CTB-Locker ...nuova variante


Informatica Gieffe

Climatizzazione Gieffe

I nostri visitatori

OggiOggi30
Questo meseQuesto mese676
Utenti connessi 0
Ospiti 3

_________________________________________________________________________
CTB-Locker ...nuova variante del virus che prende in ostaggio i nostri file

In queste ore sta girando via email la nuova variante del più conosciuto Cryptolocker.
Maggiori dettagli in questo --> precedente articolo <--
Ieri un mio collega mi ha girato una email "sospetta" contenente un eseguibile (...in scr screensaver) contenuto in un cab (file zippato).
La mail è questa:

***************************************

-----Messaggio originale-----

Da: Twanna Canwell [ Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. '; document.write( '' ); document.write( addy_text27289 ); document.write( '<\/a>' ); //--> Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ]

Inviato: mercoledì 28 gennaio 2015 12:12

A: xxx

Oggetto: jardiniere

 

SENE SARL

Rte De Bayons 63700 St Eloy Les Mines

Mines

FRANCE

***************************************

Qualsiasi antivirus al momento (tranne 5/6) non riconoscono il ransomware che prende in ostaggio i file. Una volta eseguito, apre un documento e dopo qualche minuto (tempo necessario al virus di scaricare da una botnet tutti gli eseguibili ed inviare un elenco dei nostri file), comincia la sua opera maligna.

Qualsiasi documento *.doc, immagine *.jpg, file di posta *.pst *.dbx, vengono criptati dal software. Per recuperare i file *NON* vi è soluzione!?! L'unica al momento è sottoporre un pagamento di una somma che varia dai 300€ ai 1500€.

Inserisco quì sotto un video che mostra le "potenzialità" del ransomware. Attenzione a qualsiasi messaggio di posta elettronica! Ordini, pagamenti da mittenti sconosciuti vanno eliminati senza pensarci.

JavaScript è disabilitato!
Per visualizzare il contenuto devi abilitare il JavaScript dalle opzioni del tuo browser.

JavaScript è disabilitato!
Per visualizzare il contenuto devi abilitare il JavaScript dalle opzioni del tuo browser.

 

Quà sotto l'elenco delle rilevazioni da Virus total al 28.01.2015
Solo 3 antivirus lo rilevano!?!

 

SHA256: 372242ae189f24959c1b42b6dcea065dc5062c7ec83c45e013d5573f12c1f00d
Nome del file: sene_sarl.cab
Rapporto rilevamento: 3 / 57
Data analisi: 2015-01-28 16:01:35 UTC ( 0 minuti fa )
Antivirus Risultato Aggiornamento
ESET-NOD32 Win32/TrojanDownloader.Elenoocka.A 20150128
Norman Elenoocka.AC 20150128
Tencent Win32.Trojan.Ctb-locker.Auto 20150128

Aggiornamento del 30.01.2015  13:05

Al momento "quasi" tutti i principali antivirus rilevano preventivamente il ransomware. Prestare sempre attenzione ad ogni modo. I consigli sono sempre validi anche per minacce future.

AVG Crypt3.BWMA 20150130
Ad-Aware Trojan.GenericKDZ.26934 20150130
Antiy-AVL Trojan[Downloader]/Win32.Cabby 20150130
Avast Win32:Malware-gen 20150130
Avira TR/Cabhot.A.949 20150130
Baidu-International Trojan.Win32.Cabby.Afd 20150130
BitDefender Trojan.GenericKDZ.26934 20150130
ClamAV Win.Trojan.Ransom-4310 20150130
Cyren W32/Trojan.EUTZ-0721 20150130
DrWeb Trojan.DownLoad3.35539 20150130
ESET-NOD32 Win32/TrojanDownloader.Elenoocka.A 20150130
Emsisoft Trojan.GenericKDZ.26934 (B) 20150130
F-Prot W32/Trojan3.NKM 20150130
F-Secure Trojan-Downloader:W32/Dalexis.A 20150130
Fortinet W32/Cabby.A!tr.dldr 20150130
GData Trojan.GenericKDZ.26934 20150130
Ikarus Trojan-Ransom.CryptoWall3 20150130
K7AntiVirus Trojan-Downloader ( 00499db21 ) 20150130
K7GW Trojan-Downloader ( 00499db21 ) 20150130
Kaspersky Trojan-Downloader.Win32.Cabby.cdim 20150130
Malwarebytes Trojan.Email.FakeDoc 20150130
McAfee Ransom-CTB 20150130
McAfee-GW-Edition Artemis!Trojan 20150130
MicroWorld-eScan Trojan.GenericKDZ.26934 20150130
Microsoft TrojanDownloader:Win32/Dalexis.C 20150130
NANO-Antivirus Trojan.Win32.Cabby.dncxyo 20150130
Norman Kryptik.PDB 20150130
Sophos Troj/Agent-AIRO 20150130
Tencent Win32.Trojan.Ctb-locker.Auto 20150130
TrendMicro TROJ_CRYPCTB.SME 20150130
TrendMicro-HouseCall Suspicious_GEN.F47V0128 20150130
nProtect Trojan.GenericKDZ.26934 20150130
PDF Stampa E-mail
Scritto da Luca Beggi   
Mercoledì 28 Gennaio 2015 16:20
 

Commenti  

 
+1 # Barbara Bressan 2015-01-29 13:23
E' un disastro tremendo!!!!
Ma sono riuscita a recuperare i file con shadowexplorer che è un programmino che rileva i salvataggi automatici di Windows 7 (e superiori) che però non risultano dal menù Proprietà - Versioni precedenti!
 
 
+1 # Luca Beggi 2015-01-29 16:01
...e per fortuna avevi attivata la funzionalità ShadowCopy di Windows 7, altrimenti picche anche da questo fronte!?!...come consiglio:
1. Fare dei backup regolari su supporto esterno al pc, con almeno 2 supporti a disposizione.
2. Evitare l'apertura di msg da sconosciuti.
3. Appena ci si accorge dell'infezione, spegnere immediatamente il pc, smontare il disco fisso per renderlo disponibile su altro computer, in modo tale da evitare la continuazione dell'opera del virus e mettere in sicurezza ciò che è rimasto.
4. *NON* rimuovere il virus e quindi gli eseguibili. Altrimenti nella malaugurata ipotesi che il virus abbia portato fino in fondo la sua opera, sia disponibile l'ultima ipotesi/chance: PAGARE il riscatto!

Speriamo che tra qualche mese (come per Cryptolocker), sia disponibile una soluzione.
Luca
 
 
+1 # Barbara Bressan 2015-01-31 12:57
Sì, sono stata molto fortunata anche a non trovare una variante del virus che cancella le suddette copie! La funzionalità dovrebbe essere attiva di default su tutti i dischi C.
Difatti ho perso i dati nell'altro disco...
 
 
0 # Luca Beggi 2015-01-31 15:14
...persi, non è detto!...magari tra qualche settimana/mese rilasceranno qualche tool per decriptarli, vedi https://www.decryptcryptolocker.com/
 

Per assicurare una navigazione ottimale e altri servizi, il sito elettrotecnicagieffe.it è predisposto per consentire l’uso di tutti i Cookie. Leggi le Informazioni sull’utilizzo dei Cookie. Clicca qui per maggiori informazioni. Per verificare quali cookie vengono utilizzati da elettrotecnicagieffe.it, verifica le nostre Privacy Policy.

Accetto i cookie.

EU Cookie Directive Module Information