CTB-Locker: virus cripta i file con un’email di Equitalia

ctb-locker-virus
06Apr

CTB-Locker: virus cripta i file con un’email di Equitalia

Di Problemi risolti con successo , , , 3 Commenti

CTB-Locker è un virus che cripta i file ed è attivo ormai da diversi mesi. Nelle ultime ore si sta diffondendo questa ennesima versione della minaccia informatica attraverso una falsa email di Equitalia e purtroppo molti utenti stanno cadendo nella trappola; il recupero dei file non è assicurato.

Vuoi una prova gratuita di recupero di un file?

Carica qui un file criptato, proverò a ripristinarlo con diverse tecniche professionali.

Se vuoi inviarmi un file criptato posso fare un tentativo di recupero..
Sono accettate tutte le estensioni, come ad esempio .encrypted .cerber .cerber2 .cerber3 .abc .aaa .ccc .ecc .exx .ezz .vvv .zzz .xxx .ttt, .jpg, .jpeg, .pdf, .micro, .mp3, .locky, .locked, .crypted, .surprise, .crypt, .cryp1, .crypz, .zepto, Lock. e molte altre.

L'email di spam di Equitalia

Il mittente dell’email contenente il virus è spesso pagamento@gruppoequitalia.it ed il testo contenuto nel messaggio è questo:

Oggetto: AVVISO NUMERO 000793348

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 499 – 0049997 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 499, Art. 139 c.p.c.

Gentile indirizzoemail,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 000793348” del 06/04/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti [ Scarica il documento ]
© Equitalia S.p.A. C.F. P.I. 0917089156499

Cliccando sul collegamento presente all’interno dell’email, l’utente viene indirizzato ad una pagina che scarica il file “Documento Numero 000793348.pdf.exe” di 822 Kb.

oppure in una variante più recente:

Oggetto: AVVISO NUMERO 00071552

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 405 – 0040597 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 405, Art. 139 c.p.c.

Gentile indirizzoemail,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 00071552” del 13/04/2016 , composto da 7 pagina/e di elenchi contribuenti a nr. 19 atti [ Scarica il documento ]
© Equitalia S.p.A. C.F. P.I. 0954689156405

Cliccando sul collegamento presente all’interno dell’email, l’utente viene indirizzato ad una pagina che scarica il file “Documento Numero 00071552.pdf.exe” di 822 Kb.

Analogamente a questi due esempi ecco altre varianti: “AVVISO NUMERO 000071552”, “AVVISO NUMERO 000793348”, “AVVISO NUMERO  00045552”, “AVVISO NUMERO 000793348”,  “AVVISO NUMERO 00082657”,  “AVVISO NUMERO 09794563457”, “AVVISO DI PAGAMENTO n.198432”, “AVVISO DI PAGAMENTO n.0074885040”, “AVVISO DI PAGAMENTO n.0002807796”, “AVVISO DI PAGAMENTO n.000093498267”.

Ovviamente questi file non sono pdf seppure l’icona rappresenti la tipica immagine di Adobe Reader, ma eseguibili che una volta avviati si replicano ed iniziano il processo di criptazione dei file.

Dopo aver criptato i file e le foto CTB-Locker propone all’utente la decriptazione di alcuni file per guadagnarsene la fiducia e indurlo al pagamento. Ho analizzato questo processo e ho scoperto che in realtà questi file non sono criptati, ma solamente rinominati con l’estensione casuale. Quindi questi 5 file in realtà non vengono decriptati dal virus, ma vengono semplicemente ripristinati con il nome originale.

Il virus propone il pagamento del riscatto invitando l’utente a visitare l’indirizzo https://tmc2ybfqzgkaeilm.tor2web.org/ dal quale è possibile, teoricamente, pagare il riscatto, ma come sai questa non è mai la pratica consigliata.

CTB-Locker è leggermente diverso dagli altri ransomware in quanto la richiesta di riscatto del virus non è contenuta all’interno delle cartelle criptate come per la grande maggioranza degli altri virus di questo tipo.
Il messaggio minaccioso viene impostato come sfondo del desktop ed è completato da un conto alla rovescia per aumentare il panico nell’utente. Le estensioni dei file vengono cambiate e vengono aggiunti 7 caratteri casuali.

Recuperare o decriptare i file criptati da CTB-Locker

Dopo una rapida analisi del tipo di virus, ho dedotto che la chiave di decriptazione per questa variante potrebbe essere una sola, ma al momento non è disponibile online.

Ti consiglio comunque di provare tutte le tecniche già spiegate in questo articolo su come recuperare i file criptati dai virus Cryptolocker e TeslaCrypt, ma come sempre ti invito anche a riflettere sull’importanza del tuo patrimonio informatico e della tua azienda, prevedendo procedure di backup efficienti e piani di formazione in materia di sicurezza informatica per gli utenti.

Iscriviti alla newsletter

Questo virus è in continuo aggiornamento e non è escluso che in futuro possano essere rese pubbliche le chiavi di decriptazione dei file.

Tuttavia ti consiglio di moderare le speranze e cominciare fin da subito a proteggere il tuo patrimonio informatico per evitare situazioni spiacevoli in futuro.

Se vuoi essere avvisato in caso di sviluppi, iscriviti alla newsletter.

[wysija_form id=”1″]

Condividi questo post

Autore

Amministratore dei sistemi informatici per Dottor Marc

Comments (3)

  • Come recuperare file criptati da virus Cryptolocker e TeslaCrypt rispondere

    […] come CTB-Locker, Cryptolocker, TeslaCrypt sono sempre più diffusi e pagare il riscatto del ransomware non è […]

    a 17:37
  • Gabriele Pollini rispondere

    Gentile signor Enrico, un anno e mezzo fa il CTB Locker ha fatto strage delle mie centinaia d foto salvate sia nel PC che in un paio di hard disk esterni lasciati haimè colpevolmente attaccati al PC. Dopo aver debellato il virus, ho messo tutte le foto criptate in un hard disk in attesa (se mai succederà) che qualcuno trovi il modo di “liberarmi”. A tutti i file sono attaccate 7 lettere. vvfendk. curiosando sull’argomento vedo che lei è molto esperto in materia, pensa si possa fare qualcosa? Grazie per una cortese risposta. Gabriele Pollini

    a 18:43
    • Enrico Marcolini rispondere

      Salve Sig. Pollini,
      purtroppo per ora non è possibile recuperare questo tipo di file. Le consiglio di caricare un file criptato e la richiesta di riscatto su questo sito e se la decriptazione sarà possibile verrà contattato in futuro.
      Nel frattempo le consiglio di valutare un buon sistema di salvataggio dei file e un buon programma antivirus in grado di proteggere da questo tipo di minaccia.
      A questo indirizzo può trovare alcune indicazioni utili: https://www.dottormarc.it/
      Resto a disposizione, cordiali saluti.

      a 10:43

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.