Aspetti un'email per il tracciamento della spedizione? Attento ai malware.

Email spam - PC infettato dal ransomware NemucodAES e dal trojan Kovter

Sempre più diffuse email di spam che portano sul vostro PC malware e trojan.

di Colossus95 (articolo) e Mattia Gaglio (video)

17 luglio 2017 16:05

Video del Giorno: Calciomercato Milan: suggestione Amrabat per la mediana

Nelle scorse settimane è stato riscontrato un significativo incremento di campagne di email di spam che potrebbero indurvi ad installare sul vostro PC il malware NemucodAES e il trojan Kovter.

Le email

Avete fatto un acquisto online, vi arriva un'email con oggetto “Status of your UPS delivery ID:[numero identificativo]” e potreste pensare che provenga effettivamente dalla società di trasporto che si occupa della spedizione del vostro pacco. Potrebbe non essere così. C'è la possibilità che si tratti di una di queste email fraudolente che hanno in allegato dei file compressi in un archivio con formato ZIP.

All'interno dell'archivio è presente del codice JavaScript che installerà sul vostro PC NemucodAES e Kovter.

Nell'oggetto dell'email potrebbe essere menzionata anche una società diversa da UPS e l'oggetto stesso potrebbe essere differente

“Problems with item delivery, n.[numero identificativo]”
“UPS parcel #[numero identificativo] delivery problem”

Scaricando l'allegato e aprendo l'archivio ZIP sul vostro computer, permetterete al codice JavaScript di fare il suo lavoro.

Il ransomware

NemucodAES è un crypto-ransomware, ovvero un malware che cifra i file del vostro PC combinando gli algoritmi RSA-2048 e AES-128. In questo modo non avrete più accesso ai vostri file finché non pagherete un riscatto in bitcoin per poterli decifrare.

NemucodAES salva inoltre nella cartella “AppData\Local\Temp” un file contenente le istruzioni del pagamento e un altro file che modifica lo sfondo del desktop. L'importo chiesto in bitcoin equivale a circa 1.100€.

Il trojan

Un trojan è un tipo di malware che può contenere qualsiasi tipo di istruzione maligna e che ha la peculiarità di nascondersi all'interno di altri programmi apparentemente utili e innocui.

Generalmente si compone di due file: il file server, che viene installato nella macchina vittima, e il file client, usato dall'attaccante per inviare istruzioni che il server esegue. Il ricercatore che ha analizzato queste campagne di Email è riuscito ad individuare la presenza di scambio di informazioni tra il trojan Kovter e alcuni server C&C, ma non è stato in grado di stabilire quale sia lo scopo di questo scambio.

Emsisoft, società che si occupa di antivirus, ha rilasciato uno strumento per recuperare i file criptati dal ransomware. Il software si chiama "Emsisoft Decrypter for NemucodAES" ma non è stato verificato dal CERT Nazionale e non è garantito che funzioni in tutti i casi. La cosa migliore da fare è prestare sempre attenzione all'effettivo mittente delle email e, soprattutto, non scaricare allegati o fare click su link se non si è del tutto certi della fonte.

Content sponsored by Outbrain