Da qualche giorno stanno girando delle mail infette che arrivano via PEC, e sempre più utenti mi chiedono se possono o meno aprirle.
Esamiamone una un po’ più da vicino.
La Mail
Il messaggio, che ci è stato girato da un nostro cliente, si presenta in questo modo:
Il fatto che ci sia un file zip come allegato sicuramente farebbe insospettire molti di voi, ma il fatto che arrivi via PEC, un canale di comunicazione ufficiale, ha fatto si che molti abbiano aperto l’allegato.
L’allegato
Aprendo l’allegato ci troviamo con un dentro un file .PDF ed un file .VBS, ma fino a qui non abbiamo fatto ancora alcun danno.
Aprendo il file con estensione PDF, viene detto che non è un pdf valido, questo per convincere l’utente a provare se quello sotto si apre. Probabilmente vi hanno detto di non aprire file con estensione EXE, ma purtroppo ne abbiamo altre di pericolose come: COM, JRE, BAT, PS1 e, ahimé, anche i file con estensione VBS, che stanno per Visual Basic Script, un noto linguaggio di programmazione.
Un CryptoLocker visto da vicino
In genere, lo studio dei veicoli di infezione informatica, lo facciamo in laboratorio, e poi ne forniamo i risultati. Questa parte la dedichiamo a tutti gli utenti un po’ esperti, che hanno voglia di capire, almeno in questo caso, come sarebbero andate le cose se avessimo fatto doppio click su file con estensione VBS. I file di questo tipo sono tranquillamente apribili con un editor di testo, come blocco note, in quanto le istruzioni sono scritte in chiaro. Per questo motivo, l’hacker di turno, inserisce nel proprio codice molti elementi di disturbo per fare si che il codice sia meno leggibile. Di fatto all’apertura, ci troviamo un insieme di righe di questo tipo:
Visto così, non ci dice nulla. Ma per noi, che siamo sviluppatori, risulta evidente che ci sono stringhe casuali precedute da un apice, che in visual basic vengono viste come righe di commento. Andiamo quindi a togliere tutte questi elementi di disturbo e vediamo cosa rimane:
Ad un occhio ancora più esperto risulta evidente che ci sono anche parecchie istruzioni volutamente errate. Il programma dell’hacker però esegue le istruzioni successive comunque, in quanto all’inizio della procedura c’è scritto “On error resume next”, ovvero in caso di errore riprendi dalla riga successiva. Eliminiamo anche queste e vediamo se capiamo cosa fa questo “bel” programmino:
E qui, per noi programmatori, risulta tutto chiaro. Il programma scarica dal sito dreamacinc.com un file, che apparantemente è un JPG, ma che viene rinominato come PS1, quindi come file eseguibile da Microsoft tramite PowerShell (presente in tutti i pc con Windows 7/10). Le righe precedenti ciclano per tutti i file del computer in questione e li fanno ripassare da questo file PS1 che quindi, con tutta probabilità, sarà un Cryptlocker. Abbiamo cercato di scaricare il file PS1, in quanto contiene senz’altro l’algoritmo di cifratura, ma il sito dreamacinc.com non è più accessibile, per cui, con molta probabilità, è stato fatto bloccare da qualche collega, o dall’hacker stesso, in quanto, da quel file, si può ricavare l’algoritmo di decifratura.
Buon informatica a tutti
Ing. Massimiliano Zuffi
Articoli recenti
- Convegno regionale CNA – Digital Way 9 Maggio 2022
- Notebook Lenovo in offerta 13 Luglio 2021
- Ma non si era detto che Windows 10 sarebbe stato l’ultimo? 1 Luglio 2021
- Google blocca l’accesso a Youtube per i bambini di età inferiore ai 14 anni 17 Febbraio 2021
- Poste italiane e GDPR 9 Settembre 2020
- Ottenere un prestito da un utente Facebook? Mai stato così facile! 8 Agosto 2020
- Siete sicuri di poter chiudere in tranquillità le vostre aziende? 4 Agosto 2020
- Badge di riconoscimento 2020/2021 3 Agosto 2020
- Anonimous come Robin Hood? 28 Aprile 2020
- Attenzione, rilevati hackers potenzialmente italiani 28 Aprile 2020