CTB-Locker: nuova ondata di false fatture Tim

CTB-Locker

Nell’ultima settimana abbiamo riscontrato un massiccio invio di false fatture Tim contenenti CTB-Locker. Le email sono simili se non identiche a il caso che andremo ad analizzare qui.

fattura_tim

La falsa email Tim contenente il link alla fattura.

La falsa email invita a scaricare la fattura da un link che punta a un sito hackerato, in questo caso orbissum[.]com, la fattura è in realtà un file zip (Fattura 00384788-849838.zip) contenente il file .EXE con doppia estensione .PDF.EXE (Fattura 00384788-849838.pdf.exe). Una volta lanciato, l’eseguibile del ransomware verrà ricreato sotto la cartella Temp, in questo caso “C:\Users\Utente\Appdata\Temp\nome random.exe” e dopo aver pianificato il suo avvio automatico nelle Attività Pianificate inizierà a criptare i files in maniera Random.

fattura_tim2

Il link manda ovviamente a un indirizzo sospetto e non a un sito della Tim.

 

Al momento non esiste alcun tool per decriptare i files, ma capita spesso che CTB-Locker si blocchi a causa del codice non cosi accurato, perciò la prima cosa da verificare, dopo aver eliminato il ransomware, è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer . Consiglio inoltre di fare una pulizia accurata del sistema seguendo questa guida.