Chiusi finti domini ENEL che veicolavano Cryptolocker

La polizia postale e i ransomwareSono stati chiusi dalla Polizia Postale, in collaborazione con la rete internazionale 24/7High Tech Crime del G8, 17 siti che emulavano il sito web ENEL al fine di diffondere una delle ultime versioni del ransomware Cryptolocker. I siti servivano per poter ospitare link contenenti i ransomware che, nei primi giorni di diffusione, passano indenni agli antivirus anche se aggiornati.

In particolare, per identificare i siti utilizzati per distribuire il trojan Cryptolocker è stato decisivo per la Polizia Postale l’apporto fornito dai partner internazionali come il Department of Cybercrime della Polizia Turca e il Dipartimento K del Ministero degli Interni Russo.

Cryptolocker e la finta bolletta ENELIl link ai siti web è contenuto nel testo di una mail che risulta inviata da “Enel Servizio Elettrico” e sembra contenere una bolletta ENEL da scaricare cliccando su di un link. Il pericolo non risiede nella mail ma nel file che si viene invitati a scaricare raggiungendo la pagina puntata dal link. Se avete cliccato e visitato la pagina, è sufficiente non scaricare quello che viene proposto come una bolletta ENEL ma in realtà è un dropper, cioé un software malevolo che ne scarica un altro al fine d’infettare il PC.

Di seguito l’elenco dei siti utilizzati da Cryptolocker per diffondere il payload che come buona parte dei ransomware infetta i PC dei malcapitati, cripta i loro dati e richiede un riscatto in bitcoin per poterli sbloccare.

  • enel24.net
  • enel24.org
  • enelservizio.com
  • enelservizio.net
  • enel24.com
  • enel-elettrico.org
  • enel-elettrico.com
  • enel-elettrico.net
  • enelelettrico.org
  • enelelettrico.com
  • enelelettrico.net
  • enel-italia24.net
  • enel-italia24.com
  • enelitalia-servizio.net
  • enelitalia-servizio.org
  • enelitalia-servizio.com
  • enelitalia.net

Il finto sito ENEL che contiene il ransomware Cryptolocker

I domini risultano registrati a luglio 2015 tramite provider russo REG.RU LLC, probabilmente con dati falsi e ulteriormente mascherati tramite tramite servizi di Whois Privacy Protection come il “Privacy Protection Service INC d/b/a PrivacyProtect.org”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.