Per verificare il funzionamento di questo malware, di cui abbiamo parlato nel precedente articolo, abbiamo provato a infettare con Cryptolocker una macchina virtuale Windows 7 utilizzata su di un Mac tramite VMWare. Ecco la cronistoria di quello che è successo.
Abbiamo cliccato il link pervenuto via email che ci ha portato su un falso sito Enel che, in teoria, sarebbe dovuto servire per scaricare la bolletta.
Notate che l’indirizzo del sito è enelservizio.net che non appartiene a Enel.
Abbiamo inserito il codice di riferimento e abbiamo cliccato Scarica. Subito è apparso l’avviso che vedete qui sotto
E noi abbiamo cliccato Apri, come farebbe un utente normale. Windows ha decompresso il file zip e ne ha mostrato il contenuto, che potete vedere qui sotto
In teoria il file sarebbe dovuto essere un pdf ma se notate il tipo, viene correttamente indicato come Applicazione perché in realtà è un’applicazione.
Facendo finta di essere l’utente, abbiamo fatto doppio click sul file e in quel momento è successo tutto. Cryptolocker è partito, ha crittato tutti i files di Office e le immagini presenti sulla macchina virtuale ed è apparsa questa schermata
Quindi abbiamo cliccato sul link “clicca qui per pagare…” per vedere cosa succedeva ed è stato aperto il browser che ci ha portato a un’indirizzo dove ci è stato richiesto il pagamento di 299 euro da effettuarsi in bitcoin su un indirizzo ovviamente anonimo e non rintracciabile.
Ed ecco il risultato dei files che c’erano sulla scrivania della macchina virtuale e che, dopo il “trattamento” hanno perso l’icona e hanno acquisito un suffisso .encrypted. I files .txt non sono stati toccati.
Come proteggersi da questa variante
In questo specifico caso via email è arrivato solo un link che non è stato bloccato ma abbiamo fatto due prove importanti.
La prima prova l’abbiamo fatta con il nostro Gatewall attivo e infatti non è successo nulla nel senso che Gatewall ha bloccato fin da subito l’accesso al sito enelservizio.net, individuato come sito di phishing, e ci ha portato automaticamente su Google.
Il secondo tentativo lo abbiamo fatto senza Gatewall attivo e siamo stati infettati subito.
Per ogni tipo di informazione o domanda siamo a disposizione al numero 031.241.987 o via email.
1 Pingback