Come fermare e rimuovere Cash Ransomware

Il panorama delle minacce informatiche ha introdotto un’altra minaccia, nota come Cash Ransomware. Questo programma dannoso, sviluppato dallo stesso autore di minacce dietro Cash RAT (Remote Access Trojan) e MintStealer, è progettato per crittografare i dati e richiedere il pagamento per la decrittazione. Cash Ransomware aggiunge ai nomi dei file crittografati l'estensione ".CashRansomware", trasformando "1.jpg" in "1.jpg.CashRansomware" e "2.png" in "2.png.CashRansomware".

Dettagli della richiesta di riscatto

Cash Ransomware crea tre richieste di riscatto: uno sfondo del desktop, una finestra pop-up e un file HTML denominato "Cash Ransomware.html". Queste note, sebbene diverse nell'aspetto, trasmettono le stesse informazioni critiche:

• Notifica che i file sono stati crittografati.
• Richieste di pagamento di un riscatto per decrittografare i dati.
• Avvisi contro azioni che potrebbero ostacolare il recupero dei dati.

I messaggi specificano che i file sono stati crittografati utilizzando gli algoritmi crittografici XChaCha20, Poly1305 e AES-256-GCM. Alle vittime viene chiesto di pagare 80 USD in criptovaluta Monero (XMR) per la decrittazione. Inoltre, le note mettono in guardia contro il riavvio del dispositivo o l'esecuzione di programmi antivirus, poiché queste azioni potrebbero rendere i file permanentemente indecifrabili. Anche la disconnessione dalla rete è scoraggiata in quanto può ostacolare la negoziazione e gli sforzi di recupero.

La nota di Cash Ransomware è la seguente:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Analisi del ransomware in contanti

Basandosi sulla vasta esperienza nella ricerca sulle infezioni ransomware, è evidente che la decrittazione senza il coinvolgimento degli aggressori è raramente possibile. Il pagamento del riscatto non garantisce il recupero dei dati, poiché i criminali informatici spesso non riescono a fornire la chiave di decrittazione anche dopo che le loro richieste sono state soddisfatte. Pertanto, è fortemente sconsigliato soddisfare le richieste di riscatto, poiché alimenta solo attività criminali.

È interessante notare che l'importo del riscatto richiesto da Cash Ransomware è relativamente basso, il che è sospetto. Il ransomware in genere richiede agli utenti domestici somme comprese tra tre e quattro cifre (in USD). Quando il riscatto è insolitamente basso, gli aggressori potrebbero non preoccuparsi di inviare strumenti di ripristino alle vittime, suggerendo che il ransomware potrebbe essere utilizzato per generare entrate o testare nuovi software/tecniche.

Mitigazione e prevenzione

Per impedire un'ulteriore crittografia, Cash Ransomware deve essere rimosso dal sistema operativo. Tuttavia, ciò non ripristinerà i file già interessati. Il ripristino è possibile solo da un backup, sottolineando l'importanza di mantenere i backup in più posizioni (ad esempio, server remoti, dispositivi di archiviazione scollegati).

Esempi di ransomware degni di nota

LockBit 5, Risen, Cronus, Lynx e HorrorDead sono esempi recenti di ransomware, tutti funzionanti in modo simile crittografando i dati e richiedendo un pagamento per la decrittazione. I programmi ransomware si differenziano principalmente per gli algoritmi crittografici utilizzati (simmetrici o asimmetrici) e per l'entità del riscatto, che varia a seconda del target (utenti domestici o grandi entità come aziende e organizzazioni).

Vettori di infezione

Cash Ransomware viene offerto come RaaS (Ransomware-as-a-Service), il che significa che i suoi sviluppatori lo vendono ai criminali informatici. Di conseguenza, il metodo di proliferazione può variare. In genere, il malware si diffonde attraverso tattiche di phishing e ingegneria sociale, spesso mascherate o abbinate a contenuti legittimi. I file dannosi possono essere eseguibili, archivi, documenti, JavaScript, ecc., con la catena di download / installazione attivata all'apertura del file infetto.

Le tecniche comuni di distribuzione del malware includono:

• Trojan di tipo loader/backdoor.
• Download guidati.
• Fonti di download dubbie (ad esempio siti freeware, reti P2P).
• Allegati/collegamenti dannosi nella posta indesiderata.
• Truffe online.
• Strumenti di attivazione software illegale ("cracking").
• Aggiornamenti falsi.

Inoltre, alcuni malware possono diffondersi autonomamente tramite reti locali e dispositivi di archiviazione rimovibili.

Misure di protezione

Per proteggersi dalle infezioni ransomware:

• Scarica solo da canali ufficiali e verificati.
• Attiva e aggiorna i programmi utilizzando funzioni/strumenti originali.
• Trattare le e-mail e i messaggi in arrivo con cautela.
• Evitare di aprire allegati o collegamenti sospetti.
• Mantenere la vigilanza durante la navigazione per evitare contenuti fraudolenti.
• Installa e aggiorna regolarmente un software antivirus affidabile.
• Esegui scansioni regolari del sistema per rilevare e rimuovere le minacce.

Se il tuo computer è stato infettato da Cash Ransomware, ti consigliamo di eseguire una scansione con un programma anti-malware per eliminare automaticamente la minaccia. Mantieni la sicurezza e proteggi i tuoi dati aderendo a queste best practice.