DeathRansom: Ransomware Hellbent sull'uccisione di file su PC infetti tramite crittografia
Il ransomware si è trasformato in un problema così globale per gli utenti di computer e le aziende, le vittime delle recenti minacce si sono rivolte al budget per un attacco in modo che possano pagare il riscatto richiesto e riportare il loro computer in condizioni operative senza indugio. Le minacce ransomware, come DeathRansom, sono più sofisticate e implacabili nella loro ricerca di estorto di denaro alle vittime, lasciandole senza molte opzioni di ricorso.
DeathRansom è una minaccia ransomware che crittografa i tuoi dati e richiede un riscatto per recuperarli. Le vittime segnalano che sono tenuti a pagare in criptovaluta in un intervallo di tempo specifico, che, se non rispettato, comporterebbe la perdita completa dei dati. Tuttavia, non è consigliabile che tu risponda a queste richieste, poiché molto probabilmente saranno inefficaci e potrebbero non solo sprecare soldi per niente, ma anche mettere il tuo computer in pericolo di essere infettato da altre minacce.
Table of Contents
Cosa fa DeathRansom
La cosa curiosa di questa particolare minaccia ransomware è che non ha crittografato i file della vittima ... o almeno non all'inizio. Si scopre che la versione iniziale del ransomware DeathRansom stava solo fingendo di crittografare i dati e gli utenti interessati erano in grado di rendere nuovamente utilizzabili i propri file. In un mondo perfetto, tutto ciò che un utente di computer vittimizzato doveva fare era rimuovere l'estensione .wctc su ogni file. Un esempio di tale file codificato sarebbe '1.docx.wctc'.
Purtroppo, semplicemente cambiare l'estensione dei file interessati da DeathRansom non è più la soluzione. Da quando il numero delle vittime di DeathRansom è aumentato, la minaccia ha cambiato la sua tattica ed è ora in grado di crittografare i file personali delle sue vittime, ma senza l'inclusione dell'estensione .wctc. Finora, l'unico modo per scoprire se ransomware DeathRansom ha crittografato i tuoi dati è quello di aprire il file interessato e controllare l'indicatore alla fine della crittografia. Secondo i rapporti, l'indicatore del file dovrebbe leggere "AB EF CD AB".
Questa pericolosa minaccia DeathRansom si rivolge agli utenti di Microsoft Windows. Subito dopo l'infiltrazione, la minaccia crittografa tutti i file sul dispositivo della vittima, tranne quelli il cui percorso completo ha le seguenti stringhe:
- dati del programma
- $ recycle.bin
- file di programma
- finestre
- tutti gli utenti
- appdata
- read_me.txt
- autoexec.bat
- desktop.ini
- autorun.inf
- ntuser.dat
- iconcache.db
- bootsect.bak
- boot.ini
- Ntuser.dat.log
- thumbs.db
Dopo il processo di crittografia dei file, il ransomware creerà un file di testo (read_me.txt) in ogni cartella in cui sono presenti dati crittografati, in modo che la vittima possa vederlo facilmente.
La nota di riscatto
Il file read_me.txt è una nota di riscatto lasciata dai creatori di DeathRansom. Come già accennato, la versione "aggiornata" di ransomware è ora in grado di crittografare i dati ma senza aggiungere estensioni. Sembra che siano state apportate lievi modifiche anche alla nota di riscatto. Questo messaggio informa l'utente che i loro file sono stati crittografati e se non vogliono eliminarli in modo permanente, hanno 12 ore per seguire le istruzioni fornite e pagare in criptovaluta.
La nota include un LOCK-ID personale e il numero del portafoglio bitcoin a cui devi inviare 0,1 BTC. Le vittime sono invitate a scrivere una e-mail all'indirizzo indicato e includere l'ID BLOCCO e l'ora del pagamento.
È interessante notare che offrono la decrittografia di un file di tua scelta gratuitamente, per dimostrare di avere uno strumento di decrittazione e guadagnare la tua fiducia. Oltre al periodo di tempo specificato e alla quantità di denaro che devi pagare, la novità della nota di riscatto sono le specifiche fornite per il "file di prova" che invierai. Deve essere:
- non più grande di 1 MB
- un file .txt o .lnk, nessun database
Infine, la nota di riscatto fornisce fonti da cui è possibile acquistare bitcoin.
Come si diffonde il ransomware>
Finora, grazie alla ricerca di esperti di sicurezza informatica del malware come GrujaRS , non è stato trovato un metodo di distribuzione specifico utilizzato da questa minaccia. Molto probabilmente si diffonde come altri parassiti ransomware là fuori. Tali metodi includono:
- email di spam ingannevoli
- file torrent
- annunci dannosi
- falsi messaggi di aggiornamento
- installazioni di terze parti inaffidabili
- Virus del cavallo di Troia
Tradizionalmente, è abbastanza facile per gli utenti di computer essere fuorviati da un'e-mail con un titolo attraente. Tali campagne di spam potrebbero tentare di spaventare gli utenti con titoli come "Il tuo conto bancario verrà chiuso !!!". Gli esperti di sicurezza informatica in genere avvisano i computer di non affrettarsi ad aprire tutte le e-mail che vedi o quelle che hanno un oggetto allettante o sembrano provenire dalla tua banca o dal sito di social media preferito. In alcuni casi, i messaggi potrebbero fingere di provenire da una società nota o da una delle più grandi reti di social media, come Facebook o Twitter. È meglio controllare l'e-mail del mittente e confrontarlo con l'indirizzo ufficiale dell'azienda reale. Quindi, saprai per certo se l'e-mail è legittima o meno.
I ricercatori di malware generalmente consigliano di ottenere aggiornamenti software solo da fonti affidabili, piuttosto che fare clic su un pop-up casuale che vuole che tu segua un link ombreggiato.
Gli utenti sono noti per trascurare i dettagli essenziali durante un processo di installazione. Per garantire che gli utenti di computer non installino accidentalmente malware insieme a un programma desiderato, è meglio cercare software aggiuntivo incluso nel programma di installazione. È noto che il malware si maschera da programmi opzionali, quindi è meglio rinunciare a tali installazioni sconosciute.
Rimozione di DeathRansom e recupero dei dati
Anche se i creatori di DeathRansom esortano a contattarli e pagano i loro servizi di decrittazione, è meglio evitare di soddisfare le loro richieste. Invece, gli specialisti raccomandano di eliminare completamente la minaccia. A tal fine, si suggerisce l'uso di un software affidabile, in grado di rilevare e rimuovere in modo sicuro DeathRansom.
Per quanto riguarda il recupero dei dati, l'opzione migliore è fare affidamento sui backup dei file che vengono conservati su database cloud o dispositivi esterni. Oltre a ciò, strumenti di decrittazione avanzati possono essere trovati da fonti affidabili, che funzionano in particolare per questo ransomware. La cosa principale è che ci sono opzioni a parte ciò che gli sviluppatori di DeathRansom possono spiegare. È meglio pensarci bene prima di decidere cosa fare perché non vi è alcuna garanzia che tutti i file crittografati verranno recuperati se si sceglie di rispettare le richieste del ransomware.