Ransomware Ftcode: è questo il nome del virus che nelle ultime settimane ha preso di mira le caselle di posta elettronica di migliaia di aziende italiane sfruttando uno strumento apparentemente attendibile e sicuro: l’email PEC.
Di cosa si tratta?
Quando si parla di ransomware si fa riferimento ad un tipo di malware che limita l’accesso del dispositivo, tramite la ricezione di una mail (in questo caso una PEC) infetta, con in allegato un file malevolo. Una volta aperta e scaricato il file sul pc, il ransomware Ftcode si installa sul computer e attacca la macchina criptandone i dati.
Per rimuovere la limitazione e decriptare i dati è poi necessario pagare un riscatto.
Molto spesso ciò che trae in inganno la vittima è l’oggetto dell’e-mail, che si presenta come: “fatture scadute” o “partecipazione al sistema di pagamenti informatici” o altro.
FTCODE e CERT-PA
La nuova variante di ransomware, individuata dal Computer emergency response team della Pubblica amministrazione (Cert-Pa), presenta numerose parti di codice in comune con il ransomware Ftcode della precedente campagna.
Entrambe le versioni sfruttano:
Come individuare messaggi contenenti virus?
Alla luce di quanto sopra esposto è opportuno domandarsi: c’è un modo per evitare il rischio di subire attacchi informatici? Sicuramente è buona prassi tenere in considerazione alcuni suggerimenti per limitare il più possibile il rischio di essere attaccati.
Ecco 4 passaggi da seguire prima di aprire la mail e scaricare l’allegato:
1.Mittente: se il mittente non ha mai avuto contatti con l’interessato o riteniamo che non corrisponda con l’autore del messaggio dovremmo alzare la nostra soglia di attenzione per messaggi sospetti.
2.Oggetto: potrebbe fare riferimento a fatture, documenti giudiziali o a procedimenti universitari o dell’amministrazione, ad esempio:
Richiesta conferma di….
Fattura nr….
Diffida al pagamento nr….
Tribunale di xxx Notificazione ai sensi del D.L. xxx
Conferma ricezione convenzione
Rilascio certificato xxx
Alcuni oggetti sono ricopiati (in tutto o in parte) da messaggi già inviati o ricevuti da quel mittente, rendendo più difficile distinguere le PEC affidabili da quelle malevoli.
3.Testo: nel caso sia presente un link per scaricare un documento, verificare attentamente che l’indirizzo del sito web sia attendibile e coerente col contenuto del messaggio;
4.Allegati: sono lo strumento principale con cui vengono installati i virus. Bisogna fare attenzione all’estensione dei file (exe, pif, msi, com, bat, cmd, vbs, docx, xlsx, odt, ods e tutti i file Office).
Conclusioni
Sicuramente la presenza sul proprio PC di un software antivirus aggiornato diminuisce (ma non elimina) il rischio di essere “infettati”. In ogni caso è buona prassi non aprire mai file contenenti link o allegati che sospetti e che potrebbero creare danni al pc, e verificare che il mittente da cui proviene l’email sia “attendibile”.
Di cosa si tratta?
Quando si parla di ransomware si fa riferimento ad un tipo di malware che limita l’accesso del dispositivo, tramite la ricezione di una mail (in questo caso una PEC) infetta, con in allegato un file malevolo. Una volta aperta e scaricato il file sul pc, il ransomware Ftcode si installa sul computer e attacca la macchina criptandone i dati.
Per rimuovere la limitazione e decriptare i dati è poi necessario pagare un riscatto.
Molto spesso ciò che trae in inganno la vittima è l’oggetto dell’e-mail, che si presenta come: “fatture scadute” o “partecipazione al sistema di pagamenti informatici” o altro.
FTCODE e CERT-PA
La nuova variante di ransomware, individuata dal Computer emergency response team della Pubblica amministrazione (Cert-Pa), presenta numerose parti di codice in comune con il ransomware Ftcode della precedente campagna.
Entrambe le versioni sfruttano:
- la posta elettronica certificata per raggiungere le proprie vittime;
- le stesse funzioni di persistenza nel sistema, di comunicazione con il Command&Control (C&C, il server che comanda e controlla le azioni del virus), di esecuzione dei comandi sulla macchina infettata;
- la stessa cifratura dei file sequestrati.
- La nuova versione è in grado di evitare dei possibile deadlock (il blocco dei processi) grazie a un file di lock utilizzato per consentire al ransomware di agire una sola volta e divenendo inattivo dopo 30 minuti.
- Il nuovo ransomware genera un identificatore unico globale (Guid), un numero che serve a identificare la vittima, rinominando i file con un’estensione casuale.
- La password che blocca l’accesso ai dati nel computer è generata tramite Get-Random a differenza della versione precedente che adoperava Membership. GeneratePassword. Questa password è di 50 caratteri alfanumerici e viene inviata in chiaro al C&C.
- La pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro.
- Le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non sono cifrate.
- In caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al C&C.
Come individuare messaggi contenenti virus?
Alla luce di quanto sopra esposto è opportuno domandarsi: c’è un modo per evitare il rischio di subire attacchi informatici? Sicuramente è buona prassi tenere in considerazione alcuni suggerimenti per limitare il più possibile il rischio di essere attaccati.
Ecco 4 passaggi da seguire prima di aprire la mail e scaricare l’allegato:
1.Mittente: se il mittente non ha mai avuto contatti con l’interessato o riteniamo che non corrisponda con l’autore del messaggio dovremmo alzare la nostra soglia di attenzione per messaggi sospetti.
2.Oggetto: potrebbe fare riferimento a fatture, documenti giudiziali o a procedimenti universitari o dell’amministrazione, ad esempio:
Richiesta conferma di….
Fattura nr….
Diffida al pagamento nr….
Tribunale di xxx Notificazione ai sensi del D.L. xxx
Conferma ricezione convenzione
Rilascio certificato xxx
Alcuni oggetti sono ricopiati (in tutto o in parte) da messaggi già inviati o ricevuti da quel mittente, rendendo più difficile distinguere le PEC affidabili da quelle malevoli.
3.Testo: nel caso sia presente un link per scaricare un documento, verificare attentamente che l’indirizzo del sito web sia attendibile e coerente col contenuto del messaggio;
4.Allegati: sono lo strumento principale con cui vengono installati i virus. Bisogna fare attenzione all’estensione dei file (exe, pif, msi, com, bat, cmd, vbs, docx, xlsx, odt, ods e tutti i file Office).
Conclusioni
Sicuramente la presenza sul proprio PC di un software antivirus aggiornato diminuisce (ma non elimina) il rischio di essere “infettati”. In ogni caso è buona prassi non aprire mai file contenenti link o allegati che sospetti e che potrebbero creare danni al pc, e verificare che il mittente da cui proviene l’email sia “attendibile”.