Gyew Ransomware è basato sul codice Djvu
Il nostro esame dei campioni di malware scoperti di recente ha scoperto la variante del ransomware Gyew. Inoltre, è stato accertato che Gyew è legato alla famiglia di malware Djvu. Questa particolare variante del ransomware funziona crittografando i file, aggiungendo l'estensione ".gyew" ai loro nomi e lasciando una richiesta di riscatto denominata "_readme.txt" nel sistema interessato.
A titolo illustrativo, Gyew altera i nomi dei file trasformando "1.jpg" in "1.jpg.gyew", "2.png" in "2.png.gyew" e così via. La richiesta di riscatto afferma che numerosi file, tra cui immagini, database e documenti cruciali, sono stati sottoposti a crittografia. Per ripristinare l'accesso a questi file, le vittime vengono indirizzate a ottenere uno strumento di decrittazione e una chiave univoca. La nota offre rassicurazione consentendo alle vittime di inviare un file crittografato per una decrittazione gratuita, a condizione che il file non contenga informazioni preziose.
Il costo per ottenere la chiave privata e il software di decrittazione è fissato a 980 dollari. Tuttavia, esiste la possibilità di usufruire di uno sconto del 50% se le vittime contattano gli aggressori entro le prime 72 ore, riducendo di fatto il costo a 490 dollari. Le vittime possono stabilire una comunicazione con i criminali informatici tramite gli indirizzi e-mail forniti: support@freshmail.top e datarestorehelp@airmail.cc.
La nota di riscatto di Gyew richiede $ 490 in pagamento
Il testo completo della richiesta di riscatto di Gyew recita quanto segue:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-CDZ4hMgp2X
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelp@airmail.ccYour personal ID:
Come viene solitamente distribuito il ransomware online?
Il ransomware viene generalmente distribuito online attraverso vari metodi e gli aggressori spesso utilizzano più tecniche per aumentare le probabilità di successo. Ecco le modalità più comuni di distribuzione del ransomware:
E-mail di phishing:
Uno dei metodi più comuni è tramite e-mail di phishing. Gli aggressori inviano e-mail contenenti allegati o collegamenti dannosi che, se cliccati, scaricano ed eseguono il ransomware sul sistema della vittima.
Allegati e-mail dannosi:
Il ransomware può essere nascosto negli allegati e-mail, come file eseguibili, PDF o documenti Office. Una volta aperto l'allegato, il ransomware viene rilasciato.
Siti web infetti:
Visitare siti Web compromessi o dannosi può portare al download e all'installazione automatici del ransomware. Ciò avviene spesso tramite kit di exploit che sfruttano le vulnerabilità del browser o dei plugin dell'utente.
Malvertising:
Pubblicità dannose, o pubblicità errate, su siti Web legittimi possono reindirizzare gli utenti a siti che ospitano ransomware. Facendo clic su questi annunci è possibile attivare il download e l'installazione del ransomware.
Download drive-by:
Il ransomware può essere distribuito tramite download drive-by, in cui il malware viene automaticamente scaricato e installato sul dispositivo di un utente a sua insaputa o senza il suo consenso quando visita un sito Web compromesso.
