Datah Ransomware è un clone di Makop

Analizzando nuovi campioni di malware, ci siamo imbattuti in una variante di ransomware affiliata alla famiglia Makop, nota come Datah. Questo ransomware crittografa i file e genera una richiesta di riscatto denominata "+README-WARNING+.txt", contenente dettagli di contatto e istruzioni. Inoltre, Datah altera i nomi dei file.

Datah modifica i nomi dei file aggiungendo l'ID della vittima, l'indirizzo email datahelper@onionmail.org e l'estensione ".datah". Ad esempio, cambia "1.jpg" in "1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah" e "2.png" in "2.png.[2AF20FA3].[datahelper@ cipollamail.org].datah," e così via.

La richiesta di riscatto avvisa la vittima della crittografia dei propri file ma assicura che la struttura dei file rimanga invariata. Sottolinea che il ripristino è possibile esclusivamente pagando il riscatto agli autori delle minacce responsabili della crittografia. I criminali informatici offrono una dimostrazione della loro capacità di decrittazione consentendo alla vittima di decrittografare due piccoli file come prova.

I dettagli di contatto vengono forniti tramite un indirizzo e-mail (datahelper@onionmail.org) e un TOX ID. La nota si conclude con un forte avvertimento contro il tentativo di modificare autonomamente i file crittografati, avvertendo che eventuali alterazioni potrebbero comportare la perdita di dati e la perdita permanente della chiave privata di decrittazione, lasciando alla vittima dati irrecuperabili.

Datah produce una lunga richiesta di riscatto

Il testo completo della lunga richiesta di riscatto generata da Datah recita quanto segue:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Quali sono i modi migliori per proteggere i tuoi dati dagli attacchi ransomware?

Proteggere i tuoi dati dagli attacchi ransomware è fondamentale per salvaguardare le tue informazioni personali e aziendali. Ecco alcune delle migliori pratiche per contribuire a mitigare il rischio di ransomware:

Backup regolari: mantieni backup regolari dei tuoi dati importanti su archivi offline o basati su cloud. Ciò garantisce che anche se i tuoi file sono crittografati dal ransomware, potrai ripristinarli dal backup senza dover pagare il riscatto.

Aggiorna software: mantieni aggiornati il sistema operativo, il software antivirus e tutte le applicazioni con le patch e gli aggiornamenti di sicurezza più recenti. Le vulnerabilità dei software obsoleti possono essere sfruttate dagli aggressori ransomware.

Educare i dipendenti: fornire ai dipendenti una formazione completa sulla consapevolezza della sicurezza informatica per aiutarli a riconoscere e-mail di phishing, collegamenti dannosi e altri potenziali vettori di attacco ransomware. Incoraggiare una cultura di scetticismo nei confronti delle e-mail e degli allegati non richiesti.

Utilizza software antivirus e antimalware: installa software antivirus e antimalware affidabili su tutti i dispositivi e assicurati che siano aggiornati regolarmente. Questi strumenti possono aiutare a rilevare e prevenire le infezioni da ransomware.

Implementare misure di sicurezza della rete: utilizzare firewall, sistemi di rilevamento delle intrusioni e altre misure di sicurezza della rete per monitorare e proteggere la rete da accessi non autorizzati e attività dannose.

Limita le autorizzazioni utente: limita le autorizzazioni utente solo a quelle necessarie per i loro ruoli lavorativi. Ciò può aiutare a prevenire la diffusione laterale del ransomware nella rete nel caso in cui il sistema di un utente venga compromesso.

Abilita il filtro e-mail: implementa soluzioni di filtraggio e-mail per bloccare e-mail di phishing e allegati dannosi prima che raggiungano le caselle di posta degli utenti. Ciò può ridurre significativamente la probabilità di infezioni da ransomware tramite e-mail.

Disattiva RDP (Remote Desktop Protocol): se non richiesto per le operazioni aziendali, valuta la possibilità di disattivare RDP o implementare misure di sicurezza aggiuntive come l'autenticazione a più fattori per impedire l'accesso non autorizzato tramite RDP.