Attenzione alla nuova ondata di ransomware in finti avvisi Equitalia

E’ in corso in questi giorni una nuova ondata di phishing attraverso falsi avvisi di pagamento firmati Equitalia che riprendono la campagna di ransomware inviato tramite finte cartelle di pagamento Equitalia dell’aprile 2016 che ha infettato tramite CTB-Locker numerosi computer con S.O. Windows in tutta Italia.

Il testo del messaggio che sembra provenire dall’indirizzo di posta elettronica “[email protected]” è identico a quello di aprile 2016, incluso l’errore “Agente della Risossione” (mancanza della ‘C’ nella parola “Riscossione”) e cita:

AVVISO DI PAGAMENTO

************************
Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 142 – 481192 – Roma

Art. 4192 D.P.R. 07/03/1942, n. 691 e successive modifiche – Art. 4192 D.P.R. 03/09/1942, n. 5192, Art. 190 c.p.c.

Gentile

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento n.006943470922” del 09/22/2016 , composto da 5 pagina/e di elenchi contribuenti a nr. 9 atti.

Si prega di scaricare il fattura

Equitalia S.p.A. C.F. P.I. 54192684192

Il link indicato dal messaggio punta all’indirizzo porta al sito onlinequiltmagazine.com dal quale viene avviato il download di un archivio ZIP da cloud Volafile protetto con password 7604 contenente il file “Documento n.006943470922.pdf.exe” che è ciò che infetta il computer con il ransomware.

Raccomandiamo quindi a chiunque riceva messaggi da parte di Equitalia contenenti link a indirizzi esterni di verificare con cautela il testo, il mittente, l’indirizzo del link e non scaricare eventuali documenti che dovessero essere contenuti in allegato o agli indirizzi indicati nei messaggi di posta elettronica.

Le prime analisi sembrano rilevare che i file cifrati vengano rinominati con l’estensione “.zgbbjem” e che il ransomware possa trattarsi nuovamente, come già ad aprile 2016, di CTB-locker.

Ringraziamo JAMESWT per la segnalazione e i link ai sample disponibili ai seguenti indirizzi:

https://www.reverse.it/sample/0c24ef7047f84f47703c8d2f51157b8a32d2a6a71c56fb95022c37cdb9ff698e?environmentId=100
https://www.virustotal.com/en/file/0c24ef7047f84f47703c8d2f51157b8a32d2a6a71c56fb95022c37cdb9ff698e/analysis/1474535901/

Termini di ricerca frequenti

Volafile
Volafile Italia
Ransomware Pagamento
Archivio Volafile
Equitalia Cartelle Nuova Ondata
Equitalia Avviso Di Pagamento 006943470922

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Termini di ricerca frequenti

Lascia un commento Annulla risposta