Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Ransom, questi bastardi... Opzioni
bobo779256
Inviato: Tuesday, January 19, 2016 3:15:09 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
No, non mi sono infettato

Questo post solo per avvisare che il pericolo è reale e si sta diffondendo molto in fretta



Purtroppo non ho pensato di fare una cattura schermata alla mail contenente il Ransom, ma vi assicuro che era molto verosimile, conteneva la fattura Telecom dell'ultimo mese con la stessa grafica precisa identica della stessa mail originale, con però alcuni piccoli dettagli diversi:

° il numero telefonico della linea interessata non era il mio
° in fondo non compariva il messaggio di avvertenza di non rispondere a quella mail
° cosa più importante, se si passava senza cliccare il puntatore sul pulsante che dovrebbe connettersi alla bolletta online della TIM compariva il nome di un file "fattura-un po di numeri-.zip" (mai saputo che la TIM inviasse la bolletta per mail, quindi...)

Per curiosità, già sapendo che la mail era fasulla, ho provato con Malwarebytes a scansionare il PC ma non ha rilevato nulla.

Ho provato col tanto bistrattato (non qui ma su altri lidi lo danno come 'ciofeca') Defender di Windows 8.1, scansione completa, c'ha messo quasi due ore ma me l'ha trovato, nelle cartelle riferite all'app Mail, come minaccia altamente pericolosa avvisandomi che Defender avrebbe bloccato il PC se non decidevo cosa fare.



Tutto questo solo per avvertire, non fidatevi e controllate sempre dieci volte le mail che arrivano anche se apparentemente il mittente è ok, è tramite mail la percentuale più alta di contagio in rete.
Poi può sempre scappare qualcosa ed infettarsi comunque, ma intanto si parte un attimo consapevoli dei rischi.
Sponsor
Inviato: Tuesday, January 19, 2016 3:15:09 PM

 
ciocca956
Inviato: Tuesday, January 19, 2016 4:42:39 PM
Rank: AiutAmico

Iscritto dal : 1/5/2012
Posts: 4,102
Molto interessante bobo.
Da drizzare 10 orecchie.
Confermo inoltre che Telecom-ora-Tim manderà a breve le fatture via E-Mail. Chi volesse continuare a ricevere il cartaceo dovrà sborsare alcuni eurini oltre la spedizione. Almeno col mio abbonamento (in via di estinzione) è così.
maopapof
Inviato: Tuesday, January 19, 2016 4:47:58 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,183
ciao bobo

sembra però strano che sia andato direttamente come ATTIVO in Windows 32 .... chissà che cosa hai autorizzato

fai una scansione on line con virustotal ....... critroni

https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Ransom%3AHTML%2FCritroni.A

bobo779256
Inviato: Tuesday, January 19, 2016 5:14:43 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
maopapof ha scritto:
... sembra però strano che sia andato direttamente come ATTIVO in Windows 32 .... chissà che cosa hai autorizzato


Non l'ho capita, sia andato attivo cosa?

[edit]ah, ho capito, appena posso riverifico il tutto
bobo779256
Inviato: Tuesday, January 19, 2016 5:20:07 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
ciocca956 ha scritto:
Molto interessante bobo.
Da drizzare 10 orecchie.
Confermo inoltre che Telecom-ora-Tim manderà a breve le fatture via E-Mail. Chi volesse continuare a ricevere il cartaceo dovrà sborsare alcuni eurini oltre la spedizione. Almeno col mio abbonamento (in via di estinzione) è così.


E' da più di dieci anni che non ho il cartaceo della bolletta, e confermo che non arriva per mail, arriva solo l'avviso che la bolletta è stata emessa e che per consultarla devi andare online sul sito TIM, accedere con le proprie credenziali e poi si potrà consultare il pdf della bolletta

Occhio che all'inizio, abituato alla carta, magari ci si può cadere: "ah m'è arrivato il pdf della bolletta, mò la scarico..." e ti becchi il ransom-o-quel che è.
maopapof
Inviato: Tuesday, January 19, 2016 5:34:07 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,183


elementi rilevati ;O)
devi andare .... cartella ... elementi nascosti ;o) ed attivare

wolfestein
Inviato: Tuesday, January 19, 2016 7:04:27 PM

Rank: AiutAmico

Iscritto dal : 2/15/2009
Posts: 15,955
bobo779256
Inviato: Tuesday, January 19, 2016 9:25:41 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093


Si, avevo letto anche di quello, ormai siamo circondati...
penso, più o meno, sia normale che la criminalità tenti tutte le strade per estorcere qualunque cosa, soldi, bitcoin, informazioni, altro...

Da quando ho aperto il post, me ne sono arrivate altre di mail farlocche, BCC-Fineco-Banco Posta sono solo alcune che mi arrivano sulla mail che ho da sempre, la mail che all'inizio elargivo a destra e a manca senza tante remore, nelle altre mail arriva solo pubblicità ma anche di quella non mi fido e semmai, se devo comprarmi l'ultimo modello di qualcosa vado direttamente al sito senza clic imprudenti nella mail.

@mao - ormai l'elemento nocivo è stato soppresso, non c'è più nella cartella indicata nella foto sopra; ho comunque provveduto a scansionare il PC con tutto quello che ho e non mi ha trovato nulla... incrocio le dita, anche quelle dei piedi...

cbbusto
Inviato: Wednesday, January 20, 2016 12:27:23 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Grazie bobo per l'info, purtroppo ogni giorno ne spunta una nuova, l'attenzione non è mai troppa.
Mi è piaciuto molto quello che hai detto riguardo a Defender, tutti sanno che da anni io difendo l'antivirus della Microsoft e qualche volta sono stato deriso...dai soliti che guardano le varie classifiche che si leggono in rete, poi li trovi in questa sezione a chiedere consigli con i più disparati antivirus. Pray
Confermo che Tim non invia fatture con le mail, ma arriva l'avviso e si legge nel sito dopo essersi loggati.
L'unica società che manda la fattura come allegato mail è SKY, almeno a me non ne risultano altre.
alexs
Inviato: Wednesday, January 20, 2016 4:52:50 AM
Rank: AiutAmico

Iscritto dal : 12/12/2008
Posts: 1,277
A me Vodafone manda solo un email per stampare la fatturazione bimestrale,per add sul c/c.
bobo779256
Inviato: Wednesday, January 20, 2016 1:19:58 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
@alexs
ecco, il tuo è proprio il caso esemplare (non tu in particolare, non ti arrabbiare...)
abituato a fare una determinata operazione (click per stampa) OGGI ti arriva una mail camuffata da Vodafone, tale e quale, clicchi e ti freghi
è per questo che dovrebbero proprio eliminare la possibilità di cliccare dentro le mail, TIM Vodafone Banca o altri, la mail dovrebbe essere solo informativa, ed è così che la considero io, vedere ma non toccare

@cbbusto
è da un po' che non ho AV attivi (Protezione in tempo reale), più o meno ogni decina di giorni faccio una scansione completa con Defender-Malwarebyte, ma soprattutto stò attento a cosa seleziono-clicco-apro quando sono online [edit] sono con un account STANDARD il più del tempo, è molto importante...[/edit]
purtroppo avere attivo Defender mi rallenta tutto, apertura cartelle-apertura programmi-gestione dati in genere, per cui l'ho disattivato
all'inizio stavo con le orecchie dritte, come se si potesse 'sentire' un'infezione in atto, ma poi, col passare dei mesi, ci si abitua, in fondo basta navigare o aprire mail in modo consapevole
per Defender, concordo, non è poi così male, è compreso nel S.O. e si integra abbastanza bene con esso, forse le versioni vecchie fatte per Vista e Seven non erano 'sto granchè ma questa per 8.1 e 10 mi sento di dire che è ok
in fondo non esistono AV o antimalware perfetti, qualunque marchio non blocca il 100% delle minacce o potenziali tali, l'unica sicurezza è staccare il modem e non navigare\spedire mail\giocare online\FB\Twitter\ecc.

Mò però basta con 'sto terrorismo informatico, la predica è finita, navigate ed andate in pace Anxious
momo47
Inviato: Thursday, January 21, 2016 8:34:31 AM
Rank: AiutAmico

Iscritto dal : 2/8/2009
Posts: 155
Anch'io sono fra quelli che ho ricevuto le mail da telecom fasulle, mi chiedo come possano inviarle utilizzando il mittente esatto della telecom. Anche questa mattina me la sono ritrovata .
bobo779256
Inviato: Thursday, January 21, 2016 11:56:56 AM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093


Ne è arrivata un'altra di fattura fasulla, notare il numero telefonico col doppio zero (che non centra nulla col mio), e l'italiano perfetto della frase sottolineata, tutto il resto è simile alla mail TIM originale.
Sempre Ransom scovato da Defender

Mi/ci tocca convivere con 'ste seccature...
maopapof
Inviato: Thursday, January 21, 2016 12:19:59 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,183


aaaaaaaaaaa .... IL ...cuba ? 0053 ( se ti riferisci a questo )

ma la notizia che tim/Telecom
spedirà via mail ( incomprensibile ) le fatture , sembra veritiero se non si vorrà avere l'addebito della spedizione in bolletta

controlla da dove arriva lo zip :O)



bobo779256
Inviato: Thursday, January 21, 2016 12:53:47 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
0053 è il prefisso di Cuba? Allora la Telecom cubana manda a me una bolletta di laggiù? Magari provo a telefonare a quel numero, risponderà di sicuro un cubano inca@@ato perchè a lui arrivano mail di bollette Telecom italiane :o)

Apparte le battute, ribadisco, come scritto in precedenza, che TIM NON SPEDISCE le bollette via mail, come ho scritto in precedenza, arriva solo un avviso di consultazione

"controlla da dove arriva lo zip", non ci penso proprio, non è uno zip ma uno zip camuffato da pdf camuffato da exe, alla larga!!!
maopapof
Inviato: Thursday, January 21, 2016 1:00:49 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,183
non è uno zip ma uno zip camuffato da pdf camuffato da exe, alla larga!!!

come fai a dirlo ? ...... METTILO SU UN HOSTS..... lo guardo io


PS. 0053 ..... erano le iniziali della fattura :O))))) scherzavoooooooooo !



ramsoon lavora facendo impazzire l'antivirus con invio a catena di processi di criptazione
ecco perché si deve immediatamente disattivarsi dal net :O(

bobo779256
Inviato: Thursday, January 21, 2016 1:40:55 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
maopapof ha scritto:
non è uno zip ma uno zip camuffato da pdf camuffato da exe, alla larga!!!

come fai a dirlo ? ...... METTILO SU UN HOSTS..... lo guardo io


PS. 0053 ..... erano le iniziali della fattura :O))))) scherzavoooooooooo !


beh, corrisponde a Cuba lo 0053, e corrisponde alla parte iniziale del numero di telefono della foto, lo sò che scherzavi, anch'io...

No, ho cancellato la mail, alla prossima volta...

zip>pdf>exe come faccio a dirlo? Vedi la prima foto, nel percorso dove individua la minaccia trova uno zip che contiene un pdf ma che in realtà è un exe, si riesce a capire
festaiolo
Inviato: Thursday, January 21, 2016 6:31:45 PM
Rank: AiutAmico

Iscritto dal : 7/14/2005
Posts: 69
ragazzi, io uso sempre firefox ma oggi all'avvio mi si è avviato da solo chrome chiedendomi di installare estensioni a me sconosciute,
allora avendo letto di quel virus di chrome, ho fatto una scansione con malwarebytes che non ha rilevato nulla, ed una con AdwCleaner (di seguito posto il log).
Bastano queste operazioni per verificare che quel virus non c'è?

# AdwCleaner v4.208 - Creato file registro eventi 17/07/2015 in 13:24:09
# Aggiornato 09/07/2015 da Xplode
# Database : 2015-07-15.1 [Server]
# Sistema operativo : Windows 7 Home Premium Service Pack 1 (x64)
# Nome utente : - PC
# In esecuzione da : C:
# Opzione : Pulizia

***** [ Servizi ] *****


***** [ File / Cartelle ] *****


***** [ Attività pianificate ] *****


***** [ Collegamenti ] *****


***** [ Registry ] *****


***** [ Browser web ] *****

-\\ Internet Explorer v11.0.9600.17909


-\\ Mozilla Firefox v38.0.5 (x86 it)

[ifal8ryq.default\prefs.js] - Linea Eliminato : user_pref("extensions.irc.initialURLs", "irc%3A//irc.icq.com/; irc%3A//irc.icq.com/TriviaHolics");
[ifal8ryq.default\prefs.js] - Linea Eliminato : user_pref("extensions.vg0Y5BKJHzZl3UEa.scode", "(function(){try{if(window.location.href.indexOf(\"rjw4pjY7qHw9rdw7qjCEqHaFqTk\")>-1){return;}}catch(e){}try{var d=[[\"cryptogmail.com\",\"bancdebinary.c[...]
[ifal8ryq.default\prefs.js] - Linea Eliminato : user_pref("extensions.zonealarm.tlbrSrchUrl", "hxxp://search.zonealarm.com/search?src=tb&tbid=HFA5&Lan={dfltLng}&gu=1896995bf7484a5a9341fec16414240a&tu=10G9y00Gy5D33N0&sku=&tstsId=&ver=&&q=");

-\\ Google Chrome v43.0.2357.81


*************************

AdwCleaner[R0].txt - [13838 byte] - [16/07/2015 01:45:27]
AdwCleaner[R1].txt - [1555 byte] - [16/07/2015 17:19:44]
AdwCleaner[R2].txt - [1613 byte] - [17/07/2015 10:02:09]
AdwCleaner[S0].txt - [9263 byte] - [16/07/2015 01:48:44]
AdwCleaner[S1].txt - [1568 byte] - [17/07/2015 13:24:09]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1626 byte] ##########
# AdwCleaner v5.030 - Creato file registro eventi 21/01/2016 in 17:48:11
# Aggiornato 17/01/2016 da Xplode
# Database : 2016-01-19.2 [Server]
# Sistema operativo : Windows 10 Home (x64)

# In esecuzione da : C:\Users\diego\Desktop\adwcleaner_5.030.exe
# Opzione : Analisi
# Supporto : http://toolslib.net/forum

***** [ Servizi ] *****


***** [ Cartelle ] *****

Cartella Trovato : C:\Users\diego\AppData\LocalLow\Yahoo!\Companion

***** [ File ] *****


***** [ DLL ] *****


***** [ Collegamenti ] *****


***** [ Attività pianificate ] *****


***** [ Registry ] *****


***** [ Browser web ] *****


########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [2375 byte] ##########
bobo779256
Inviato: Friday, January 22, 2016 5:37:47 PM

Rank: AiutAmico

Iscritto dal : 4/8/2011
Posts: 4,093
festaiolo, apri un post tuo, inserisci la lista e spiega le problematiche, io non ci capisco molto...

vale la regola generale nei forum: 1 guaio = 1 post, non accodarsi ad altri se non è lo stesso oggetto del post
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.