24.6 C
Comune di Legnano
domenica 1 Agosto 2021

INTERNET – Attenzione alle mail con file .zip: in circolazione nuovo malware

Ti potrebbe interessare

Tornano i bonus per l’acquisto dei veicoli non inquinanti

Riparte da domani, lunedì 2 agosto, la distribuzione degli ecobonus, per l'acquisto di veicoli a basse emissioni, così come previsto dalla legge di conversione...

Padre violento maltratta il figlio minorenne: la Polizia interviene

E’ stato allontanato dalla sua famiglia, nei giorni scorsi a Gallarate, un uomo di origini straniere, resosi responsabile di maltrattamenti nei confronti del figlio...

La rigenerazione della città è cominciata: tutta la soddisfazione del sindaco di Legnano

“Ci vogliono visione, costanza e determinazione. E lo stiamo facendo davvero: in questo primo anno di lavoro stiamo seminando e mettendo le basi per...

Interrotta la festa nel parchetto a Parabiago: violata ogni regola anti Covid

E’ successo nelle scorse ore a Parabiago, nel parchetto cittadino di fronte alla chiesa della Madonna Dio’l sa: circa duecento persone di origini peruviane...

In questi giorni una serie di mail contenenti virus pericolosi per i software dei computer stanno circolando in rete: si tratta di ransomware Teslacrypt 3.0. un malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione.
Tale ransomware nello specifico blocca il sistema e intima all’utente il pagamento per sbloccare il sistema, altri ancora cifrano i file dell’utente chiedendo poi un pagamento per riportare i file cifrati in chiaro.
Sul sito ransomware.it è stata lanciata una pesante campagna d’infezione sabato 30 gennaio 2016 tramite email con ransomware TeslaCrypt 3.0 verso utenti italiani. I file vengono criptati aggiungendo in coda le estensioni “.XXX”, “.TTT” e “.MICRO”.
Diversamente da alcune versioni di CryptoLocker e dalle vecchie versioni di TeslaCrypt, non sono per ora noti i metodi per recuperare i propri documenti.
BloodDolly, lo sviluppatore che ha prodotto un decryptor per le versioni precedenti di Teslacrypt, sta lavorando per una soluzione.
Il codice del dropper, che è un “programma” contenuto nell’allegato ZIP che spesso si presenta come una finta fattura o una nota di credito, non è offuscato e mostra chiaramente la fonte da cui attinge per scaricare il trojan TeslaCrpyt 3.0 sul PC della vittima, infettarla e criptare i documenti. Per quanto pericoloso, il codice viene eseguito solo se si apre l’archivio ZIP cliccandovi sopra con il mouse e si clicca sul file il cui nome termina con “.JS” al suo interno. La semplice apertura e visualizzazione del testo della mail non causa l’infezione del PC.
Alcune mail vettore contengono come oggetto il nome del mittente oppure la data d’invio e provengono da contatti noti.
Non c’è testo nella mail, se non la data d’invio della mail riportata per esteso, talvolta identica a quella inserita nell’oggetto. Le mail hanno sempre un allegato, consistente in un archivio ZIP che contiene un file con estensione “.JS”. ll file è uno script in linguaggio javascript, il cui nome può essere del tipo “invoice_DjzkX0.js” o “invoice_scan_jWNWc3.js”. Lo script, se aperto, causa il download del vero e proprio trojan TeslaCrypt. Il javascript implementa la funzione di dropper, cioè un malware finalizzato a scaricare il vero trojan, payload, che infetterà il PC.
Si consiglia a chi riceve email con allegati ZIP, anche
da contatti noti, di non aprirli ed, in caso, contattare il mittente.
É buona prassi effettuare un backup periodico dei dati del proprio computer su un supporto esterno rimovibile, quali un Hard Disk o una “chiavetta” USB. Prestate attenzione però a non collegare questi dispositivi al computer ancora infetto, potrebbero essere resi anch’essi irrecuperabili.

Articoli correlati