Continua la campagna ransomware FTCODE in Italia

23/10/2019

ftcode ransomware

In data odierna il CERT-PA ha rilevato una massiccia campagna di malspam veicolante il ramsonware FTCODE[1][2].

Le e-mail di oggi presentano nel corpo del messaggio un unico link, nei casi riscontrati il testo del link termina sempre con un punto esclamativo e risulta essere contestualizzato all’Ente ricevente.

FTCode link e-mail

Il link punta ad un archivio ZIP con dentro un file di nome archivos e un file di tipo VBS il cui nome inizia per IT.

  • Il primo file (archivos) è principalmente composto da byte nulli e serve al solo scopo di rendere plausibile la dimensione dello ZIP.
  • Il secondo file (VBS) avvia la catena di infezione.

Si ricorda che FTCODE è un ramsonware e per tanto cifra i file personali dell’utente con lo scopo di richiedere un riscatto per la decodifica.

Indicatori di Compromissione

  • IoC (.txt) – URL, Domini, Hash