Campagna spam in Italia diffonde Dharma Ransomware

Una nuova campagna di mail spam sta diffondendo il Dharma Ransomware in Italia insieme al keylogger Ursniff.

I ricercatori di sicurezza informatica JAMESWTTG Soft e reecDeep hanno rilevato una nuova campagna spam, volta al contagio degli utenti Windows italiani con il keylogger Ursniff e il Dharma Ransomware.

Il Dharma Ransomware è attivo da alcuni anni e si basa su un’altra famiglia di Ransomware nota come Crysis. Il ransomware, visto la prima volta nel 2016 e quindi evoluto nel corso degli anni utilizza la crittografia AES per crittografare i dati del computer. Una volta bloccati i file, mostra quindi delle note di riscatto con le istruzioni necessarie per sbloccarli.

Dharma Ransomware – Mail spam e allegati

La campagna di mail spam di diffusione del Dharma Ransomware in Italia vede quindi l’invio di messaggi di posta elettronica con oggetti come “Fattura n. 637 del 14.01.20“, camuffati quindi da notifica di fattura. Il testo è il seguente:

spam-italia-dharma-ransomware-mail

Gentile cliente,

in allegato alla presente Le trasmetto la nostra fattura.

Si precisa che questa modalita d’invio, tramite posta elettronica, sostituisce la spedizione cartacea e che i documenti allegati costituiranno l’originale della fattura.

Decreto

Si prega dare gentile conferma di lettura

Allegati alla mail troviamo quindi il file “New documento 2.zip“, su una pagina di OneDrive, che viene scaricato automaticamente quando l’utente accede al sito.

spam-italia-dharma-ransomware-allegati

L’archivio New documento 2.zip include quindi due file, ovvero uno script VBS chiamato “Nuovo documento 2.vbs” e un’immagine “yuy7z.jpg“. Eseguendo il file VBS si installeranno alcuni payload malware, tra cui il trojan keylogger Ursniff, arrivando quindi al Dharma Ransomware.

La versione del Dharma Randomware di questa campagna spam che sta colpendo l’Italia aggiunge l’estensione . ROGER ai file crittografati, mostrando quindi una nota del riscatto che intima alla vittima di contattare [email protected] per ricevere informazioni sul riscatto.

spam-italia-dharma-ransomware-riscatto

Sfortunatamente, al momento non esiste un modo per decrittografare i file cifrati dal Dharma Ransomware senza la chiave nota solo agli hacker dietro il malware. Se dovessi inavvertitamente installare il ransomare, l’unico modo per recuperare i tuoi file sarebbe tramite backup o pagando il riscatto.

Al contrario di altre campagne di phishing, come quella a nome di Poste Italiane, in questo caso non è necessario fornire informazioni per avviare l’attacco. La campagna di diffusione che sta colpendo l’Italia infatti prevede semplicemente un click sul link della mail spam perché il Dharma Ransomware venga installato aprendo i file allegati.

Come sempre, invito gli utenti a stare molto attenti alle mail che aprono e agli allegati che scaricano. Inoltre, consiglio l’installazione di un antivirus che includa la protezione da ransomware (che raramente è inclusa in quelli gratis), come Norton 360, che include anche la Promessa Protezione Virus. Se il tuo dispositivo dovesse essere colpito da un virus mentre utilizzi Norton infatti, riceverai un rimborso completo.

Se ti è piaciuto questo articolo, scrivimi o commenta qui sotto e condividilo con i tuoi amici! Inoltre, seguimi su Facebook e Instagram per rimanere sempre aggiornato sulle novità di Stolas Informatica!

Nota: si ringrazia Bleeping Computer per le immagini e le risorse (in inglese)

Indice

Il tuo indirizzo IP è:

18.97.14.88

La tua posizione è:

Ashburn,

USA

Il tuo indirizzo IP e la tua posizione sono visibili a chiunque.

Torna in alto

Offerta a tempo limitato:

Giorni
Ore
Minuti
Secondi

Risparmia il 72%!

su VPN + Antimalware!

Garanzia soddisfatti o rimborsati di 30 giorni

Offerta a tempo limitato:

Giorni
Ore
Minuti
Secondi

Risparmia il 72%!

su VPN + Antimalware!

Garanzia soddisfatti o rimborsati di 30 giorni

Indice

Il tuo indirizzo IP è:

18.97.14.88

La tua posizione è:

Ashburn,

USA

Il tuo indirizzo IP e la tua posizione sono visibili a chiunque.