Il ransomware PayForRepair mette un prezzo ai tuoi file

Un'altra minaccia sulla scena informatica

I ricercatori di sicurezza informatica hanno scoperto un altro tipo di ransomware che si sta facendo strada nei sistemi infetti: PayForRepair . Questo programma dannoso appartiene alla nota famiglia di ransomware Dharma e segue uno schema familiare ma pericoloso: crittografare i file e richiedere un riscatto in cambio della decifratura.

PayForRepair è progettato per impedire alle vittime di accedere ai propri dati, applicando un tag univoco a ciascun file crittografato. I file infetti vengono rinominati includendo un ID specifico della vittima, l'indirizzo email dell'aggressore e l'estensione ".P4R". Le vittime ricevono inoltre richieste di riscatto sia come finestre pop-up che come file di testo denominato info.txt , che viene inserito in ogni cartella interessata.

Ecco cosa dice la richiesta di riscatto:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Cosa vuole PayForRepair

Ransomware come PayForRepair sono creati per rendere inaccessibili i dati personali e aziendali crittografandoli con algoritmi avanzati. Una volta crittografati, i file non possono essere aperti o utilizzati a meno che non venga fornita una chiave di decrittazione univoca, in possesso solo dell'aggressore. La richiesta di riscatto di PayForRepair invita le vittime a inviare un'e-mail agli aggressori per negoziare il recupero dei dati. Il pop-up chiarisce ulteriormente la situazione, affermando che la decrittazione verrà fornita solo dopo il pagamento in Bitcoin .

Gli aggressori offrono una dimostrazione di "buona fede" consentendo alla vittima di decriptare gratuitamente fino a tre file, a condizione che soddisfino determinati criteri. Questa tattica è comunemente utilizzata per creare fiducia e indurre la vittima a pagare. Tuttavia, mettono anche in guardia le vittime dall'utilizzo di strumenti di recupero di terze parti, sostenendo che potrebbero danneggiare permanentemente i file crittografati – una tattica basata sulla paura tipica delle campagne ransomware.

Perché gli attacchi basati sul Dharma sono difficili da sconfiggere

In quanto membro della famiglia di ransomware Dharma, PayForRepair condivide diverse caratteristiche con le sue controparti. Pur risparmiando i file di sistema critici, consentendo alle vittime di continuare a utilizzare i propri dispositivi, prende di mira indiscriminatamente i file locali e condivisi in rete. Il ransomware aumenta il suo tasso di successo interrompendo i processi relativi ai file aperti, come quelli utilizzati da database o app di produttività, garantendo che anche tali file possano essere bloccati.

Per controllare i sistemi infetti, il malware basato su Dharma si insinua spesso in posizioni specifiche del computer, come la directory %LOCALAPPDATA% , e si imposta per essere eseguito a ogni riavvio del computer. Elimina anche eventuali copie shadow del volume , una funzionalità di backup integrata di Windows, in modo che le vittime non possano semplicemente ripristinare i propri sistemi a uno stato precedente.

La dura realtà: pagare potrebbe non aiutare

Sfortunatamente, le probabilità di successo sono a sfavore delle vittime una volta che PayForRepair ha bloccato i loro file. I metodi di crittografia utilizzati sono generalmente robusti e, senza la chiave di decrittazione degli aggressori, il recupero è quasi impossibile. Anche se le vittime pagano il riscatto, non c'è garanzia che gli strumenti di decrittazione vengano effettivamente forniti. In molti casi, i criminali informatici si limitano a intascare il pagamento e a sparire.

Ecco perché gli esperti di sicurezza informatica sconsigliano vivamente di pagare qualsiasi riscatto. Questo non solo finanzia le operazioni criminali, ma alimenta anche la crescita dei modelli di ransomware come servizio (RaaS), in cui i kit di malware vengono venduti o noleggiati ad altri malintenzionati per attacchi su larga scala.

Come si diffonde PayForRepair

Il metodo di infezione più comune per le varianti del ransomware Dharma, incluso PayForRepair, è attraverso servizi Remote Desktop Protocol (RDP) deboli. Gli aggressori utilizzano tecniche di forza bruta per indovinare le password e accedere a sistemi con scarsa sicurezza di accesso. Una volta all'interno, possono facilmente distribuire il ransomware e disattivare difese come i firewall.

Tuttavia, RDP non è l'unico vettore. Altri metodi comuni includono email di phishing, allegati dannosi, falsi aggiornamenti software e download da fonti non verificate. Spesso, il ransomware si presenta sotto forma di un documento o di un file di installazione dall'aspetto innocuo. Una volta aperto, si installa silenziosamente e inizia a crittografare i file.

In alcuni casi, il ransomware può diffondersi lateralmente attraverso le reti o persino infettare supporti rimovibili come le unità USB. Ciò evidenzia la necessità di difese multilivello che vadano oltre il semplice software antivirus.

Pratiche ottimali per la prevenzione e il recupero

Poiché la rimozione di ransomware come PayForRepair non decrittografa i file, la prevenzione è la migliore linea di difesa. Uno dei passaggi più critici è mantenere backup regolari offline, archiviati in posizioni sicure e separate, idealmente sia in ambienti fisici che cloud. Questo garantisce che, anche in caso di attacco, i dati possano essere ripristinati senza pagare un riscatto.

Gli utenti dovrebbero inoltre prestare attenzione quando navigano online o aprono email indesiderate. Allegati e link provenienti da fonti sconosciute dovrebbero sempre essere trattati con sospetto. Inoltre, le organizzazioni dovrebbero disabilitare l'accesso RDP inutilizzato, applicare policy di password complesse e aggiornare regolarmente il software per correggere le vulnerabilità note.

L'evoluzione del panorama del ransomware

PayForRepair si aggiunge a una crescente lista di ransomware, tra cui Jackalock , DarkMystic e VerdaCrypt . Ognuno di essi opera con metodi e obiettivi leggermente diversi, ma tutti condividono un obiettivo comune: bloccare i dati ed estorcere denaro. Alcuni richiedono poche centinaia di dollari, altri milioni, a seconda dell'obiettivo.

Con l'evoluzione delle minacce, deve evolversi anche la nostra comprensione del loro funzionamento e di come difenderci. Sebbene PayForRepair sia solo un nome in un campo di ransomware molto affollato, i suoi metodi sono un chiaro esempio di come anche la navigazione di routine o il controllo delle email possano aprire la porta a gravi disagi, a meno che non vengano adottate misure di sicurezza adeguate.

Entro il Willa
April 16, 2025
Ransomware
Italiano
April 16, 2025
Ransomware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.