Kmrox Ransomware è un membro della famiglia Phobos

ransomware

Durante l'esame dei nuovi campioni di file inviati, i nostri ricercatori si sono imbattuti in un'altra variante del ransomware Phobos chiamata Kmrox. Questo tipo di malware rientra nella categoria dei ransomware, progettati per crittografare i dati e richiedere un pagamento per la loro decrittografia.

Sul nostro sistema di test, Kmrox ha codificato i file e modificato i loro nomi. I nomi dei file originali sono stati estesi con un identificativo univoco legato alla vittima, l'indirizzo e-mail dei criminali informatici e l'estensione ".kmrox". Ad esempio, un file originariamente etichettato come "1.jpg" appariva come "1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox" e così via. Successivamente, le richieste di riscatto venivano generate tramite una finestra pop-up ("info.hta") e un file di testo ("info.txt").

I messaggi di riscatto di Kmrox specificano che i file sono inaccessibili a causa della crittografia. Le note indicano che l'unico modo per recuperare i file è acquistare la chiave di decrittazione e il software dai criminali informatici. Il pagamento è richiesto sotto forma di criptovaluta Bitcoin, anche se in questi messaggi non viene menzionato l'importo esatto: viene solo suggerito che il pagamento potrebbe essere influenzato dalla rapidità con cui viene stabilito il contatto.

Alla vittima viene inoltre data la possibilità di un test di decrittazione gratuito (entro parametri specifici). Le note si concludono con avvertenze contro l'alterazione dei dati crittografati e la richiesta di assistenza a terzi.

Kmrox utilizza una lunga richiesta di riscatto

Il testo completo della richiesta di riscatto Kmrox recita quanto segue:

Tutti i tuoi file sono stati crittografati!

Al momento non c'è modo di decriptare i dati, se non richiederci un decrittatore e una chiave con cui recupererai tutti i tuoi dati.
Se vuoi ripristinarli, scrivici via email: exezez@blaze420.it
Scrivi questo ID nel titolo del tuo messaggio -
Per un feedback rapido e conveniente, scrivi all'operatore online nel messenger di Telegram: @exezaz
(Fai attenzione quando inserisci il nome dell'account Telegram, deve essere esattamente lo stesso di cui sopra, attenzione agli account falsi.)
Inoltre, da alcuni servizi di posta, la tua lettera potrebbe non raggiungere o finire nello spam, quindi per aumentare la probabilità di ricevere una risposta rapida, duplica anche le tue lettere ai nostri indirizzi email liberi: helze@cyberfear.com e exezaz@msgden.com
Il pagamento per la decrittazione viene effettuato in bitcoin. Per conoscere il prezzo scrivere ai contatti sopra indicati. Prima ci contatti, più basso sarà il prezzo. Dopo il pagamento, ti invieremo uno strumento che decodificherà tutti i tuoi file.

Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 3 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)

Come ottenere Bitcoin
Puoi acquistare Bitcoin in qualsiasi posto conveniente per te, una guida per principianti è qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attenzione!
Per avere un aiuto garantito nella decriptazione dei tuoi file, contatta solo i contatti elencati in questa nota, perché al momento sono molti i truffatori che,
con il pretesto che possono decrittografare i tuoi dati, richiedi una decrittografia gratuita tramite noi e spacciala come dimostrazione che possono decrittografare i tuoi file.
Ricorda che la chiave per decrittografare i file è individuale in ogni singolo caso, quindi non sarai in grado di decrittografare i tuoi file da solo utilizzando software di terze parti, rovinerà solo i tuoi file.
Se desideri comunicare tramite un intermediario, verifica in anticipo il prezzo con il nostro operatore, poiché gli intermediari spesso concludono il prezzo reale. !!! Quando si contattano terze parti,
non garantiamo la decrittazione dei tuoi file!!!
Inoltre, per evitare problemi con la decrittazione, non rinominare i file.

Cos'è la famiglia di cloni del ransomware Phobos?

La famiglia di ransomware Phobos è costituita da un gruppo di varianti di ransomware che condividono caratteristiche e metodi di funzionamento simili. Queste varianti vengono spesso definite "cloni" perché si ritiene che derivino dallo stesso codice sorgente originale o condividano una struttura comune. La famiglia di ransomware Phobos è nota per crittografare i file delle vittime e richiedere un riscatto per la loro decrittazione.

Le varianti del ransomware Phobos in genere presentano le seguenti caratteristiche:

  • Crittografia dei file: come la maggior parte dei ransomware, le varianti di Phobos crittografano i file delle vittime utilizzando algoritmi di crittografia avanzati, rendendo i file inaccessibili senza una chiave di decrittazione.
  • Note di riscatto: Phobos ransomware crea note di riscatto che informano le vittime della crittografia e forniscono istruzioni su come pagare il riscatto per ottenere la chiave di decrittazione.
  • Contatti e-mail: le richieste di riscatto di solito includono indirizzi e-mail che le vittime possono utilizzare per contattare gli aggressori per ulteriori istruzioni sul pagamento e sulla decrittazione.
  • Estensioni univoche: le varianti di Phobos spesso aggiungono estensioni univoche ai file crittografati, rendendoli facilmente identificabili. Queste estensioni sono solitamente una combinazione di caratteri o identificatori casuali.
  • Pagamenti Bitcoin: le richieste di riscatto vengono generalmente richieste in criptovaluta, in particolare Bitcoin, a causa della sua natura pseudonima che ne rende più difficile il tracciamento.
  • Variabilità negli importi del riscatto: diverse varianti del ransomware Phobos possono avere importi di riscatto diversi, spesso a seconda di fattori come il profilo della vittima e la rapidità con cui entrano in contatto con gli aggressori.
  • Distribuzione mirata: il ransomware Phobos viene comunemente distribuito tramite e-mail di phishing, allegati dannosi, kit di exploit e altri metodi utilizzati dai criminali informatici per diffondere malware.
  • Base di codice simile: le varianti di Phobos condividono somiglianze nel codice e nel comportamento, suggerendo una fonte o un framework comune che gli aggressori hanno modificato per creare versioni diverse.

È importante notare che, sebbene le varianti di Phobos condividano somiglianze, possono anche evolversi nel tempo con nuove funzionalità, tattiche e tecniche. Come con qualsiasi ransomware, la migliore difesa contro Phobos e le sue varianti è una combinazione di forti pratiche di sicurezza informatica, backup regolari dei dati, mantenimento del software aggiornato e mantenimento di un approccio cauto agli allegati e ai collegamenti e-mail.

Entro il Zaib
August 29, 2023
Ransomware
Italiano
August 29, 2023
Ransomware

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

5 days fa

Rilevamento malware Trojan Al11

11 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Pinaview è un'app adware completa

10 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.