Attenzione al finto avviso di pagamento Equitalia che diffonde CTB-Locker

Se avete ricevuto in questi giorni un messaggio di posta elettronica intitolato “AVVISO NUMERO 000793348” e proveniente da “pagamento@gruppoequitalia.it” non siete vittima delle cosiddette “cartelle pazze” ma potenziali vittime di un ransomware, chiamato CTB-Locker che, se attivato, cripta i documenti sul vostro PC chiedendo un riscatto in bitcoin per poterli decifrare.

La mail si presenta con una intestazione che cita un fantomatico “Agente della Risossione” (la ‘C’ manca anche nell’originale) e gli articoli di legge “Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.” per poi informare la vittima del deposito di un avviso di pagamento “Documento Numero 000793348” presso la Casa Comunale del Comune.

Il testo della finta mail di phishing Equitalia, contenente l’informazione circa il deposito di un fantomatico “Avviso di Pagamento”, è il seguente:

Subject: AVVISO NUMERO 000793348
Date: Wed, 6 Apr 2016 11:23:38 +0600 (BDT)
From: Equitalia <pagamento@gruppoequitalia.it>
To: info@ransomware.it

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 470 – 0047097 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.

Gentile info@ransomware.it,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 000793348” del 06/04/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti [ Scarica il documento]

© Equitalia S.p.A. C.F. P.I. 0917089156470

Le mail possono avere oggetto contenente numeri diversi, come “AVVISO NUMERO 000793348”, “AVVISO NUMERO 00045552”, “AVVISO NUMERO 00071552”, “AVVISO NUMERO 000793348 “, “AVVISO NUMERO 00045552”, “AVVISO NUMERO 000793348”, etc… con il criterio di aggiungere a un fantomatico “AVVISO NUMERO” un numero fittizio di avviso di riscossione Equitalia.

I link puntano verso piattaforme di cloud come Dropbox oppure su siti web creati presso l’hosting dedicatedpanel.com.

Cliccando sul link si attiva il download del vero e proprio trojan, chiamato in diversi modi, ad esempio “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, “Documento Numero 00071552.pdf.exe”, “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, etc… sempre seguendo il criterio di aggiungere al nome “Document Numero” un numero fittizio di avviso di pagamento Equitalia.

Il sito ufficiale di Equitalia mette in guardia dalle false mail con presunti avvisi di pagamento e riscossione [WBM] precisando giustamente che “Equitalia è estranea a questi messaggi potenzialmente pericolosi“.

Equitalia allega anche un comunicato stampa ufficiale circa le mail di truffa [WBM] precisando che “Continuano ad arrivare segnalazioni di messaggi di posta elettronica con mittente fatture@gruppoequitalia.it, equitalia@sanzioni.it, servizio@equitalia.it, noreply@equitalia.it, multe@equitalia.online o simili, contenenti presunti avvisi di pagamento di Equitalia e che invitano a scaricare file, a utilizzare link esterni o a effettuare pagamenti. Equitalia ha avuto conferma dalla Polizia Postale che da tempo è in atto una campagna di phishing, cioè di tentativi di truffa informatica architettati per entrare illecitamente in possesso di informazioni riservate. Equitalia è assolutamente estranea all’invio di questi messaggi e ha già presentato querela contro ignoti, pertanto raccomanda nuovamente di non tenere conto della e-mail ricevuta, di eliminarla senza scaricare alcun allegato e di non effettuare i pagamenti richiesti. In ogni caso è possibile richiedere informazioni al call center di Equitalia al numero verde 800 178 078 o al numero 02 3679 3679 (secondo piano tariffario).“.

Il comunicato stampa di Equitalia circa il phishing truffa fornisce anche un elenco degli indirizzi di posta da dove sono stati rilevati provenire i messaggi: “fatture@gruppoequitalia.it, equitalia@sanzioni.it, servizio@equitalia.it, noreply@equitalia.it, servizio@unicredit.it, servizio_clienti@poste.it, noreply-equit@eq.it, support@update.it, equitalia@avvia.it, noreply@postecert.it, reply-equi@riscossioni1.it, equitaliat@raccomandata.it, cifre@equitliaroma.it, assistenza@protocol.it, noreply@certificazione.it, info55@bper.it, noreply@protocol.it, noreply@legge.it, noreplay@bancoposta.it, b4g484809.283418861@gruppoequitalia.it, b4g116353.654618283@gruppoequitalia.it, web_1@postepay.it, pagamento@equitalia.it, pagamenti@equitalia.it, b4g829823.325938126@gruppoequitalia.it, b4g589127.28767122@gruppoequitalia.it, b4g112693.329597469@gruppoequitalia.it, noreply@pec.it, b4g829188.595601231@gruppoequitalia.it, b4g959117.53274326@gruppoequitalia.it, pagamento@gruppoequitalia.it, info28@bper.it, b4g232024.871969135@gruppoequitalia.it, fatture-equitalia@fatture-gruppoequitalia.it, autorizzata@postcert.it; info76842@bcca.it; info14@bcpp.it; info17@bcpp.it; info19@cse.it;info6@bcpp.it; tiziano.baggio@equitaliaspa.legalmail.it; info@venetobanca.it; info@unipol.it; assistenza@creval.it; b4g340831.290834225@gruppoequitalia.it; pagammento@equitalia.it; b4g37105.7327400958@gruppoequitalia.it; multe@equitalia.online.”

Ovviamente il consiglio è quello di cancellare i messaggi di posta e non cliccare sull’allegato. Se avete aperto il messaggio non c’è pericolo, basta non scaricare l’allegato e aprirlo. Se lo avete aperto, mantenete la calma, scollegate il PC dalla rete e spegnetelo per limitare i danni.

Chi vuole studiare il ransomware distribuito dalla campagna che finge cartelle di riscossione Equitalia può trovare ai seguenti link dei sample da scare e analizzare:

https://malwr.com/analysis/MTI4NDZiNTZmYzEwNDcyMWJkNTE0ODQ0NzhiM2VhZTM/
- MD5: a39536efcf5aec90d702824451fd6f92
- SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
https://malwr.com/analysis/MWY5N2QyZTY4OGZjNGFhODg3ZjI3ZmM1Nzc4NWE4MWM/
- MD5 3b99f35048b8bd2f20b200b7c2a4b98c
- SHA1 4008d6f5953a9e1e1fc39581342235f56cb68560
https://malwr.com/analysis/MzI4OGQ5MGViM2ZlNGE1NmJlOTMzOWNlZDI5ODIzODc/
- MD5 a4c64aefb73d3623521d91d5d63cdb45
- SHA1 049afbbc287a04a0f76b8816698131e281590016
https://malwr.com/analysis/M2RlYjljZjhkZjU3NDgwMDgxMmZiYWIyM2I2ODkxZTU/
- MD5 a39536efcf5aec90d702824451fd6f92
- SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
https://malwr.com/analysis/M2U5YjBmMjdlN2JkNDMxNWFlMmNiMTdhMzI2NWEwNmY/
- MD5 db0a2be5b0eb4603fada6e6f79f3d267
- SHA1 b829e48a021b6d2f5041528a2386e9c98e13763b

Termini di ricerca frequenti

Avviso Equitalia Casa Comunale
Equitalia
Mail Da Equitalia Avviso Numero
Equ It
Www Gruppoequitalia It
Casa Comunale Equitalia
Equitalia Art 139
Avviso Di Pagamento Equitalia Via Mail
Mail Da Equitalia
Agente Della Risossione Equitalia
Avviso Di Pagamento Equitalia
Equitalia Avviso Numero 00071552
Avviso Equitalia
Phishing Equitalia
Casa Comunale Del Comune Equitalia
Mail Equitalia Avviso Numero
Atto Equitalia Depositato In Comune
Equitalia Atti Casa Comunale
Atto Equitalia
Avviso Equitalia Casa Comunale Mail
Equitalia Comune
Equitalia Casa Comunale
Avviso Equitalia Mail
Avviso Di Equitalia Via Mail
Avvisi Equitalia Via Mail
Equitalia Avviso Di Pagamento
Equitalia Numero Atto
Documento Numero 000793348
Atto Equitalia Casa Comunale
Mail Equitalia Avviso Pagamento
Equitalia Avviso Numero
Avviso Equitalia Via Mail
Avviso Pagamenti Equitalia
Avviso Pagamento Equitalia
Ransom Ctb Locker
00071552 Equitalia
Mail Di Equitalia
Equitalia Mail Ha Depositato Avviso Pagamento Composto Atti
Avviso Equitalia Con Mail
Equitalia Il Suindicato Agente Della Riscossione
File Pdf Exe Equitalia
Avviso Equitalia Numero Atto
00071552
Atto Equitalia Depositato Casa Comunale
Avvisi Pagamento Equitalia
Come Arriva Avviso Equitalia
Documento Numero 00071552
Equitalia Avvisi Di Pagamento Via Mail
Finta Mail Equitalia Truffa
Equitalia Avviso
Equitalia Mail Di Avviso Deposito Nella Casa Comunale
Mail Avvisi Di Equitalia
Avviso Equitalia Casa Comunale 2016
Finto Avviso Di Pagamento Equitalia
Avviso Pagamento Equitalia Mail
Se Arriva Avviso Equitalia Posta
Equitalia Avviso Comune
Documento Equitalia
Malwr
Equitalia Art 60
Mail Equitalia Deposito Comune
Equitalia Spa Cristoforo Colombo
Mail Con Avviso Di Riscossione Equitalia
Equitalia Deposita In Comune Un Avviso Di Pagamento
Art 26 602 Del 1973
Se Arriva La Posta Di Equitalia In Comune
Equitalia Avviso Pagamento Via Mail
Equitalia 139
Equitalia Deposito Presso Casa Comunale
Equitalia Messaggi Di Pagamento
Avviso Pagamento Equitalia Mail Risossione
Numero Atto Equitalia 09
Pagamenti Per La Casa Comunale
Mail False Da Equitalia
Equitalia Via Cristoforo Colombo 290 Roma
False Mail Da Equitalia
Agente Della Riscossione Equitalia
Messaggio Unicredit Equitalia
Mail Da Equitalia Spa
Messaggi Equitalia Bancoposta
Numero Avviso Equitalia
Equitalia Pagamento Online
Pagamento Casa Comunale
Avviso Di Truffa In Atto
Agente Della Riscossione 26 600
Avviso Di Pagamento
Equ Raccomandata
Truffa Per Posta Cartelle Equitalia
Avviso Equ It
Equitalia Spa Avviso Di Pagamento
Per Conto Di
Mail Equitalia Riscossioni
Atto Equitalia Numero
Avviso Numero 00071552
Cartelle Truffa Equitalia
Mail Equitalia Unicredit
Avviso Di Deposito
Equitalia Avviso Di Deposito Al Comune
Nella Casa Comunale Del Comune Il Seguente Avviso Di
Truffa Equitalia Unicredit
Truffa Cartelle Equitalia
Finto Avviso Pagamento Equitalia
Mail Equitalia Deposito Casa Comunale
Equitalia Documento Numero 00071552
Avviso Di Pagamento Equitalia Ctb
Equitalia Spa Roma Mail
Mail Equitalia Truffa
Mail Equitalia Scarica Documento Allegato
Avviso Di Deposito Atti Nella Casa Comunale Equitalia
Documento Gruppo Equitalia Mail
Atti Equitalia In Comune
Unicredit Equitalia
Equitalia Avviso Riscossione On Line
Postepay Equitalia Mail
Agente Riscossione Equitalia Mail Via Cristoforo Colombo
Mail Equitalia
Messaggio Equitalia Unicredit Vero
Mail Unicredit Equitalia
Mail Di Riscossione
Avviso Finto Equitalia
Pagamento Equitalia Unicredit
Atti Di Equitalia
Art 60
Agente Equitalia Casa

11 Responses to "Attenzione al finto avviso di pagamento Equitalia che diffonde CTB-Locker"

mirco bartoccioni ha detto:

9 febbraio 2017 alle 19:18

AVVISO DI PAGAMENTO n.003448178209
Equitalia S.p.A. [1486656479noreply@1486656479equitalia.com]
Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 142 – 73195 – Roma

Art. 495 D.P.R. 07/03/1942, n.195 e succesive modifiche – Art. 495 D.P.R. 02/07/1942, n. 595, Art. 160 c.p.c.

Gentile cliente,

Il suindicato Agente della Ricossione avvisa, ai sensi delle intestate disposizioni di leggue, di aver depositato in data odierna, nella Casa Comunale del
Comune il seguente avviso di pagamento “Documento n. 003448178209” del 02/02/2017, composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti.

SCARICA IL DOCUMENTO ALLEGATO.

© Equitalia S.p.A. C.F, P.I. 07894495

questo è quello che mi è arrivato e non so se è un email vera

Rispondi
1. Paolo Dal Checco ha detto:
  
  15 febbraio 2017 alle 9:02
  
  E’ certamente una mail contenente un ransomware, l’oggetto “Agente della Risossione” (si noti l’errore ortografico “Risossione”) è caratteristico di questa campagna d’infezioni che è rimasta uguale da diversi mesi.
  
  Rispondi
Angela Miola ha detto:

28 novembre 2016 alle 13:28

Gentilissimi,

ricevo in data 28.11.2016 la seguente mail da id685073.191679573@equitalia.it:

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 290 – 00289 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 600, Art. 140 c.p.c.

Gentile Sig./Sig.ra,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 0082-19293-02934” del 28/11/2016 , composto da 2 pagina/e di elenchi contribuenti a nr. 11 atti [ Scarica il documento ]

© Equitalia S.p.A. C.F. P.I. 08304541068

Riuscite a dirmi se si tratta di un virus ?
Grazie mille

Rispondi
1. Paolo Dal Checco ha detto:
  
  28 novembre 2016 alle 13:49
  
  Confermiamo che non si tratta di Equitalia bensì di una mail di phishing finalizzata a veicolare ransomware, un particolare tipo di malware che infetta il computer, cripta i documenti rendendoli quindi “bloccati” e inutilizzabili, chiedendo poi un riscatto alla vittima per “sbloccarli”, in genere da pagare tramite la criptomoneta Bitcoin. Non clicchi sul link contenuto nella mail. Se ha cliccato non è grave, si attiverà il download di un archivio compresso che non contiene un avviso di pagamento ma il programma che avvierà il download sul PC del virus (in realtà un trojan, erede dei vari Cryptolocker, Locky, CTB-Locker, Teslacrypt, etc…) che infetta il sistema.
  
  Rispondi
Domenica Franzoni ha detto:

21 novembre 2016 alle 9:55

Anche a me proprio oggi mi e arrivata questa email ..purtroppo non sapendo lo aperta che devo fare ora ? Oltre fare la scansione dell’antivirus e abbastanza ho devo fare altro?
Grazie anticipatamente
Distinti Saluti

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 5263 – 00263 – Roma

Art. 26 D.P.R. 29/09/1973, n. 263 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 592, Art. 140 c.p.c.

Gentile FRANZCLA@HOTMAIL.COM,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.200384-394282” del 19/11/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 11 atti.

Si prega di scaricare il fattura

© Equitalia S.p.A. C.F. P.I. 08704263005

Rispondi
1. Paolo Dal Checco ha detto:
  
  23 novembre 2016 alle 23:33
  
  Se non sono stati criptati i dati, una possibile soluzione “veloce” può essere passare un buon antivirus, se ben aggiornato dovrebbe identificare e rimuovere il ransomware. Certamente in questo modo non si avrà mai la certezza di aver rimosso completamente il ransomware, motivo per il quale consigliamo quando infettati di reinstallare tutto il sistema.
  
  Rispondi
Fabio Massimo GIardini ha detto:

16 novembre 2016 alle 16:50

in data 10.11.2016 ricevo questa email: Agente della Risossione Equitalia S.p.A. Via Cristoforo Colombo 5527 – 00527 – Roma Art. 26 D.P.R. 29/09/1973,n. 527 e successive modifiche – Art.60 D.P.R. 29/09/1973, n.592,Art140 c.p.c. Gentile ………………….. Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge, di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.00182877-2810010” del 15/11/2016, composto da 3 pagina/e di elenchi contribuenti a nr 11 atti. Si prega scaricare il fattura Equitalia S.p.A. C.F. P.I. 08704527005

Rispondi
Alexandro ha detto:

19 settembre 2016 alle 11:35

Aggiungo un altro indirizzo da aggiungere all’elenco dei falsi mittenti equitalia che mandano in giro il trojan: id146962.537133483@alice.it

Buon lavoro e buona giornata

Rispondi
susanna ha detto:

22 aprile 2016 alle 15:58

e quello che vorrei sapere io l ho scaricato non sapendo cos era.poi cercando in internet equitalia mi e uscito che era un falso.ho spento tutto,e adesso?come si fa.

Rispondi
1. Omar ha detto:
  
  1 agosto 2016 alle 10:39
  
  Dovete installare un antivirus adatto
  
  Rispondi
Dirk41 ha detto:

13 aprile 2016 alle 9:58

Ciao
Ecco stavo proprio x chiedere cosa è meglio faccia uno se si accorge subito di aver cloccAto su un ransomware che ancora non ha finito di criptare tutto.
Ok spegnere il PC.
Ma perchè anche sconnetterlo da internet ?

Ma comunque la domanda principale è: se uno lo spegne , poi in che modo si recuperano i files? Se collego poi il disco a un altro PC, il virus non si attiva anche su quel PC ?

Grazie in anticipo

Rispondi

Lascia un commento Annulla risposta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.