Attenzione Ransomware: una minaccia sinistra con un conto alla rovescia
Table of Contents
Un altro nuovo volto nel mondo del ransomware
Il ransomware Warning è un programma dannoso identificato come parte della famiglia GlobeImposter , un noto gruppo di malware che crittografa i file. Rilevato durante un'analisi di campioni di malware caricati su VirusTotal, Warning agisce impedendo agli utenti di accedere ai loro file personali e richiedendo un pagamento per il loro ripristino.
Una volta all'interno di un sistema, il ransomware Warning crittografa i dati utente e modifica i nomi dei file aggiungendo l'estensione ".warning!_16". Ad esempio, file come "photo.jpg" diventano "photo.jpg.warning!_16" e lo stesso schema si applica a documenti, file eseguibili, immagini e altri tipi di file. Oltre alle modifiche ai file, il malware inserisce nel sistema una richiesta di riscatto intitolata HOW_TO_BACK_FILES.html .
La richiesta di riscatto afferma quanto segue:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..We only seek money and our goal is not to damage your reputation or prevent
your business from running.You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.Contact us for price and get decryption software.
email:
pomocit02@kanzensei.top
pomocit02@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.* Tor-chat to always be in touch:
Cosa rivela la nota di riscatto
La richiesta di riscatto ha due scopi principali: informare la vittima della situazione ed esercitare pressione psicologica. Afferma che i file sono stati crittografati utilizzando algoritmi RSA e AES, metodi di crittografia estremamente difficili da invertire senza le chiavi corrette. Le vittime vengono avvertite di non utilizzare strumenti di terze parti o di non tentare di rinominare o modificare i file crittografati, poiché ciò potrebbe danneggiarli in modo permanente.
In un inquietante colpo di scena, la nota afferma che gli aggressori hanno avuto accesso a dati personali sensibili caricati su un server privato. Minacciano di vendere o pubblicare questi dati se la vittima si rifiuta di pagare il riscatto. Inoltre, la nota indica una finestra temporale di 72 ore per contattare la vittima, dopodiché il prezzo del riscatto aumenterà. Le vittime vengono invitate a contattare il sistema tramite indirizzi email specifici o una piattaforma di chat anonima basata su Tor.
Cosa vogliono i programmi ransomware
In sostanza, il ransomware è progettato per generare profitti per i suoi autori, bloccando i dati e costringendo le vittime a pagare per la loro restituzione. Nel caso del ransomware Warning, l'obiettivo degli aggressori è duplice: estorsione finanziaria e sfruttamento dei dati. Minacciando di divulgare dati privati, aumentano la pressione sulle vittime affinché si adeguino.
Tuttavia, gli esperti di sicurezza sconsigliano vivamente di pagare. Non solo non c'è alcuna garanzia che lo strumento di decrittazione venga fornito, ma ottemperare al pagamento finanzia anche ulteriori attività criminali. In molti casi, anche quando viene pagato un riscatto, le vittime rimangono senza strumenti di recupero funzionanti o, peggio ancora, vengono nuovamente prese di mira.
Infezione e diffusione
Attenzione: il ransomware, come altre minacce simili, può continuare a crittografare i file finché rimane attivo. Può anche diffondersi a sistemi o dispositivi connessi tramite reti locali, aggravando il danno. Ciò significa che la rimozione tempestiva è essenziale, anche se l'eliminazione del ransomware non decrittografa automaticamente i file interessati.
Purtroppo, a meno che la vittima non disponga di backup sicuri o di accesso a uno strumento di decrittazione di terze parti (cosa rara per i ransomware più recenti o avanzati), i file crittografati vengono spesso persi definitivamente. L'efficacia del ransomware deriva in gran parte dalla sua capacità di disabilitare le comuni opzioni di ripristino e dall'utilizzo di una crittografia complessa, quasi impossibile da decifrare.
Come il ransomware raggiunge le sue vittime
Il ransomware di avviso, come la maggior parte degli altri, si diffonde attraverso una varietà di metodi progettati per indurre gli utenti ad avviarlo. Tra questi, allegati o link email dannosi, falsi aggiornamenti software, software pirata con malware nascosto, siti web compromessi e unità USB infette. In alcuni casi, i criminali informatici sfruttano le vulnerabilità del software o dei sistemi operativi per distribuire silenziosamente il ransomware.
Gli utenti vengono spesso colti di sorpresa perché i file dannosi sembrano legittimi, assumendo la forma di documenti, programmi di installazione o archivi compressi. Una volta aperto o eseguito, il ransomware si attiva silenziosamente e inizia il processo di crittografia, spesso prima che l'utente si renda conto che c'è qualcosa che non va.
Difesa attraverso la vigilanza e i backup
La migliore protezione contro il ransomware è la prevenzione. Ciò significa evitare comportamenti rischiosi online, come scaricare contenuti piratati, aprire allegati email sospetti o visitare siti web non sicuri. Scaricate software solo da fonti ufficiali e non utilizzate mai generatori di chiavi o strumenti di attivazione di terze parti, che sono vettori comuni di malware.
Mantenete aggiornati sistemi operativi, app e software antivirus. Questi aggiornamenti tendono a includere patch di sicurezza che risolvono le vulnerabilità sfruttate dal ransomware. Soprattutto, eseguite regolarmente il backup dei dati su un archivio offline sicuro. Questo garantisce che, anche in caso di infezione, i file più importanti possano essere recuperati senza cedere alle richieste di riscatto.
Considerazioni finali
Il ransomware di warning è un esempio lampante di quanto rapidamente e profondamente le minacce informatiche possano avere un impatto su individui e organizzazioni. La combinazione di crittografia, estorsione e fuga di dati lo rende una forma di attacco digitale particolarmente aggressiva. Tuttavia, con un comportamento consapevole e cauto e backup affidabili, i rischi di infezioni da ransomware possono essere significativamente ridotti.
Siate vigili, fate il backup e non affidatevi mai a una richiesta di riscatto come soluzione affidabile.
