News
Dal giorno 28/03/2016 è in corso un nuovo e pesante attacco verso le utenze email italiane di una nuova variante del virus Cryptolocker.
L’attacco sembra essere ben studiato, l’invio di queste email infette parte infatti da account SMTP, di utenti italiani, precedentemente compromessi (ovvero a cui è stata rubata nome utente e password), usa i loro stessi SMTP e quindi può trarre in inganno alcuni filtri antispam/antivirus in quanto arriva da IP la cui reputazione non è compromessa.
Gli invii arrivavano in contemporanea da differenti indirizzi IP per cui la loro individuazione risultava immediata.
Gli oggetti delle mail in ricezione si presentano come questi:
- Fwd: copia della fattura relativa al pagamento
- Fwd: motivo di rifiuto
- Fwd: copia originale della fattura
- Fwd: Il pagamento delle sanzioni
- Fwd: Modalità di pagamento
- Fwd: emissione e pagamento
Altri tipi di attacco, del tutto diversi dal precedente nella forma ma non nella sostanza, presentano messaggi non in lingua italiana con oggetto:
- Facture client N FC 5466229 du 30/03/2016
- Emailing: DOC 2402842.pdf
Pensare di impostare dei blocchi statici, come alcuni suggeriscono, per bloccare questi messaggi infetti non è ne la soluzione ne una strategia, i messaggi arrivano continuamente da IP diversi, gli oggetti cambiano nel giro di poche ore e si rischia di impiegare più tempo a capire cosa gli accomuna di quello che impiegano questi criminali a far partire una nuova variante.
Le soluzioni a cryptolocker sono:
- dotarsi di un buon antivirus sul proprio PC e mantenerlo sempre aggiornato
- non aprire email che sembrano sospette (anche se promettono rimborsi, pacchi da ritirare o se arrivano da mittenti conosciuti)