Ransomwared Ransomware chiede immagini nude invece di Bitcoin

Una famiglia di ransomware chiamata Ransomwared ha fatto notizia di recente e ci sono almeno due ottime ragioni per farlo. Per uno, è rivolto ai singoli utenti piuttosto che alle grandi organizzazioni, il che è un po 'insolito al giorno d'oggi. Forse più notevoli, tuttavia, sono le richieste che i truffatori fanno. Sembra che non si tratti più solo dei bitcoin.

Non ci sono molti dettagli sulla recente campagna di Ransomwared

Sebbene parecchie persone stiano parlando dei campioni Ransomwared appena scoperti, i dettagli reali relativi alla distribuzione e al funzionamento della minaccia sono scarsi. Gli esperti che lo hanno esaminato non hanno detto nulla su come si sono imbattuti in esso. Non ci sono informazioni sui metodi di distribuzione e sull'ingegneria sociale utilizzati per indurre le vittime a installare il ransomware e possiamo solo indovinare quante persone sono state colpite.

Quello che sappiamo per certo è che i truffatori non hanno mai voluto fare soldi con la campagna in corso.

I truffatori crittografano i file degli utenti e richiedono immagini esplicite in cambio del decodificatore

Una volta distribuito, Ransomwared crittografa i file che trova sul computer infetto e, nelle versioni più recenti, aggiunge l'estensione.iwanttits. La mancanza di analisi tecniche significa che non possiamo essere sicuri di quali file abbiano riscattato i target, ma gli screenshot che i ricercatori della sicurezza hanno condiviso suggeriscono che crittografa solo i dati che trova nelle seguenti cartelle:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

A differenza della maggior parte delle famiglie di malware di questo tipo, Ransomwared non lascia alcuna richiesta di riscatto. Invece, una volta pronto con la crittografia, visualizza una finestra popup con il seguente messaggio:

"I file sono crittografati. Mostrami le tue tette per decifrarlo."

Facendo clic sul pulsante OK si apre un'altra finestra, che mostra che i file nelle suddette quattro directory sono crittografati. C'è un campo per la chiave di ripristino e un secondo messaggio:

"Sei stato riscattato! Per recuperare i tuoi file, inviaci via email le tue tette a: sashagrey@blurred.credit"

I ricercatori di Emsisoft hanno dato un'occhiata più da vicino ai nuovi campioni e hanno giustamente sottolineato che i truffatori hanno dimenticato di menzionare che tipo di tette stanno cercando. Gli esperti hanno suggerito che invece di scattare foto di se stessi nudi e inviarli via e-mail a un indirizzo intitolato a un'ex stella del porno, le vittime potrebbero provare a inviare foto di piccoli uccelli canori e vedere se ciò soddisferà i desideri dei criminali. Anche questo non sarà necessario, tuttavia, poiché i file crittografati con Ransomwared possono essere facilmente decifrati.

Il ripristino dei dati non deve comportare immagini di nudo

Chiedere alle vittime foto nude in cambio dello sblocco dei loro file potrebbe essere una tecnica relativamente recente utilizzata dagli operatori Ransomwared, ma il malware stesso non è affatto nuovo. Alcuni minuti su Google ti diranno che la varietà stava facendo il primo giro alla fine del 2018, e sebbene le richieste all'epoca fossero un po 'più tradizionali, l'operazione di ransomware era praticamente identica. Quando l'hanno visto per la prima volta, i ricercatori della sicurezza hanno analizzato la famiglia di ransomware e hanno rapidamente capito che non era molto avanzato.

Il meccanismo di crittografia di Ransomwared si basa su DES (abbreviazione di Data Encryption Standard), un algoritmo di crittografia a chiave simmetrica sviluppato negli anni '70. È un algoritmo debole nel migliore dei casi e, per finire, l'analisi tecnica dei recenti esempi di Ransomwared ha rivelato che la chiave che sblocca i file delle persone è memorizzata nel codice sorgente del malware in testo semplice.

Tuttavia, non è necessario scorrere il codice per decrittografare i file. All'inizio del mese, Emsisoft ha rilasciato uno strumento di decrittografia gratuito in grado di sbloccare i file crittografati da nuove e vecchie versioni di Ransomwared.

Le vittime di ransomware spesso commettono l'errore di saltare la pistola e cedere alle richieste dei truffatori senza pensare alle conseguenze. Come puoi vedere, tuttavia, spesso, bastano pochi minuti di ricerca per risparmiare qualche criptovaluta o, in questo caso, un sacco di imbarazzo. Detta ricerca può anche darti un'idea di quanto siano importanti i backup.

February 14, 2020

Lascia un Commento