Rajah Ransomware chiede il riscatto di Bitcoin

Durante la nostra analisi dei nuovi invii di file, il nostro team di ricerca si è imbattuto nel ransomware Rajah, un programma dannoso appartenente alla famiglia dei ransomware Makop. Questo tipo specifico di malware è progettato con lo scopo di crittografare i dati ed estorcere il pagamento in cambio della decrittazione.

Dopo aver testato il ransomware Rajah sul nostro sistema, abbiamo osservato che crittografa i file e ne modifica i titoli aggiungendo un ID distinto assegnato a ciascuna vittima, l'indirizzo e-mail dei criminali informatici e l'estensione ".rajah". Ad esempio, un file originariamente denominato "1.jpg" verrebbe trasformato in "1.jpg.[2AF20FA3].[rajah@airmail.cc].rajah". Inoltre, il ransomware crea una richiesta di riscatto denominata "+README-WARNING+.txt".

La richiesta di riscatto funge da richiesta di pagamento, sottolineando che i file della vittima sono stati crittografati e possono essere ripristinati solo dagli aggressori. Avverte esplicitamente di non tentare di utilizzare software antivirus o strumenti di ripristino di terze parti, poiché tali azioni renderebbero i file permanentemente non decrittografabili, con conseguente perdita di dati irreversibile. La vittima viene informata che il processo di decrittazione richiede il pagamento di un riscatto in criptovaluta Bitcoin, con l'importo specifico non specificato.

La nota di riscatto di Rajah non elenca alcun riscatto BTC specifico

Il testo completo della richiesta di riscatto del Rajah recita come segue:

XXX I tuoi dati sono stati crittografati XXX

Per ripristinare i tuoi dati, scrivi a rajah@airmail.cc

SI PREGA DI LEGGERE MOLTO ATTENTAMENTE IL TESTO SOTTOSTANTE!!!

1. Nessuno restituirà i tuoi dati tranne noi (non fidarti di terze parti)
2. I programmi antivirus e di ripristino danneggeranno permanentemente i tuoi dati (neanche noi possiamo ripristinarli!)
3. Il pagamento per il recupero dei tuoi dati viene effettuato in BITCOIN (BTC)!!! SOLO BITCOIN!!!
4. Puoi acquistare BITCOIN (BTC) sul sito web hxxps://www.binance.com/en (Passa una semplice registrazione seguendo le istruzioni sul sito e poi acquista BITCOIN (BTC)

Se hai letto il testo qui sopra e hai bisogno dei tuoi dati, è il momento di scriverci.

In che modo ransomware come Rajah può entrare nel tuo sistema?

Esistono diversi modi comuni attraverso i quali ransomware come Rajah può infiltrarsi nel tuo sistema:

• E-mail di phishing: i criminali informatici spesso distribuiscono ransomware tramite e-mail di phishing. Creano e-mail che sembrano legittime e convincono i destinatari a fare clic su collegamenti dannosi o scaricare allegati infetti. Una volta aperto, il malware ottiene l'accesso al sistema e inizia a crittografare i file.
• Download dannosi: il ransomware può essere associato a download apparentemente innocui da siti Web non affidabili o camuffato da aggiornamenti software legittimi. Quando gli utenti scaricano ed eseguono inconsapevolmente questi file dannosi, il ransomware prende il controllo del sistema.
• Sfruttamento delle vulnerabilità del software: i criminali informatici sfruttano le vulnerabilità nei sistemi operativi, nei programmi software o nei plug-in per distribuire ransomware. Se il tuo sistema non è aggiornato con le ultime patch di sicurezza, diventa più suscettibile a tali attacchi.
• Download drive-by: visitare siti Web compromessi o dannosi può portare a download drive-by, in cui il malware viene scaricato e installato automaticamente senza l'interazione dell'utente. Ciò può verificarsi tramite kit di exploit che prendono di mira le vulnerabilità nei browser Web o nei plug-in.
• Dispositivi esterni infetti: il ransomware può diffondersi attraverso dispositivi esterni infetti come unità USB o dischi rigidi esterni. Quando questi dispositivi sono collegati al tuo sistema, il malware può avviare il suo processo di crittografia.