CTB-Locker ...nuova variante

Elettrotecnica Gieffe

Informatica Gieffe

Climatizzazione Gieffe

I nostri visitatori

	Oggi	61
	Questo mese	1949

Utenti connessi 0

Ospiti 1

_________________________________________________________________________
CTB-Locker ...nuova variante del virus che prende in ostaggio i nostri file

In queste ore sta girando via email la nuova variante del più conosciuto Cryptolocker.
Maggiori dettagli in questo --> precedente articolo <--
Ieri un mio collega mi ha girato una email "sospetta" contenente un eseguibile (...in scr screensaver) contenuto in un cab (file zippato).
La mail è questa:

***************************************

-----Messaggio originale-----

Da: Twanna Canwell [ Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. '; document.write( '' ); document.write( addy_text98292 ); document.write( '<\/a>' ); //--> Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ]

Inviato: mercoledì 28 gennaio 2015 12:12

A: xxx

Oggetto: jardiniere

SENE SARL

Rte De Bayons 63700 St Eloy Les Mines

Mines

FRANCE

***************************************

Qualsiasi antivirus al momento (tranne 5/6) non riconoscono il ransomware che prende in ostaggio i file. Una volta eseguito, apre un documento e dopo qualche minuto (tempo necessario al virus di scaricare da una botnet tutti gli eseguibili ed inviare un elenco dei nostri file), comincia la sua opera maligna.

Qualsiasi documento *.doc, immagine *.jpg, file di posta *.pst *.dbx, vengono criptati dal software. Per recuperare i file *NON* vi è soluzione!?! L'unica al momento è sottoporre un pagamento di una somma che varia dai 300€ ai 1500€.

Inserisco quì sotto un video che mostra le "potenzialità" del ransomware. Attenzione a qualsiasi messaggio di posta elettronica! Ordini, pagamenti da mittenti sconosciuti vanno eliminati senza pensarci.

L\'Adobe Flash Player non � installato o � piu vecchio della versione 9.0.115!

Scarica Adobe Flash Player cliccando qui

L\'Adobe Flash Player non � installato o � piu vecchio della versione 9.0.115!

Quà sotto l'elenco delle rilevazioni da Virus total al 28.01.2015
Solo 3 antivirus lo rilevano!?!

SHA256:	372242ae189f24959c1b42b6dcea065dc5062c7ec83c45e013d5573f12c1f00d
Nome del file:	sene_sarl.cab
Rapporto rilevamento:	3 / 57
Data analisi:	2015-01-28 16:01:35 UTC ( 0 minuti fa )

Antivirus	Risultato	Aggiornamento
ESET-NOD32	Win32/TrojanDownloader.Elenoocka.A	20150128
Norman	Elenoocka.AC	20150128
Tencent	Win32.Trojan.Ctb-locker.Auto	20150128

Aggiornamento del 30.01.2015 13:05

Al momento "quasi" tutti i principali antivirus rilevano preventivamente il ransomware. Prestare sempre attenzione ad ogni modo. I consigli sono sempre validi anche per minacce future.

AVG	Crypt3.BWMA	20150130
Ad-Aware	Trojan.GenericKDZ.26934	20150130
Antiy-AVL	Trojan[Downloader]/Win32.Cabby	20150130
Avast	Win32:Malware-gen	20150130
Avira	TR/Cabhot.A.949	20150130
Baidu-International	Trojan.Win32.Cabby.Afd	20150130
BitDefender	Trojan.GenericKDZ.26934	20150130
ClamAV	Win.Trojan.Ransom-4310	20150130
Cyren	W32/Trojan.EUTZ-0721	20150130
DrWeb	Trojan.DownLoad3.35539	20150130
ESET-NOD32	Win32/TrojanDownloader.Elenoocka.A	20150130
Emsisoft	Trojan.GenericKDZ.26934 (B)	20150130
F-Prot	W32/Trojan3.NKM	20150130
F-Secure	Trojan-Downloader:W32/Dalexis.A	20150130
Fortinet	W32/Cabby.A!tr.dldr	20150130
GData	Trojan.GenericKDZ.26934	20150130
Ikarus	Trojan-Ransom.CryptoWall3	20150130
K7AntiVirus	Trojan-Downloader ( 00499db21 )	20150130
K7GW	Trojan-Downloader ( 00499db21 )	20150130
Kaspersky	Trojan-Downloader.Win32.Cabby.cdim	20150130
Malwarebytes	Trojan.Email.FakeDoc	20150130
McAfee	Ransom-CTB	20150130
McAfee-GW-Edition	Artemis!Trojan	20150130
MicroWorld-eScan	Trojan.GenericKDZ.26934	20150130
Microsoft	TrojanDownloader:Win32/Dalexis.C	20150130
NANO-Antivirus	Trojan.Win32.Cabby.dncxyo	20150130
Norman	Kryptik.PDB	20150130
Sophos	Troj/Agent-AIRO	20150130
Tencent	Win32.Trojan.Ctb-locker.Auto	20150130
TrendMicro	TROJ_CRYPCTB.SME	20150130
TrendMicro-HouseCall	Suspicious_GEN.F47V0128	20150130
nProtect	Trojan.GenericKDZ.26934	20150130

Scritto da Luca Beggi

Mercoledì 28 Gennaio 2015 16:20

Commenti

+1 # Barbara Bressan 2015-01-29 13:23

E' un disastro tremendo!!!!
Ma sono riuscita a recuperare i file con shadowexplorer che è un programmino che rileva i salvataggi automatici di Windows 7 (e superiori) che però non risultano dal menù Proprietà - Versioni precedenti!

+1 # Luca Beggi 2015-01-29 16:01

...e per fortuna avevi attivata la funzionalità ShadowCopy di Windows 7, altrimenti picche anche da questo fronte!?!...come consiglio:
1. Fare dei backup regolari su supporto esterno al pc, con almeno 2 supporti a disposizione.
2. Evitare l'apertura di msg da sconosciuti.
3. Appena ci si accorge dell'infezione, spegnere immediatamente il pc, smontare il disco fisso per renderlo disponibile su altro computer, in modo tale da evitare la continuazione dell'opera del virus e mettere in sicurezza ciò che è rimasto.
4. *NON* rimuovere il virus e quindi gli eseguibili. Altrimenti nella malaugurata ipotesi che il virus abbia portato fino in fondo la sua opera, sia disponibile l'ultima ipotesi/chance: PAGARE il riscatto!

Speriamo che tra qualche mese (come per Cryptolocker), sia disponibile una soluzione.
Luca

+1 # Barbara Bressan 2015-01-31 12:57

Sì, sono stata molto fortunata anche a non trovare una variante del virus che cancella le suddette copie! La funzionalità dovrebbe essere attiva di default su tutti i dischi C.
Difatti ho perso i dati nell'altro disco...

0 # Luca Beggi 2015-01-31 15:14

...persi, non è detto!...magari tra qualche settimana/mese rilasceranno qualche tool per decriptarli, vedi https://www.decryptcryptolocker.com/

Aggiorna elenco commenti
RSS feed dei commenti di questo post.

JComments

Per assicurare una navigazione ottimale e altri servizi, il sito elettrotecnicagieffe.it è predisposto per consentire l’uso di tutti i Cookie. Leggi le Informazioni sull’utilizzo dei Cookie. Clicca qui per maggiori informazioni. Per verificare quali cookie vengono utilizzati da elettrotecnicagieffe.it, verifica le nostre Privacy Policy.
Accetto i cookie. Accetto