Pres Ransomware: una minaccia pericolosa proveniente dalla famiglia Dharma
Table of Contents
Capire Pres Ransomware
Il ransomware Pres è una pericolosa aggiunta alla famiglia di ransomware Dharma . Come i suoi predecessori, Pres crittografa i file delle vittime e richiede un riscatto in cambio del loro recupero. Ciò che rende questa variante particolarmente riconoscibile è il modo in cui rinomina i file crittografati. Aggiunge l'ID univoco della vittima, un indirizzo email di contatto e l'estensione ".pres" a ogni nome di file. Ad esempio, un file originariamente denominato "document.pdf" apparirebbe come "document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres" dopo la crittografia.
Oltre a crittografare i file, Pres visualizza una richiesta di riscatto pop-up e inserisce un file di testo denominato "info.txt" nelle directory infette. Il messaggio informa le vittime che i loro file sono stati crittografati e fornisce istruzioni per contattare gli aggressori via email. Le vittime devono inviare il proprio ID univoco a uno dei due indirizzi email: helpreserve@onionmail.org o helpreserve@cyberfear.com.
Cosa vogliono gli aggressori
La richiesta di riscatto cerca di apparire utile e persino rassicurante. Sostiene che i file della vittima possono essere recuperati e offre la possibilità di decifrare gratuitamente fino a tre piccoli file non sensibili come prova. Tuttavia, questi file campione non devono superare i 3 MB in totale e non possono includere backup, database o fogli di calcolo di grandi dimensioni. La nota avverte inoltre che rinominare i file o utilizzare strumenti di recupero di terze parti può causare danni irreversibili.
In una classica tattica di manipolazione psicologica, gli aggressori sconsigliano di coinvolgere terze parti, sostenendo che ciò potrebbe aumentare il costo del riscatto. Questo ha lo scopo di isolare la vittima e aumentare la sua fiducia nelle promesse degli aggressori, nonostante l'elevato rischio di non ricevere alcuno strumento di decrittazione dopo il pagamento.
Ecco cosa afferma la richiesta di riscatto:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Come funzionano Pres e altri programmi ransomware
I ransomware come Pres sono progettati per tenere in ostaggio i dati degli utenti crittografandoli con algoritmi avanzati. Una volta crittografati, i file diventano inutilizzabili a meno che non vengano decrittografati con una chiave univoca, in possesso solo degli aggressori. Le vittime sono in genere costrette a una scelta difficile: pagare il riscatto e sperare che gli aggressori mantengano la parola data, oppure tentare il recupero con altri mezzi.
Il ransomware Pres non si limita a crittografare i file. Elimina anche le copie shadow del volume (utilizzate da Windows per i backup), disabilita il firewall per evitare il rilevamento e cerca di mantenere la persistenza copiandosi in una posizione nascosta nel sistema e alterando il registro di Windows. Queste tattiche mirano a garantire che il ransomware possa funzionare anche dopo il riavvio del sistema e resistere ai tentativi di rimozione.
I rischi del pagamento del riscatto
Sebbene pagare il riscatto possa sembrare la via più rapida per il recupero, è un azzardo senza ricompensa garantita. Gli aggressori potrebbero prendere il denaro e sparire, oppure fornire una chiave di decrittazione difettosa o parziale. Inoltre, pagare non fa altro che alimentare ulteriori attività criminali informatiche e rendere il ransomware più redditizio e appetibile per gli aggressori.
Nella maggior parte dei casi, il ripristino senza backup o strumenti di decrittazione ufficiali è estremamente difficile. Purtroppo, anche i backup archiviati su dispositivi connessi o infetti possono essere compromessi. Pertanto, pratiche di backup efficaci, come l'archiviazione di copie su unità esterne scollegate o su servizi cloud protetti, sono fondamentali.
Come si diffonde il ransomware Pres
Le infezioni da ransomware Pres sono spesso il risultato di una debole sicurezza del protocollo RDP (Remote Desktop Protocol) . I criminali informatici spesso sfruttano servizi RDP scarsamente protetti utilizzando attacchi brute-force o a dizionario per ottenere accessi non autorizzati. Una volta all'interno, distribuiscono il ransomware manualmente.
Altri metodi di infezione includono email di phishing contenenti allegati o link dannosi, download drive-by da siti non affidabili, software piratato con malware in bundle e pubblicità ingannevoli. Gli utenti possono anche imbattersi in ransomware tramite reti P2P o falsi messaggi di richiesta di aggiornamento software. Il malware è solitamente mascherato da programma o documento legittimo, inducendo gli utenti ad attivare l'infezione.
Come rimanere protetti
La prevenzione di ransomware come Pres inizia con un comportamento online intelligente e solide misure di sicurezza informatica. Evitate di scaricare software da siti web non ufficiali, evitate programmi piratati o generatori di chiavi e non attivate mai macro in documenti Office non familiari. Prestate particolare attenzione agli allegati email o ai link provenienti da fonti sconosciute, anche se sembrano urgenti o importanti.
Aggiorna regolarmente il sistema operativo e il software per correggere le vulnerabilità note. Utilizza strumenti antivirus affidabili che includano funzionalità di protezione in tempo reale. Esegui frequentemente il backup dei dati importanti e conservali in luoghi sicuri e non accessibili.
Considerazioni finali
Il ransomware Pres è un altro esempio di quanto siano diventate sofisticate e distruttive le moderne minacce ransomware. Combina tecniche stealth con manipolazione sociale per spingere le vittime a pagare riscatti che potrebbero non portare nemmeno al recupero dei file. Rimanendo vigili, seguendo le migliori pratiche di sicurezza informatica e mantenendo backup sicuri, utenti e organizzazioni possono ridurre notevolmente i rischi derivanti da questi schemi di estorsione digitale.
