ALERT: il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni

Ci sono pervenute molteplici segnalazioni e richieste di decriptazione riguardanti un ransomware poco conosciuto, del quale la comunità internazionale dei ricercatori IT ancora non parla probabilmente perchè la diffusione pare essere incentrata principalmente in Italia. Parliamo del ransomware FTCODE, le cui prime tracce di diffusione risalgono all'inizio di questo mese. 

Le informazioni disponibili sono ancora pochissime ne, per adesso, esiste una modalità di decriptazione sicura e il cui risultato renda in chiaro il 100% dei file compromessi. Ad oggi quindi è utile parlarne dando l'allerta e invitando tutti a prestare la massima attenzione. 

I canali di diffusione

FTCODE è un ransomware che bersaglia principalmente, ad ora, aziende e professionisti: viene diffuso infatti tramite canale di posta certificata PEC. Le segnalazioni che ci sono arrivate infatti legano le infezioni alla ricezione di una email PEC contenente un allegato in formato .ZIP. La tipologia più diffusa, ma potrebbero esserci altre versioni in circolazione delle quali ancora non abbiamo notizia, reca oggetti del tipo "Tribunale di Milano.Avviso XXXXXXX" dove XXXXXXX sta per una serie casuale di numeri. L'allegato presenta nomi del tipo "AvvisoXXXXXXX.zip" dove XXXXXXX sta per una serie casuale di numeri diversi da quelli contenuti nell'oggetto email. 

Il contenuto dell'email, scritto in italiano, fa riferimento a presunte fatture in formato PDF che dovrebbero essere appunto contenute nell'archivio .ZIP allegato. Il corpo email è simile a:

"Buongiorno Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.

Il download dell'archivio e l'apertura dell'allegato infetto determinano l'avvio della routine di criptazione: i file compromessi da questo ransomware sono riconoscibili dall'estensione di criptazione aggiunta al termine della routine: .FTCODE appunto.

La nota di riscatto è in formato .HTML e si presenta così:

Vi si trovano alcune informazioni utili come:

• il codice che identifica la vittima (Your personal ID)
• la chiave pubblica di criptazione, associata al Personal ID (Your personal key)
• il collegamento al portale collegato al ransomware (.onion, per accedervi occorre l'utilizzo del browser TOR).  Nell'immagine sotto il portale, come si presenta attualmente.

Le richieste di riscatto ad ora pervenute ammontano a 0.2 - 0.3 Bitcoin, ovvero tra i 1.500 e i 2200 euro all'attuale tasso di cambio. Stiamo ricercando una soluzione per riportare in chiaro il file criptati da questo ransomware.