Cos'è Pomochit Ransomware?
Pomochit è un programma di tipo ransomware, identificato come parte della famiglia di ransomware MedusaLocker. Questo malware crittografa i file sul sistema infetto, con l'obiettivo di estorcere il pagamento alle vittime in cambio della decrittazione.
Table of Contents
Crittografia dei file e richiesta di riscatto
Sulla nostra macchina di prova, Pomochit ha aggiunto l'estensione ".pomochit01" ai titoli dei file crittografati. Ad esempio, "1.jpg" è diventato "1.jpg.pomochit01" e "2.png" è diventato "2.png.pomochit01". Il numero nell'estensione può variare a seconda della variante del ransomware.
Dopo aver completato il processo di crittografia, Pomochit ha rilasciato una richiesta di riscatto denominata "How_to_back_files.html". Questa nota indica che il ransomware prende di mira principalmente entità di grandi dimensioni piuttosto che singoli utenti domestici.
La richiesta di riscatto di Pomochit è la seguente:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Panoramica della richiesta di riscatto
La richiesta di riscatto di Pomochit rivela che la rete aziendale della vittima è stata compromessa. Afferma che i file crittografati sono stati protetti utilizzando algoritmi crittografici RSA e AES. Inoltre, durante l'attacco sono stati estratti dati riservati e personali.
La nota mette in guardia le vittime dal rinominare, modificare o utilizzare strumenti di recupero di terze parti sui file crittografati, poiché queste azioni potrebbero rendere i dati indecifrabili. Gli aggressori richiedono un pagamento per la decrittazione e minacciano di divulgare il contenuto rubato se le loro richieste non vengono soddisfatte. Se il contatto non viene stabilito entro 72 ore, l'importo del riscatto aumenterà. Le vittime possono testare gratuitamente la decrittazione su un paio di file prima di effettuare il pagamento.
La natura del ransomware Pomochit
Sulla base di ricerche approfondite sulle infezioni ransomware, di solito è impossibile decrittografare i file senza il coinvolgimento degli aggressori. Tuttavia, il pagamento del riscatto non garantisce il recupero dei dati, poiché i criminali informatici spesso non riescono a fornire le chiavi di decrittazione o il software promessi nonostante abbiano ricevuto il pagamento. Pertanto, è fortemente sconsigliato soddisfare le richieste dei criminali per evitare di sostenere le loro attività illegali.
La rimozione del ransomware Pomochit dal sistema operativo impedirà un'ulteriore crittografia dei dati. Sfortunatamente, la rimozione non ripristinerà i file già compromessi. L'unica soluzione è recuperarli da un backup, se ne è stato creato uno in precedenza ed è archiviato altrove.
Strategie di prevenzione e backup
Il modo migliore per garantire la sicurezza dei dati è mantenere i backup in più posizioni separate, come server remoti, dispositivi di archiviazione scollegati e altri mezzi sicuri.
OceanSpy, ZILLA, LostInfo e GameCrypt sono alcune delle varianti di ransomware più recenti. Questi programmi funzionano in modo simile crittografando i file e richiedendo il pagamento per la decrittazione.
Metodi di distribuzione del ransomware
I criminali informatici utilizzano principalmente tattiche di phishing e ingegneria sociale per diffondere ransomware e altri malware. Il software dannoso è spesso camuffato da normali programmi o media. In alternativa, il malware può essere raggruppato con contenuti regolari.
I file infetti sono disponibili in vari formati, come archivi (ZIP, RAR), eseguibili (.exe, .run) e documenti (Microsoft Office, PDF). Quando viene eseguito un file dannoso, inizia la catena di infezione.
Metodi di distribuzione comuni
- Trojan di tipo Backdoor/Loader : programmi dannosi che forniscono accesso non autorizzato al sistema della vittima.
- Download drive-by : download furtivi o ingannevoli avviati all'insaputa dell'utente.
- Allegati o collegamenti dannosi nelle e-mail di spam : e-mail di phishing contenenti collegamenti o allegati dannosi.
- Truffe online e malvertising : annunci online ingannevoli o siti Web truffa che portano al download di malware.
- Canali di download inaffidabili : siti freeware e di terze parti, reti di condivisione P2P, ecc.
- Strumenti di attivazione del software illegali ("Crack") : strumenti non autorizzati utilizzati per aggirare l'attivazione del software.
- Aggiornamenti falsi : aggiornamenti fasulli per software legittimo che distribuisce malware.
Rimanere vigili e mantenere solide pratiche di sicurezza sono essenziali per combattere le minacce ransomware come Pomochit. Backup regolari, una gestione cauta della posta elettronica ed evitare download sospetti possono ridurre significativamente il rischio di infezione. Ricorda, prevenire è sempre meglio che curare quando si tratta di sicurezza informatica.
