In queste ore sta girando una e-mail di Mediaset Premium (falsa) che recita:
Gentile ,ti inviamo in allegato copia della fattura numero 11307188974 relativa al tuo abbonamento Mediaset Premium, con scadenza il 25/08/2013 .Per assistenza puoi consultare la Guida alla Lettura della fattura presente nell’Area Clienti del sito mediasetpremium.it oppure cliccando qui .Per informazioni il nostro Servizio Clienti e’ a tua disposizione al numero 199.309.309 * tutti i giorni dalle 9 alle 23.Grazie per aver scelto Mediaset Premium!Cordiali saluti,Servizio Clienti Mediaset PremiumQuesta e-mail e’ generata automaticamente e inviata ai sottoscrittori dell’abbonamento Mediaset Premium. Non utilizzare l’indirizzo di
posta elettronica con cui e’ stata inviata la presente e-mail per richiesta informazioni.Copyright (c) 2008 Mediaset. Tutti i diritti riservati* Il costo del servizio IVA inclusa da rete fissa e’ di 5,63 centesimi al minuto senza scatto alla risposta dal lunedi’ al venerdi’ dalle 18.30 alle 23, il sabato dalle 13 alle 23 e la domenica dalle 9 alle 23.
Negli altri orari il costo del servizio e’ di 14,37 centesimi al minuto senza scatto alla risposta. Per chiamate da rete mobile il costo massimo IVA inclusa e’ di 48,4 centesimi al minuto, con uno scatto alla risposta di 15,62 centesimi.
In allegato c’è fattura.zip che contiene un file fattura.scr che (essendo eseguibile) contiene un virus. Si tratta di una variante del trojan Vundo che se eseguito sarà in grado di memorizzare, all’interno di un file di testo, i tasti premuti sulla tastiera e di inviarli successivamente a un server remoto.
Non apritelo!!!
Edit del 23/08/2013:
Un utente, amvinfe, ha riportato nei commenti che la sua versione del virus è in realtà un malware di tipo “ransom”. In sostanza, una volta eseguito, vi compare una pagina in cui vi viene chiesto un riscatto per poter continuare a utilizzare il PC (per carità di Dio, non pagate, non servirebbe a niente). Qualsiasi sia il tipo di virus che ricevete, la soluzione è sempre la stessa: non eseguite il file .scr e cancellate la mail.
Ciao,
la email a cui fai riferimento all’interno del tuo articolo contiene una variante del malware Ransom, conosciuto ai più come “virus della polizia postale” o “virus della guardia di finanza”.
Oltre alla capacità di memorizzare i tasti premuti sulla propria keyboard ed inviare i dati ad un server remoto, viene sostituito il desktop con un falso alert.
Ha la capacità di criptare i file presenti della macchina appena infettata con una chiave a 2048 bit, difficilmente i file possono essere recuperati.
Per riavere la corretta funzionalità del proprio computer, viene chiesto un riscatto… da qui il nome dato al malware dalle software-house di sicurezza, appunto ransom.
ciao Marco A. De Felice aka amvinfe
Ciao Marco,
innanzitutto grazie della segnalazione. Però, a questo punto, mi viene da pensare che ci siano 2 varianti di questo trojan in giro. Lo dico perché l’ho eseguito su un ambiente virtuale per vedere se almeno in esecuzione veniva rilevato da qualche programma di sicurezza (visto che al momento in cui mi è arrivata la mail, né l’antivirus del sistema né quello del server di posta mi hanno detto nulla). Eppure, il sistema infettato, ha continuato a funzionare correttamente e non mi è stato chiesto nessun “riscatto” (a quel punto si è svegliato il Norton).
Io l’ho ricevuta stamattina, fortunatamente non sono un cliente mediaset premium per cui non l’ho aperta e ho cercato, trovandola quì, la risposta al mio sospetto. Grazie.
Io sono stato così sciocco da aprirlo. Cosa posso fare per rimediare? Al momento ho rimosso il file e fatto il punto di ripristino (il pc pare essere tornare a funzionare normalmente). Consigli?
Ciao Alessandro,
se hai aperto solo il file .zip, non è successo nulla. Se hai eseguito il file .scr, allora questo dovrebbe essere “scomparso” nel momento in cui l’hai eseguito e il virus dovrebbe essersi installato. A questo punto ci sono 2 opzioni:
1) se il virus era del tipo ransom (ovvero ti chiedevano un riscatto per poter riutilizzare di nuovo il pc, come ha scritto Marco), dovresti aver risolto il problema (eventualmente fai una scansione con Spybot o Combofix). Ma se la schermata è scomparsa dovresti (e sottolineo la parola dovresti) essere fuori pericolo.
2) se il virus era del tipo “silente” con keylogger integrato, c’è solo un modo per essere sicuro al 100% di averlo eliminato: formattare il pc e reinstallare tutto. Altrimenti puoi sempre eseguire Spybot e Combofix per vedere se rilevano qualcosa di strano, oppure eseguire un live cd di linux ed eseguire una scansione del pc da lì. Però, IMHO, in questi casi una formattatina mette l’anima in pace.
Grazie mille per il consiglio! Credo che formatterò per stare tranquillo;)
Ciao,
è arrivata anche a me l’email di mediaset. Siccome sono un cliente mediadet e solitamente di questo periodo mi arriva la fattura da pagare sono andato sul sicuro ed ho fatto il dawnload del file, però l’ho fatto sul cellulare e il file,fortunatamente, non si apre. Ecco volevo sapere se anche in questo caso ci sono pericoli. Grazie
Ciao,
no, sul cellulare il file è completamente innocuo. Ricorda, la prossima volta, che le fatture (vere) vengono inviate solo in formato .pfd
Grazie mille per la tua risposta sei stato molto gentile. Avrei ancora una domanda. Ma anche i link che ci sono nell’ e-mail sono pericolosi? Perchè ne ho cliccato uno dove mi portava nell’ area clienti di mediaset. Tengo a precisare che login non l’ho fatto.
Ciao, nella mail che ho ricevuto io non erano presenti link di alcun tipo. A ogni modo il phishing è innocuo se l’utente non inserisce username e password. La prassi, infatti, è quella di ricreare un sito uguale in tutto e per tutto a quello originale per far si che, una volta inseriti username e password, questi vengano salvati dall’attaccante. Se non hai inserito nulla, quindi, puoi stare sereno. A ogni modo, quando sei nel dubbio, controlla l’indirizzo copiandolo e incollandolo nella barra degli indirizzi del tuo browser (se devi accedere a Mediset Premium e trovi http://pwd.tirubolacasa.it vuol dire che qualcosa non va). O, ancora meglio, se sei nel dubbio e vuoi accedere alla tua area personale, non cliccare sul link ma apri il tuo browser e vacci manualmente, come faresti di solito (ovvero digitando a manina l’indirizzo).
Spero di esserti stato utile
Grazie sei stato molto gentile. Mi hai tolto molti dubbi.