Abbiamo ricevuto alcune richieste di aiuto da utenti infettati da un nuovo ransomware che si chiama Locky: cripta i tuoi file e chiede un riscatto di circa 5 bitcoins per decrittare i file.
Attualmente, essendo anche molto nuovo, non c’è ancora un modo di risolvere il problema: quindi vi daremo tutte le informazioni possibili PER PREVENIRE l’infezione, soprattutto come riconoscere le email truffaldine tramite il quale si diffonde.
Come si diffonde?
Viene diffuso tramite email contenenti, in allegato, un documento di Word che contiene una macro dannosa. Il messaggio avrà un oggetto simile a “ATTN: Invoice J-98745389”. Il messaggio sarà simile a “Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice" ovvero “ti preghiamo di prendere vision della fattura allegata (documento di Microsoft Word) e di inviarci il pagamento secondo i termini elencati in fondo alla fattura”.
Il documento allegato alla mail è un file di Word con un nome simile a “Invoice-J73646575.doc”.
Quando viene aperto il testo sarà criptato e il documento mostrerà un messaggio chiedendo di abilitare le macro se il testo non è leggibile. Una volta abilitata, la macro effettuerà il download di un file .exe da un server remoto e lo eseguirà.
Il file scaricato verrà archiviato nella cartella %Temp% ed eseguito. Il file .exe è il ransomware vero e proprio e comincerà a criptare i tuoi file.
Assegnerà a ogni vittima un numero di 16 cifre esadecimali ad esempio: F67891F1D24A762B. Locky eseguirà la scansione dei file in tutti i drive locali, comprese le unità di rete non mappate.
Cripta molti tipi di file: vi elenchiamo i più diffusi
-wma, .flv, .mov, .avi, .mpeg, .mpg, .wmv, .tar.bz2, .tar, .tgz, .rar, .zip, .bmp, .png, .gif, .raw, .jpeg, .jpg, .psd, .class, .java, .jar, .asp, .ms11, .xlm, .xlsx ecc…
Quando cripta I file, Locky li rinomina second il seguente format [id_unico] [identificativo].locky: ad esempio F67091F1D24A922B1A7FC27E19A9D9BC.locky
Durante il processo di criptazione Locky, inoltre, cancella tutte le copie ombra dei file, necessari per creare le copie di backup dei dati, al fine di impedire alle vittime di ripristinare i propri file.
Questo il comando che Locky esegue:
vssadmin.exe Delete Shadows /All /Quiet
Il messaggio con le istruzioni per il pagamento:
Sul desktop di Windows e in tutte le cartelle criptate Locky lascia una nota denominata “Locky_recover_instructions.txt”, con la spiegazione di ciò che è avvenuto al tuo PC e le istruzioni per il pagamento del riscatto.
Infine Locky cambierà lo sfondo del desktop con la seguente immagine
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
Consigli:
1) Non abilitare le macro contenute nei documenti che ricevi via email
2)Fai attenzione agli allegati che ricevi per email: se non stai aspettando una fattura, forse è più saggio cancellare l’email.
3)cerca di rimanere in modalità amministratore, con tutti i poteri che la cosa consegue, meno possibile, soprattutto quando non stai eseguendo lavori che ti richiedano tali poteri.
4)aggiorna all’ultima versione disponibile il tuo browser, Flash, Office e Openoffice. Più i tuoi software saranno aggiornati, meno falle ci saranno da sfruttare per aggredire il tuo PC. 5) consigliamo l’ utilizzo delle soluzioni antivirus Quick Heal Internet Security o Total Security, in quanto dotate di un efficace antispam, e il servizio di backup in cloud Strongbox, che prevede il salvataggio di una nuova copia del file ad ogni modifica avvenuta. Questo metodo garantisce di poter recuperare sempre e comunque i propri file in caso di criptazione
Nessun commento:
Posta un commento