FTCODE: il virus ransomware via PEC che blocca i file
Nel 2019 il mese di settembre è stato caratterizzato dall’arrivo di una nuova grave minaccia. Si tratta dell’ennesimo virus che cripta i file e chiede un riscatto per poterli visualizzare nuovamente.
I file criptati dal virus FTCODE, sono riconoscibili perchè presentano l’estensione .FTCODE oltre al normale nome del file e nella stessa directory è contenuta la richiesta di riscatto da parte dei criminali.
Virus tramite PEC: i criminali all'attacco dell'Italia
Nel caso dell’infezione da virus FTCODE, il punto di ingresso del codice malevolo è stato molto probabilmente la Posta Elettronica Certificata.
Molte segnalazioni che abbiamo ricevuto indicano come oggetto della PEC
Tribunale di Milano. Avviso 4585676
e presentano un allegato del tipo
Avviso3556484.zip [50,6 Kb]
Come già previsto dai tecnici di Eset Italia e riassunto in questo articolo, Ransomware, ora il virus che blocca i dati arriva tramite Pec è talvolta possibile che il messaggio sia simile a questo:
Buongiorno
Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto.
Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.
Una volta aperto l’allegato il virus FTCODE entra in funzione e blocca l’accesso a tutti i file. Ad avvenuta criptazione lascia un file contenente la richiesta di riscatto per poterli recuperare.
I tuoi file sono stati criptati, paga un riscatto in bitcoin per riaverli.
La richiesta di riscatto è contenuta nel file READ_ME_NOW.htm di cui riportiamo un esempio:
Il file READ_ME_NOW.htm contiene alcune utili informazioni:
- Your personal ID
E’ il codice che identifica la vittima in modo univoco.
- Your personal KEY
Il metodo di cifratura usato da FTCODE crea due chiavi – “pubblica” e “privata”. Questa è presumibilmente la chiave pubblica della criptazione, associata al personal ID visto prima.
- http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7…
Il collegamento al sito del criminale.
Accedendo con un browser TOR al link si visualizza la schermata con le indicazioni dei criminali per recuperare i file.
Recuperare un file di prova, ma poco altro
Il sito dei criminali è piuttosto spartano e contiene le informazioni principali per recuperare i file.
L’unica operazione interessante per il momento è quella del recupero gratuito di un file di prova di dimensione inferiore ad 1 Mb.
Una volta caricato il file sarà possibile vederlo nel suo formato originale dopo qualche secondo:
Il team di Dottor Marc sta continuando l’analisi di questo virus e ha già scoperto altre informazioni interessanti, che potrebbero portare anche al recupero totale dei file senza ovviamente pagare il riscatto.
Se sei stato colpito dal virus FTCODE, aiutaci a proseguire con le operazioni di analisi caricando un file criptato e la richiesta di riscatto sul nostro sito.
Come recuperare i file .FTCODE?
In passato abbiamo analizzato diverse modalità per recuperare i file criptati dai virus ransomware e abbiamo notato come ci siano molte soluzioni diverse per ogni tipologia di virus.
Anche in questo caso ricordiamo che l’idea di pagare il riscatto è sbagliata e affidarsi a degli esperti del settore per evitare di danneggiare irreparabilmente la propria struttura informatica è la scelta giusta.
Lascia un commento