare, questa nuova versione si comporta come di seguito indicato:

- il malware, dopo aver criptato il file originale, elimina i file di backup eventualmente creato dal S.O. e per questo non è possibile recuperare i file originali, neanche in minima parte.

Questa nuova variante si sta diffondendo tramite email con allegato un file .SCR (Salvaschermo) , compresso due volte all’interno di un archivio zip/rar etc…

Come Comportarsi?

1) Non aprire mai e-mail delle quali non si è certi dell’identità del mittente.

2) Anche se si ritiene il mittente dell’e-mail affidabile, non aprire mai un file ZIP o comunque compresso, se non prima di aver richiesto al mittente se quello è l’allegato che voleva effettivamente inviarvi.

3) Non aprire mai un file eseguibile (.com, .bat, .exe, .hta, .ocx, .pif, .sys, .vbs e .wsf. I file con queste estensioni, quando si effettua un doppio click lanciano immediatamente un programma), ricevuto via e-mail.

4) Cancellare l’e-mail di phishing ricevuta.

Il PC vi risulta infetto se si notano file non più apribili (di solito con l’estensione “.encrypted”)

**dav** · 27-01-2015, 15:52

Appena successo a me ora... email di Rimborso con dentro file zippato.cab

Oggi ho ricevuto queste 2 email.. pensavo che fossero le risposte per alcuni articoli appena acquistati.

Però guardando bene l'importo € 522,02 e gli articoli, ho capito che c'era qualcosa che non quadrava.. ho pensato "avranno sbagliato indirizzo email, vediamo cosa c'è dentro". La tentazione mi porta a questo pensiero....
Ho controllato prima questo Lorenzo Chelini sui siti web e nessuno parla di Virus anzi.. quotato venditore... ma di scarpe!!!!

Guardando un'altra email sottostante, l'ho aperta e anche questa parlava di rimborso.. e che rimborso!!! € 2.462,46

Eppoi osservando questi numeri di telefono "Strani".. che non conducono da nessuna parte...

Allora ho preso il file zippato e l'ho copiato sul Desk, ho fatto una scansione prima con Mbam... niente. Poi con AVG "Nessuna minaccia rilevata".
Strano che AVG non rileva niente
Ad ogni modo ho messo da parte la curiosità e ho eliminato tutto, e svuotata la Cartella della "Posta eliminata"...

**Mauri22** · 27-01-2015, 15:59

Attenzione.....il malware può essere celato anche in una qualsiasi immagine....tipo il tastone con scritto, ad esempio, "clicca qui"

Gli antivirus non la individuano, celato al loro interno.

EDIT :

Per esempio, questo Malware per Android è recente....di ottobre 2014

http://www.tomshw.it/cont/news/falla...o/60070/1.html

**casaufficio** · 27-01-2015, 16:01

Scusa, dav...ma checciai, er calamita???

Comunque e' vero: stare sul WEB diventa ogni giorno piu' difficile, ed invece docrebbe essere per aggregare e divertirsi

Ciaociao

**dav** · 27-01-2015, 16:20

Mauri.. Si.. bisogna prestare attenzione soprattutto ai file immagini.. Una 15na di anni fa utilizzavamo i file img per nascondere i Codici Irdeto e Seca.

@Casaufficio...

No-NO i primi reporter li ho copiati dagli avvisi dell'Amministrazione.

Mi arrivano tanti di questi Virus nella Posta, ma solitamente AVG me li ripulisce tutti di questi allegati, lasciandomi l'avviso in rosso dell'avvenuta eliminazione. Oppure con le regole ferree che ho impostato in Microsoft Outlook o vanno direttamente nella Cartella Posta Eliminata o nella Cartella Spam.
Questi invece sono riusciti a passare illesi Ed è la prima volta...