Via Gatti 3/28 -41043 Formigine (MO)
059 5961136

Attenzione: in Italia il Crypt0l0cker arriva anche via PEC

Una nuova ondata di attacchi sta colpendo in particolare il nostro paese. I messaggi a cui è allegato il ransomware arrivano tramite posta certificata.

ransomware-cryptovirus-posta-elettronica-pec

 

Da ormai qualche settimana sta aumentando la diffusione di ransomware veicolati tramite PEC, messaggi di posta elettronica certificata, alcuni muniti anche di regolare firma digitale. Questi messaggi possono provenire da indirizzi come 531608465@legalmail.it, 409018@legalmail.it ma anche da domini personalizzati e inviati tramite posta-certificata@legalmail.it o posta-certificata@sicurezzapostale.it.

Il messaggio di testo di posta elettronica certificata contenente il ransomware è il seguente:

“In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto.

Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione.”

 

I messaggi di posta PEC hanno come oggetto “Invio fattura n. _________” con numeri diversi per ogni vittima o campagna (es. “Invio fattura n. 369067”) e contengono un allegato archivio ZIP, in genere con un nome tipo “fattura_522628.zip” (il numero può variare).

ransomware-pec-invio-fattura-700x438

L’archivio ZIP contiene un file in javascript con un nome sulla falsariga di “fattura_522628.js” che contiene il vero e proprio dropper, cioè la parte di criptovirus che si occupa di scaricare il ransomware da siti remoti ed avviarlo sul PC della vittima.

Leave a comment