CursoDFIR Ransomware contiene una richiesta di riscatto in portoghese

Durante l'esame di nuovi campioni di malware, ci siamo imbattuti in cursoDFIR, un tipo di ransomware progettato per crittografare i file. Inoltre, cursoDFIR aggiunge la sua estensione (".cursoDFIR") ai nomi dei file, altera lo sfondo del desktop e genera un documento di testo ("meleaicara.txt") contenente un messaggio di riscatto.

Un'illustrazione di come cursoDFIR rinomina i file crittografati: "1.jpg" diventa "1.jpg.cursoDFIR", "2.png" si trasforma in "2.png.cursoDFIR" e così via. Questo messaggio di riscatto, composto in portoghese, richiede il pagamento in cambio della decrittografia dei file che cursoDFIR ha bloccato. Accusa la vittima di aver tentato di scaricare software Microsoft piratato e prevede il pagamento in valuta digitale per ottenere la chiave di decrittazione.

È importante sottolineare che questa richiesta di riscatto non contiene dettagli di contatto, il che si discosta dalla norma per le richieste di riscatto. In genere, tali messaggi includono istruzioni per le vittime di contattare i criminali informatici per discutere il pagamento del riscatto e ottenere assistenza per la decrittazione.

cursoDFIR Richiesta di riscatto composta in portoghese

Il testo completo della brevissima richiesta di riscatto generata da cursoDFIR recita come segue:

ESTE RANSOMWARE FOI PARA VOCÊ!

É VOCÊ MESMO QUE TENTOU BAIXAR UM MICROSOFT PIRATA!

PARA DESCRIPTOGRAFAR PRECISA PAGAR

PAGAR 1 MOEDA DIGITAL

Key: EC63E8BE0717BD92C0FFBF7A21749A54

CURSO DE DFIR Mente Binária
Professor: Caique

Come può il ransomware infettare il tuo computer?

Il ransomware può infettare il tuo computer attraverso vari metodi, tra cui:

E-mail di phishing: uno dei metodi più comuni è tramite e-mail di phishing. I criminali informatici inviano e-mail ingannevoli contenenti allegati o collegamenti dannosi. Quando utenti ignari aprono questi allegati o fanno clic sui collegamenti, il ransomware viene scaricato ed eseguito sui loro sistemi.

Siti Web dannosi: anche visitare siti Web compromessi o dannosi può portare a infezioni ransomware. Questi siti Web possono contenere kit di exploit che scaricano e installano automaticamente ransomware sui computer dei visitatori sfruttando le vulnerabilità dei loro browser o plug-in.

Download drive-by: analogamente ai siti Web dannosi, il ransomware può essere scaricato sul tuo computer a tua insaputa tramite download drive-by. Questi download si verificano quando visiti un sito Web legittimo che è stato compromesso e il malware viene automaticamente scaricato e installato sul tuo sistema in background.

Software vulnerabile: il ransomware può sfruttare le vulnerabilità del software installato sul computer, come sistemi operativi, browser Web o plug-in. I criminali informatici sfruttano queste vulnerabilità per ottenere accesso non autorizzato al tuo sistema e distribuire ransomware.

Pubblicità dannose (malvertising): il ransomware può essere distribuito anche tramite pubblicità dannose visualizzate su siti Web legittimi. Fare clic su questi annunci può portare al download e all'installazione automatici del ransomware sul tuo computer.