IRIS Ransomware crittografa i dati
Durante l'esame di nuovi campioni di file, il nostro team di ricerca si è imbattuto in un software dannoso chiamato IRIS, derivato dal ransomware Chaos. IRIS opera crittografando i file e quindi richiedendo il pagamento per la loro decrittazione.
Nel nostro ambiente di test, questo ransomware ha effettivamente bloccato i file e aggiunto un'estensione di quattro caratteri ai nomi dei file. Ad esempio, un file originariamente denominato "1.jpg" verrebbe visualizzato come "1.jpg.582m" dopo la crittografia, mentre "2.png" diventerebbe "2.png.2n02" e così via per tutti i file interessati. In seguito a questo processo di crittografia, IRIS ha modificato lo sfondo del desktop e ha lasciato una richiesta di riscatto denominata "read_it.txt".
Il messaggio trasmesso da IRIS spiega che i file della vittima sono stati crittografati e che per recuperarli è necessario pagare un riscatto di 350 dollari, pagabili in XMR (criptovaluta Monero). Inoltre, la nota avverte che i dati sensibili appartenenti alla vittima, come la cronologia di navigazione e le informazioni di identificazione personale, sono stati sottratti e rubati. Di conseguenza, la formattazione del dispositivo è considerata una soluzione inefficace, poiché gli aggressori minacciano di rivelare il contenuto rubato se non viene ricevuto il pagamento.
La richiesta di riscatto IRIS richiede $ 350
Il testo completo della richiesta di riscatto prodotta da IRIS recita quanto segue:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Come può il ransomware entrare nel tuo sistema?
Il ransomware può infiltrarsi nel tuo sistema attraverso vari mezzi, tra cui:
E-mail di phishing: un metodo comune è tramite e-mail dannose contenenti allegati o collegamenti che, se cliccati, eseguono il payload del ransomware. Queste e-mail spesso si mascherano da comunicazioni legittime provenienti da fonti attendibili, invogliando gli utenti ad aprirle.
Siti Web dannosi: visitare siti Web compromessi o dannosi può esporre il sistema al ransomware. Questi siti potrebbero sfruttare le vulnerabilità del tuo browser o dei plugin per scaricare ed eseguire ransomware a tua insaputa.
Malvertising: gli annunci pubblicitari dannosi, noti come malvertising, possono fornire payload di ransomware quando vengono cliccati. Questi annunci possono apparire su siti Web legittimi e sfruttare le vulnerabilità nelle reti pubblicitarie per distribuire malware.
Sfruttare le vulnerabilità: il ransomware può sfruttare le vulnerabilità del software senza patch nel sistema operativo o nelle applicazioni installate. Gli aggressori possono utilizzare kit di exploit, ovvero pacchetti di codice progettati per automatizzare lo sfruttamento di vulnerabilità note, per fornire payload ransomware.
Attacchi RDP (Remote Desktop Protocol): gli aggressori possono sfruttare credenziali deboli o predefinite sui servizi RDP (Remote Desktop Protocol) per ottenere accesso non autorizzato al sistema. Una volta entrati, possono distribuire ransomware e crittografare i file.
Download drive-by: il ransomware può essere distribuito anche tramite download drive-by, in cui il malware viene scaricato ed eseguito automaticamente quando si visita un sito Web compromesso o dannoso.