FTCODE: il virus ransomware via PEC che blocca i file

Di Enrico Marcolini Problemi risolti con successo pec, ransomware, Virus 0 Commenti

Nel 2019 il mese di settembre è stato caratterizzato dall’arrivo di una nuova grave minaccia. Si tratta dell’ennesimo virus che cripta i file e chiede un riscatto per poterli visualizzare nuovamente.
I file criptati dal virus FTCODE, sono riconoscibili perchè presentano l’estensione .FTCODE oltre al normale nome del file e nella stessa directory è contenuta la richiesta di riscatto da parte dei criminali.

Virus tramite PEC: i criminali all'attacco dell'Italia

Nel caso dell’infezione da virus FTCODE, il punto di ingresso del codice malevolo è stato molto probabilmente la Posta Elettronica Certificata.

Molte segnalazioni che abbiamo ricevuto indicano come oggetto della PEC

Tribunale di Milano. Avviso 4585676

e presentano un allegato del tipo

Avviso3556484.zip [50,6 Kb]

Come già previsto dai tecnici di Eset Italia e riassunto in questo articolo, Ransomware, ora il virus che blocca i dati arriva tramite Pec è talvolta possibile che il messaggio sia simile a questo:

Buongiorno

Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto.
Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.

Una volta aperto l’allegato il virus FTCODE entra in funzione e blocca l’accesso a tutti i file. Ad avvenuta criptazione lascia un file contenente la richiesta di riscatto per poterli recuperare.

I tuoi file sono stati criptati, paga un riscatto in bitcoin per riaverli.

La richiesta di riscatto è contenuta nel file READ_ME_NOW.htm di cui riportiamo un esempio:

Il file READ_ME_NOW.htm contiene alcune utili informazioni:

Your personal ID
E’ il codice che identifica la vittima in modo univoco.

Your personal KEY
Il metodo di cifratura usato da FTCODE crea due chiavi – “pubblica” e “privata”. Questa è presumibilmente la chiave pubblica della criptazione, associata al personal ID visto prima.

http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7…
Il collegamento al sito del criminale.

Accedendo con un browser TOR al link si visualizza la schermata con le indicazioni dei criminali per recuperare i file.

Recuperare un file di prova, ma poco altro

Il sito dei criminali è piuttosto spartano e contiene le informazioni principali per recuperare i file.

L’unica operazione interessante per il momento è quella del recupero gratuito di un file di prova di dimensione inferiore ad 1 Mb.

Una volta caricato il file sarà possibile vederlo nel suo formato originale dopo qualche secondo:

FTCODE - pagamento

Il team di Dottor Marc sta continuando l’analisi di questo virus e ha già scoperto altre informazioni interessanti, che potrebbero portare anche al recupero totale dei file senza ovviamente pagare il riscatto.

Se sei stato colpito dal virus FTCODE, aiutaci a proseguire con le operazioni di analisi caricando un file criptato e la richiesta di riscatto sul nostro sito.

Come recuperare i file .FTCODE?

In passato abbiamo analizzato diverse modalità per recuperare i file criptati dai virus ransomware e abbiamo notato come ci siano molte soluzioni diverse per ogni tipologia di virus.

Anche in questo caso ricordiamo che l’idea di pagare il riscatto è sbagliata e affidarsi a degli esperti del settore per evitare di danneggiare irreparabilmente la propria struttura informatica è la scelta giusta.

Vuoi caricare un file criptato?

Il tuo indirizzo email verrà inserito nella lista per la newsletter con le ultime novità riguardanti questo argomento.

Carica qui un file criptato da Spora Ransomware, proverò a ripristinarlo con diverse tecniche professionali. Carica anche la richiesta di riscatto se vuoi.