Anche oggi nuova ondata di TorrentLocker, con parecchie vittime e ancora nessuna soluzione per la decifratura. La diffusione si è uniformata alle ondate estere (dove il trojan si finge ufficio postale online e fa risolvere captcha) questa volta con indirizzo bitcoin singolo per ogni vittima, il che risolve un po' di problemi per i criminali ma anche per le vittime.
Anche in questo caso il C&C è in Russia (46.161.30.27) e chiede sempre i soliti 1.49226 BTC ma questa volta i giorni prima del raddoppio del riscatto sono quattro. Lascia sempre la possibilità di decifrare uno e un solo file gratuitamente. In tutte queste ultime ondate il C&C è sempre sulla classe 46.161.30.1/24... questo significa che per ora per evitare parzialmente danni (non l'infezione) si può impostare una regola sul firewall. -- Dr. Paolo Dal Checco, Consulente Informatico Forense Digital Forensics Bureau (Di.Fo.B.) Studio Associato Tel +390110438192 Fax +390113975327 Cell +393496008809 Strada del Portone 10, 10095 Grugliasco (TORINO) Email: [email protected] - PEC: [email protected] Web: www.dalchecco.it - www.difob.it - Skype: paolo.dalchecco On 26/11/14 22:10, Roberto Battistoni wrote: > Interessante, se lo si esegue su un browser per Mac (nel mio caso > Chrome) dà un bel messaggio in Turco! > > "Web sayfasi mobil / MAC tarayıcı desteklemiyor. Içeriği görüntülemek > için PC tarayıcı kullanın." > > Raffinati ma sbadati... > > >> Il giorno 26/nov/2014, alle ore 17:26, Roberto Tagliaferri - Tosnet >> srl <[email protected] <mailto:[email protected]>> ha >> scritto: >> >> Il 25/11/2014 16:18, Profetiko ha scritto: >>> Davvero ben fatto >>> >>> >>> Il giorno 25 novembre 2014 09:12, Igor Falcomata' >>> <[email protected] <mailto:[email protected]> >>> <mailto:[email protected]>> ha scritto: >>> >>> service.php >>> >>> >>> >> l'ho passato stamani a virus total ed il risultato è desolante >> http://goo.gl/JJI8E1 >> lo riconoscono come oggetto malevolo 4 sui 56 testati.. >> Non è un gran risultato. Capisco che infetti pochi pc rispetto ad >> altri ma si sta affinando. >> Un cliente è stato infettato perché una delle amministrative stava >> aspettando una fattura da sda. >> Le email arrivate all'ufficio sono una decina ma solo lei ha aperto >> il file e l'antivirus non ha fato una piega. >> >> -- >> TosNet.it >> >> >> Roberto Tagliaferri >> >> Responsabile Progettazione & Produzione >> TosNet s.r.l. - Internet Service Provider >> *Office*: +39 0574 875 100 >> *Mobile*: +39 329 591 3899 >> *Fax*: +39 0574 875 199 >> *Email*: [email protected] <mailto:[email protected]> >> *Web*: www.tosnet.it <http://www.tosnet.it> >> *Skype*: ilrobyt <skype:ilrobyt?call> >> >> ________________________________________________________ >> http://www.sikurezza.org - Italian Security Mailing List >> >
