Il ransomware Avanzi prevede il pagamento in Bitcoin

Durante l'esame di nuovi campioni di malware, abbiamo identificato una variante del ransomware denominata Avanzi, associata alla famiglia Dharma. Una volta che si è infiltrato con successo in un computer, Avanzi crittografa i file, modifica i nomi dei file, visualizza una richiesta di riscatto e genera una nota aggiuntiva nel file "info.txt".

Avanzi aggiunge l'ID della vittima, l'indirizzo email avanziahelp@cock.li e l'estensione ".avan" ai nomi dei file. Ad esempio, trasforma "1.jpg" in "1.jpg.id-9ECFA84E.[avanziahelp@cock.li].avan," "2.png" in "2.png.id-9ECFA84E.[avanziahelp@cock .li].avan," e così via.
La richiesta di riscatto emessa dal ransomware Avanzi inizia con una dichiarazione che tutti i file sono stati crittografati, seguita dall'assicurazione che è possibile il ripristino. Alle vittime viene detto di contattare gli aggressori via e-mail (avanziahelp@cock.li) entro una finestra di 12 ore, con un'e-mail alternativa (avanzirest@tuta.io) fornita in caso di risposta ritardata.

La nota estende un gesto di buona volontà, offrendo la decrittazione gratuita per un massimo di tre file, sottolineando condizioni specifiche di ammissibilità. Inoltre, le vittime ricevono indicazioni su come acquisire Bitcoin, il pagamento del riscatto preferito, e vengono messe in guardia contro determinate azioni, come la ridenominazione di file o il tentativo di decrittazione da parte di terzi, per evitare la perdita permanente di dati o cadere preda di truffe.

La richiesta di riscatto di Avanzi è breve

Il testo completo del file "info.txt" generato da Avanzi recita quanto segue:

all your data has been locked us

You want to return?

write email avanziahelp@cock.li or avanzirest@tuta.io

Inoltre, il testo più lungo all'interno della finestra pop-up non menziona mai l'importo esatto del riscatto, ma solo istruzioni su come ottenere Bitcoin. Il testo all'interno della finestra pop-up è il seguente:

Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 3 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 3 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)

Come ottenere Bitcoin

Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti potrebbe causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o potresti diventare vittima di una truffa.

Come puoi proteggere i tuoi file da un ransomware simile a Avanzi?

Proteggere i tuoi file dalle minacce ransomware, come Avanzi, implica l'implementazione di una combinazione di misure proattive per prevenire le infezioni e disporre di un solido piano di ripristino nel caso in cui si verifichi un attacco. Ecco alcuni consigli:

Backup regolari:
Esegui regolarmente il backup dei tuoi file importanti su un dispositivo esterno o un servizio cloud sicuro.
Assicurati che il processo di backup sia automatizzato e frequente, in modo da avere sempre copie aggiornate dei tuoi dati.

Backup non in linea:
Mantieni almeno un set di backup offline o disconnesso dalla rete per impedire al ransomware di raggiungerli e crittografarli.

Software di sicurezza:
Utilizza software antivirus e antimalware affidabili per rilevare e bloccare le minacce ransomware.
Mantieni aggiornati il software di sicurezza, il sistema operativo e le applicazioni con le patch e gli aggiornamenti più recenti.

Filtraggio e-mail e Web:
Implementa soluzioni di filtraggio della posta elettronica per identificare e bloccare le email di phishing che potrebbero contenere ransomware.
Utilizza strumenti di filtraggio web per bloccare l'accesso a siti web dannosi che potrebbero distribuire ransomware.

Whitelist delle applicazioni:
Utilizza la whitelist delle applicazioni per consentire l'esecuzione sul tuo sistema solo dei programmi approvati, impedendo l'esecuzione di applicazioni non autorizzate, incluso il ransomware.