Qualche giorno fa ci è stata segnalata una infezione da ransomware: è un nuovo ransomware tutto italiano, in diffusione appunto, solo contro utenti italiani. Il ransomware si chiama PEC 2017.
Come si diffonde?
Si diffonde principalmente via email: la maggior parte delle email vettore hanno, come allegato, un curriculum vitae in formato .doc (cosa che fa supporre che i bersagli per cui questo ransomware è stato pensato siano aziende o enti).
Il documento richiede l'abilitazione delle macro: il clic su Si comporta l'infezione. Nel dettaglio il ransomware sfrutta la vulnerabilità CVE-2017-0199 ). Questa vulnerabilità è presente in
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1
Consente all'attaccante l'esecuzione di codici arbitrari da remoto attraverso, appunto, documenti Office/ WordPad appositamente confezionati.
Come cripta i file?
Il nome del file non viene modificato dal ransomware: il malware si limita ad aggiungere l'estensione ".pec" dopo l'estensione reale del file (vedi immagine sotto). I file vengono criptato con l'algoritmo di cifratura AES 256.
La richiesta di riscatto:
La richiesta di riscatto, completamente in italiano, invita la vittima a non utilizzare software antivirus per il recupero dei file. Reca nel testo la chiave pubblica di criptazione.
C'è un solo indirizzo di contatto, ovvero pec.clean@protonmail.com. La richiesta di riscatto è invece di entità variabile.
No, attualmente no. Qui è possibile consultare la lista dei (pochissimi) antivirus in grado di individuare il file come danosso, procedendo alla messa in sicurezza del sistema.
Un consiglio:
Nel caso riceveste email con allegati che vi insospettiscono o, come in questo caso, curriculum vitae, il consiglio è di aprirli e scaricarli entro una sandbox, così da non incorrere in potenziali infezioni.
Nessun commento:
Posta un commento