Attenzione al finto avviso di pagamento Equitalia che diffonde CTB-Locker

Se avete ricevuto in questi giorni un messaggio di posta elettronica intitolato “AVVISO NUMERO 000793348” e proveniente da “[email protected]” non siete vittima delle cosiddette “cartelle pazze” ma potenziali vittime di un ransomware, chiamato CTB-Locker che, se attivato, cripta i documenti sul vostro PC chiedendo un riscatto in bitcoin per poterli decifrare.

La mail si presenta con una intestazione che cita un fantomatico “Agente della Risossione” (la ‘C’ manca anche nell’originale) e gli articoli di legge “Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.” per poi informare la vittima del deposito di un avviso di pagamento “Documento Numero 000793348” presso la Casa Comunale del Comune.

Il testo della finta mail di phishing Equitalia, contenente l’informazione circa il deposito di un fantomatico “Avviso di Pagamento”, è il seguente:

Subject: AVVISO NUMERO 000793348
Date: Wed, 6 Apr 2016 11:23:38 +0600 (BDT)
From: Equitalia <[email protected]>
To: [email protected]

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 470 – 0047097 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.

Gentile [email protected],

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 000793348” del 06/04/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti [ Scarica il documento]

© Equitalia S.p.A. C.F. P.I. 0917089156470

Le mail possono avere oggetto contenente numeri diversi, come “AVVISO NUMERO 000793348”, “AVVISO NUMERO 00045552”, “AVVISO NUMERO 00071552”, “AVVISO NUMERO 000793348 “, “AVVISO NUMERO 00045552”, “AVVISO NUMERO 000793348”, etc… con il criterio di aggiungere a un fantomatico “AVVISO NUMERO” un numero fittizio di avviso di riscossione Equitalia.

I link puntano verso piattaforme di cloud come Dropbox oppure su siti web creati presso l’hosting dedicatedpanel.com.

Cliccando sul link si attiva il download del vero e proprio trojan, chiamato in diversi modi, ad esempio “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, “Documento Numero 00071552.pdf.exe”, “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, etc… sempre seguendo il criterio di aggiungere al nome “Document Numero” un numero fittizio di avviso di pagamento Equitalia.

Il sito ufficiale di Equitalia mette in guardia dalle false mail con presunti avvisi di pagamento e riscossione [WBM] precisando giustamente che “Equitalia è estranea a questi messaggi potenzialmente pericolosi“.

Equitalia allega anche un comunicato stampa ufficiale circa le mail di truffa [WBM] precisando che “Continuano ad arrivare segnalazioni di messaggi di posta elettronica con mittente [email protected], [email protected], [email protected], [email protected], [email protected] o simili, contenenti presunti avvisi di pagamento di Equitalia e che invitano a scaricare file, a utilizzare link esterni o a effettuare pagamenti. Equitalia ha avuto conferma dalla Polizia Postale che da tempo è in atto una campagna di phishing, cioè di tentativi di truffa informatica architettati per entrare illecitamente in possesso di informazioni riservate. Equitalia è assolutamente estranea all’invio di questi messaggi e ha già presentato querela contro ignoti, pertanto raccomanda nuovamente di non tenere conto della e-mail ricevuta, di eliminarla senza scaricare alcun allegato e di non effettuare i pagamenti richiesti. In ogni caso è possibile richiedere informazioni al call center di Equitalia al numero verde 800 178 078 o al numero 02 3679 3679 (secondo piano tariffario).“.

Ovviamente il consiglio è quello di cancellare i messaggi di posta e non cliccare sull’allegato. Se avete aperto il messaggio non c’è pericolo, basta non scaricare l’allegato e aprirlo. Se lo avete aperto, mantenete la calma, scollegate il PC dalla rete e spegnetelo per limitare i danni.

Chi vuole studiare il ransomware distribuito dalla campagna che finge cartelle di riscossione Equitalia può trovare ai seguenti link dei sample da scare e analizzare:

https://malwr.com/analysis/MTI4NDZiNTZmYzEwNDcyMWJkNTE0ODQ0NzhiM2VhZTM/
- MD5: a39536efcf5aec90d702824451fd6f92
- SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
https://malwr.com/analysis/MWY5N2QyZTY4OGZjNGFhODg3ZjI3ZmM1Nzc4NWE4MWM/
- MD5 3b99f35048b8bd2f20b200b7c2a4b98c
- SHA1 4008d6f5953a9e1e1fc39581342235f56cb68560
https://malwr.com/analysis/MzI4OGQ5MGViM2ZlNGE1NmJlOTMzOWNlZDI5ODIzODc/
- MD5 a4c64aefb73d3623521d91d5d63cdb45
- SHA1 049afbbc287a04a0f76b8816698131e281590016
https://malwr.com/analysis/M2RlYjljZjhkZjU3NDgwMDgxMmZiYWIyM2I2ODkxZTU/
- MD5 a39536efcf5aec90d702824451fd6f92
- SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
https://malwr.com/analysis/M2U5YjBmMjdlN2JkNDMxNWFlMmNiMTdhMzI2NWEwNmY/
- MD5 db0a2be5b0eb4603fada6e6f79f3d267
- SHA1 b829e48a021b6d2f5041528a2386e9c98e13763b

Termini di ricerca frequenti

Avviso Equitalia Casa Comunale
Equitalia
Mail Da Equitalia Avviso Numero
Www Gruppoequitalia It
Equ It
Casa Comunale Equitalia
Phishing Equitalia
Mail Da Equitalia
Avviso Di Pagamento Equitalia Via Mail
Agente Della Risossione Equitalia
Equitalia Art 139
Equitalia Avviso Numero 00071552
Casa Comunale Del Comune Equitalia
Avviso Di Pagamento Equitalia
Avviso Equitalia
Art 26 29 09 1973 602
Mail Equitalia Avviso Numero
Equitalia Casa Comunale
Equitalia Comune
Avvisi Equitalia Via Mail
Avviso Equitalia Casa Comunale Mail
Avviso Di Equitalia Via Mail
Equitalia Avviso Numero
Equitalia Atti Casa Comunale
Avviso Equitalia Mail
Documento Numero 000793348
Atto Equitalia
Atto Equitalia Depositato In Comune
Atto Equitalia Casa Comunale
Equitalia Numero Atto
Equitalia Avviso Di Pagamento
Mail Equitalia Avviso Pagamento
Avviso Equitalia Via Mail
Equitalia Mail Ha Depositato Avviso Pagamento Composto Atti
Avviso Pagamento Equitalia
Documento Numero 00071552
Mail Di Equitalia
Equitalia Avviso
Avviso Equitalia Con Mail
Avvisi Pagamento Equitalia
Come Arriva Avviso Equitalia
Atto Equitalia Depositato Casa Comunale
File Pdf Exe Equitalia
00071552
Avviso Equitalia Numero Atto
Avviso Pagamenti Equitalia
Equitalia Il Suindicato Agente Della Riscossione
Equitalia Spa Cristoforo Colombo
Equitalia Avvisi Di Pagamento Via Mail
Equitalia Avviso Comune
Equitalia Art 60
Equitalia Deposita In Comune Un Avviso Di Pagamento
Finto Avviso Di Pagamento Equitalia
Mail Equitalia Deposito Comune
Avviso Pagamento Equitalia Mail
Se Arriva Avviso Equitalia Posta
Finta Mail Equitalia Truffa
Avviso Equitalia Casa Comunale 2016
Malwr
Documento Equitalia
Mail Con Avviso Di Riscossione Equitalia
00071552 Equitalia
Art 26 602 Del 1973
Equitalia Mail Di Avviso Deposito Nella Casa Comunale
Ransom Ctb Locker
Mail Avvisi Di Equitalia
Equitalia Avviso Pagamento Via Mail
Equitalia Spa Roma Mail
Se Arriva La Posta Di Equitalia In Comune
Agente Della Riscossione Equitalia
Mail Da Equitalia Spa
Messaggio Unicredit Equitalia
Mail False Da Equitalia
Pagamenti Per La Casa Comunale
Equitalia 139
Equitalia Deposito Presso Casa Comunale
Equitalia Messaggi Di Pagamento
Numero Atto Equitalia 09
Avviso Pagamento Equitalia Mail Risossione
Messaggi Equitalia Bancoposta
Numero Avviso Equitalia
False Mail Da Equitalia
Equitalia Spa Avviso Di Pagamento
Per Conto Di
Mail Equitalia Riscossioni
Avviso Numero 00071552
Atto Equitalia Numero
Truffa Per Posta Cartelle Equitalia
Equ Raccomandata
Equitalia Pagamento Online
Pagamento Casa Comunale
Avviso Di Truffa In Atto
Avviso Di Pagamento
Agente Della Riscossione 26 600
Agente Della Riscossione Presso Unicredit
Avviso Equ It
Avviso Di Pagamento Equitalia Ctb
Equitalia Via Cristoforo Colombo 290 Roma
Mail Equitalia Unicredit
Mail Equitalia Truffa
Avviso Di Deposito Atti Nella Casa Comunale Equitalia
Mail Equitalia Scarica Documento Allegato
Mail Equitalia Deposito Casa Comunale
Finto Avviso Pagamento Equitalia
Avviso Di Deposito
Equitalia Avviso Di Deposito Al Comune
Nella Casa Comunale Del Comune Il Seguente Avviso Di
Truffa Cartelle Equitalia
Truffa Equitalia Unicredit
Documento Gruppo Equitalia Mail
Atti Equitalia In Comune
Cartelle Truffa Equitalia
Avviso Finto Equitalia
Pagamento Equitalia Unicredit
Atti Di Equitalia
Agente Equitalia Casa
Art 60
Mail Unicredit Equitalia
Messaggio Equitalia Unicredit Vero
Unicredit Equitalia
Equitalia Avviso Riscossione On Line
Postepay Equitalia Mail
Mail Equitalia
Agente Riscossione Equitalia Mail Via Cristoforo Colombo
Mail Di Riscossione
Equitalia Documento Numero 00071552

11 Responses to "Attenzione al finto avviso di pagamento Equitalia che diffonde CTB-Locker"

mirco bartoccioni ha detto:

9 Febbraio 2017 alle 19:18

AVVISO DI PAGAMENTO n.003448178209
Equitalia S.p.A. [[email protected]]
Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 142 – 73195 – Roma

Art. 495 D.P.R. 07/03/1942, n.195 e succesive modifiche – Art. 495 D.P.R. 02/07/1942, n. 595, Art. 160 c.p.c.

Gentile cliente,

Il suindicato Agente della Ricossione avvisa, ai sensi delle intestate disposizioni di leggue, di aver depositato in data odierna, nella Casa Comunale del
Comune il seguente avviso di pagamento “Documento n. 003448178209” del 02/02/2017, composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti.

SCARICA IL DOCUMENTO ALLEGATO.

© Equitalia S.p.A. C.F, P.I. 07894495

questo è quello che mi è arrivato e non so se è un email vera

Rispondi
1. Paolo Dal Checco ha detto:
  
  15 Febbraio 2017 alle 9:02
  
  E’ certamente una mail contenente un ransomware, l’oggetto “Agente della Risossione” (si noti l’errore ortografico “Risossione”) è caratteristico di questa campagna d’infezioni che è rimasta uguale da diversi mesi.
  
  Rispondi
Angela Miola ha detto:

28 Novembre 2016 alle 13:28

Gentilissimi,

ricevo in data 28.11.2016 la seguente mail da [email protected]:

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 290 – 00289 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 600, Art. 140 c.p.c.

Gentile Sig./Sig.ra,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 0082-19293-02934” del 28/11/2016 , composto da 2 pagina/e di elenchi contribuenti a nr. 11 atti [ Scarica il documento ]

© Equitalia S.p.A. C.F. P.I. 08304541068

Riuscite a dirmi se si tratta di un virus ?
Grazie mille

Rispondi
1. Paolo Dal Checco ha detto:
  
  28 Novembre 2016 alle 13:49
  
  Confermiamo che non si tratta di Equitalia bensì di una mail di phishing finalizzata a veicolare ransomware, un particolare tipo di malware che infetta il computer, cripta i documenti rendendoli quindi “bloccati” e inutilizzabili, chiedendo poi un riscatto alla vittima per “sbloccarli”, in genere da pagare tramite la criptomoneta Bitcoin. Non clicchi sul link contenuto nella mail. Se ha cliccato non è grave, si attiverà il download di un archivio compresso che non contiene un avviso di pagamento ma il programma che avvierà il download sul PC del virus (in realtà un trojan, erede dei vari Cryptolocker, Locky, CTB-Locker, Teslacrypt, etc…) che infetta il sistema.
  
  Rispondi
Domenica Franzoni ha detto:

21 Novembre 2016 alle 9:55

Anche a me proprio oggi mi e arrivata questa email ..purtroppo non sapendo lo aperta che devo fare ora ? Oltre fare la scansione dell’antivirus e abbastanza ho devo fare altro?
Grazie anticipatamente
Distinti Saluti

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 5263 – 00263 – Roma

Art. 26 D.P.R. 29/09/1973, n. 263 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 592, Art. 140 c.p.c.

Gentile [email protected],

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.200384-394282” del 19/11/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 11 atti.

Si prega di scaricare il fattura

© Equitalia S.p.A. C.F. P.I. 08704263005

Rispondi
1. Paolo Dal Checco ha detto:
  
  23 Novembre 2016 alle 23:33
  
  Se non sono stati criptati i dati, una possibile soluzione “veloce” può essere passare un buon antivirus, se ben aggiornato dovrebbe identificare e rimuovere il ransomware. Certamente in questo modo non si avrà mai la certezza di aver rimosso completamente il ransomware, motivo per il quale consigliamo quando infettati di reinstallare tutto il sistema.
  
  Rispondi
Fabio Massimo GIardini ha detto:

16 Novembre 2016 alle 16:50

in data 10.11.2016 ricevo questa email: Agente della Risossione Equitalia S.p.A. Via Cristoforo Colombo 5527 – 00527 – Roma Art. 26 D.P.R. 29/09/1973,n. 527 e successive modifiche – Art.60 D.P.R. 29/09/1973, n.592,Art140 c.p.c. Gentile ………………….. Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge, di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.00182877-2810010” del 15/11/2016, composto da 3 pagina/e di elenchi contribuenti a nr 11 atti. Si prega scaricare il fattura Equitalia S.p.A. C.F. P.I. 08704527005

Rispondi
Alexandro ha detto:

19 Settembre 2016 alle 11:35

Aggiungo un altro indirizzo da aggiungere all’elenco dei falsi mittenti equitalia che mandano in giro il trojan: [email protected]

Buon lavoro e buona giornata

Rispondi
susanna ha detto:

22 Aprile 2016 alle 15:58

e quello che vorrei sapere io l ho scaricato non sapendo cos era.poi cercando in internet equitalia mi e uscito che era un falso.ho spento tutto,e adesso?come si fa.

Rispondi
1. Omar ha detto:
  
  1 Agosto 2016 alle 10:39
  
  Dovete installare un antivirus adatto
  
  Rispondi
Dirk41 ha detto:

13 Aprile 2016 alle 9:58

Ciao
Ecco stavo proprio x chiedere cosa è meglio faccia uno se si accorge subito di aver cloccAto su un ransomware che ancora non ha finito di criptare tutto.
Ok spegnere il PC.
Ma perchè anche sconnetterlo da internet ?

Ma comunque la domanda principale è: se uno lo spegne , poi in che modo si recuperano i files? Se collego poi il disco a un altro PC, il virus non si attiva anche su quel PC ?

Grazie in anticipo

Rispondi

Lascia un commento Annulla risposta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.