Attenzione alla falsa fattura ENEL: è il ransomware Cryptolocker

Dopo le finte fatture Vodafone e le finte fatture TIM delle scorse settimane, da alcune ore sono in circolazione mail di phishing che si fingono bollette ENEL per la fornitura di energia elettrica e inducono le vittime a scaricare una finta fattura che in realtà consiste in un ransomware. Ricordiamo che i ransomware sono dei cryptovirus che infettano il computer, criptano i documenti della vittima “bloccandoli” e rendendoli inutilizzabili e chiedono un riscatto – in genere in bitcoin – per lo sblocco.

Le mail sono del tutto simili alle comunicazioni ufficiali ENEL, contengono riferimenti a numeri di fattura, scadenze per il pagamento e logo ENEL tale da indurre la vittima a ritenere che la fattura ENEL sia originale. Il file che viene scaricato ha il nome “ENEL_BOLLETA.zip” e contiene un malware in javascript dal nome “ENEL_BOLLETA.js”.

Invitiamo chi riceve la mail a cancellarla o inoltrarcela all’indirizzo delle segnalazioni sui ransomware, assolutamente non si deve cliccare sul link altrimenti si attiva il download del file contenente il “dropper” che scaricherà il cryptovirus sul PC, mentre l’utente visualizza una pagina di phishing che mostra il logo ENEL e la scritta “Download in corso, attendere prego”.

Se avete già scaricato il file, non apritelo anche se dal nome può sembrare una fattura: il semplice download non causa alcun danno al PC, è necessario aprire il file per attivare l’infezione. Se il file viene aperto, in pochi minuti i documenti del PC vengono criptati e l’utente visualizza sullo schermo il messaggio che comunica alla vittima che i file sono stati criptati con il virus Crypt0L0cker (“WARNING, we have encrypted your files with Crypt0L0cker virus”).

Nelle cartelle dove il cryptovirus ha cryptato i file, e sul Desktop, compare invece un file contenente i dettagli su come procedere con il pagamento del riscatto.

Gli autori del ransomware invitano la vittima a collegarsi tramite Tor Browser al sito “http://mz7oyb3v32vshcvk.onion/tlo85d8i.php” alla pagina “Buy Decryption Software” presso il quale devono autenticarsi con le credenziali indicate nel file di testo.

La pagina con la richiesta di riscatto del ransomware Crypt0L0cker che si diffonde tramite phishing ENEL verrà visualizzata in lingue diverse in base all’IP sul quale è avvenuta l’infezione. Nella versione tedesca, richiede il pagamento di circa 0.77 bitcoin, circa 499 dollari.

Nella versione italiana, ottenuta infettando un PC da IP italiano, la richiesta di riscatto è di 0.6862401, cioè 399 euro, e vengono concesse 120 ore, cioé 5 giorni per il pagamento, prima che il riscatto raddoppi e salga a 798 euro.

Sul sito ONION del ransomware Crypt0L0cker, visitabile tramite Tor Browser, è presente una piattaforma di ticketing e supporto per il cliente (cioè la vittima…)  per aiutarlo a pagare il riscatto in bitcoin e a gestire la decifratura dei propri file in caso di problemi con il pagamento”o persino nel caso in cui la vittima voglia pagare ma non sappia come.

 

Qui di seguito i riferimenti alle analisi sul dropper del ransomware che si trasmette tramite la finta fattura ENEL:

• https://www.virustotal.com/en/file/10de84feb8481cf0e4feb47227f388ebb34f4e5588b5993337313dd9c98fbd90/analysis/1467811960/
• https://www.hybrid-analysis.com/sample/9d4df5b1dba596c54988b8becbca5ccbdc7060fe75e437f4689c8df246509bc3?environmentId=100
• https://malwr.com/analysis/OTAyMGY2MTRlNzMzNGIwODhkYzYwNzA2NzczNmRiOTg/

Di seguito le analisi sul payload del ransomware che si diffonde attraverso falsa bolletta ENEL:

• https://www.virustotal.com/en/file/244304b5938af17fe82137846dab8f8e42edee24e084a1704a63e150f219cb74/analysis/
• https://www.hybrid-analysis.com/sample/244304b5938af17fe82137846dab8f8e42edee24e084a1704a63e150f219cb74?environmentId=100
• https://malwr.com/analysis/ZWE5MmY0NmRlZmM5NDc3YTg3MjNiMDI0MDQ0NGMxYmE/