Cos'è Boost Ransomware?
Boost Ransomware è una variante della famigerata famiglia di ransomware Dharma. Una volta attivato, crittografa i file sul sistema della vittima, altera i nomi dei file e lascia due richieste di riscatto: una visualizzata in una finestra pop-up e un'altra salvata in un file denominato "FILES ENCRYPTED.txt".
Table of Contents
Modifiche ai nomi dei file
Dopo la crittografia, Boost Ransomware aggiunge un identificatore univoco, l'indirizzo e-mail boston.crypt@tuta.io e l'estensione ".boost" a ciascun nome file. Ad esempio, un file inizialmente denominato "picture.png" verrebbe rinominato in "picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost."
Note e richieste di riscatto
Le richieste di riscatto informano le vittime che i loro file sono stati crittografati a causa di un problema di sicurezza con il loro computer. Le vittime devono inviare un'e-mail a boston.crypt@tuta.io con l'ID assegnato per ricevere istruzioni su come pagare il riscatto, che deve essere effettuato in Bitcoin. Il costo della decrittazione dipende dalla velocità con cui la vittima contatta gli aggressori. Le note mettono in guardia contro la ridenominazione di file crittografati o l'utilizzo di strumenti di decrittazione di terze parti, poiché queste azioni potrebbero portare alla perdita permanente dei dati o a costi di decrittazione più elevati.
Ecco l'esempio della richiesta di riscatto di Boost Ransomware:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Dettagli sulla famiglia di ransomware Dharma
Il ransomware della famiglia Dharma in genere crittografa i file archiviati localmente e su condivisioni di rete. Disabilita il firewall ed elimina le copie shadow del volume per ostacolare gli sforzi di ripristino dei file. Il ransomware Dharma si diffonde spesso attraverso servizi RDP (Remote Desktop Protocol) compromessi, sfruttando credenziali deboli o mal gestite.
Meccanismi di persistenza
Per garantire la persistenza, le varianti di Dharma, incluso Boost Ransomware, si copiano su percorsi di sistema specifici e creano voci di registro che eseguono il malware all'avvio del sistema. Raccolgono inoltre dati sulla posizione e possono escludere posizioni predefinite dalla crittografia.
Comprendere il ransomware
Il ransomware in genere funziona crittografando i file e richiedendo un riscatto, spesso in criptovaluta, per la loro decrittazione. Alle vittime vengono fornite istruzioni dettagliate per il pagamento. Tuttavia, il pagamento del riscatto non garantisce il recupero dei file crittografati. Pertanto, è essenziale mantenere i backup dei file importanti su server remoti o dispositivi di archiviazione offline per ridurre al minimo il rischio di perdita di dati e danni finanziari.
Esempi di altre varianti di ransomware
Altre varianti di ransomware simili a Boost includono Jron Ransomware , AeR Ransomware e Thx Ransomware , che utilizzano tattiche di crittografia e riscatto simili.
Metodi di infezione da ransomware
Il ransomware Dharma in genere si infiltra nei sistemi tramite servizi RDP vulnerabili, spesso attraverso attacchi di forza bruta o dizionario che sfruttano password deboli. Altri metodi di infezione standard includono allegati o collegamenti e-mail dannosi, malvertising, software piratato, sfruttamento delle vulnerabilità del sistema operativo e utilizzo di reti P2P, downloader di terze parti e siti Web compromessi.
Misure preventive
Per evitare infezioni da ransomware:
- Scarica applicazioni e file solo da siti Web ufficiali o app store.
- Evita di utilizzare software pirata o strumenti di cracking e presta attenzione a e-mail, annunci, popup e pulsanti di download sospetti su siti Web non attendibili.
- Mantieni aggiornati il software e i sistemi operativi e utilizza strumenti di sicurezza affidabili.
Rimozione di Boost Ransomware
Se il tuo computer è già infetto da Boost Ransomware, ti consigliamo di eseguire una scansione completa con un programma antivirus Windows affidabile per rimuovere automaticamente il ransomware.
L'importanza dei backup regolari dei file
Nell'era digitale, dove gli attacchi ransomware sono diventati sempre più sofisticati e diffusi, mantenere backup regolari dei file importanti è assolutamente vitale. Il ransomware può infiltrarsi nel tuo sistema senza preavviso, crittografando i file e rendendoli inaccessibili a meno che non venga pagato un riscatto. Tuttavia, anche il pagamento del riscatto non garantisce la restituzione sicura dei tuoi dati. I backup regolari fungono da rete di sicurezza, garantendo la possibilità di ripristinare i file senza soddisfare le richieste dei criminali informatici, evitando così potenziali perdite finanziarie e interruzioni. Conservando i backup su soluzioni di archiviazione esterne o cloud non connesse al tuo sistema principale, proteggi i tuoi dati da ransomware e altre forme di minacce informatiche, preservando l'integrità e la continuità della tua vita digitale.
