Capibara Ransomware blocca i computer infetti

Durante l'esame di nuovi campioni di file, il nostro team di ricerca ha scoperto il ransomware Capibara. Questo software dannoso funziona crittografando i file per richiedere il pagamento di un riscatto.

Dopo aver acquisito un campione di questo malware, lo abbiamo eseguito sul nostro sistema di test. Abbiamo osservato che i nomi dei file crittografati da questo ransomware sono alterati con l'estensione ".capibara". Ad esempio, un file denominato "1.jpg" verrà visualizzato come "1.jpg.capibara" e "2.png" come "2.png.capibara" e così via.

Una volta completato il processo di crittografia, Capibara ha modificato lo sfondo del desktop e ha generato un file di testo denominato "READ_ME_USER.txt" contenente una richiesta di riscatto in russo. La nota informa la vittima che i suoi file sono stati criptati e ora sono illeggibili e sottolinea che il ripristino è impossibile senza il coinvolgimento degli aggressori.

Alla vittima viene chiesto di acquistare uno strumento di decrittazione per 5000 rubli russi utilizzando Bitcoin. Tuttavia, l'importo del riscatto specificato in Bitcoin - 0,073766 BTC - non corrisponde alla somma del rublo al tasso di cambio attuale, considerando le continue fluttuazioni dei tassi.

La richiesta di riscatto per Capibara è disponibile solo in russo

Il testo completo della richiesta di riscatto di Capibara recita come segue:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Come può il ransomware infettare il tuo computer di casa?

Il ransomware può infettare il tuo computer di casa in vari modi, tra cui:

E-mail di phishing: gli aggressori inviano e-mail ingannevoli contenenti collegamenti o allegati dannosi. Facendo clic su questi collegamenti o aprendo allegati infetti puoi scaricare e installare ransomware sul tuo computer.

Siti Web dannosi: visitare siti Web compromessi o dannosi può esporre il tuo computer a download drive-by, in cui il ransomware viene automaticamente scaricato e installato a tua insaputa.

Vulnerabilità del software: il software obsoleto, in particolare i sistemi operativi e le applicazioni, può presentare vulnerabilità di sicurezza che il ransomware sfrutta per ottenere l'accesso al computer.

RDP (Remote Desktop Protocol) non sicuro: se utilizzi RDP per connetterti in remoto al tuo computer di casa e non è adeguatamente protetto (ad esempio, utilizzando password deboli), gli aggressori possono sfruttarlo per ottenere l'accesso e distribuire ransomware.

Unità USB infette: il collegamento di unità USB infette o altri dispositivi di archiviazione esterni può introdurre ransomware nel computer.

Software freeware o piratato: il download di software da fonti non attendibili o l'utilizzo di software piratato aumenta il rischio di scaricare insieme ad esso ransomware.

Sfruttare le vulnerabilità della rete: il ransomware può diffondersi in una rete domestica se un computer viene infettato e il malware riesce ad accedere a unità condivise o altri dispositivi connessi alla rete.