Ritorna il phishing della Procura della Repubblica con il ransomware Sage 2.0

“Procuratore della Repubblica presso il Tribunale ordinario, INVIATA PER LA PRESENTAZIONE DI PERSONA SOTTOPASTA AD INDAGINI art. 375 c.p.p.” – si apre così la mail che si sta diffondendo in questi giorni e che ricorda il phishing di alcuni mesi fa. Ovviamente il mittente non è la Procura né il Tribunale, tramite l’indirizzo “tribunale.3yI7h@procura.giustizia.it” che compare nella mail, si tratta invece di un delinquente che spera che la vittima clicchi sul link allegato alla mail dall’oggetto “Avviso Importante”, scarichi l’archivio ZIP e ne esegua il contenuto per poter criptare i documenti presenti sul PC e chiedere il pagamento di un riscatto.

Il messaggio di posta elettronica prosegue con il seguente testo:

La presente per comunicarle che il Suo patrimonio immobiliare, cosi come Il Stuo
conto corrente bancario, verranno posti in arresto con l’accusa di mancato pagamento delle imposte e concorso il riciclaggio di denaro, ad effetto della causa
61802503
L’arresto entra in vigore dal 13.02.2017
Lei potrà prendere visione della causa 61802503 cliccando sul link
In questo documento Lei ha la possibilità di trovare informazioni su come ricorrere in apello, il nominativo del giudice inquirente per la causa che La riguarda, la data e il luogo del dibattimento.
Nel caso in cui Lei non si presentasse al dibattimento, lo stesso avrà luogo anche in
Sua assenza.
In caso di sentenza di condanna, Le verrà confiscata ogni propietà e rischia una
condanna fino a 15 anni di reclusione.

Data Protection e Privacy
Non si può una lettera privata, anche se inviata via e-mail a più persone, senza il
consenso dell’autore e dei destinatari. Il principio è stato ribadito del Garante in seguito al ricorso presentato dal capo di un’associazione a carattere religioso, che aveva lamentato la pubblicazione di una e-mail su un quotidiano a diffusione nazionale, a lui indirizzata, contenente fatti confidenziali e riguardanti la propia vita intima. Nell’accogliere il ricorso, l’Autorità ha ordinato la cancellazione della lettera dall’edizone on line del quotidiano.

Tra l’altro, gli evidenti errori di ortografia come “stuo”, “apello”, “propietà”, “propia”, “edizone” lasciano intendere che il messaggio non è istituzionale, così come anche il “persona sottopasta ad indagini” in apertura della mail.

Il link contenuto nel messaggio di phishing punta a un dropper che attiva il download del ransomware Sage 2.0, che cripta i file del PC e mostra una schermata di “File Recovery Instructions” in multilingua, lasciando anche il file “!HELP_SOS.hta” sul PC.

La schermata mostrata dal ransomware spiega che i file non sono persi e che non conviene tentare di recuperarli tramite software di ripristino perché si correrebbe il rischio di perderli per sempre, ma è possibile acquistare un “SAGE Decryptor” accedendo al link http://7gie6ffnkrjykggd.onion/en/cabinet dove verrà richiesto un riscatto di 1.000 dollari in bitcoin se la vittima che desidera riavere i propri file paga entro sei giorni, riscatto che sale poi a 2.000 dollari dopo i sei giorni.

Important Information! Please read very carefully! Attention!
Sage 2.0 encrypted all your files!
All your files, images, videos and databases where have been encrypted and no longer accessible by software known as Sage 2.0!

To restore all your files you need to pay $1000 (≈0.99224) for the decryption.
The after full payment, you will be able to download the software to restore your data.

Special price time remaining. In the case of non-payment of the full commission within 6d 23h, the amount of commission will be raised to $2000 (≈1.98448)

You have no chance to restore the files without our help!
The files will restored easily if you will follow our instructions!
In case of the repeated non-payment of the increased commission during the 6d 23h period, the unique decryption code for your files will be blocked
and its recovery will be absolutely impossible!

Il cryptovirus offre la possibilità di decifrare un file di prova, di richiedere assistenza ai delinquenti, o di leggere le istruzioni su come acquistare i bitcoin per pagare il riscatto.

Il sample del ransomware Sage 2.0 diffuso tramite il Phishing della Procura della Repubblica è stato caricato su Virustotal e Hybrid Anaylisys per poter permettere a chi è interessato di studiarne il comportamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *