E’ stata rilasciata una nuova versione del TeslaCrypt 3.0 rispetto alla quale ci sono già arrivate alcune segnalazioni: segno che questo tipo di ransomware sta già venendo diffuso anche in Italia.
|
“Che cosa è succeso ai tuoi file?
Tutti i tuoi file sono stati protetti con una solida criptazione con RSA-4096.
Più informazioni riguardo alle chiavi di criptazione che usano RSA-4096 possono essere trovate qui:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Come è accaduto?
!!!Sono state generate, appositamente per il tuo PC, le chiavi personali RSA 4096, sia pubblica che privata.
!!!TUTTI I TUOI FILE sono stati criptati con la chiave pubblica, che è stata trasferita sul tuo computer tramite internet.
E’ possibile decrittare i tuoi file sono con l’aiuto della chiave privata e con il programma di decriptazione, che si trova nel nostro server segreto.
Ecco alcuni consigli:
-per prevenire questa infezione:
consigliamo l’ utilizzo delle soluzioni antivirus Quick Heal Internet Security o Total Security, in quanto dotate di un efficace antispam, e il servizio di backup in cloud Strongbox, che prevede il salvataggio di una nuova copia del file ad ogni modifica avvenuta. Questo metodo garantisce di poter recuperare sempre e comunque i propri file in caso di criptazione
-se siete già stati vittime del ransomware:
inviaci alla mail ac.facilepc@gmail.com con almeno due file criptati e il .txt contenente il messaggio di istruzioni che il ransomware lascia nelle cartelle. Stiamo costruendo un database di queste segnalazioni, così da potervi ricontattare una volta che avremo disponibile una soluzione.
Un’ altra nuova versione è Locky
Abbiamo ricevuto alcune richieste di aiuto da utenti infettati da un nuovo ransomware che si chiama Locky: cripta i tuoi file e chiede un riscatto di circa 5 bitcoins per decrittare i file.
Come si diffonde?
Viene diffuso tramite email contenenti, in allegato, un documento di Word che contiene una macro dannosa. Il messaggio avrà un oggetto simile a “ATTN: Invoice J-98745389”. Il messaggio sarà simile a “ti preghiamo di prendere visione della fattura allegata (documento di Microsoft Word) e di inviarci il pagamento secondo i termini elencati in fondo alla fattura”. Di solito il testo è in inglese.
Qualche info sul documento di Word
Il documento allegato alla mail è un file di Word con un nome simile a “Invoice-J73646575.doc”.
Quando viene aperto il testo sarà criptato e il documento mostrerà un messaggio chiedendo di abilitare le macro se il testo non è leggibile. Una volta abilitata, la macro effettuerà il download di un file .exe da un server remoto e lo eseguirà.
Che cosa fa?
Locky eseguirà la scansione dei file in tutti i drive locali, comprese le unità di rete non mappate.
Cripta molti tipi di file: vi elenchiamo i più diffusi
-wma, .flv, .mov, .avi, .mpeg, .mpg, .wmv, .tar.bz2, .tar, .tgz, .rar, .zip, .bmp, .png, .gif, .raw, .jpeg, .jpg, .psd, .class, .java, .jar, .asp, .ms11, .xlm, .xlsx ecc…
Quando cripta I file, Locky li rinomina second il seguente format [id_unico] [identificativo].locky
ad esempio F67091F1D24A922B1A7FC27E19A9D9BC.locky
Durante il processo di criptazione Locky, inoltre, cancella tutte le copie ombra dei file, necessari per creare le copie di backup dei dati, al fine di impedire alle vittime di ripristinare i propri file.
Ecco alcuni consigli:
-per prevenire questa infezione:
consigliamo l’ utilizzo delle soluzioni antivirus Quick Heal Internet Security o Total Security, in quanto dotate di un efficace antispam, e il servizio di backup in cloud Strongbox, che prevede il salvataggio di una nuova copia del file ad ogni modifica avvenuta. Questo metodo garantisce di poter recuperare sempre e comunque i propri file in caso di criptazione
-se siete già stati vittime del ransomware:
inviaci alla mail ac.facilepc@gmail.com con almeno due file criptati e il .txt contenente il messaggio di istruzioni che il ransomware lascia nelle cartelle. Stiamo costruendo un database di queste segnalazioni, così da potervi ricontattare una volta che avremo disponibile una soluzione.
Commenti
I commenti sono chiusi