“Procuratore della Repubblica presso il Tribunale ordinario, INVIATA PER LA PRESENTAZIONE DI PERSONA SOTTOPASTA AD INDAGINI art. 375 c.p.p.” – si apre così la mail che si sta diffondendo in questi giorni e che ricorda il phishing di alcuni mesi fa. Ovviamente il mittente non è la Procura né il Tribunale, tramite l’indirizzo “tribunale.3yI7h@procura.giustizia.it” che compare nella mail, si tratta invece di un delinquente che spera che la vittima clicchi sul link allegato alla mail dall’oggetto “Avviso Importante”, scarichi l’archivio ZIP e ne esegua il contenuto per poter criptare i documenti presenti sul PC e chiedere il pagamento di un riscatto.

Il messaggio di posta elettronica prosegue con il seguente testo:

La presente per comunicarle che il Suo patrimonio immobiliare, cosi come Il Stuo
conto corrente bancario, verranno posti in arresto con l’accusa di mancato pagamento delle imposte e concorso il riciclaggio di denaro, ad effetto della causa
61802503
L’arresto entra in vigore dal 13.02.2017
Lei potrà prendere visione della causa 61802503 cliccando sul link
In questo documento Lei ha la possibilità di trovare informazioni su come ricorrere in apello, il nominativo del giudice inquirente per la causa che La riguarda, la data e il luogo del dibattimento.
Nel caso in cui Lei non si presentasse al dibattimento, lo stesso avrà luogo anche in
Sua assenza.
In caso di sentenza di condanna, Le verrà confiscata ogni propietà e rischia una
condanna fino a 15 anni di reclusione.

Data Protection e Privacy
Non si può una lettera privata, anche se inviata via e-mail a più persone, senza il
consenso dell’autore e dei destinatari. Il principio è stato ribadito del Garante in seguito al ricorso presentato dal capo di un’associazione a carattere religioso, che aveva lamentato la pubblicazione di una e-mail su un quotidiano a diffusione nazionale, a lui indirizzata, contenente fatti confidenziali e riguardanti la propia vita intima. Nell’accogliere il ricorso, l’Autorità ha ordinato la cancellazione della lettera dall’edizone on line del quotidiano.

Tra l’altro, gli evidenti errori di ortografia come “stuo”, “apello”, “propietà”, “propia”, “edizone” lasciano intendere che il messaggio non è istituzionale, così come anche il “persona sottopasta ad indagini” in apertura della mail.

Il link contenuto nel messaggio di phishing punta a un dropper che attiva il download del ransomware Sage 2.0, che cripta i file del PC e mostra una schermata di “File Recovery Instructions” in multilingua, lasciando anche il file “!HELP_SOS.hta” sul PC.

La schermata mostrata dal ransomware spiega che i file non sono persi e che non conviene tentare di recuperarli tramite software di ripristino perché si correrebbe il rischio di perderli per sempre, ma è possibile acquistare un “SAGE Decryptor” accedendo al link http://7gie6ffnkrjykggd.onion/en/cabinet dove verrà richiesto un riscatto di 1.000 dollari in bitcoin se la vittima che desidera riavere i propri file paga entro sei giorni, riscatto che sale poi a 2.000 dollari dopo i sei giorni.

Important Information! Please read very carefully! Attention!
Sage 2.0 encrypted all your files!
All your files, images, videos and databases where have been encrypted and no longer accessible by software known as Sage 2.0!

To restore all your files you need to pay $1000 (≈0.99224) for the decryption.
The after full payment, you will be able to download the software to restore your data.

Special price time remaining. In the case of non-payment of the full commission within 6d 23h, the amount of commission will be raised to $2000 (≈1.98448)

You have no chance to restore the files without our help!
The files will restored easily if you will follow our instructions!
In case of the repeated non-payment of the increased commission during the 6d 23h period, the unique decryption code for your files will be blocked
and its recovery will be absolutely impossible!

Il cryptovirus offre la possibilità di decifrare un file di prova, di richiedere assistenza ai delinquenti, o di leggere le istruzioni su come acquistare i bitcoin per pagare il riscatto.

Il sample del ransomware Sage 2.0 diffuso tramite il Phishing della Procura della Repubblica è stato caricato su Virustotal e Hybrid Anaylisys per poter permettere a chi è interessato di studiarne il comportamento.

L'articolo Ritorna il phishing della Procura della Repubblica con il ransomware Sage 2.0 sembra essere il primo su Ransomware Blog.

Michael Gillespie ha reso pubblico il download del software che permette a chiunque di decifrare gratuitamente i documenti criptati dal ransomware Jigsaw, senza dover pagare alcun riscatto in bitcoin. Se siete stati infettati dal ransomware e avete ancora da parte i file “bloccati” dalla cifratura, potete ora recuperarli gratuitamente grazie alla ricerca di Michael cui va un ringraziamento da parte di tutta la comunità scientifica e, ovviamente, da parte delle vittime del ransomware.

Il decryptor gratuito è disponibile per il download al seguente link, mentre il forum di supporto per le vittime dal ransomware Jigsaw offerto da Bleeping Computer è accedibile pubblicamente al seguente link.

Michael Gillespie, il tecnico che ha scoperto come decifrare i documenti bloccati dal criptovirus, aggiornerà il tool gratuito man mano che verranno pubblicate varianti del ransomware Jigsaw e al momento è in grado di recuperare i file di anche di alcune varianti del trojan come Invisible Empire, CryptoHitman eNot-Safe-For-Work (NSFW).

Ricordiamo che il cryptovirus Jigsaw di cui è disponibile per il download il decryptor cifra i file aggiungendo le seguenti estensioni: .fun, .kkk, .btc, .gws, .porno, .pornoransom, .payransom, .paybtcs, .AFD, .payms, .pays, .paym, .paymrss, .payrms, .paymts, .paymds, .paymrts, .epic.

Come fa notare Bleeping Compueter, Michael ha investito tempo e risorse nello sviluppo e nella ricerca di soluzioni antiransomware, sarebbe quindi cosa buona e giusta – in particolare per chi fa uso dei suoi tool gratuiti – considerare di fare una donazione tramite Paypal utilizzando il link fornito nella pagina stessa.

L'articolo Disponibile per il download il decryptor gratuito del ransomware Jigsaw sembra essere il primo su Ransomware Blog.

Da alcune settimane si sta intensificando la diffusione di ransomware veicolato tramite messaggi di posta elettronica certificata PEC, in parte muniti di regolare firma digitale. Sono messaggi che provengono da indirizzi come 531608465@legalmail.it, 409018@legalmail.it ma anche domini personalizzati e inviati tramite posta-certificata@legalmail.it o posta-certificata@sicurezzapostale.it

Il testo del messaggi di posta elettronica certificata contenente il ransomware è il seguente:

In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto.
Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione.

I messaggi di posta PEC hanno come oggetto “Invio fattura n. _________” con numeri diversi per ogni vittima o campagna (es. “Invio fattura n. 369067”) e contengono un allegato archivio ZIP, in genere con un nome tipo “fattura_522628.zip” (il numero può variare).

L’archivio ZIP contiene un file in javascript con un nome sulla falsariga di “fattura_522628.js” che contiene il vero e proprio dropper, cioè la parte di criptovirus che si occupa di scaricare il ransomware da siti remoti ed avviarlo sul PC della vittima.

In alcuni casi, l’email PEC è regolarmente firmata tramite firma digitale, come nel caso del cryptovirus inviato mediante servizio PEC “posta-certificata@sicurezzapostale.it”, di cui abbiamo ricevuto un sample con firma elettronica certificata valida e autentica. Ci sono stati già in passato altri casi di malware, virus e trojan distribuiti tramite SPAM via PEC, Posta Elettronica Certificata. Non è ancora chiaro come avvenga la diffusione, certamente la PEC non fa altro che garantire il contenuto e la data d’invio nel momento in cui il mittente – o chi per esso – esegue un invio tramite protocollo SMTP utilizzando le credenziali assegnategli. Non c’è firma digitale o identificazione certa del mittente, quindi potenzialmente qualunque malware entri in possesso delle credenziali di Posta Elettronica Certificata di una vittima può inviare PEC al posto suo.

Nel momento in cui l’allegato ZIP viene aperto, che spesso gli antivirus non identificano prontamente, il codice del “downloader” (simile ai “dropper” ma con la differenza che scarica il “payload” da remoto e non lo contiene all’interno) si connette a un sito esterno da cui scarica il payload che infetta il PC e avvia il ransomware vero e proprio, o “payload”, che procede a cifrare i documenti mediante il cryptovirus TorrentLocker lasciando poi un messaggio sul PC della vittima, in file “COME_RIPRISTINARE_I_FILE.txt” lasciati nelle cartelle criptate:

=======================================================
!!! abbiamo criptato vostri file con il virus Crypt0L0cker !!!
=======================================================

I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto,
video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L’unico modo per ripristinare i file è quello di pagare noi. In caso contrario,
i file verranno persi.

Per recuperare i file si deve pagare.

Al fine di ripristinare i file aperti nostro sito
http://x5sbb5gesp6kzwsh.homewind.pl/p8o93t60.php?user_code=_______&user_pass=____
e seguire le istruzioni.

Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/download-easy.html.en
2. Dopo l’installazione eseguire il browser e digitare l’indirizzo: http://xiodc6dmizahhijj.onion/p8o93t60.php?user_code=____&user_pass=____
3. Seguire le istruzioni sul sito.

========================================================

Accedendo tramite la rete anonima Tor all’indirizzo indicato, si ottiene la pagina con la richiesta di riscatto di 399 euro in bitcoin, dal titolo fuorviante “CryptoLocker” nonostante si tratti di cryptovirus “TorrentLocker”.

Per chi è interessato ad approfondire l’infezione con il malware Torrentlocker descritto, che su Tor Browser si cammuffa da CryptoLocker o meglio da Crypt0l0cker con lo ‘0’ al posto della ‘o’, abbiamo caricato su Hybrid Analysis il downloader javascript offuscato e il payload del ransomware Torrentlocker legato alla campagna d’invio via PEC, originariamente contenuto al link http://nautica.]lauraramperez.com/wp-conf.nji. Ringraziamo l’amico Luca e tanti altri contributor che hanno fornito sample da analizzare tramite la pagina di segnalazione ransomware o direttamente via email.

Il certificato con il quale vengono firmate le mail contenenti il trojan è il seguente, tra l’altro molto simile ad altri segnalati in passato relativamente a campagne di spam tramite PEC, Posta Elettronica Certificata:

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3632 (0xe30)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IT, O=DigitPA, OU=Ufficio interoperabilita’ e cooperazione, CN=DigitPA CA1
Validity
Not Before: Sep 23 08:21:35 2014 GMT
Not After : Sep 23 08:21:35 2017 GMT
Subject: CN=Posta Certificata Namirial S.p.A., O=Namirial S.p.A., C=IT
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:9a:07:a8:a5:67:e0:a7:11:01:ae:ef:f5:bf:14:
82:ef:62:c5:b9:13:24:7a:ad:10:96:76:7b:8c:c2:
4a:97:3f:26:aa:cb:f3:ba:c5:05:14:f0:3a:0e:fa:
7b:72:85:9f:1f:7a:c9:7b:24:b7:78:05:81:96:28:
26:7b:71:ee:37:22:57:06:b6:64:92:13:d5:44:50:
eb:d6:c4:ea:98:d4:6e:9c:91:98:2a:4e:0b:68:df:
83:bb:3e:f5:66:e5:fe:31:57:ac:dc:c2:05:71:af:
3d:7a:ab:19:03:a4:9a:a3:0c:33:bf:3b:6d:48:2a:
05:ad:a3:f9:e1:89:b8:4c:95
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Certificate Policies:
Policy: 1.3.76.16.3.1.1
CPS: http://www.digitpa.gov.it/manuali-operativi

X509v3 Subject Alternative Name:
email:posta-certificata@sicurezzapostale.it
X509v3 Key Usage:
Digital Signature
X509v3 Authority Key Identifier:
keyid:FE:22:B7:24:E3:4F:27:D9:05:E0:CC:B8:BD:DE:F4:8D:23:FD:2F:D9

X509v3 Subject Key Identifier:
2F:28:44:AA:EC:2D:0C:1B:CE:A8:99:90:52:AA:06:B8:F7:C4:DB:1D
Signature Algorithm: sha1WithRSAEncryption
66:3d:3c:3b:f3:0a:bb:e4:2a:39:9e:39:7a:c9:63:2d:0d:3f:
61:63:4e:35:dc:5a:ba:c0:f0:10:1c:a5:35:3e:9e:1d:8f:9c:
8a:2d:93:7d:52:ca:80:2d:e6:dc:f6:fa:ef:88:b6:a5:9b:e8:
69:25:f0:f3:e0:b7:e8:e6:2d:f3:2c:26:11:ca:e3:ef:aa:db:
fe:4a:92:b8:fb:eb:e2:03:56:b0:5d:e6:1a:2e:22:46:d3:46:
11:09:b2:00:30:9b:4a:01:c1:f3:5d:76:73:16:63:c1:ae:6f:
b7:64:e4:5f:94:e8:40:b7:07:91:17:f6:1f:2d:b9:88:dd:2f:
36:a3:a5:7f:16:41:a0:28:d0:b4:ec:77:13:cc:af:d1:5f:bf:
03:d3:1a:60:51:60:23:10:48:3e:f9:ca:ab:42:4c:2b:2b:02:
65:79:58:c9:7f:9d:25:b0:be:99:cf:ad:aa:4d:09:1e:ab:b0:
d5:f0:5a:bd:67:fe:7d:d5:31:22:43:19:c6:59:b1:71:85:bf:
47:48:20:46:71:83:4b:64:45:bc:ee:68:f3:8d:64:96:71:d5:
19:0c:85:25:9c:17:8a:05:51:0f:e4:47:1b:b3:b1:1b:4c:a3:
66:b1:6b:56:ae:68:89:92:75:54:f1:3a:36:16:58:3b:60:df:
9d:ec:15:c8

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 120015008 (0x72748a0)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Validity
Not Before: Jan 14 16:29:56 2011 GMT
Not After : Jan 14 16:28:50 2018 GMT
Subject: C=IT, O=DigitPA, OU=Ufficio interoperabilita’ e cooperazione, CN=DigitPA CA1
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:99:9f:a4:28:4a:23:54:47:72:e0:7d:f3:ab:af:
e7:9f:0f:8a:36:d0:a0:b2:35:af:7e:a0:cf:ca:f8:
58:81:6a:5d:50:2d:6d:e5:dd:1d:5d:f2:a3:7a:2f:
e1:57:55:92:07:15:f7:da:fa:f7:6e:9c:0e:6f:df:
b4:33:53:4b:7e:b4:08:b4:c3:e7:55:8a:c2:7d:96:
cf:3a:3a:d8:22:4b:d2:99:d0:99:8b:5e:54:8b:46:
4d:2d:2c:3f:7e:e6:32:8f:47:95:e2:47:89:97:44:
dd:85:49:bd:59:88:36:f1:0d:f1:83:a7:cb:c6:ca:
7b:51:de:c4:cb:92:95:f0:93:bd:09:fc:6b:ab:02:
1a:59:fa:89:2c:db:00:ed:fb:bd:dd:52:08:b9:54:
96:16:0d:e8:60:f4:19:eb:3d:c1:c4:8d:e0:88:74:
43:38:e7:df:82:07:e7:49:7b:7e:b6:54:d6:25:e4:
11:25:dc:2e:d7:08:07:88:a4:8d:5c:55:1d:92:b8:
ee:ba:a2:b6:07:69:dc:ee:d1:b3:9d:6c:de:80:1f:
10:03:68:8b:81:d3:01:d8:d6:a2:94:44:5e:2b:2b:
be:67:c7:46:bc:26:dd:4e:45:0e:6c:2d:55:a9:be:
d8:f8:ec:2f:b1:4b:ce:96:fd:b7:52:56:3f:4f:1c:
15:77
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.6334.1.0
CPS: http://cybertrust.omniroot.com/repository.cfm
Policy: 1.3.76.16.3.1

X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Authority Key Identifier:
keyid:E5:9D:59:30:82:47:58:CC:AC:FA:08:54:36:86:7B:3A:B5:04:4D:F0

X509v3 CRL Distribution Points:

Full Name:
URI:http://cdp1.public-trust.com/CRL/Omniroot2025.crl

X509v3 Subject Key Identifier:
FE:22:B7:24:E3:4F:27:D9:05:E0:CC:B8:BD:DE:F4:8D:23:FD:2F:D9
Signature Algorithm: sha1WithRSAEncryption
26:6d:44:e0:d6:4d:eb:a7:bc:87:0d:4c:4d:cf:0b:79:fc:10:
cc:22:fc:cb:0a:a9:12:63:7f:e5:53:0e:ec:d5:66:2f:8a:c2:
c9:af:01:68:05:3e:f6:83:2c:0f:ad:57:1f:c4:cf:3e:90:b3:
14:26:f4:3d:aa:a1:d2:69:0e:b4:51:6d:15:85:4c:f7:91:94:
ef:12:22:da:dc:dc:6a:a4:d5:60:c6:cf:9f:75:27:2c:91:7e:
8a:a7:c8:b5:c6:2f:70:7f:64:ee:54:f9:88:cb:3d:06:94:8e:
2f:93:c5:e0:75:20:78:04:e1:a8:d0:d3:ff:13:0d:5c:fb:d3:
55:79:4d:1f:93:96:5e:4a:a0:73:2f:a6:9e:00:1d:6a:96:a7:
9f:1d:57:27:73:05:78:ec:32:26:34:e2:f9:8a:21:f8:4f:8e:
0d:b5:48:d3:76:9a:71:1b:70:94:ac:92:75:27:78:e0:58:cd:
e2:84:23:90:0e:de:57:39:1b:21:cc:8f:64:81:f2:6a:27:7e:
6f:97:58:41:25:0f:2e:f4:d0:15:b2:80:a1:e5:d2:fa:2c:99:
98:de:b2:a3:db:95:5f:09:17:c0:91:86:44:8a:29:46:cb:09:
54:c2:6e:8e:6c:2a:91:38:5e:ca:99:7b:ae:9e:0b:a2:d3:98:
2e:87:22:cb

L'articolo Attenzione, il ransomware Crypt0l0cker arriva via PEC sembra essere il primo su Ransomware Blog.

L’evoluzione dei criptovirus continua: dopo i computer, gli Smartphone e le Smart TV anche i database sono diventati un target dei ransomware. Non è una novità, in realtà, i database MongoDB avevano subito pesanti attacchi da ransomware nei mesi scorsi, oggi però è il turno dei database MySQL.

Gli attacchi sono iniziati poco dopo mezzanotte del 12 febbraio 2017 e dalle segnalazioni sembrano provenire dall’indirizzo IP 109.236.88.20, intestato alla società olandese worldstream.nl. Il server è stato probabilmente bucato dal delinquente e utilizzato per sferrare gli attacchi ai database MySQL.

Dall’analisi del ransomware che attacca i database MySQL eseguita da Guidance apprendiamo che l’attacco avviene inizialmente tramite un brute force della password di root, che permette al delinquente di entrare nel sistema, visualizzare i database esistenti e creare una nuova tabella chiamata “WARNING” o “PLEASE_READ” dove inserisce il suo indirizzo email e le istruzioni su come eseguire il pagamento del riscatto in bitcoin. In seguito, il ransomware cancella i database presenti sul server MySQL e non è detto che se ne sia davvero fatto un backup, questo significa che anche pagando il riscatto non vi è certezza che il delinquente restituisca alle vittime il maltolto.

Sono stati identificati due attacchi distinti, in uno la tabella MySQL creata dal ransomware contiene i dati seguenti:

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)

Nel secondo attacco, questi sono i dati inseriti nel database dal ransomware che attacca i server MySQL:

INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

Gli indirizzi bitcoin sui quali viene richiesto il pagamento del riscatto, quindi, sono i seguenti:

• 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9
• 1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY

Come si evince osservando il balance dei due indirizzi, i delinquenti non hanno in cassato molto, sul primo abbiamo ad oggi circa mezzo bitcoin e sul secondo neanche un terzo di bitcoin, in tutto quindi – al cambio attuale – neanche un migliaio di euro di riscatti pagati.

Dalle dinamiche degli attacchi non risulta evidenza di dump dei database e delle tabelle MySQL, quindi se siete stati infettati ricordate che anche pagando il riscatto – a meno di richiedere al delinquente evidenza della copia dei dati – non riceverete nulla.

Come possiamo difenderci e proteggere i nostri database MySQL da ransomware di questo tipo e, più in generale, da attacchi provenienti dalla rete? Innanzitutto è importante limitare l’accesso dalla rete soltanto ai servizi che lo richiedono espressamente, chiudendo tutti gli altri tramite regole sul firewall o impostazione del demone dei servizi con listening soltanto su localhost.

E’ anche possibile impostare dei servizi di monitoraggio delle richieste di accesso che, a seguito di un certo numero di tentativi falliti, bloccano l’accesso dall’indirizzo IP dal quale sono provenute le connessioni, come ad esempio Fail2Ban, che può essere impostato anche a protezione di servizi MySQL.

Essenziale infine utilizzare password robuste, dato che spesso questi attacchi vengono eseguiti tramite brute-force, cioè tentativi ripetuti d’inserimento password prese dalle liste di password più comuni fino a quando non viene trovata quella corretta. Il consiglio è sempre quello d’impostare password lunghe (otto caratteri ormai non sono più sufficienti) utilizzare caratteri alfanumerici (lettere maiuscole, minuscole e numeri) e simboli, eventualmente scaricando database di password pubblici per verificare che quella scelta non sia in uno di quelli. Esistono anche servizi web per la verifica della robustezza delle proprie password ma sconsigliamo di utilizzarli, dato che significherebbe comunicare la propria password a enti terzi.

Ultimo, ma probabilmente primo dei consigli, quello di fare backup periodici di tutto il sistema e in particolare dei database MySQL: esistono tool anche gratuiti o la possibilità di eseguire script per eseguire il dump delle tabelle su file importabili poi in caso di crash, perdita di dati o attacco da ransomware. Ovviamente il backup deve essere tenuto separato dal database e, se possibile, offline o su postazioni alle quali non è possibile accedere dal sistema in quanto ultimamente gli attacchi hanno coinvolto anche i backup stessi.

L'articolo Attacco ransomware ai database MySQL: come proteggersi? sembra essere il primo su Ransomware Blog.

Grazie alla pubblicazione su Pastebin [WBM], da parte di qualche misterioso “Robin Hood”, della master key utilizzata dal ransomware Dharma – variante del ransomware Crysis – Kaspersky ed ESET hanno pubblicato oggi un tool per decifrare gratuitamente i documenti criptati dal ransomware Dharma, che nelle ultime settimane ha causato danni ai dati di migliaia di vittime cifrando i loro dati e chiedendo un riscatto in bitcoin.

Le società di antivirus hanno sostanzialmente testato questa master key e scoperto quindi come decifrare i file e i documenti cui il ransomware Dharma aggiunge l’estensione “.dharma” e un indirizzo di posta, secondo il formato “[nome file].[indirizzo email].dharma“. Gli indirizzi email indicati nei file criptati dal ransomware dharma sono diversi, ne annoveriamo alcuni:

.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Se vi chiedete come recuperare i documenti bloccati dal cryptovirus Dharma, avete al momento due alternative altrettanto valide.

RakhniDecryptor della società Kaspersky

Scaricate il tool RakhniDecryptor della società Kaspersky da questo link [WBM] e avviatelo, verificando (cliccando sul pulsante “About” in basso) che si tratti della versione 1.17.17.0 che supporta la decifratura dei file cifrati dal trojan Dharma.

Cliccate sul pulsante “Start scan” e selezionate, quando vi compare la finestra dove potete scorrere i file e le cartelle del vostro PC, un file cifrato che sia espressamente di tipo Word, Excel, PDF, musica o immagini.

A questo punto selezionate “Open” e il tool comincerà a cercare sul disco del PC e sulle condivisioni di rete i file cifrati dal criptovirus, decifrandoli uno a uno.

Crysis Decryptor della società ESET

In alternativa, scaricate il tool ESET Crysis Decryptor da questo link [WBM] e avviatelo. Il tool gratuito supporta permette di decifrare i file criptati da diverse versioni del ransomware Crysis e Dharma, con le estensioni “.xtbl”, “.crysis”, “.crypt”, “.lock”, “.crypted” e “.dharma”.

Il tool gratuito per decifrare i file prodotto da ESET funziona utilizzando i seguenti parametri da linea di comando:

INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma

Usage:
esetcrysisdecryptor.exe [options] <filename(s) or directory name(s)>

Options:
/s – Silent mode.
/d – Debug mode.
/h or /? – Show usage.

Il tool non elimina i file criptati, come faccio a liberarmene una volta decifrati?

Una volta decifrati, se siete sicuri di non aver più necessità di mantenere i file criptati, potete utilizzare il tool gratuito Crypto Search per raccoglierli tutti in un’unica cartella e archiviarli o, eventualmente, eliminarli. Il tool, sviluppato da Michael Gillespie, è in grado di aggiornarsi automaticamente contattando il database di ID Ransomware per acquisire informazioni sulle estensioni e le caratteristiche dei file criptati, così da poterli identificare con precisione.

E i file criptati dalla versione Dharma con estensione .wallet’

Purtroppo Dharma si è aggiornato modificando la modalità con cifra i file, per questo motivo non è ancora possibile decifrare i file cifrati e rinominati in “.WALLET, come ad esempio il Nomefile.pdf.id-12896D77.[mission_inposible@aol.com].wallet. La speranza è che anche per questa variante qualcuno riesca a ottenere la master key e a pubblicarla, come avvenuto per le altre versioni del ransomware Dharma.

L'articolo Come decifrare gratuitamente i file criptati dal ransomware Dharma. sembra essere il primo su Ransomware Blog.

Rimane alta l’allerta per i responsabili risorse umane (HRM) che rischiano di infettare il proprio PC con pericolosi ransomware, convinti invece di visionare CV e lettere di presentazione ricevute tramite candidatura spontanea da parte di chi pensano stia cercando un lavoro o rispondendo a un’offerta.

Da gennaio 2017 si registrano episodi di recruiter che segnalano di aver ricevuto delle mail di phishing contenenti candidature spontanee con in allegato un Curriculum Vitae o una Lettera di Presentazione che si presentano come file DOC, XLS o PDF. L’allegato, invece dei CV, contiene un dropper o un downloader che una volta aperto provvede a scaricare dalla rete dei malware che si dimostrano poi dei ransomware che rendono inutilizzabili i dati della vittima e chiedono un riscatto in bitcoin per lo sblocco.

I responsabili HR o Human Resources sono particolarmente presi di mira perché occupandosi di gestione delle risorse umane e recruiting sono abituati quotidianamente a ricevere email da sconosciuti che inviano – ovviamente – degli allegati con la documentazione relativa alla loro candidatura spontanea o alla risposta ad annunci e offerte di lavoro pubblicati dall’azienda stessa. Le vittime sono quindi portate ad abbassare il livello di guardia a aprire gli allegati, aspettandosene appunto la presenza e ricevendone tanti sempre da sconosciuti, senza porre attenzione al fatto che potrebbero essere infetti.

Alcuni consigli per i responsabili delle risorse umane abituati a ricevere quotidianamente mail con allegati in DOC e XLS Microsoft o PDF:

• Installare un buon antivirus, antimalware o antiransomware e verificare che si aggiorni quotidianamente;
• Verificare che  le estensioni dei file allegati siano quelle visualizzate, evitando così il “trucchetto” dei PDF che in realtà sono PDF.exe o simili;
• Aprire i file Word ed Excel con i viewer forniti gratuitamente da Microsoft, prima di aprirli con il proprio Office;
• Tassativamente non attivare le macro eventualmente presenti nei file, anche se nel documento compaiono indicazioni tipo “attivare le macro per visualizzare correttamente il contenuto”;
• Fare backup quotidiani dei propri dati importanti, possibilmente non su dischi attaccati 24/7 al proprio PC, e verificarne ogni tanto il funzionamento e il contenuto;
• Installare viewer per PDF meno noti di Adobe PDF Viewer che, essendo molto diffuso, viene più velocemente analizzato dai creatori di malware e 0-day;
• Utilizzare, consapevoli delle problematiche relative alla privacy, servizi di visualizzazione e preview PDF/DOC/XLS online;
• Utilizzare servizi cloud come Dropbox Google Drive che, seppur non pensati per la difesa dai ransomware, possono limitare i danni in caso di cifratura.

L'articolo Responsabili Risorse Umane, attenzione a CV e documenti allegati alle email sembra essere il primo su Ransomware Blog.

Martedì 4 aprile 2017 alle ore 10:00 presso l’Hotel Michelangelo in Piazza Luigi di Savoia, 6, Milano si terrà l’evento “Ransomware Day”, organizzato da Achab e dedicato a fare il punto della situazione sul ransomware, la piaga informatica degli ultimi anni la cui diffusione non accenna a diminuire.

Durante la giornata si parlerà di ransomware, in con particolare accezione a:

• modalità di diffusione dei cryptovirus;
• testimonianze di chi ha pagato il riscatto;
• implicazioni legali del ransomware e del pagamento del riscatto;
• best practice per la prevenzione dai ransomware;
• importanza del fattore umano nella difesa dai ransomware;
• è legale o illegale pagare il riscatto richiesto dai ransomware in bitcoin?
• calcolo del il costo di un “down” dovuto a un attacco da ransomware;
• suggerimenti su come ripartire velocemente dopo un attacco di criptovirus.

L’evento è sponsorizzato da Datto, Webroot e Digital 4Trade e la partecipazione ha un costo al pubblico di 20 euro. Per avere maggiori informazioni sull’evento ed eventualmente iscriversi al Ransomware Day, potete visitare questo link o cliccare sull’immagine “ISCRIVITI ADESSO” qui a destra.

Programma

Il programma del Ransomware Day è il seguente:

9.30 – 10.00 Registrazione partecipanti

10.00 – 10.15 Benvenuto – Andrea Veca, CEO di Achab

10.15 – 10.30 Introduzione alla giornata – Marco Lorusso, Direttore responsabile di Digital4Trade

10.30 – 11.15 Stato dell’arte del ransomware – Claudio Tosi, System Engineer di Webroot

Antivirus lenti ad aggiornarsi, sistemi bucati perché l’antivirus non ce la fa, CryptoVirus sempre più bestiali: come se ne esce? Claudio Tosi analizza il funzionamento dei virus e del malware di oggi, perché l’antivirus tradizionale non è efficace come dovrebbe e cosa offre il mercato per reagire ai virus moderni.

11.15 – 12.00 Riscatto sì, riscatto no – Emanuele Briganti, CIO e CTO di PC System

Le domande e i dubbi sul pagamento del riscatto sono tanti: dove e come si cambiano i bitcoin? E’ il caso di usare una carta di credito aziendale o personale? Come usare un browser “tor”? Come dimostrare la propria identità a chi ci chiede il riscatto? E infine il dubbio cosmico: arriverà mai il decryptor? La situazione talvolta è tragicomica come l’esperienza che racconteremo.

12.00 – 12.45 Implicazioni tecniche e giuridiche dei ransomware e del pagamento del riscatto – Paolo Dal Checco, Professore a Contratto presso Università degli Studi di Torino – Co-fondatore Digital Forensics Bureau

L’intervento mostrerà in un’ottica tecnico/giuridica alcune problematiche legate ai ransomware e al pagamento del riscatto, contemplando i rischi tecnici e legali cui incorrono le parti in causa, anche per via di aspetti spesso sottovalutati. Tramite lo studio di alcuni casi reali, verranno affrontate le questioni che rendono il pagamento del riscatto una pratica delicata che rischia talvolta di rappresentare non la soluzione ma il problema, se non per la vittima, per gli altri attori coinvolti nell’operazione. Durante l’intervento troveranno risposta domande circa le modalità con le quali avvengono i pagamenti in bitcoin, la tracciabilità degli stessi, le possibili indagini nelle quali si può essere coinvolti e i risultati talvolta inaspettati cui sono andati incontro coloro che hanno deciso di pagare.

12.45 – 14.15 Light lunch, networking e desk di approfondimento

14.15 – 15.00 Best practices di prevenzione – Claudio Panerai, CTO di Achab

Un buon antivirus è necessario, il firewall pure. Ma come ridurre al minimo la superficie d’attacco? A parte le misure di sicurezza minime e ovvie, come evitare di essere colpiti dal ransomware? In questo intervento si passano in rassegna le molte forme di protezione che, se messe in opera insieme, possono davvero contribuire a ridurre al minimo il rischio di infezione da ransomware.

15.00 – 15.45 Il fattore umano – Paolo Sardena, Co-fondatore e COO di INTUITY

La quasi totalità del Ransomware è veicolata attraverso mail di phishing. Il phishing è un attacco rivolto alle persone: il phishing è Social Engineering. Una prevenzione efficace nei confronti del fenomeno phishing, e di conseguenza del “ransomware”, non può prescindere dall’educazione delle persone. Fornire a tutti la giusta consapevolezza del problema e le informazioni per riconoscerlo può trasformare il ruolo dell’utente: da essere vulnerabile a elemento di difesa.

15.45 – 16.30 Vincitore o vittima? La scelta è nelle tue mani. Sempre – Andrea Monguzzi, Blogger e titolare di Flexxa S.r.l.

Tra prima e dopo un disastro si estende una landa desolata, una terra di nessuno.
In quel territorio senza legge si gioca la partita più importante il cui esito determina la sopravvivenza o l’estinzione. Una corretta e preventiva pianificazione delle mosse è indispensabile per poter trionfare. Puoi essere tu a decidere se chiudere i giochi da vincitore o da vittima, ma è una scelta che non puoi rimandare a domani.

16.30 – 17.00 Conclusioni, networking e desk di approfondimento

L'articolo Ransomware Day: conferenza su aspetti tecnici e legali, prevenzione e vie d’uscita. sembra essere il primo su Ransomware Blog.

E’ finito l’incubo di tanti italiani che in queste settimane si sono visti recapitare tramite posta elettronica CV provenienti dal dominio agenzia-entrate.com, realistici ma contenenti malware, in particolare il temibile ransomware PEC 2017, che criptava i documenti chiedendo un riscatto in bitcoin a seguito di comunicazione con i delinquenti tramite la mail pec.clean@protonmail.com. Una volta pagato il riscatto, sul dark web, all’indirizzo http://ztjxt7rzqj74lsvf.onion sulla rete Tor, compariva il link per scaricare il decryptor.

Le segnalazioni sono state molteplici, perché il Curriculum Vitae allegato alla mail di phishing proveniente da sedicenti candidate con nomi come “Floriana Fallico” o “Navia Ferrara” era realistico e dal contenuto difficilmente distinguibile da un falso, non vi erano eseguibili o JS ma un vero documento che sfruttava la vulnerabilità di Windows CVE-2017-0199 che permette di attivare attraverso file RTF di Microsoft Office il download di script Visual Basic contenenti comandi PowerShell.

Inspiegabilmente, all’improvviso al posto del sito dal quale scaricare – una volta pagato il risdcatto in bitcoin – la chiave con cui decifrare i propri documenti,  ospitato sull’indirizzo IP 104.250.127.148 è comparsa la seguente pagina:

Il testo della pagina web pubblicata dall’autore del ransomware PEC 2017 cita:

Pec Project Closed

Pec Project has been closed.
Download Pec Decrypt for free
Have a nice day.

Al link indicato nel testo è possibile scaricare il file pecdecrypt.exe, che una volta avviato richiede alla vittima d’inserire il proprio codice di decryption e decifrare gratuitamente tutti i documenti criptati dal ransomware.

Il file non risulta contenere trojan e può essere identificato dagli hash MD5 12fd58be32487b1745e0734ce01f519f e SHA 256 732cff8cbd5d7ddec35ce4d53d3253fc6f5d9c78508a1bbbdf96ed92d0c474a7. Nel caso in cui la pagina all’IP 104.250.127.148 chiudesse è comunque possibile ricorrere al Web Archive, che ha salvato e “congelato” per sempre una copia del decryptor gratuito.

Per chi vuole studiare un sample del ransomware, su Virustotal è disponibile un’analisi dettagliata che può essere integrata da quella di Hybrid Analysis, da cui emerge che il cryptovirus PEC 2017 ricercava e cifrava file con estensione .7z, .bmp, .doc, .docm, .docx, .html, .jpeg, .jpg, .mp3, .mp4, .pdf, .php, .ppt, .pptx, .rar, .rtf, .sql, .tiff, .txt, .xls, .xlsx e .zip eliminandone anche le versioni di backup presenti nelle shadow copies tramite il “vssadmin.exe delete shadows /all /Quiet” e facendo comparire sul PC delle vittime il seguente messaggio:

PEC 2017

Informazioni su come decifrare i file

I tuoi file sono stati cifrati dal sistema PEC 2017 con crittografia AES 256.
PEC non è decifrabile da nessun software e da nessun antivirus.

Come recuperare i dati criptati

Unico modo per recuperare i dati danneggiati è acquistare il software di recupero PEC CLEANER.
Quando hai ottenuto il software potrai procedere al recupero ed il ripristino dei file danneggiati.
Con lo stesso software potrai decriptare tutti i file danneggiati, anche quelli nei dischi esterni o di rete.

Avvertenze

Non utilizzare alcun software antivirus o di decrypt ,in quanto non solo non efficaci,ma potrebbero compromettere per sempre il recupero dei dati.
Con PEC Cleaner potrai recuperare tutti i tuoi dati perfettamente funzionanti e senza attese.

Come acquistare PEC CLEANER

contatta il produttore del software di decrypt per acquisto della licenza e download del programma:

pec.clean@protonmail.com

La tua chiave di sblocco è

3F9D5A4143318E563F82055BAA51241E92FD2AC970B7B9D60115AAE747F318EE664D61F5D766

Il software verrà reso disponibile al download entro 24 ore dal pagamento e ti consentirà il ripristino immediato dei dati.

L'articolo Gli autori del ransomware PEC 2017 distribuiscono gratuitamente l’antidoto sembra essere il primo su Ransomware Blog.

Nonostante sia iniziata soltanto da poche ore, la campagna d’infezioni del cryptovirus denominato “Wannacry” ha già infettato decine di migliaia di vittime in tutto il mondo, oltre che in Italia. Testate giornalistiche straniere parlano di ospedali ed enti pubblici colpiti e bloccati da questo malware che infetta i PC e rende inutilizzabili i documenti tramite cifratura con una password che viene consegnata all’utente soltanto dietro pagamento di un riscatto in bitcoin.

Chiamato anche Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2, questo ransomware non si diffonde tramite mail di phishing, come la maggior parte dei cryptovirus, ma sfruttando una vulnerabilità di sistemi Windows che era già stata scoperta e chiusa un paio di mesi fa da Microsoft grazie ad alcuni aggiornamenti pubblicati gratuitamente. L’infezione iniziale può essere avvenuta tramite mail contenenti finte fatture, note di credito, bollette o CV ma da lì la diffusione è avvenuta automaticamente, tramite scansione dei computer vulnerabili in rete e sfruttamento delle falle nei sistemi, così come fanno i worm più che i virus o i trojan. Pericolosi perché non richiedono l’intervento dell’utente, ma si diffondono in automatico, a sua insaputa, anche su migliaia di PC alla volta a partire da uno solo.

La diffusione del ransomware è stata capillare, colpendo decine di paesi in misura diversa, in particolare la Russia, Ucraina, India e Taiwan ma ci sono arrivate segnalazioni anche dall’Italia Queste le statistiche della diffusione del ransomware Wanna Cry secondo Securelist:

Il malware Wannacry sfrutta, tramite un exploit denominato EternalBlue, la vulnerabilità MS17-010, la cui soluzione è stata pubblicata da Microsoft il 14 marzo 2017 come “Security Update for Microsoft Windows SMB Server (4013389)” ed è scaricabile da chiunque, così da proteggersi da questo tipo di virus. Questo significa che chi è stato infettato non aveva aggiornato i sistemi, che avrebbero quindi potuto essere resi immuni dal ransomware Wannacry. Questo è il motivo per il quale a essere stati infettati sono stati particolarmente ospedali ed enti pubblici: spesso per motivi di budget e stabilità i più lenti ad aggiornare i loro sistemi.

Una volta infettate, le vittime si ritrovano i file bloccati, rinominati con l’aggiunta dell’estensione “.WCRY” dopo il nome, oltre a una richiesta di riscatto nel file @Please_Read_Me@ che cita:

Q: What’s wrong with my files?

A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let’s start decrypting!

Q: What do I do?

A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Next, please find an application file named “@WanaDecryptor@.exe”. It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)

Q: How can I trust?

A: Don’t worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.

* If you need our assistance, send a message by clicking on the decryptor window.

La richiesta di riscatto viene lasciata dal malware in diverse lingue, tra le quali Bulgaro, cinese, semplificato, cinese (tradizionale), croato, ceco, danese, olandese, inglese, filippino, finlandese, francese, tedesco, greco, indonesiano, Russo, slovacco, spagnolo, svedese, turco e vietnamita.

Sul PC a questo punto è presente un software, Wana Decryptor, che è una sorta di “antidoto” per ripristinare i propri file ma che funziona soltanto dopo aver pagato i 300 dollari di riscatto in bitcoin.

Diversi siti di ricercatori stanno tentando di quantificare il fenomeno producendo delle mappe che indicano il numero di PC infettati e la località geografica. Abbiamo MalwareTech che mostra la diffusione del ransomware Wannacry in tempo reale con le statistiche sui sistemi infettati dal cryptovirus Wanna Cry raccolte dai loro sensori.

Al momento per difendersi dal ransomware non si deve fare altro che aggiornare le versioni vulnerabili di Windows, utilizzando eventualmente le indicazioni pubblicate da società di sicurezza come Alienvault che fornisce gli indicatori di compromissione del cryptovirus Wannabe o SecureList che indica alcune contromisure importanti per proteggersi e difendersi dal ransomware Wanna Cry.

L'articolo Il ransomware Wannacry infetta PC non aggiornati: ospedali ed enti pubblici a rischio sembra essere il primo su Ransomware Blog.

Sembra la scena di un film ma è la realtà: il ricercatore che twitta dietro il nome di MalwareTechBlog ha rallentato la diffusione del ransomware WannaCry registrando, per pochi dollari, un dominio Internet che funge da “kill switch” inibendo l’attivazione del ransomware.

Come racconta nel post del suo blog [WBM] dal titolo ironico “How to Accidentally Stop a Global Cyber Attacks“, da buon ricercatore di sicurezza ha analizzato il comportamento del ransomware rilevando i tentativi di scansione verso la porta 445 (utilizzata SMB) che hanno lasciato intendere che il vettore di diffusione fosse, appunto, il protocollo SMB e in particolare lo sfruttamento della vulnerabilità già chiusa da Microsoft un paio di mesi fa.

Il ricercatore MalwareTech si è accorto, inoltre, che il ransomware prima di attivarsi contattava il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com e, come d’abitudine per studiare i C&C dei malware, lo ha registrato come “BotnetSinkhole@gmail.com” e facendolo diventare un “sinkhole” senza capire fin da subito che questo avrebbe fatto un’enorme differenza.

Tragicomica la descrizione del momento di panico quando un collaboratore che sta verificando se il dominio rimane costante o cambia a seconda delle infezioni gli riferisce che a seguito della registrazione del dominio si erano attivati i ransomware di tutto il mondo. Il panico dura pochi minuti, fino a quando il ricercatore e amico Kafeine lo tranquillizza dicendogli che no, non ha causato la distruzione dei file di migliaia di utenti anzi, il ricercatore Darien Huss di ProofPoint ha rilevato come la registrazione del dominio ha interrotto la diffusione del ransomware impedendone l’attivazione.

Divertente, a questo punto, la scena dove MalwareTech si descrive euforico (“Now you probably can’t picture a grown man jumping around with the excitement of having just been ransomwared“) per aver verificato questa implicazione impedendo al suo PC di contattare il dominio e avviando il ransomware che, disastrosamente, lo infetta cifrando i file. Ovviamente il PC infettato era predisposto per i test e non il suo, ma questa prova ha confermato al ricercatore che la sua idea non ha causato danni al mondo intero ma, anzi, Wanna Cry si comporta in modo da bloccarsi quando trova il dominio registrato, attivandosi invece quando non lo trova.

Nel codice del ransomware infatti è presente una routine che prova a contattare il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com per verificare se si ottiene risposta. In caso affermativo, il ransomware si blocca e smette di funzionare, risultando quindi sostanzialmente innocuo. In caso contrario – cioè se il dominio non risulta raggiungibile e non si ottiene risposta – il ransomware si attiva e comincia a fare danni, cifrando i file presenti sul PC della vittima.

Sostanzialmente, la presenza del dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com diventa una sorta di “kill switch”, un’interruttore che permette di abilitare o disabilitare il ransomware rendendolo inoffensivo.

Non solo, ogni PC sul quale il ransomware tenterà di attivarsi contatterà il dominio avvisando il ricercatore dell’infezione, così da rendere tra l’altro quantificabile il numero e la distribuzione dei tentativi e permettere alle autorità – una volta in possesso dei log dei contatti che il ricercatore fornirà – di avvisare coloro che sarebbero state le future vittime della vulnerabilità cui sono soggetti i loro sistemi.

Per chi si chiede che senso abbia che gli autori di un ransomware con intenti criminali quali quelli che hanno sviluppato il WannaCry inseriscano un controllo che permette a chiunque di “spegnere” il sistema infernale, l’ipotesi più accreditata è quella proposta dal ricercatore stesso nel post del suo blog.

I ransomware – come la maggior parte dei malware – sono programmati in modo da rendere difficile la vita ai ricercatori che li studiano. Una delle contromisure che spesso implementano (non sempre, per precise scelte che qui non andremo ad approfondire) è quella di “disattivarsi” quando sono in esecuzione in un ambiente controllato, nelle cosiddette “sandbox” o macchine virtuali con sistemi come Cuckoo che servono proprio per monitorare ciò che avviene all’interno e studiare il comportamento del sample. I sistemi per verificare se il ransomware è stato avviato in un ambiente controllato sono diversi, uno di questi è quello di tentare di contattare dei servizi esterni che lo sviluppatore del malware è certo non essere esistenti, sapendo che quando i ricercatori analizzano i campioni di virus li avviano all’interno di ambienti che rispondono a qualunque richiesta di connessione, per non far “capire” al malware di essere “rinchiusi” in una gabbia.

Bene, la trovata degli autori di WannaCry è stata appunto quella ti imporre al ransomware un controllo dell’esistenza del dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, proprio per capire se fosse in corso un’analisi da parte di ricercatori oppure una vera e propria infezione di una vittima. La registrazione del dominio da parte di MalwareTechBlog ha fatto sì che il ransomware, prima di attivarsi, contattasse il server convincendosi così di essere “sotto analisi” e disattivandosi, con l’intendo di nascondersi e non farsi studiare… mossa che ha permesso appunto di bloccare questa micidiale ondata d’infezioni, almeno fino a quando (sembra che stia già accadendo) i delinquenti non correggeranno questo bug questa loro leggerezza implementativa.

L'articolo Ricercatore rallenta la diffusione di WannaCry con un dominio web da pochi dollari sembra essere il primo su Ransomware Blog.

Dopo una lunga attesa finalmente le vittime del ransomware Dharma possono decriptare i file cifrati con estensione .WALLET. Alcuni mesi fa era già uscito un decryptor per il cryptovirus Dharma ma il software decifrava i file con estensione .WALLET, operazione adesso invece possibile gratuitamente e che sembra funzionare anche per alcuni file criptati con estensione .ONION, sempre della stessa famiglia Crysis di cui il trojan Dharma fa parte.

Alcuni giorni fa un misterioso utente del forum BleepingComputer ha pubblicato le chiavi di decifratura del ransomware Dharma tramite link su pastebin, che hanno permesso ai ricercatori di realizzare un decryptor gratuito perfettamente funzionante sui file .WALLET e sembra anche su alcuni file .ONION.

Se il vostro PC è stato vittima del ransomware Dharma e i vostri file sono stati “bloccati” cambiando il nome in [nomefile].[email].wallet (es. il file “tesi di laurea.docx” è stato rinominato in “tesi di laurea.docx.[destroed_total@aol.com].wallet“) potete finalmente recuperare i documenti cifrati scaricando il Decryptor per Crysis sviluppato da Avast [WBM] e avviandolo per verificare di aver scaricato la versione 1.0.103.0 o successiva, sul PC con i file criptati o su un altro, è indifferente.

A questo punto si potrà selezionare il disco da decifrare, scegliendo tra drive locali o di rete, oppure singole cartelle, scegliendo anche se eseguire un backup dei file cifrati e avviare il processo di decifratura come Amministratore, per poter raggiungere la maggior quantità di file possibile sul sistema, anche quelli “bloccati” dal sistema stesso.

Si avvierà quindi il processo di decryption e, dopo un’attesa dipendente dalla quantità di file presenti sul PC, si otterranno i file originali, recuperati e integri, conservando anche una copia dei file cifrati se è stata impostata l’opzione.

La famiglia del ransomware Crysis nota come Dharma è stata utilizzata in questi mesi da diversi delinquenti, che hanno “marchiato” i file criptati lasciando email diverse nei file rinominati dopo la cifratura, qui un elenco dei principali indirizzi di posta elettronica utilizzati:

3048664056@qq.com, age_empires@aol.com, aligi@zakazaka.group, amagnus@india.com, amanda_sofost@india.com, braker@plague.life, breakdown@india.com, crann@india.com, crann@stopper.me, crannbest@foxmail.com, cryalex@india.com, Cryptime@india.com, crysis@indya.life, danger_rush@aol.com, dderek416@gmail.com, dderek@india.com, ded_pool@aol.com, denied@india.com, destroed_total@aol.com, diablo_diablo2@aol.com, donald_dak@aol.com, dropped@india.com, enterprise_lost@aol.com, fedor2@aol.com, fidel_romposo@aol.com, fire.show@aol.com, first_wolf@aol.com, flashprize@india.com, fly_goods@aol.com, gotham_mouse@aol.com, grand_car@aol.com, gutentag@india.com, HelpRobert@gmx.com, ice_snow@aol.com, info@kraken.cc, injury@india.com, interlock@india.com, joker_lucker@aol.com, kuprin@india.com, last_centurion@aol.com, lavandos@dr.com, legionfromheaven@india.com, m.reptile@aol.com, m.subzero@aol.com, makedonskiy@india.com, mandanos@foxmail.com, matacas@foxmail.com, mission_inposible@aol.com, mission_inpossible@aol.com, mk.baraka@aol.com, mk.cyrax@aol.com, mk.goro@aol.com, mk.jax@aol.com, mk.johnny@aol.com, mk.kabal@aol.com, mk.kitana@aol.com, mk.liukang@aol.com, mk.noobsaibot@aol.com, mk.raiden@aol.com, mk.rain@aol.com, mk.scorpion@aol.com, mk.sektor@aol.com, mk.sharik@aol.com, mk.smoke@aol.com, mk.sonyablade@aol.com, mk.stryker@aol.com, mkgoro@india.com, mkjohnny@india.com, MKKitana@india.com, Mkliukang@india.com, mknoobsaibot@india.com, mkscorpion@india.com, MKSmoke@india.com, mksubzero@india.com, moneymaker2@india.com, nicecrypt@india.com, nomascus@india.com, nort_dog@aol.com, nort_folk@aol.com, obamausa7@aol.com, p_pant@aol.com, reserve-mk.kabal@india.com, sammer_winter@aol.com, shamudin@india.com, sman@india.com, smartsupport@india.com, spacelocker@post.com, space_rangers@aol.com, ssama@india.com, stopper@india.com, supermagnet@india.com, support_files@india.com, tanksfast@aol.com, terrabyte8@india.com, total_zero@aol.com, versus@india.com, walmanager@qq.com, warlokold@aol.com, war_lost@aol.com, webmafia@asia.com, webmafia@india.com, xmen_xmen@aol.com, zaloha@india.com

L'articolo Disponibile il decryptor per il ransomware Dharma con estensione .wallet sembra essere il primo su Ransomware Blog.

Se non avete aggiornato Windows dopo l’infezione di WannaCry di poco tempo fa ma ve la siete cavata, siete nuovamente a rischio. Da ieri, infatti, è in circolazione un nuovo ransomware che ricorda nel modo in cui cifra i dati il vecchio Petya ma che sfrutta come vettore di diffusione le stesse vulnerabilità di cui si avvantaggiava WannaCry, aggiungendone alcune nuove altrettanto pericolose. L’effetto è sempre lo stesso: a seguito della compromissione del sistema compare sullo schermo un messaggio che comunica di aver criptato il sistema chiedendo un riscatto in bitcoin per rientrare in possesso dei propri dati.

In poche ore è stato detto e scritto di tutto su questo ransomware e sui vari dilemmi che porta con sé, a partire dal nome, portando avanti ipotesi, teorie, complotti ma forse confondendo un po’ le idee ai lettori. Cercheremo con questo articolo di riassumere i punti principali, con semplici domande e speriamo altrettanto semplici risposte.

Il nome del ransomware è Petya o NotPetya?

Come vedremo più avanti, il “comportamento” del ransomware ricorda quello del vecchio “Petya”, motivo per il quale qualcuno ha pensato che potesse esserne una variante. Quando si è capito che invece sembra essere un nuovo ransomware, i ricercatori hanno cambiato il nome in “NotPetya” per evidenziare il fatto che non si tratta di Petya o di una sua variante. Per semplificare le cose, la società BitDefender lo ha rinominato in GoldenEye considerandolo una variante di un altro ransomware noto alla cronaca.

Come mai NotPetya viene paragonato a WannaCry?

Il motivo è che, come vedremo più avanti, utilizza in parte lo stesso vettore di “contagio” che utilizzava alcuni mesi fa il letale WannaCry. Dato che Wanna Cry è stato uno dei ransomware che hanno maggiormente sconvolto l’opinione pubblica per la capillarità e la rapidità di diffusione, è scontato che questo venga percepito come un suo successore.

Quali sono i danni lasciati sui PC infetti da questo ransomware?

Il nuovo NotPetya, dopo aver compromesso l’MBR del disco ne cripta l’MFT, cioè l’indice dove il sistema tiene traccia di quali file avete sul vostro PC e dove si trovano. Voci di corridoio dicono che – prima di criptare l’MFT – il ransomware cripti anche direttamente alcuni file sul sistema ma non abbiamo ricevuto conferme. Fatto sta che al termine del processo di cifratura il Sistema Operativo non si avvia più (quindi non potrete utilizzare il PC, neanche per pagare il riscatto) e il disco sarà quasi inutilizzabile.

Come si diffonde questo nuovo cryptovirus?

Il cryptovirus si propaga tramite l’exploit EternalBlue, lo stesso che sfruttava WannaCry, oltre al codice EternalRomance, ricavato sempre dallo stesso leak NSA pubblicato da Shadow Brokers alcuni mesi fa. Questi due exploit sfruttano la comunicazione di rete che viaggia tramite il protocollo SMB (lo stesso grazie al quale si possono condividere file e stampanti tra più PC in una rete locale) per far passare all’interno l’infezione. Come vedremo più avanti, questi exploit hanno effetto solamente su PC con Sistemi Operativi non aggiornati.

Inoltre, come mostra Reaqta con il suo schema dei processi, Petya riesce a ricavare le credenziali di accesso del PC dalla memoria e le utilizza per connettersi – tramite il servizio PsExec – ad altri PC nella stessa rete e cercare d’infettarli.

Come faccia a trovare user e password su un PC e usarli poi su altri computer vicini è presto detto: con strumenti tipo il noto MimiKatz, chiunque può prelevare da un computer le credenziali archiviate temporaneamente nella RAM, non soltanto dell’Amministratore ma di tuti gli utenti del sistema. Se tali credenziali sono utilizzate anche su altri PC, è facile eseguire il “movimento laterale” che permette di diffondersi tra più macchine della stessa rete.

Corro quindi il rischio di essere infettato anche io?

Se usate Windows non lo avete aggiornato Windows negli ultimi mesi, sì. Se avete aggiornato, potete comunque essere infettati se nella stessa rete c’è un PC che viene infettato e riesce ad accedere al vostro tramite la rete sfruttando credenziali di accesso condivise.

Non ho idea se il mio Windows sia è aggiornato, cosa posso fare?

Per verificare se il vostro sistema è vulnerabile agli exploit, potete utilizzare il software di verifica forniti da Eset che vi indicherà chiaramente se il sistema è protetto o meno. In alternativa, potete avviare Windows Update e cliccare sul pulsante che avvia la verifica e l’aggiornamento del sistema.

Come posso evitare di essere infettato?

Se non l’avete ancora fatto, installate la patch MS17-010, che tra l’altro è la stessa di cui si avvantaggiava il ransomware WannaCry, così da evitare di essere contagiati tramite altri PC mediante il protocollo SMB e sfruttamento degli exploit EternalBlue ed EternalRomance.

Poiché oltre alle vulnerabilità SMB il nuovo ransomware Petya sfrutta anche il servizio psexec contagiando PC nella stessa rete, i ricercatori consigliano anche di disabilitare tramite group policy le share Admin$ su tutti i PC della vostra rete.

Esiste un interruttore per “disinnescare” il ransomware come per WannaCry?

Come per WannaCry, è girata voce che esistesse una sorta di killswitch (una sorta di “interruttore”) che impedisca al ransomware di attivarsi, consistente nella presenza del file “C:\Windows\perfc” sul disco. Rispetto a WannaCry, quindi, l’intervento andrebbe fatto su ogni PC, nessun “eroe” potrà salvarci registrando un dominio web. In realtà si è dibattuto sul funzionamento di questo KillSwitch e c’è chi afferma che non funzioni mentre altri precisano che funziona soltanto se la lingua del sistema è impostata sull’inglese. Nel dubbio, potete creare questo file fino a quando non si avranno conferme più precise.

Cosa posso fare se sono già stato infettato?

Se il processo di cifratura si è concluso e compare sullo schermo il messaggio con la richiesta di riscatto, non si può più fare nulla, se non sperare di avere delle copie dei propri dati da qualche parte, se possibile aggiornati, o che qualcuno pubblichi in tempi ragionevoli un decryptor per NotPetya.

Se invece siete appena stati infettati, considerate che avete una quarantina di minuti prima che il sistema si riavvii e cominci a criptare il disco. Se il sistema si è appena riavviato e vedete sullo schermo la schermata nera della funzione di controllo del disco chkdsk di Windows che vi dice che sta “controllando il disco C” spegnete immediatamente.

Non si tratta infatti di Windows ma del ransomware che sta criptando i dati. Se siete in tempo, riuscirete con strumenti come Recuva o Photorec a recuperare dei file e magari ricostruire parte dell’MFT cifrato.

I miei dati sono importanti, consigliate di pagare il riscatto?

In ogni caso non pagate il riscatto, sia perché è eticamente sbagliato a prescindere, sia perché in questo caso è inutile: la mail tramite la quale i delinquenti comunicavano con le vittime è stata chiusa da Posteo [https://posteo.de/blog/info-zur-ransomware-petrwrappetya-betroffenes-postfach-bereits-seit-mittag-gesperrt], non riceverete il decryptor anche pagando i 300 dollari richiesti sull’indirizzo Bitcoin 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX.

Quanto hanno guadagnato i delinquenti con questo ransomware?

L’infezione ha fruttato poco, ad oggi poco più di 3 bitcoin (circa 6.000 euro) come potete osservare dal balance dell’indirizzo Bitcoin 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX sul quale viene richiesto il riscatto. Il motivo sembra essere che, dato che l’indirizzo email wowsmith123456@posteo.net di comunicazione con i delinquenti è stato chiuso, non c’è modo di comunicare con loro e ricevere il decryptor, si è sparsa la voce che chi ha pagato non ha decriptato e quindi le nuove vittime sono restie a pagare.

Da dove è partito questo ransomware?

Non si sa esattamente da dove sia originato, alcune voci parlano dell’Ucraina, semplicemente perché la prima fonte d’infezione sembra essere stata un finto update di un software utilizzato appunto in Ucraina.

Sono disponibili dei sample del ransomware da testare?

• Potete visionare le analisi dei sample e anche scaricarli dai seguenti link:
  https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100
• https://www.hybrid-analysis.com/sample/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206?environmentId=100
• https://www.hybrid-analysis.com/sample/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6?environmentId=100

Perché si parla tanto di questo ransomware quando ogni settimana ne escono di nuovi?

1. Come per WannaCry, questo ransomware ha fatto notizia perché:
   Ha sfruttato gli stessi bachi di WannaCry, questo significa che parte delle vittime avrebbe potuto salvarsi semplicemente aggiornando il sistema;
2. Tramite gli exploit e lo sfruttamento di PsExec la diffusione non richiede l’intervento umano della vittima che apre un messaggio di posta, clicca sull’allegato o visita un link e si fa ingenuamente infettare: tutto avviene in automatico e ad alta velocità, senza che la vittima possa impedirlo o capire cosa è successo;
3. Come negli altri casi saliti alla cronaca, ciò che fa notizia è la quantità e tipologia delle vittime. Sulla quantità non possiamo ancora fare stime, non esistendo un sistema di monitoraggio efficace come per WannaCry, sulla tipologia abbiamo già feedback su enti pubblici e persino sistemi di monitoraggio di centrali nucleari (si parla di Chernobyl, non una qualsiasi) oltre a banche e colossi petroliferi;
4. Diversi fattori fanno pensare a uno sviluppo quasi “amatoriale” del software, niente di (manifestamente) organizzato.

Dove posso trovare altre notizie su Petya o NotPetya?

Per rimanere aggiornati sull’argomento rimandiamo all’ottimo post di Stefano Zanero, in continuo aggiornamento. Altra fonte aggiornata e con link a diverse risorse e sample è quella sul profilo GitHub di vulnersCom. Per chi non vuole entrare troppo nei tecnicismi ma capirci davvero qualcosa, consigliamo infine l’articolo della sempre chiara Carola Frediani che rende semplici cose complesse per i più.

L'articolo Petya o NotPetya? Questo è il dilemma del dopo WannaCry. sembra essere il primo su Ransomware Blog.

Gli autori del ransomware Petya (quello originale, non i “cloni” o presunti tali usciti ultimamente) hanno finalmente rilasciato la chiave di decifratura principale per tutte le vecchie versioni del ransomware, permettendo così alle vittime che hanno conservato i loro file di decifrarli gratuitamente.

Il gruppo di criminali – che si fa chiamare “Janus Cybercrime Solutions” – ha pubblicato l’altro ieri un tweet dall’account “ufficiale” con il messaggio “They’re right in front of you and can open very large doors”  (“Sono proprio davanti a te e permettono di aprire porte molto grandi”) e il link a un file ospitato su Mega.nz.

"They're right in front of you and can open very large doors" https://t.co/kuCUMZ5ZWP @hasherezade @MalwareTechBlog

— JANUS (@JanusSecretary) July 5, 2017

La chiave pubblicata su Mega, una volta verificata dai ricercatori, ha permesso di decifrare correttamente le seguenti versioni del cryptovirus Petya:

• Prima infezione di Petya (quella con il teschio bianco che lampeggia su sfondo rosso all’avvio del PC);
• Seconda infezione di Petya (quella che include anche il ransomware Misha e che mostra un teschio verde su sfondo nero all’avvio della macchina);
• Terza infezione di Petya (nota come “GoldenEye”, mostra un teschio giallo su sfondo nero durante il caricamento del Sistema Operativo).

La ricercatrice di MalwareBytes, Hasherezade, ha decifrato la chiave e pubblicato il contenuto:

Congratulations!
Here is our secp192k1 privkey:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
We used ECIES (with AES-256-ECB) Scheme to encrypt the decryption password into the “Personal Code” which is BASE58 encoded.

Il ricercatore di Kaspersky Lab, Anton Ivanov, ha testato la chiave e verificato che si trata di quella originale, corrispondente alla chiave privata utilizzata durante la cifratura eseguita dalle versioni passate dei ransomware Petya e GoldenEye. A breve verranno aggiornati i decryptor con questa nuova chiave, che permetterà quindi alle vittime che hanno mantenuto una copia dei loro file o del loro disco di decifrare il tutto gratuitamente.

Precisiamo che né i file criptati dalla recente infezione di NotPetya né WannaCry possono essere decifrati con questa chiave, che purtroppo ha certamente un’utilità limitata, dato che dopo il tempo trascorso dall’infezione le vittime hanno certamente ripristinato i file in un modo o nell’altro o li hanno persi e se ne sono fatti un ragione.

L'articolo Pubblicata la master decryption key dei ransomware Petya e GoldenEye sembra essere il primo su Ransomware Blog.

In questo caldo agosto, in tanti hanno sperimentato il blocco improvviso del proprio iPhone, iPad, iMac o Macbook che mostra la richiesta d’inserire un codice di 4 o 6 cifre e un messaggio che invita a contattare l’indirizzo email apple.pass@mail.com.

L’effetto è quello di un ransomware, questa volta per sistemi Apple, ma in realtà non si tratta di un software, bensì di un attacco di phishing con cui i criminali rubano le credenziali iCloud e le utilizzano per accedere al pannello di controllo dell’utente e attivare la funzione fornita da Apple per i casi di furto o smarrimento dei propri dispositivi. Con la promessa, una volta pagato un riscatto in bitcoin, di disattivare il blocco e ripristinare l’iPhone o il Macbook reso inutilizzabile.

Questo attacco è noto da diverso tempo, in particolare all’estero, ma da alcuni giorni diversi utenti italiani hanno segnalato questa situazione e sono arrivati alla conclusione di essere stati vittime di phishing quando si sono resi conto che il loro iPhone, iPad, iMac o Macbook non era bloccato da ransomware, cryptovirus o trojan bensì da una funzione di Apple stessa, chiamata “Modalità Smarrito” (o Lost Mode per gli angolofoni), che permette ai proprietari dei dispositivi con la mela di Cupertino di bloccare i propri computer, tablet o smartphone persi o rubati in modo che chi ne entri in possesso non li possa utilizzare, a meno d’inserire un codice di sblocco noto soltanto a chi ha attivato il blocco.

Il dispositivo Apple bloccato

Il primo sintomo del problema è proprio il trovarsi uno o più dei propri dispositivi Apple (iPhone, iPad, iMac o Macbook) bloccati con la richiesta d’inserimento di un codice a 4 o 6 cifre e l’invito a contattare un indirizzo di posta elettronica. Non serve riavviare, inserire il proprio PIN o la password di accesso al proprio Macbook. Il dispositivo è infatti in modalità Lost Mode, una funzione offerta da Apple che permette di bloccare un prodotto Apple tramite la funzione Trova il mio iPhone perso o rubato inserendo un messaggio per chi lo dovesse ritrovare.

Lo sblocco può essere eseguito soltanto inserendo il codice corretto, scelto in fase di blocco, oppure direttamente da iCloud o dall’App “Trova il mio iPhone”. Ovviamente, quando le credenziali iCloud sono state sottratte, non è possibile connettersi al proprio account Apple online per disattivare il blocco.

La richiesta di riscatto in bitcoin

In molti, prima di rendersi conto di cosa è effettivamente successo, hanno contattato l’indirizzo email apple.pass@mail.com indicato nel messaggio ricevendo sul proprio indirizzo di posta una richiesta di riscatto:

Hello!
Your device is locked. To activate the device.
Pay 50$ to the Bitcoin Address: 1PwddSoBysxSvdRXS6w3GsLmPLAhGUbmPz
Buy bitcoins: https://localbitcoins.net
How to buy bitcoins? https://localbitcoins.net/guides/how-to-buy-bitcoins
After payment inform us, we will send passcode your device.
If payment is not received within 24 hours, your device will be blocked.

Diversi segnalatori indicano di aver letto sul ulteriori indirizzi di posta da contattare per richiedere il codice di sblocco del proprio dispositivo Apple: recovery.icloud95@gmail.com, apple.help@gmx.com, help.apple.us@gmail.com, help.apple@gmail.com o helpappledevice@gmail.com. Alcuni di questi indirizzi email sono disattivati ma la maggior parte funzionano e, a qualunque tipo di richiesta, rispondono con un autoresponder che contiene le istruzioni circa il riscatto richiesto per lo sblocco dell’iPhone, che va dai 50 ai 300 dollari in base all’indirizzo utilizzato.

Alcuni delinquenti minacciano la cancellazione di tutti i dati memorizzati su iCloud, altri di raddoppiare la richiesta di riscatto o persino di bloccare tutti gli altri dispositivi sincronizzati con l’account iCloud.

Hello! Your device is blocked for activation of the device:
Pay 50$ for a bitcoin address: 19FHZjdTSB6uts9DsLB4QrbarEvVTvB6G7
Buy bitcoins online: blockchain. info
For purchase of bitcoins you need to be registered on the specified website.
Inform us about the payment and we will send the access code.
The payment is given 24 hours if payment is not received during this time, then all your devices will be blocked.
All your photos and all data are erased in the iCloud until payment is received.

Gli indirizzi bitcoin utilizzati dai delinquenti vengono riciclati per diverse vittime e cambiano a rotazione, il che è un chiaro segno che i criminali non hanno modo di capire se la vittima ha pagato il riscatto e quindi sbloccare il suo PC o iPhone. Ovviamente possono farlo, interagendo con la vittima per chiederle l’ID della transazione bitcoin, così come avviene per altri ransomware che fanno uso di medesimi indirizzi bitcoin per vittime diverse.

I messaggi con la richiesta di riscatto sono simili ma non identici, tutti inviati automaticamente e istantaneamente tramite autoresponder dall’indirizzo dei criminali nel momento in cui li si contatta tramite posta elettronica.

Hello! Your device is locked. To continue using your device
Pay 300$/0.18 BTC on the Bitcoin Address: 1AQtRCX15YrXzPUZic7FbMotrqLemzjnRi
Online purchase of bitcoins: coinbase . com
Through a credit card you buy. Before you start, register on the site.
After payment, attach a screenshot or tell us the time of payment, we will send your password from your device within an hour.

If you do not pay within 24 hours, the amount will be increased to 600$

Osservando gli indirizzi bitcoin sui quali vengono richiesti i riscatti per lo sblocco degli iPhone, si osservano numerosi pagamenti, alcuni risalgono persino a maggio 2017, in tutto i criminali sembrano aver incassato diversi bitcoin, alcuni wallet contengono infatti più di 100 d’indirizzi che hanno incassato oltre 6 bitcoin nel tempo, cioè al valore attuale oltre 20.000 euro, per quanto alcuni indirizzi sembrano aver incassato singolarmente meno.

Se pago il riscatto ottengo lo sblocco del mio iPhone?

Per questo tipo di ransomware, o meglio, di ricatto basato sul phishing, anche pagando il riscatto è difficile che si ottenga alcun codice di sblocco: abbiamo verificato che alcuni degli indirizzi indicati nel blocco non interagiscono con le vittime lasciando che questi paghino il riscatto, anche piuttosto modesto per la maggior parte dei casi, senza ottenere nulla.

Per questo motivo, anche nel caso in cui per motivi lavorativi o sentimentali aveste davvero bisogno del vostro dispositivo Apple e quindi foste costretti a cedere a compromessi, non pagate il riscatto, arricchirete solamente i delinquenti senza ottenere nulla.

Cosa posso fare per sbloccare il dispositivo?

Per sbloccare il proprio iPhone, iPad, Macbook o iMac potete recarvi presso un centro Apple Store o contattare l’assistenza online, dimostrando di essere i proprietari del vostro dispositivo e account iCloud. Con la prova d’acquisto e con il vostro Mac o iPhone, i tecnici Apple potranno sbloccare il dispositivo e restituirvi l’accesso.

Se avete l’App “Find My Phone” o “Trova il mio iPhone” sincronizzata con qualche dispositivo non ancora bloccato, potete provare a utilizzarla per tentare lo sblocco autonomamente.

Altra possibilità, quella di tentare di rientrare nell’account iCloud tramite il servizio di recupero della password dell’ID iCloud fornito da Apple, sempre se i criminali non hanno modificato le domande di sicurezza e l’indirizzo email di recupero.

Le varie esperienze riportate online non sono tutte positive, ci sono casi nei quali le vittime sono riuscite a riprendere il controllo dei dispositivi perdendone però il contenuto: tramite l’Assistenza Apple sono in fatti riusciti a sbloccare gli iPhone e i Macbook provvedendo però al reset e ripristino dei dati originari, perdendo quindi tutti i propri documenti.

Al momento stiamo facendo verifiche per capire se sia possibile ripristinare i propri iDevice senza dover perdere i propri dati.

Come sono entrati nel mio account iCloud?

In genere, questo tipo di attacchi di phishing vengono lanciati tramite dei falsi alert che arrivano sulle caselle di posta delle vittime e che indicano un presunto accesso all’account iCloud avvenuto da un paese estero, precisando che se non si è gli autori dell’accesso, è sufficiente loggarsi all’indirizzo fornito e cambiare le credenziali di accesso. Non si tratta di un alert di Apple bensì di un messaggio di phishing di quelli che girano da anni: se l’utente clicca sul link e inserisce le proprie credenziali (username e password) di accesso ad iCloud, le fornisce in realtà ai criminali che entro pochi minuti od ore le useranno per loggarsi sul profilo iCloud, cambiare la password e bloccare i dispositivi.

C’è anche la possibilità che, in alcuni casi, come accaduto in altre occasioni non si sia trattato di phishing ma di tentativi fatti dai delinquenti con credenziali riutilizzate identiche in altri servizi di cui sono usciti leak in passato, come ad esempio MySpace, Linkedin, Badoo, Yahoo, DropBox, etc..

Come posso difendermi da questo tipo di attacchi?

Innanzitutto, mai cliccare sui link presenti nelle mail, anche se sembrano provenire da Apple. Se proprio si teme di aver subito un accesso abusivo al proprio account, collegarsi all’indirizzo ufficiale di Apple o iCloud e cambiare la password da lì, meglio se si fa tutto da un computer invece che da tablet o cellulare, è più facile scovare i raggiri.

Detto questo, è essenziale in ogni caso configurare sul proprio account iCloud l’autenticazione a due fattori, che vi permette di proteggere il vostro profilo da accessi indesiderati anche nel caso in cui la vostra password venga compromessa. Sarà infatti necessario, oltre la password, inserire un codice ricevuto sul proprio numero di cellulare oppure su uno degli altri dispositivi Apple in proprio possesso.

L'articolo Phishing con blocco iPhone o Mac e riscatto in bitcoin per utenti Apple sembra essere il primo su Ransomware Blog.

In questi giorni diversi utenti (tra i quali l’amico Stefano Capaccioli, che ringrazio per la segnalazione giunta fra le prime) mi scrivono di aver ricevuto una mail avente come oggetto… la propria password. Non una password inventata, ma una parola chiave attualmente in uso oppure utilizzata in passato. Il messaggio di posta continua spiegando che, essendo a conoscenza della password, l’autore è stato in grado di accedere al nostro PC tramite un sistema di RDP che gli ha permesso di osservare il monitor e la webcam mentre stavamo guardando film pornografici. Storia non nuova, che ricorda tra l’altro la puntata di Black Mirror nella quale i protagonisti vengono effettivamente ricattati da coloro che hanno avuto accesso alla webcam del loro PC registrandone scene poi oggetto di estorsione.

Qualcuno ha un video del mio PC e della mia webcam?

Colui che possiamo cominciare a definire delinquente aggiunge di aver ripreso sia il video a contenuti pornografici sia noi mentre eravamo in procinto di guardarlo, attivando a nostra insaputa la webcam del PC. Avendo poi acquisito tramite keylogger e remote desktop tutti i dati inclusi i contatti di Messenger, Facebook e posta elettronica – continua il malintenzionato – ci vuole poco a diffondere il video, a meno che non si versi un riscatto – a questo punto è chiaro trattasi di estorsione – di 1.900 dollari in bitcoin verso un indirizzo BTC precisato nell’email.

Il testo precisa poi che si ha soltanto un giorno di tempo per pagare da quando viene letto il messaggio e che l’autore – grazie a un pixel inserito nel messaggio stesso – saprà esattamente quando avremo letto la sua missiva. Trascorsa la giornata, in mancanza di pagamento, non resterà all’hacker che divulgare il filmato ai nostri famigliari, amici e parenti. Se invece verrà versato il riscatto, il video sarà cancellato immediatamente e staremo tranquilli.

Se si vuole avere una prova dell’esistenza di questo video? Non si avrà che da rispondere al messaggio – invece che pagare – e il delinquente ne invierà una copia direttamente a otto contatti – si noti bene, non a noi. In sostanza, nessuno tenterà di avere una prova del video, proprio perché significherebbe già divulgarlo.

Il messaggio originale con la richiesta di riscatto

Questo il testo del messaggio originale, la password reale è stata sostituita con “qwerty123”:

Da: __________ <_________@outlook.com>
Data: 10 luglio 2018 12:53:32 CEST
A: “__________” <_________@gmail.com>
Oggetto: qwerty123

I am aware, qwerty123, is your pass word. you may not know me and you’re most likely thinking why you are getting this e-mail, right?

Let me tell you, I placed a malware on the adult videos (pornography) and you know what, you visited this web site to experience fun (you know what I mean). When you were watching videos, your internet browser began working as a Rdp (Remote desktop) having a keylogger which gave me access to your display and also webcam. After that, my software obtained your complete contacts from messenger, fb, as well as email.

What did I do?
I created a double-screen video. 1st part displays the video you were viewing (you’ve got a nice taste rofl), and second part displays the recording of your cam.

Exactly what should you do?
Well, honestly, $1900 is a fair price for our little secret. You’ll make the payment through Bitcoin (if you do not know this, search “how to buy bitcoin” in google).

BTC ADDRESS: ___________________________
(It is CASE sensitive, so copy and paste it)

Note:
You now have one day in order to make the payment. (I have a special pixel within this email message, and now I know that you have read through this message). If I do not get the BitCoin, I definitely will send out your video recording to all of your contacts including members of your family, colleagues, and many others. nonetheless, if I receive the payment, I’ll erase the video immediately. If you want to have evidence, reply with “yes!” and I will send your video recording to your 8 contacts. It is a non negotiable offer, thus don’t waste my personal time & yours by responding to this email.

Da: Ring Palmer
A: info@**********.it
Oggetto: info – *******

I am well aware *******  is your password. Lets get directly to purpose. absolutely no one has compensated me to check you. You do not know me and you’re most likely wondering why you are getting this e-mail?|You may not know me and you’re probably wondering why you’re getting this e mail? Neither anyone has paid me to check about you.}

actually, i actually installed a software on the X videos (porn) website and guess what, you visited this site to experience fun (you know what i mean). When you were viewing video clips, your browser began operating as a RDP that has a keylogger which gave me access to your display screen and also cam. immediately after that, my software program collected your entire contacts from your Messenger, Facebook, and e-mailaccount. Next i created a double video. First part displays the video you were watching (you have a nice taste : )), and 2nd part shows the view of your cam, and its you.

You have got two different options. Let us go through these options in particulars:

Very first option is to dismiss this email message. Consequently, i most certainly will send your actual video clip to each one of your personal contacts and then just consider about the disgrace you will get. and consequently if you happen to be in a committed relationship, exactly how this will affect?

Number 2 solution should be to pay me $1000. We are going to refer to it as a donation. as a result, i most certainly will straightaway remove your video footage. You can go forward your way of life like this never took place and you will not hear back again from me.

You’ll make the payment by Bitcoin (if you do not know this, search for ‘how to buy bitcoin’ in Google search engine).

BTC address to send to: 1N1vAmdsphvCccDymK6yehsMsDWhLV6XvS
[case sensitive so copy and paste it]

if you may be curious about going to the cop, look, this e mail cannot be traced back to me. i have covered my actions. i am just not looking to charge a fee very much, i want to be paid for. i’ve a special pixel within this message, and right now i know that you have read this e mail. You have one day in order to pay. if i don’t get the BitCoins, i will definately send your video recording to all of your contacts including members of your family, co-workers, and many others. However, if i do get paid, i’ll erase the video immediately. it is a non:negotiable offer, that being said don’t waste my time and yours by replying to this email message. if you want to have evidence, reply Yeah! & i will certainly send your video to your 11 contacts.

Altro testo, leggermente diverso dal precedente, che in realtà è in circolazione già da luglio:

I am well aware ********* is your password. Lets get right to the point. You do not know me and you are probably thinking why you’re getting this e-mail? Absolutely no one has compensated me to investigate you.

actually, I placed a malware on the X videos (sex sites) website and do you know what, you visited this website to have fun (you know what I mean). When you were viewing videos, your internet browser began functioning as a RDP that has a keylogger which gave me access to your screen and web camera. after that, my software program gathered all your contacts from your Messenger, Facebook, and emailaccount. After that I made a video. 1st part displays the video you were viewing (you have a fine taste : )), and next part shows the view of your cam, yeah it is u.

You have got two different alternatives. Lets review each one of these solutions in details:

Very first solution is to dismiss this e-mail. In this scenario, I will send your actual video to almost all of your personal contacts and think about concerning the disgrace you feel. Not to mention should you be in an intimate relationship, how it will affect?

Number 2 solution is to compensate me $7000. We are going to describe it as a donation. In this instance, I most certainly will promptly erase your video. You can keep daily life like this never occurred and you will never hear back again from me.

You’ll make the payment by Bitcoin (if you do not know this, search for “how to buy bitcoin” in Google search engine).

BTC Address: 18u3FSpavagGw4LFoUbnzp7t3KZrsg54k4
[case-SENSITIVE copy and paste it]

If you are looking at going to the cops, anyway, this e mail can not be traced back to me. I have dealt with my moves. I am not looking to charge a fee a whole lot, I would like to be paid for. You now have one day to make the payment. I’ve a specific pixel in this email message, and now I know that you have read through this email message. If I do not receive the BitCoins, I will definitely send out your video to all of your contacts including relatives, coworkers, and many others. Nevertheless, if I receive the payment, I will destroy the recording immediately. If you really want proof, reply Yeah then I will send your video recording to your 8 friends. This is the non-negotiable offer therefore please don’t waste mine time & yours by replying to this message.

Aggiornamento: 23 ottobre 2018

La mail con richiesta di riscatto muta e si evolve, in questi giorni si sta diffondendo un’ondata con contenuto simile a questo:

Hello!

I’m a hacker who cracked your email and device a few months ago.
You entered a password on one of the sites you visited, and I intercepted it.
This is your password from info@ransomware.it on moment of hack: kAw523SfL

Of course you can will change it, or already changed it.
But it doesn’t matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.
But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I’ve never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!
BUT I’m sure you don’t want it.

Therefore, I expect payment from you for my silence.
I think $825 is an acceptable price for it!

Pay with Bitcoin.
My BTC wallet: 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj

If you do not know how to do this – enter into Google “how to transfer money to a bitcoin wallet”. It is not difficult.
After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.
If this does not happen – all your contacts will get crazy shots from your dark secret life!
And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!
Police or friends won’t help you for sure …

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.
Farewell.

Rimane valido il fatto che si tratta di mail false, senza alcun fondamento, la password spesso è corretta ma soltanto perché è stata ricavata da liste pubbliche (leak, dump, etc…) dato che non è stato bucato nessun PC né casella di posta elettronica.

Aggiornamento: 29 ottobre 2018

La mail che viene diffusa in questi giorni anche in Italia è in inglese e riporta quanto segue (la password “password123” ovviamente è di fantasia ma nella mail viene riportata una password che l’utente ha utilizzato effettivamente in passato:

Da: info@ransomware.it <info@ransomware.it>
Inviato: lunedì 29 ottobre 2018 13:53:31
A: password123
Oggetto:info@ransomware.it has password password123. Password must be changed

Hello!

I’m a programmer who cracked your email account and device about half year ago.
You entered a password on one of the insecure site you visited, and I catched it.
Your password frominfo@ransomware.it on moment of crack: password123

Of course you can will change your password, or already made it.
But it doesn’t matter, my rat software update it every time.

Please don’t try to contact me or find me, it is impossible, since I sent you an email from your email account.

Through your e-mail, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a rat software on your device and long tome spying for you.

You are not my only victim, I usually lock devices and ask for a ransom.
But I was struck by the sites of intimate content that you very often visit.

I am in shock of your reach fantasies! Wow! I’ve never seen anything like this!
I did not even know that SUCH content could be so exciting!

So, when you had fun on intime sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I jointed them to the content of the currently viewed site.

Will be funny when I send these photos to your contacts! And if your relatives see it?
BUT I’m sure you don’t want it. I definitely would not want to …

I will not do this if you pay me a little amount.
I think $809 is a nice price for it!

I accept only Bitcoins.
My BTC wallet: 1HQ7wGdA5G9qUtM8jyDt5obDv1x3vEvjCy

If you have difficulty with this – Ask Google “how to make a payment on a bitcoin wallet”. It’s easy.
After receiving the above amount, all your data will be immediately removed automatically.
My virus will also will be destroy itself from your operating system.

My Trojan have auto alert, after this email is looked, I will be know it!

You have 2 days (48 hours) for make a payment.
If this does not happen – all your contacts will get crazy shots with your dirty life!
And so that you do not obstruct me, your device will be locked (also after 48 hours)

Do not take this frivolously! This is the last warning!
Various security services or antiviruses won’t help you for sure (I have already collected all your data).

Here are the recommendations of a professional:
Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!

I hope you will be prudent.
Bye.

Aggiornamento: 7 novembre 2018

Cominciano ad arrivare segnalazioni di un nuovo testo, sempre riportante la richiesta di riscatto in bitcoin e una password attendibile, spesso obsoleta, prelevata certamente dai vari data leak disponibili in rete.

Da: info@ransomware.it
Inviato: info@ransomware.it
A: password123
Oggetto: info@ransomware.it is compromised (password123)

Hi‌ the‌re‌

So‌ I’m a‌ ha‌cke‌r who‌ bro‌ke‌ yo‌u‌r e‌-ma‌i‌l a‌s we‌ll a‌s de‌vi‌ce‌ a‌ fe‌w we‌e‌ks ba‌ck.

Yo‌u‌ type‌d i‌n yo‌u‌r pa‌ssco‌de‌ o‌n o‌ne‌ o‌f the‌ we‌b si‌te‌s yo‌u‌ vi‌si‌te‌d, a‌nd I i‌nte‌rce‌pte‌d i‌t.

Thi‌s i‌s yo‌u‌r se‌cu‌ri‌ty pa‌sswo‌rd o‌f info@ransomware.it o‌n mo‌me‌nt o‌f ha‌ck: password123

Obvi‌o‌u‌sly yo‌u‌ ca‌n wi‌ll cha‌nge‌ i‌t, o‌r e‌ve‌n a‌lre‌a‌dy cha‌nge‌d i‌t.

Ne‌ve‌rthe‌le‌ss i‌t do‌e‌sn’t me‌a‌n mu‌ch, my ma‌lwa‌re‌ mo‌di‌fi‌e‌ ;d i‌t e‌a‌ch a‌nd e‌ve‌ry ti‌me‌.

Do‌ no‌t ne‌ce‌ssa‌ri‌ly co‌nsi‌de‌r to‌ ge‌t i‌n to‌u‌ch wi‌th me‌ o‌r fi‌nd me‌, i‌t i‌s i‌mpo‌ssi‌ble‌, si‌nce‌ I se‌nt yo‌u‌ ma‌i‌l fro‌m yo‌u‌r a‌cco‌u‌nt o‌nly.

Thro‌u‌gh yo‌u‌r o‌wn e‌ma‌i‌l, I u‌plo‌a‌de‌d ha‌rmfu‌l co‌de‌ to‌ yo‌u‌r Ope‌ra‌ti‌o‌n Syste‌m.

I sa‌ve‌d a‌ll o‌f yo‌u‌r co‌nta‌cts to‌ge‌the‌r wi‌th fri‌e‌nds, co‌lle‌a‌gu‌e‌s, fa‌mi‌ly me‌mbe‌rs plu‌s a‌ co‌mpre‌he‌nsi‌ve‌ hi‌sto‌ ;ry o‌f vi‌si‌ts to‌ the‌ Wo‌rld-wi‌de‌-we‌b re‌so‌u‌rce‌s.

Addi‌ti‌o‌na‌lly I se‌t u‌p a‌ Vi‌ru‌s o‌n yo‌u‌r de‌vi‌ce‌.

Yo‌u‌ a‌re‌ no‌t my o‌nly pre‌y, I no‌rma‌lly lo‌ck pe‌rso‌na‌l co‌mpu‌te‌rs a‌nd a‌sk fo‌r the‌ ra‌nso‌m.

Ne‌ve‌rthe‌le‌ss I e‌nde‌d u‌p be‌i‌ng stru‌ck by the‌ we‌b si‌te‌s o‌f pa‌ssi‌o‌na‌te‌ co‌nte‌nt tha‌t yo‌u‌ o‌fte‌n ta‌ke‌ a‌ lo‌o‌k a‌t.

I a‌m i‌n i‌mpa‌ct o‌f yo‌u‌r cu‌rre‌nt fa‌nta‌si‌e‌s! I’ve‌ ce‌rta‌i‌nly no‌t o‌bse‌rve‌d so‌me‌thi‌ng li‌ke‌ thi‌s!

So‌, whe‌n yo‌u‌ ha‌d fu‌n o‌n pi‌qu‌a‌nt we‌b pa‌ge‌s (yo‌u‌ kno‌w wha‌t I a‌m ta‌lki‌ng a‌bo‌u‌t!) I ma‌de‌ scre‌e‌n sho‌t wi‌th u‌si‌ng my pro‌gra‌m fro‌m yo‌u‌r ca‌me‌ra‌ o‌f yo‌u‌rs syste‌m.

Ne‌xt, I pu‌t to‌ge‌the‌r the‌m to‌ the‌ co‌nte‌nt o‌f the‌ pa‌rti‌cu‌la‌r cu‌rre‌ntly se‌e‌n si‌te‌.

No‌w the‌re‌ wi‌ll ce‌rta‌i‌nly be‌ gi‌ggli‌ng whe‌n I se‌nd the‌se‌ pho‌to‌gra‌phs to‌ yo‌u‌r co‌nta‌cts!

Ye‌t I a‌m su‌re‌ yo‌u‌ do‌n’t wa‌nt i‌t.

The‌re‌fo‌re‌, I e‌xpe‌ct pa‌yme‌nt fro‌m yo‌u‌ fo‌r my qu‌i‌e‌t.

I thi‌nk $900 i‌s a‌n a‌ppro‌pri‌a‌te‌ co‌st re‌ga‌rdi‌ng i‌t!

Pa‌y wi‌th Bi‌tco‌i‌ns.

My Bi‌tco‌i‌n wa‌lle‌t a‌ddre‌ss i‌s 1CzZc2deyhtxABm3MxJZQdj7sYSG4z2dKi

In ca‌se‌ yo‌u‌ do‌ no‌t u‌nde‌rsta‌nd ho‌w to‌ do‌ thi‌s – e‌nte‌r i‌n to‌ Go‌o‌gle‌ ‘ho‌w to‌ se‌nd mo‌ne‌y to‌ the‌ bi‌tco‌i‌n wa‌lle‌t’. It i‌s no‌t di‌ffi‌cu‌lt.

Ri‌ght a‌fte‌r re‌ce‌i‌vi‌ng the‌ spe‌ci‌fi‌e‌d a‌mo‌u‌nt, a‌ll yo‌u‌r i‌nfo‌ wi‌ll be‌ pro‌mptly e‌li‌mi‌na‌te‌d a‌u‌to‌ma‌ti‌ca‌lly. My tro‌ja‌n wi‌ll a‌lso‌ re‌mo‌ve‌ i‌tse‌lf o‌u‌t o‌f yo‌u‌r co‌mpu‌te‌r.

My Co‌mpu‌te‌r vi‌ru‌s po‌sse‌ss a‌u‌to‌ a‌le‌rt, so‌ I kno‌w whe‌n thi‌s spe‌ci‌fi‌c e‌ma‌i‌l i‌s o‌pe‌ne‌d.

I gi‌ve‌ yo‌u‌ 2 da‌ys (48 hrs) fo‌r yo‌u‌ to‌ ma‌ke‌ a‌ pa‌yme‌nt.

In ca‌se‌ thi‌s do‌e‌s no‌t ta‌ke‌ pla‌ce‌ – a‌ll yo‌u‌r a‌sso‌ci‌a‌te‌s wi‌ll ge‌t i‌nsa‌ne‌ pi‌ctu‌re‌s fro‌m yo‌u‌r da‌rki‌sh se‌cre‌t li‌fe‌ a‌nd yo‌u‌r syste‌m wi‌ll be‌ blo‌cke‌d a‌s we‌ll a‌fte‌r two‌ da‌ys.

Do‌ no‌t e‌nd u‌p be‌i‌ng si‌lly!

Co‌ps o‌r fri‌e‌nds wo‌n’t a‌ssi‌st yo‌u‌ fo‌r su‌re‌ …

PS I ca‌n pre‌se‌nt yo‌u‌ wi‌th a‌dvi‌ce‌ wi‌th re‌ga‌rd to‌ the‌ fu‌tu‌re‌. Ne‌ve‌r ke‌y i‌n yo‌u‌r se‌cu‌ri‌ty pa‌sswo‌rds o‌n u‌nsa‌fe‌ we‌b si‌te‌s.

I e‌xpe‌ct fo‌r yo‌u‌r di‌scre‌ti‌o‌n.

Ha‌sta‌ la‌ vi‌sta‌.

Aggiornamento: 12 novembre 2018

La richiesta di riscatto si fa più alta (7.000 dollari) e il testo si evolve illustrando esattamente le conseguenze del mancato pagamento di riscatto in bitcoin:

Da: Florry Cader <nkzaramr@outlook.com>
Data: 12 novembre 2018 02:46:48 CET
A: “info@ransomware.it”>
Oggetto: info – password123

password123 o‌n‌e o‌f yo‌ur pass. L‌ets g‌et right to purpo‌s‌e. Not on‌e perso‌n ha‌s co‌mp‌ensa‌t‌ed m‌e to‌ ch‌eck a‌bo‌ut you. Yo‌u do‌n’t know m‌e a‌nd yo‌u a‌r‌e most li‌k‌ely wond‌eri‌ng why you’r‌e getti‌ng thi‌s ‌e ma‌i‌l?

W‌ell, i‌ s‌etup a‌ ma‌lwa‌r‌e o‌n th‌e a‌dult vi‌deo‌ clips (a‌dult porn) w‌eb si‌t‌e a‌nd gu‌ess what, yo‌u vi‌sit‌ed this sit‌e to hav‌e fun (you kno‌w what i m‌ea‌n). Whi‌l‌e you w‌er‌e vi‌‌ewing vi‌d‌eo‌s, yo‌ur i‌nt‌ern‌et bro‌ws‌er b‌ega‌n functi‌o‌ni‌ng a‌s a‌ RDP tha‌t has a k‌eylo‌gger which pro‌vi‌d‌ed me a‌cc‌ess to‌ yo‌ur di‌spla‌y a‌s well as ca‌m. i‌mm‌edi‌a‌t‌ely aft‌er tha‌t, my so‌ftwa‌r‌e co‌ll‌ect‌ed a‌ll yo‌ur contacts fro‌m your Mess‌enger, FB, a‌s w‌ell a‌s ‌email . N‌ext i‌ cr‌ea‌t‌ed a‌ vi‌deo‌. Fi‌rst pa‌rt di‌spla‌ys the vi‌deo you w‌er‌e wa‌tchi‌ng (yo‌u hav‌e a go‌o‌d ta‌ste lo‌l), a‌nd 2nd pa‌rt shows th‌e r‌eco‌rdi‌ng o‌f yo‌ur ca‌m, & its yo‌u.

Yo‌u go‌t two‌ cho‌i‌ces. L‌ets check o‌ut th‌e so‌luti‌o‌ns i‌n d‌eta‌i‌ls:

1st cho‌i‌ce i‌s to‌ just igno‌r‌e thi‌s ‌e ma‌i‌l. i‌n thi‌s scena‌ri‌o, i‌ a‌m go‌i‌ng to‌ s‌end o‌ut yo‌ur very own ta‌p‌e to‌ a‌lmo‌st a‌ll of your p‌erso‌nal co‌ntacts and th‌en just thi‌nk a‌bo‌ut th‌e di‌sgra‌c‌e you will s‌e‌e. Do‌ no‌t fo‌rg‌et if yo‌u ar‌e i‌n a‌ ro‌ma‌nti‌c r‌ela‌ti‌o‌nshi‌p, ‌exa‌ctly ho‌w this wi‌ll a‌ff‌ect?

Numb‌er 2 a‌lt‌erna‌tiv‌e wi‌ll b‌e to‌ co‌mp‌ensa‌t‌e m‌e 7000 USD. L‌ets r‌egard it a‌s a‌ do‌na‌ti‌o‌n. Co‌ns‌equ‌ently, i mo‌st certa‌i‌nly wi‌ll stra‌i‌ght a‌way d‌el‌ete yo‌ur vi‌deo foo‌ta‌g‌e. Yo‌u co‌uld r‌esum‌e yo‌ur wa‌y o‌f li‌fe li‌k‌e this n‌ever occurr‌ed and yo‌u wi‌ll not ‌ev‌er hear ba‌ck a‌ga‌i‌n fro‌m m‌e.

Yo‌u will ma‌k‌e th‌e pa‌ym‌ent thro‌ugh Bi‌tco‌in (i‌f yo‌u do‌ no‌t kno‌w thi‌s, s‌ea‌rch ‘how to buy bit‌coi‌n’ in Go‌o‌gl‌e s‌earch ‌engi‌ne).

B‌TC‌ a‌ddr‌ess: 1HViUyJoWXoCFHiiCLiBE6keyNrJWgSdDM
[Ca‌S‌e-s‌ensi‌ti‌v‌e, co‌py & pa‌ste i‌t]

i‌f yo‌u may be pla‌nni‌ng o‌n go‌i‌ng to‌ the co‌p, well, this e-mai‌l can no‌t b‌e tra‌c‌ed ba‌ck to‌ m‌e. I‌ hav‌e co‌v‌er‌ed my steps. i‌ a‌m just no‌t a‌tt‌empti‌ng to cha‌rg‌e a‌ f‌e‌e very much, i‌ si‌mply wa‌nt to‌ b‌e co‌mp‌ensa‌t‌ed. i ha‌v‌e a‌ sp‌eci‌a‌l pi‌x‌el wi‌thi‌n thi‌s m‌essa‌ge, a‌nd no‌w i‌ know tha‌t yo‌u hav‌e r‌ea‌d this ‌e-ma‌i‌l. You now ha‌v‌e o‌n‌e da‌y to‌ pa‌y. i‌f i do‌n’t r‌ecei‌v‌e th‌e BitC‌o‌ins, i will d‌efini‌tely send out yo‌ur vi‌d‌eo‌ r‌eco‌rdi‌ng to‌ a‌ll o‌f yo‌ur co‌nta‌cts i‌ncludi‌ng m‌emb‌ers o‌f yo‌ur fa‌mi‌ly, co-wo‌rkers, and so‌ o‌n. Ho‌w‌ev‌er, i‌f i‌ do‌ g‌et pa‌i‌d, i‌ wi‌ll ‌era‌s‌e th‌e r‌eco‌rdi‌ng immedi‌a‌t‌ely. Thi‌s is a‌ no‌n:n‌ego‌ti‌abl‌e o‌ff‌er a‌nd thus pl‌ea‌s‌e do‌n’t wast‌e my perso‌na‌l ti‌me & yours by r‌eplyi‌ng to‌ thi‌s ‌e-mai‌l. i‌f you wa‌nt ‌evi‌d‌enc‌e, r‌eply Yes! a‌nd i wi‌ll c‌ertai‌nly send yo‌ur vi‌d‌eo r‌ecordi‌ng to‌ your 9 fri‌‌ends.

Aggiornamento: 23 novembre 2018

Nuovo contenuto della mail di ricatto, decisamente aggiornato rispetto alle precedenti, mantenendo sempre la password del proprio account bene in vista atta a rendere la minaccia credibile.

Oggetto: info@ransomware.it has been hacked! Change your password immediately!
Date: 23 Nov 2018 15:02:29 -0300
From: info@ransomware.it
To: password123 <info@ransomware.it>

Hello!

I have very bad news for you.
03/08/2018 – on this day I hacked your OS and got full access to your account info@ransomware.it
On this day your account info@ransomware.it has password: password123

So, you can change the password, yes.. But my malware intercepts it every time.

How I made it:
In the software of the router, through which you went online, was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I’m talk you about sites for adults.

I want to say – you are a BIG pervert. Your fantasy is shifted far away from the normal course!

And I got an idea….
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

I’m know that you would not like to show these screenshots to your friends, relatives or colleagues.
I think $880 is a very, very small amount for my silence.
Besides, I have been spying on you for so long, having spent a lot of time!

Pay ONLY in Bitcoins!
My BTC wallet: 18YDAf11psBJSavARQCwysE7E89zSEMfGG

You do not know how to use bitcoins?
Enter a query in any search engine: “how to replenish btc wallet”.
It’s extremely easy

For this payment I give you a little over two days (exactly 55 hours).
As soon as this letter is opened, the timer will work.

After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.
If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your “enjoys”.

I hope you understand your situation.
– Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)
– Do not try to contact me (you yourself will see that this is impossible, I sent this email from your account)
– Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.

P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!
This is the word of honor hacker

I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.

Do not hold evil! I just do my job.
Good luck.

27 dicembre 2018

Anche dopo Natale, torna la truffa con la richiesta di riscatto in bitcoin e la mail con la password ricavata dai leak online, il testo è simile ai precedenti, leggermente aggiornati in alcune parti.

Subject:
Your account has been hacked! You need to unlock.
From:
<info@ransomware.it>
Date:
27/12/2018, 10:32 +0000
To:
password123 <info@ransomware.it>

Hi, stranger!

I know the password123, this is your password, and I sent you this message from your account.
If you have already changed your password, my malware will be intercepts it every time.

You may not know me, and you are most likely wondering why you are receiving this email, right?
In fact, I posted a malicious program on adults (pornography) of some websites, and you know that you visited these websites to enjoy
(you know what I mean).

While you were watching video clips,
my trojan started working as a RDP (remote desktop) with a keylogger that gave me access to your screen as well as a webcam.

Immediately after this, my program gathered all your contacts from messenger, social networks, and also by e-mail.

What I’ve done?
I made a double screen video.
The first part shows the video you watched (you have good taste, yes … but strange for me and other normal people),
and the second part shows the recording of your webcam.

What should you do?

Well, I think $772 (USD dollars) is a fair price for our little secret.
You will make a bitcoin payment (if you don’t know, look for “how to buy bitcoins” on Google).

BTC Address: 16LBDius3vg6ufFvnc7PGXfiTZgphuZgr5
(This is CASE sensitive, please copy and paste it)

Remarks:
You have 2 days (48 hours) to pay. (I have a special code, and at the moment I know that you have read this email).

If I don’t get bitcoins, I will send your video to all your contacts, including family members, colleagues, etc.
However, if I am paid, I will immediately destroy the video, and my trojan will be destruct someself.

If you want to get proof, answer “Yes!” and resend this letter to youself.
And I will definitely send your video to your any 16 contacts.

This is a non-negotiable offer, so please do not waste my personal and other people’s time by replying to this email.

Bye!

L'articolo Avete ricevuto una mail con la vostra password e richiesta di riscatto in bitcoin? sembra essere il primo su Ransomware Blog.

Dopo l’ondata di quest’estate di ricatti con estorsione in bitcoin e minaccia di divulgare video ripresi dalla webcam del proprio PC a seguito di un hack arriva oggi una nuova ondata di estorsioni di tipo “sextorsion“, sempre via mail, ma questa volta con argomentazioni diverse e completamente in italiano.

I criminali comunicano ora a numerosi utenti ignari (le cui email sono state prelevate online probabilmente da diverse fonti) di aver bucato il loro account di posta elettronica scaricando tutte le informazioni riservate e, come se non bastasse, hanno installato anche un trojan sul sistema tramite il quale hanno ripreso attraverso la webcam la povera vittima durante la visione di filmati pornografici, sincronizzando persino la ripresa della webcam del PC con il filmato pornografico.

Il delinquente minaccia quindi tramite la sua “sextortion” di divulgare i video e i contenuti acquisiti dalla casella di posta ai contatti della vittima, se questi non paga entro due giorni la modica cifra di 300 dollari a un indirizzo bitcoin del wallet del criminale. In caso di pagamento, il criminale cancellerà tutti i file e filmati “rubati” alla povera vittima tramite l’account di posta e la webcam del PC attivata tramite un trojan/virus installato sui siti porno.

Cosa dice il messaggio di SPAM?

Ecco un esempio di messaggio di “sextortion” (cioè di estorsione a sfondo sesssuale) ricevuto da una delle tante vittime in data odierna:

From: info@_________.it
Subject: Relativamente alle questioni di sicurezza
To: info@_________.it
Ciao, caro utente di _________.it

Abbiamo installato un trojan di accesso remoto sul tuo dispositivo.

Per il momento il tuo account email è hackerato (vedi , ora ho accesso ai tuoi account). Ho scaricato tutte le informazioni riservate dal tuo sistema e ho anche altre prove. La cosa più interessante che ho scoperto sono i video dove tu masturbi.

Avevo incorporato un virus sul sito porno dopo di che tu l’hai installato sul tuo sistema operativo. Quando hai cliccato su Play di un video porno, in quel momento il tuo dispositivo ha scaricato il mio trojan. Dopo l’installazione la tua camera frontale ti filma ogni volta che tu masturbi, in più il software è sincronizzato con video che tu scegli.

Per il momento il software ha raccolto tutte le informazioni sui tuoi contatti dalle reti sociali e tutti gli indirizzi email. Se tu vuoi che io cancelli tutti i dati raccolti, devi trasferirmi $300 in BTC (criptovaluta). Questo è il mio portafoglio Bitcoin: 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck
Una volta letta questa comunicazione hai 2 giorni a disposizione.

Appena hai provveduto alla transazione tutti i tuoi dati saranno cancellati.
Altrimenti manderò i video con le tue birichinate a tutti i tuoi colleghi e amici!!!

E da ora in poi stai più attento!
Per favore, visita solo siti sicuri!
Ciao!

E’ tutto vero? Devo preoccuparmi?

Ovviamente è tutto un bluff, i delinquenti non hanno nulla, non hanno avuto accesso (o “hackerato”, come dicono loro) all’account di posta né incorporato virus su siti porno (cosa che talvolta avviene, in realtà, ma non in questo caso) né installato malware che spiano la webcam degli utenti.

Non c’è quindi motivo di preoccuparsi. A differenza di altre ondate si spam, in questo caso i delinquenti non hanno neanche utilizzato dati provenienti da leak di username e password, accontentandosi di elenchi di indirizzi email probabilmente prelevati dal web, dal whois dei domini o da leak dei quali però non hanno utilizzato le password per “spaventare” le vittime.

Ma l’hacker ha inviato la mail dal mio indirizzo, quindi è entrato…

Uno degli aspetti che turba maggiormente chi riceve questi messaggi è proprio il fatto di vedere come mittente il proprio indirizzo. Questo però non significa che il delinquente ha avuto accesso al nostro account o possieda la nostra password, semplicemente ha forgiato il messaggio in modo da “fingere” la presenza del mittente identica al destinatario, cosa fattibile con programmi d’invio spam, a mano tramite telnet/netcat oppure tramite servizi come Emkei.

Per quanto gli header del messaggio siano ingannevoli, si tratta di intestazioni passate dal software di spam al server SMTP di terminazione della catena degli MTA, quello che ospita la mailbox del ricevente, che può essere più facilmente “ingannato” con header fasulli che, appunto, rendono credibile l’invio di una mail dalla stessa casella che l’ha ricevuta.

Cosa devo fare?

Non c’è bisogno di fare nulla, spesso la mail viene filtrata automaticamente dal provider salvandola nella cartella dello SPAM, quando non fosse è sufficiente ignorarla e cancellarla, dato che non c’è nulla di vero.

I criminali non hanno la nostra password, non hanno installato alcuno spyware, non hanno bucato caselle di posta o fatto altro, hanno semplicemente preso liste di nomi ed email dal web sperando di trovare vittime che pagassero il riscatto ritenendo attendibile la minaccia.

Possiamo, comunque, approfittare di questo episodio per mettere un po’ in sicurezza i nostri account e verificare se la nostra mail è presente sul database delle credenziali messe a disposizione dai criminali sul dark web nei vari password leak consultando il sito Have I Been Powned e, in caso positivo, verificare di aver cambiato la nostra password senza riciclarla peraltro su più siti o servizi diversi.

Altro consiglio, valido sempre, è quello di attivare i meccanismi di protezione tramite autenticazione a due fattori, cosa che impedisce a terzi di accedere ai nostri profili anche in caso di divulgazione della nostra password.

Qualcuno ha pagato il riscatto?

La speranza dei delinquenti è che chi riceve la mail si senta vulnerabile e, nel dubbio, paghi con una transazione in bitcoin di $ 300 all’indirizzo 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck, che osserviamo è lo stesso per tutte le email. In altri casi di estorsione, l’indirizzo su cui viene richiesto il pagamento del riscatto in bitcoin cambia da utente a utente, rendendo quindi più difficile l’analisi dei pagamenti.

In questo caso, essendo l’address bitcoin su cui il fantomatico “hacker” richiede il versamento del ricatto sempre lo stesso, possiamo visionare sulla blockchain quanto è l’importo a oggi pagato. L’indirizzo bitcoin 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck risulta aver ricevuto a oggi 0.09762462 BTC, corrispondenti a poco più di 500 euro in due transazioni da circa 300 dollari l’una.

Tali transazioni potrebbero essere due pagamenti eseguiti da parte di due vittime che “ci sono cascate” ma anche due versamenti fatti dal delinquente stesso per dimostrare a chi volesse verificare che qualcuno sta pagando, sperando così magari di convincere chi fosse incerto a farlo. I fondi a oggi non sono ancora stati spesi, cosa che permetterebbe di tentare attività di tracciamento, clusterizzazione e potenzialmente deanonimizzazione delle transazioni a meno di una certa attenzione da parte del criminale.

Aggiornamento al 13 settembre 2018: arrivano altri pagamenti e altri indirizzi bitcoin

L’ondata di spam continua e stanno arrivando diversi pagamenti sull’indirizzo del riscatto. A oggi siamo a 11 pagamenti per un totale di quasi 3.000 dollari. A questo punto, l’ipotesi iniziale dei pagamenti fatti dai delinquenti per convincere le vittime della “serietà” della minaccia passa in secondo piano: si tratta evidentemente di pagamenti di riscatto da parte di chi ha ricevuto il messaggio di posta e lo ha ritenuto attendibile.

Sembra che siano state inviate mail con indicazione di ulteriori indirizzi bitcoin su cui ricevere il riscatto. L’utente JAMESWT_MHT mostra su Twitter una mail di spam con l’indirizzo  bitcoin 13Bh4xUP37EQgpEdkhZWYuLKMLGfmp1zym, su cui però a oggi non sono ancora stati ricevuti pagamenti. Altri utenti ci segnalano anche l’indirizzo bitcoin 1CSsVgPgwTNLGgQCHRBPa7ZNH7oxK9cf2k sul quale nel messaggio a loro indirizzato viene richiesto il pagamento del riscatto, indirizzo che a oggi ha ottenuto quattro pagamenti per quasi un migliaio di dollari.

Aggiornamento al 14 settembre 2018: il messaggio viene diffuso anche in altre lingue

L’amico Gianluca Varisco ha raccolto in un post su Facebook lo stesso messaggio descritto nel presente post ma in lingua francese e tedesca, con indirizzi bitcoin differenti.

La versione Francese contiene il seguente testo, che invita a pagare 250$ sull’indirizzo bitcoin 18firbfmx4KoNeM4cBhcDdXgp2Aiduo43G:

Bonjour, cher utilisateur de xxx.fr
Nous avons installé un logiciel RAT dans votre appareil.
Pour l’instant, votre compte e-mail est piraté (voir pour , j’ai maintenant accès à vos comptes).
J’ai téléchargé toutes les informations confidentielles de votre système et j’ai obtenu des preuves supplémentaires.
La chose la plus intéressante que j’ai découvert est celui des enregistrements vidéo de votre masturbation.

J’ai posté mon virus sur un site porno, puis vous l’avez installé sur votre système d’exploitation.
Lorsque vous avez cliqué sur le bouton Play on porn video, à ce moment-là mon troyen a été téléchargé sur votre appareil.
Après l’installation, votre caméra frontale prend une vidéo chaque fois que vous vous masturbez. De plus, le logiciel est synchronisé avec la vidéo de votre choix.

Pour le moment, le logiciel a collecté toutes vos informations de contact sur les réseaux sociaux et les adresses e-mail
Si vous devez effacer toutes vos données collectées, envoyez-moi 250$ en BTC (crypto-monnaie).
Ceci est mon portefeuille Bitcoin: 18firbfmx4KoNeM4cBhcDdXgp2Aiduo43G
Vous avez 2 jours après avoir lu cette lettre.

Après votre transaction, je vais effacer toutes vos données.
Sinon, je vais envoyer une vidéo avec vos farces à tous vos collègues et amis !!!

Et désormais, soyez plus prudent!
Visitez uniquement les sites sécurisés!
Au revoir!

La versione Tedesca invita a versare 300 dollari sugli indirizzi bitcoin 1KxCvtggcPd7c9UtUxYkJW2AwCQMknJkth e 1MZHWpgmUyjmExofPDCmYuVz9kmnTpu6m:

„Subject: Es geht um Ihre Sicherheit.
Hallo, lieber Benutzer von XXXX

Wir haben eine RAT-Software auf Ihrem Gerät installiert.
Zu dieser Zeit ist Ihr E-Mail-Konto gehackt (siehe , jetzt habe ich den Zugriff auf Ihre Konten).
Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.

Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button „Play“ auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.
Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $300 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 1KxCvtggcPd7c9UtUxYkJW2AwCQMknJkth
Sie haben 2 Tage nach dem Lesen dieses Briefes.

Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!

Aggiornamento al 16 settembre 2018: nuovi indirizzi bitcoin per il pagamento del riscatto

Nuove segnalazioni ci indicano questo indirizzo su cui viene richiesto il pagamento del riscatto per non divulgare i fantomatici video ripresi tramite la webcam del PC (che, ricordiamo, in realtà non esistono, dato che i criminali non hanno avuto accesso né a mail né a PC).

• 1PtDCgLv2vEe9yJATBFkTRY3nCJ2kwkQT2
• 13yB2gZppype2pajdsVPZDw856MFw9goFQ
• 1J6dbvxdFtbAZq51QorWvWcqsG9CePYM7a

Aggiornamento al 18 settembre 2018: cambia il testo e arriva il “gruppo internazionale famoso di hacker”

La mail muta il contenuto, mantenendo gli stessi toni, aggiungendo il riferimento a  un fantomatico “gruppo internazionale famoso di hacker” e utilizzando come per il caso precedente lo stesso mittente del destinatario, per convincerlo di aver effettivamente avuto accesso alla sua casella di posta. L’oggetto del messaggio di spam è ora: “La tua vita segreta” oppure “Tuo account” o ancora “Avviso di sicurezza!” oppure “Il tuo account è hackerato!“e il contenuto sulla linea di quanto segue:

Da: ___________@_____.it
A:___________@_____.it
Oggetto: La tua vita segreta (oppure “Tuo account” o ancora “Avviso di sicurezza!” o “Il tuo account è hackerato!“)

Salve!

Come avrai già indovinato, il tuo account r.morra@alice.it è stato hackerato, perché è da lì che ho inviato questo messaggio.

Io rappresento un gruppo internazionale famoso di hacker.
Nel periodo dal 22.07.2018 al 14.09.2018, su uno dei siti per adulti che hai visitato, hai preso un virus che avevamo creato noi.
In questo momento noi abbiamo accesso a tutta la tua corrispondenza, reti sociali, messenger.
Anzi, abbiamo i dump completi di questo tipo di informazioni.

Siamo al corrente di tutti i tuoi “piccoli e grossi segreti”, sì sì… Sembra che tu abbia tutta una vita segreta.
Abbiamo visto e registrato come ti sei divertito visitando siti per adulti… Dio mio, che gusti, che passioni tu hai…

Ma la cosa ancora più interessante è che periodicamente ti abbiamo registrato con la web cam del tuo dispositivo, sincronizzando la registrazione con quello che stavi guardando!
Non credo che tu voglia che tutti i tuoi segreti vedano i tuoi amici, la tua famiglia e soprattutto la tua persona più vicina.

Trasferischi 300$ sul nostro portafoglio di criptovaluta Bitcoin: 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP
Garantisco che subito dopo provvederemo a eliminare tutti i tuoi segreti!
Dal momento in cui hai letto questo messaggio partirà un timer.
Avrai 48 ore per trasferire la somma indicata sopra.

Appena l’importo viene versato sul nostro conto tutti i tuoi dati saranno eliminati!
Se invece il pagamento non arriva, tutta la tua corrispondenza e i video che abbiamo registrato automaticamente saranno inviati a tutti i contatti che erano presenti sul tuo dispositivo nel momento di contagio!

Mi dispiace, ma bisogna pensare alla propria sicurezza!
Speriamo che questa storia ti insegni a nascondere i tuoi segreti in una maniera adeguata!
Stammi bene!

Anche in questo caso, la mail è un “bluff”, uno spam inviato a centinaia di migliaia di persone scelte a caso, sperando di convincerle della veridicità delle affermazioni ivi contenute. La realtà è che il fantomatico hacker non ha avuto accesso a corrispondenza, reti sociali, messenger né alla webcam. Il delinquente sta semplicemente sperando che i riceventi cadano nel tranello e paghino l’esigua cifra richiesta, nel dubbio che ci possa essere qualcosa di vero in quanto riportato nel messaggio.

Si consideri infatti l’aspetto tecnico del pagamento del riscatto, che dimostra che è tutto un fake: le mail di ricatto contengono tutte lo stesso indirizzo bitcoin 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP, per quanto talvolta cambi, ripetendosi però identico tra gruppi di destinatari. Se la richiesta di riscatto fosse reale, i delinquenti dovrebbero:

1. Richiedere alle vittime, una volta fatto il pagamento tutte sullo stesso indirizzo bitcoin, di fornirne la prova comunicando in qualche modo l’identificativo della transazione bitcoin, per poterle distinguere;
2. Fornire – sempre nel caso i un unico pagamento – alle vittime un codice distintivo (cosa che i ransomware in genere fanno) per permettere ai malcapitati di poter indicare chi sono quando pagano il riscatto;
3. Fornire a ogni vittima un indirizzo diverso, così da poter distinguere un pagamento dall’altro e quindi capire quali dati andrebbero eliminati per mantenere la “promessa” fatta (“Garantisco che subito dopo provvederemo a eliminare tutti i tuoi segreti!“);

Nessuna di queste due operazioni viene richiesta, questo significa che il pagamento, in ogni caso, se fatto (cosa che sconsigliamo altamente) sull’indirizzo 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP non può essere identificato dal delinquente, risultando perciò mescolato insieme agli altri e indistinguibile.

Aggiornamento al 16 ottobre 2018: altro testo e altri indirizzi

Numerose segnalazioni ci riportano come il testo della mail con la richiesta di riscatto sia cambiato, aprendo ora il messaggio con un “Il mio nickname in darknet è smith42” (o username simili).

Il testo completo del messaggio di spam è il seguente:

Ciao!

Il mio nickname in darknet è smith42.
Ho hackerato questa cassetta postale più di sei mesi fa,
attraverso di esso ho infettato il tuo sistema operativo con un virus (trojan) creato da me e ti sto monitorando da molto tempo.

Se non mi credi, per favore controlla ‘from address’ nella tua intestazione, vedrai che ti ho mandato una email dalla tua casella di posta.

Anche se hai cambiato la password, non importa, il mio virus ha intercettato tutti i dati di cache sul tuo computer
e automaticamente salvato l’accesso per me.

Ho accesso a tutti i tuoi account, social network, email, cronologia di navigazione.
Di conseguenza, ho i dati di tutti i tuoi contatti, file dal tuo computer, foto e video.

Sono rimasto molto colpito dai siti di contenuti intimi che occasionalmente visiti.
Hai una fantasia molto selvaggia, ti dico!

Durante il passatempo e l’intrattenimento lì, ho fatto uno screenshot attraverso la fotocamera del tuo dispositivo, sincronizzandoti con quello che stai guardando.
Dio mio! Sei così divertente ed eccitato!

Penso che tu non voglia che tutti i tuoi contatti ottengano questi file, giusto?
Se sei della stessa opinione, allora penso che 300$ sia un prezzo abbastanza onesto per distruggere il sudiciume che ho creato.

Invia l’importo sopra indicato sul mio portafoglio BTC (bitcoin): 1KGjDZ7RFV39r2q1JeSpZAF5L3fnpuenmT
Non appena ricevuto l’importo di cui sopra, garantisco che i dati verranno eliminati, non ne ho bisogno.

In caso contrario, questi file e la cronologia dei siti visitati otterranno tutti i tuoi contatti dal tuo dispositivo.
Ho anche salvato i log della tua corrispondenza. Tutti i tuoi contatti avranno accesso a loro!

Dopo aver letto questa lettera hai 50 ore!
(Non appena ricevi questo messaggio, sarò informato a riguardo).

Spero di averti insegnato una buona lezione.
Non essere così indifferente, visita solo risorse provate e non inserire le tue password ovunque!
In bocca al lupo!

Il tenore del messaggio con l’estorsione è sempre lo stesso ma l’indirizzo bitcoin su cui viene richiesto il riscatto è ora il “1KGjDZ7RFV39r2q1JeSpZAF5L3fnpuenmT”, sul quale non sono stati ancora versati fondi.

L'articolo Nuovo ricatto in bitcoin con minaccia di divulgazione video webcam sembra essere il primo su Ransomware Blog.

Alle solite email di ricatto con minaccia di divulgazione filmati hot girati con la webcam della vittima  si aggiungono link a ransomware, dai quali il malcapitato viene persuaso di poter accedere ai suoi video “hot”. Oltre alla richiesta di pagamento del riscatto in bitcoin, la vittima viene invitata ad aprire il link: a quel punto s’infetta con il ransomware GrandCrab e gli viene chiesto di pagare per decifrare i propri dati.

Proofpoint ha rilevato una nuova ondata di sextortion dove alla vittima oltre che richiedere pagamento in bitcoin viene chiesto di aprire e visionare un link, contenente appunto il presunto video “hot” girato tramite la webcam del PC, per la cui rimozione nelle altre mail di sextorsion circolate in questi mesi viene richiesto il pagamento di un riscatto in bitcoin da 300 a 7000 dollari.

Il messaggio utilizzato questa volta dai delinquenti per convincere la vittima a cliccare sul link e scaricare quello che sembra essere un video hot – mentre in realtà è un link al ransomware GrandCrab – è il seguente:

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser:
https[:]//google.com/url?q=_______”

Aprendo il link e avviando ciò che viene scaricato, invece del filmato ci si trova il ransomware GrandCrab che, in pochi minuti, se non bloccato da opportune contromisure, comincia a criptare i dati del PC chiedendo un riscatto di 500 dollari in Bitcoin.

Proofpoint riporta i seguenti IOC, indicatori di compromissione:

• URL in email: hzzp://jdhftu[.]tk/&4448<anonymized>
• Foto_Client89661_01.zip (Compressed AZORult): a7ba2c9def86e54086f0624a73597865a90cb93aa72dec7fdf264f655cf1bb56
• Foto_Client89661_01.scr (AZORult): 29b42b0ecd874bcad5a5d9d03ed8f8dee320892305312b4898a0b64f9fbde93a
• AZORult C&C: hxxp://egorgerov3[.]temp[.]swtest[.]ru/index.php
• AZORult payload (GandCrab): hxxp://supermainers[.]online/exp.exe
• GandCrab: ef07905923461ce13a3ca18ef6eb1833a8c8d327d47e9cc8641a2ca3d5ce97f3
• GandCrab Payment portal: gandcrabmfe6mnef[.]onion

Questo è il testo integrale della mail riportata da ProofPoint, con la richiesta di riscatto e l’invito ad aprire il link contenente il ransomware GrandCrab:

Oggetto: Attention! To your email – ____@______ – 09/08/2018 -was accessed by me!

Hello!

I have very bad news for you.
09/08/2018 – on this day, I got access to your OS and gained complete control over your system.
On this day your account____@______ has password: _______

So, you can change the password, yes.. But my malware intercepts it every time.

How I made it:
In the software of the router, through which you went online, was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I’m talk you about sites for adults.

I want to say – you are a BIG pervert. Your fantasy is shifted far away from the normal course!

And I got an idea….
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser:
https[:]//google.com/url?q=_______

I’m know that you would not like to show these screenshots to your friends, relatives or colleagues.
I think $381 is a very, very small amount for my silence.
Besides, I have been spying on you for so long, having spent a lot of time!

L'articolo Il ransomware GrandCrab rende più efficace la sextorsion del video della webcam sembra essere il primo su Ransomware Blog.

Continua la saga delle mail contenenti richieste di riscatto in bitcoin sotto minaccia di divulgazione di video privati registrati tramite webcam o macchina fotografica, di cui abbiamo già parlato in precedenza. Il messaggio è circolato per mesi e circola ancora, intimorendo migliaia di persone che, ricevendolo, temono che davvero possa trattarsi di una estorsione basata sull’attacco a PC, posta elettronica e registrazione delle attività dell’utente filmate tramite la webcam del sistema.

L’evoluzione della truffa

La truffa si era già evoluta inserendo nelle richieste di riscatto la password della vittima, ricavata da leak di credenziali e convincendo quindi i riceventi della veridicità della minaccia, dato che le password riportate nei messaggi sono spesso quelle attuali o passate degli utenti. In entrambi i casi, la richiesta di riscatto era già di per sé indice della falsità della minaccia poiché l’indirizzo bitcoin sul quale veniva richiesto il pagamento estorsivo era sempre lo stesso per quasi tutte le vittime, cosa che banalmente non permetterebbe a un eventuale hacker di capire chi ha pagato e chi no.

Le versioni del messaggio intimidatorio sono ormai decine e i testi sono stati tradotti in tutte le lingue, proprio per colpire il maggior numero di persone sperando che parte di esse paghino il riscatto ritenendo la minaccia effettivamente un rischio per i loro dati.

L’aggiornamento e l’intimidazione circa la presenza di contenuti a sfondo minorile

La novità di questi giorni è un nuovo messaggio di spam, proveniente da un fantomatico hacker che si fa chiamare “Jadwiga” e che scrive dall’indirizzo “jadwiga-163@spfqj.an0nym0u5.ga” una mail con oggetto “Questo è il mio ultimo avvertimento!” contenente una richiesta di riscatto sempre da versare tramite cryptovaluta ma con due caratteristiche nuove:

1. La minaccia verte sul possesso e sulla visione di contenuti ritraenti minori, l’hacker infatti dice alla vittima di sapere che questi ha visitato “un sito web pornografico con adolescenti“;
2. Il criminale specifica il nome del file contenente il video oggetto del ricatto “yzj9kkxj.mpg” e precisa di avere raccolto l’elenco dei contatti della vittima, ai quali verrà inviato il video se entro 72 ore la vittima non provvederà al pagamento del riscatto;
3. La richiesta di riscatto viene fatta su un indirizzo bitcoin unico e distinto per ogni vittima, così da fugare il dubbio circa l’effettiva validità di un eventuale pagamento su un indirizzo bitcoin comune, al punto che l’hacker ragguaglia la vittima circa il pagamento dicendogli che “questo indirizzo Bitcoin è collegato solo a te, quindi saprò se hai inviato l’importo corretto.“.

La cifra in criptomonete richiesta per il riscatto è di 0.330836 BTC e, a chi intendesse rivolgersi alla Polizia per una eventuale denuncia, il fantomatico “Anonymous Hacker” comunica che “puoi visitare la polizia ma nessuno ti aiuterà. Io non vivo nel tuo paese.“.

Il messaggio di phishing contenente la minaccia e la richiesta di pagamento del riscatto in bitcoin è il seguente:

Subject: Questo è il mio ultimo avvertimento! info@ransomware.it
Date: Mon, 10 Dec 2018 19:51:17 +0000
From: Anonymous – Jadwiga <jadwiga-163@spfqj.an0nym0u5.ga>
Reply-To: jadwiga-163@spfqj.an0nym0u5.ga
To: info@ransomware.it

ULTIMO AVVERTIMENTO info@ransomware.it!

Ti do le ultime 72 ore per effettuare il pagamento prima di inviare video
con la tua masturbazione a tutti i tuoi amici.

L’ultima volta che hai visitato un sito web pornografico con adolescenti,
hai scaricato e installato il software che ho sviluppato.

Il mio programma ha acceso la tua macchina fotografica e registrato il
processo della tua masturbazione. Il mio software ha anche scaricato tutte
le tue liste di contatti e-mail e un elenco dei tuoi amici su Facebook.

Ho sia il yzj9kkxj.mpg con la tua masturbazione, sia un file con tutti i
tuoi contatti sul mio disco rigido.
Sei molto pervertito!

Se vuoi che elimini entrambi i file e tenga il segreto, devi inviarmi il
pagamento in Bitcoin. Ti do le ultime 72 ore.
Se non sai come inviare Bitcoin, visita Google.

Invia 1000 EUR a questo indirizzo Bitcoin immediatamente:
3JFNrSkPXtV5wstasMUS5o7S5t5o9dpgPQ

1 BTC = 3033 EUR, quindi invia esattamente 0.330836 BTC all’indirizzo sopra.

Non cercare di imbrogliarmi! Non appena apri questa email, saprò che l’hai
aperta.

Questo indirizzo Bitcoin è collegato solo a te, quindi saprò se hai
inviato l’importo corretto.
Se non invii il pagamento, invierò il tuo video di masturbazione a tutti i
tuoi amici dalla tua lista dei contatti che ho violato.

Ecco di nuovo i dettagli del pagamento:

Invia 0.330836 BTC a questo indirizzo Bitcoin:
3JFNrSkPXtV5wstasMUS5o7S5t5o9dpgPQ

Puoi visitare la polizia ma nessuno ti aiuterà.
Io non vivo nel tuo paese. Ho tradotto questo messaggio nella tua lingua in
modo che tu possa capire.

Non imbrogliami! Non dimenticare la vergogna e se ignori questo messaggio la
tua vita sarà rovinata.

Sto aspettando il tuo pagamento Bitcoin.

Jadwiga
Anonymous Hacker

Cosa fare se avete ricevuto la mail con la richiesta di riscatto

Se avete ricevuto la mail di phishing con la richiesta di riscatto ignoratela, eventualmente inviatene una copia utilizzando le modalità indicate nella pagina delle segnalazioni per permetterci di analizzare i wallet dei criminali e capire quanto stanno guadagnando da questo tipo di truffa grazie alle vittime che pagano il riscatto.

L'articolo “Questo è il mio ultimo avvertimento!” – Nuova truffa con ricatto in bitcoin sembra essere il primo su Ransomware Blog.

Nuova ondata di ricatti via email con minaccia di divulgazione delle informazioni personali e pagamento riscatto in bitcoin. Questa volta il messaggio è più generico, arriva sempre dalla casella di posta del ricevente e cita un fantomatico video che descrive le attività svolte dalla vittima.

Di cosa si tratta?

E’ un tipo di truffa noto da mesi, anzi, anni: si tratta di una email che viene ricevuta da decine di migliaia di persone contenente la minaccia di divulgazione di materiale privato ottenuto tramite “hackeraggio” della casella di posta elettronica o del PC, a meno che il ricevente non paghi una cifra di riscatto in bitcoin. La mail sembra provenire dall’account di posta del ricevente, che fa quindi uso di questo espediente per far credere che effettivamente l’account sia stato “bucato” e quindi in suo possesso, incluso il contenuto di messaggi e contatti.

La cifra del riscatto in bitcoin questa volta è più bassa – circa 250 euro – il che invoglia maggiormente al pagamento chi ha anche solo il minimo sospetto che la minaccia sia reale. Non vengono citate password o dati riservati delle vittime, la mail di ricatto ha oggetto “Alto pericolo! Il tuo account e stato attaccato.” e il seguente messaggio:

Ciao!
Come avrai notato, ti ho inviato un’email dal tuo account.
Ciò significa che ho pieno accesso al tuo account.
Ti sto guardando da alcuni mesi.
Il fatto è che sei stato infettato da malware attraverso un sito per
adulti che hai visitato.
Se non hai familiarità con questo, ti spiegherò.
Virus Trojan mi dà pieno accesso e controllo su un computer o altro
dispositivo.
Ciò significa che posso vedere tutto sullo schermo, accendere la
videocamera e il microfono, ma non ne sai nulla.
Ho anche accesso a tutti i tuoi contatti e tutta la tua corrispondenza.
Perché il tuo antivirus non ha rilevato il malware?
Risposta: il mio malware utilizza il driver, aggiorno le sue firme ogni 4
ore in modo che Il tuo antivirus era silenzioso.
Ho fatto un video che mostra come ti accontenti nella metà sinistra dello
schermo, e nella metà destra vedi il video che hai guardato.
Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e
contatti sui social network.
Posso anche postare l’accesso a tutta la corrispondenza e ai messaggi di
posta elettronica che usi.
Se vuoi impedirlo, trasferisci l’importo di 252€ al mio indirizzo bitcoin
(se non sai come fare, scrivi a Google: “Compra Bitcoin”).
Il mio indirizzo bitcoin (BTC Wallet) è: 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt
Dopo aver ricevuto il pagamento, eliminerò il video e non mi sentirai mai
più.
Ti do 48 ore per pagare.
Non appena apri questa lettera, il timer funzionerà e riceverò una notifica.
Presentare un reclamo da qualche parte non ha senso perché questa email
non può essere tracciata come e il mio indirizzo bitcoin.
Non commetto errori!
Se scopro di aver condiviso questo messaggio con qualcun altro, il video
verrà immediatamente distribuito.
Auguri!

Come negli altri casi di ricatti via email con riscatto in bitcoin, la mail sembra provenire dall’indirizzo del mittente, come conferma il testo “Ti ho inviato un’email dal tuo account” con cui si apre la mail di minaccia. Si nota infigura come, in una delle decine di messaggi che ha ricevuto lo scrivente, il mittente risulta lo stesso del destinatario.

Ovviamente i criminali non hanno bucato la casella di posta, attaccato il server o forzato la password anzi, non hanno accesso alcuno alla vostra mail: il “trucco” con il quale fingono l’invio da parte del proprietario della casella di posta è banale, fanno semplicemente un “email address spoofing”, alterando il mittente nel momento in cui inviano la mail. Il server di posta o il programma che utilizzate per guardare le email, se non invieranno la mail alla casella dello spam, la inseriranno nella posta inviata, dando quindi l’impressione che l’invio sia partito da voi.

Si corrono dei rischi?

Confermiamo che, come per le altre ondate di spam, si tratta di un bluff: non cadete nella tentazione di pagare “nel dubbio che si tratti di una minaccia reale” e non andate in ansia. Cancellate la mail, che probabilmente è stata già salvata in automatico nella cartella dello spam, e ignorate la minaccia. Se potete, marcatela come SPAM o PHISHING, così che il provider di posta – quando lo faranno in tanti – capirà che si tratta di mail da togliere dalle inbox e mettere direttamente nelle cartelle di SPAM, in modo che i prossimi destinatari non vedranno neanche i messaggi e saranno più al sicuro.

In ogni caso, non si corre nessun rischio e non dovete pagare. Per precauzione, cambiate se volete le password dell’account di posta elettronica che dovrebbe essere stato “hackerato” e attivate l’autenticazione a due fattori, che protegge il vostro profilo inviando un PIN di conferma sul numero di telefono o sull’app dello smartphone ogni volta che si tenta un login da un nuovo dispositivo o una rete sospetta.

Cosa succede se ho aperto la mail?

Non succede tendenzialmente nulla, queste mail non hanno allegati né codici di tracking che possono informare l’autore del fatto che sono state aperte. Il fine non è quello d’infettare i sistemi ma di far credere di averlo fatto, quindi il contenuto è un semplice testo, senza rischi per i sistemi. Ovviamente ogni campagna di mailing può variare, ma questa – stando ai numerosissimi campioni ricevuti – risulta essere innocua.

Sono molto rari i malware che infettano un PC o uno smartphone con la semplice apertura di una mail: in genere per infettare un dispositivo è necessario scaricare un allegato, cliccare su di un link (e poi scaricare un file), avviare un programma o aprire un file convinti che sia un documento (mentre invece è un programma che avvia il download del software che poi infetta il sistema).

Le minacce sembrano reali: tecnicamente lo sono?

Ogni singola minaccia è una bufala, anche soltanto analizzandola dal punto di vista tecnico. I delinquenti che hanno inviato le mail infatti:

• non possono sapere se sono state aperte, quindi non possono agire una volta passate le 48 ore dall’apertura;
• non possono aver infettato con facilità le vittime mediante “malware attraverso siti per adulti” visitati dalle vittime, dato che l’inoculazione di software malevolo tramite siti web è piuttosto complessa e richiede che si verifichino diversi presupposti che raramente si verificano… avrebbero fatto miglior figura a dire di aver ottenuto le credenziali tramite phishing;
• non possono distinguere se una vittima ha pagato il riscatto, quindi chi lo ha fatto è come se avesse spedito dei contanti mettendo una lettera senza indicare il mittente;
• non hanno bucato alcuna casella di posta, altrimenti l’invio partirebbe realmente da essa, mentre analizzando gli header RFC822 del messaggio si vede che il mittente è stato “inserito” artificiosamente nel messaggio così da sembrare identico al ricevente;
• non hanno materiale riservato per porre in atto il ricatto, altrimenti ne avrebbero inserito in allegato un campione per rendere la minaccia più credibile;
• questi messaggi girano da diversi mesi e nessuno ha mai rilevato una minaccia posta in atto per non aver pagato… questo non significa che non possa avvenire, ci sono episodi di hacking reali nei quali sono stati sottratti dati e minacciata la vittima di pubblicazione, ma si tratta di altri casi avvenuti con altre modalità;
• non possono essere certi che gli indirizzi IP e gli indirizzi bitcoin non vengano tracciati;
• non possono monitorare la pubblicazione dei messaggi, per “vendicarsi” pubblicando i video asseritamente acquisiti: avendo inviato decine se non centinaia di migliaia di messaggi che vengono pubblicati da mesi su forum e siti web come questo, dovrebbero pubblicare video ogni minuto della loro giornata.

E’ necessario fare denuncia?

Certamente la denuncia presso l’Autorità Giudiziaria è un atto civilmente utile per rendere edotta la macchina della Giustizia di questo tipo di truffe. Nel caso specifico, il rischio è che in pochi giorni arrivino decine se non centinaia di migliaia di denunce, oberando così gli Uffici che sono già certamente impegnati in attività d’indagine su casi ben più “concreti”. Un buon compromesso può essere quello di fare denuncia e segnalazione online presso la Polizia Postale, eventualmente recandosi di persona nel caso in cui le minacce fossero più serie di quanto indicato in questi messaggi di spam.

Da dove hanno preso gli indirizzi di posta elettronica?

Se vi chiedete come e da dove i delinquenti hanno preso gli indirizzi di posta elettronica, la risposta – come per gli altri casi di spam con minaccia e ricatto in bitcoin – è semplice: i delinquenti hanno scaricato gli elenchi di indirizzi e credenziali chiamati “leak” disponibili su web e dark web e li hanno utilizzati per inviare i messaggi di posta minatori.

Una verifica che chiunque può fare è quella di controllare se il proprio indirizzo è presente in questi elenchi, ad esempio tramite una ricerca sul sito Have I Been Pwned e, nel caso in cui sia presente, cambiare la password e se possibile farlo anche su altri account sui quali era stata utilizzata la stessa parola chiave.

Qualcuno sta pagando il riscatto?

Al 17 gennaio 2019 (quindi dopo circa tre giorni dall’inizio della campagna di spam) l’dirizzo bitcoin 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt ha incassato in tre giorni circa 10.000 euro – quasi 3 bitcoin – ed è stato svuotato due volte, una il 14 gennaio e l’altra il 17 gennaio, non lasciando nulla sull’indirizzo. L’indirizzo bitcoin 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt fa parte di un wallet più grande che, a seguito di clusterizzazione per TXIN, risulta avere per ora 5 indirizzi bitcoin:

• 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt
• 18Pt4B7Rz7Wf491FGQHPsfDeKRqnkyrMo6
• 1GjZSJnpU4AfTS8vmre6rx7eQgeMUq8VYr
• 1PH5CYMeD4ZLTZ2ZYnGLFmQRjnptyLNqcf
• 1G1qFoadiDxa7zTvppSMJhJi63tNUL3cy7

E’ interessante notare come l’autore della truffa ha localizzato il messaggio di spam in base alla lingua assegnando un indirizzo bitcoin a ogni nazione e iniziando le campagne di mailing in periodi antecedenti rispetto a quelle italiane, secondo questo schema:

• 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt per la lingua italiana, con spam iniziato il 14 gennaio 2019 e un totale di 3.07 BTC incassati;
• 18Pt4B7Rz7Wf491FGQHPsfDeKRqnkyrMo6 per la lingua tedesca, con spam iniziato il 10 gennaio 2019 e un totale di 5.19 BTC incassati;
• 1GjZSJnpU4AfTS8vmre6rx7eQgeMUq8VYr per la lingua inglese, con spam iniziato l’8 gennaio 2019 e un totale di 3.37 BTC incassati;
• 1PH5CYMeD4ZLTZ2ZYnGLFmQRjnptyLNqcf per la lingua inglese, con spam iniziato il 13 gennaio 2019 e un totale di 0.5 BTC incassati;
• 1G1qFoadiDxa7zTvppSMJhJi63tNUL3cy7 per la lingua tedesca, con spam iniziato il 9 gennaio 2019 e un totale di 6 BTC incassati;

Sommando le varie mail di truffa in diverse lingue, a oggi giovedì 17 gennaio 2019 il delinquente che ha lanciato questa campagna di spam ha incassato in pochi giorni in totale circa 18 BTC, cioè circa 60.000 euro.

Per chi è curioso del testo del messaggio di posta che i criminali hanno inviato in tedesco e in inglese, può essere interessante approfondire le segnalazioni ricevute da siti stranieri che riportano il seguente testo in tedesco, con oggetto “Hohe Gefahr. Konto wurde angegriffen.”:

Hallo!
Wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet.
Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe.
Ich habe dich jetzt seit ein paar Monaten beobachtet.
Tatsache ist, dass Sie über eine von Ihnen besuchte Website für Erwachsene mit Malware infiziert wurden.
Wenn Sie damit nicht vertraut sind, erkläre ich es Ihnen.
Der Trojaner-Virus ermöglicht mir den vollständigen Zugriff und die Kontrolle über einen Computer oder ein anderes Gerät.
Das heißt, ich kann alles auf Ihrem Bildschirm sehen, Kamera und Mikrofon einschalten, aber Sie wissen nichts davon.
Ich habe auch Zugriff auf alle Ihre Kontakte und Ihre Korrespondenz.
Warum hat Ihr Antivirus keine Malware entdeckt?
Antwort: Meine Malware verwendet den Treiber.
Ich aktualisiere alle vier Stunden die Signaturen, damit Ihr Antivirus nicht verwendet wird.
Ich habe ein Video gemacht, das zeigt, wie du befriedigst dich… in der linken Hälfte des Bildschirms zufriedenstellen,
und in der rechten Hälfte sehen Sie das Video, das Sie angesehen haben.
Mit einem Mausklick kann ich dieses Video an alle Ihre E-Mails und Kontakte in sozialen Netzwerken senden.
Ich kann auch Zugriff auf alle Ihre E-Mail-Korrespondenz und Messenger, die Sie verwenden, posten.
Wenn Sie dies verhindern möchten, übertragen Sie den Betrag von 371€ an meine Bitcoin-Adresse
(wenn Sie nicht wissen, wie Sie dies tun sollen, schreiben Sie an Google: “Buy Bitcoin”).
Meine Bitcoin-Adresse (BTC Wallet) lautet: 1G1qFoadiDxa7zTvppSMJhJi63tNUL3cy7
Nach Zahlungseingang lösche ich das Video und Sie werden mich nie wieder hören.
Ich gebe dir 48 Stunden, um zu bezahlen.
Ich erhalte eine Benachrichtigung, dass Sie diesen Brief gelesen haben, und der Timer funktioniert, wenn Sie diesen Brief sehen.
Eine Beschwerde irgendwo einzureichen ist nicht sinnvoll, da diese E-Mail nicht wie meine Bitcoin-Adresse verfolgt werden kann.
Ich mache keine Fehler.
Wenn ich es herausfinde, dass Sie diese Nachricht mit einer anderen Person geteilt haben, wird das Video sofort verteilt.
Schöne Grüße!

In lingua inglese, lo stesso messaggio arrivato in Italia e in Germania ha invece oggetto “Your account is being used by another person” e il testo che segue:

Hi, stranger! I hacked your device, because I sent you this message from your account. If you have already changed your password, my malware will be intercepts it every time. You may not know me, and you are most likely wondering why you are receiving this email, right? In fact, I posted a malicious program on adults (pornography) of some websites, and you know that you visited these websites to enjoy (you know what I mean). While you were watching video clips, my trojan started working as a RDP (remote desktop) with a keylogger that gave me access to your screen as well as a webcam. Immediately after this, my program gathered all your contacts from messenger, social networks, and also by e-mail. What I’ve done? I made a double screen video. The first part shows the video you watched (you have good taste, yes … but strange for me and other normal people), and the second part shows the recording of your webcam. What should you do? Well, I think $671 (USD dollars) is a fair price for our little secret. You will make a bitcoin payment (if you don’t know, look for “how to buy bitcoins” on Google). BTC Address: 1GjZSJnpU4AfTS8vmre6rx7eQgeMUq8VYr (This is CASE sensitive, please copy and paste it) Remarks: You have 2 days (48 hours) to pay. (I have a special code, and at the moment I know that you have read this email). If I don’t get bitcoins, I will send your video to all your contacts, including family members, colleagues, etc. However, if I am paid, I will immediately destroy the video, and my trojan will be destruct someself. If you want to get proof, answer “Yes!” and resend this letter to youself. And I will definitely send your video to your any 19 contacts. This is a non-negotiable offer, so please do not waste my personal and other people’s time by replying to this email. Bye!

L'articolo “Ti sto guardando da alcuni mesi” – nuova ondata di estorsioni via email sembra essere il primo su Ransomware Blog.

Arriva anche in Italia la mail con estorsione e ricatto in bitcoin da parte di un presunto killer a contratto che contatta la vittima avvisandola di essere stato pagato per gettarle acido in viso. L’assassino – che in realtà precisa di non commettere omicidi ma soltanto attacchi a persone o aziende – informa la vittima che per una cifra inferiore a quella promessa dal mandante, è disposto a rivelare il nome di chi gli ha commissionato l’aggressione.

Questo il contenuto della mail che arriva da alcune settimane in tutto il mondo e, da alcuni giorni, anche in Italia:

Subject: Dont get on my nerves
Hi
I host a website in the darkweb, I perform all kinds of services – basically it is demolition to bussiness and injury. In the main, all but the killings. Often this happens because of unrequited love or competition at workplace. This week she contacted me and set me the order of empty sourness in your visage. Standard task – quickly, painfully, forever. Without too much fuss. I get receive only after doing the work. So, now I propose you send money to me to be inactive, I offer this to almost all the victims. If I do not see money from you, then my person will fulfill the order. If you give me money, in addition to my inaction, I will provide you the information that I have about the client. After completing the mission, I often lose the performer, so I have a selection, to get $1900 from you for info about the customer and my inaction, or to get $ 4000 from the customer, but with a big probability of spending the performer.
I’m getting transfers in bitcoins, its my bitcoin address – 1EgPkS8C5apX1KdXnHrFUiCMuwxbiJMYux
The sum I told above.
24 hours to transfer.

La mail arriva da indirizzi email sconosciuti tramite server email compromessi e richiede il pagamento sull’indirizzo bitcoin 1EgPkS8C5apX1KdXnHrFUiCMuwxbiJMYux per evitare l’aggressione e conoscere il nome del mandante.

L’indirizzo bitcoin 1EgPkS8C5apX1KdXnHrFUiCMuwxbiJMYux non ha ancora ricevuto pagamenti di riscatto, probabilmente perché la minaccia – per quanto possa intimorire – appare poco realistica e la cifra richiesta (1900 dollari) notevolmente alta rispetto altri ricatti ed estorsioni come ad esempio le email che minacciano di divulgare video privati fatti con la webcam in cambio di un pagamento in bitcoin.

Come sempre, s’invita chi riceve questo tipo di email contenenti ricatti, richieste di riscatto, estorsioni o minacce a non credervi cestinandole e segnalarle – se la minaccia appare consistente – alle Autorità anche tramite i moduli di segnalazione online.

L'articolo Ricatto in bitcoin per evitare attacchi con l’acido in volto sembra essere il primo su Ransomware Blog.