Cos'è KoRyA ransomware?
KoRyA è un tipo di ransomware che appartiene alla famiglia Xorist. È stato scoperto dai ricercatori di malware durante l'esame di campioni inviati a database di minacce online. KoRyA crittografa i dati e aggiunge l'estensione ".KoRyA" ai nomi dei file, modifica lo sfondo del desktop, crea un file di testo intitolato "HOW TO DECRYPT FILES.txt" e visualizza un messaggio di errore.
La richiesta di riscatto nello sfondo, nel file di testo e nel messaggio di errore afferma che le vittime devono pagare 0,06 BTC (criptovaluta Bitcoin) all'indirizzo del portafoglio fornito e quindi inviare un'e-mail a korya@tuta.io per gli strumenti di decrittazione. Le vittime hanno due giorni per effettuare il pagamento prima che le loro chiavi di decrittazione vengano cancellate.
Quando KoRyA è attivo su un sistema, modificherà i nomi dei file aggiungendo l'estensione ".KoRyA" alla fine di ognuno; ad esempio, "1.jpg" diventerebbe "1.jpg.KoRyA", "2.png" diventerebbe "2.png.KoRyA" e così via. Inoltre, cambierà lo sfondo del desktop con una richiesta di riscatto che richiede il pagamento di 0,06 BTC per ricevere gli strumenti di decrittazione da korya@tuta .io.
La nota di riscatto completa visualizzata da KoRyA recita come segue:
ATTENZIONE!
Tutti i tuoi file sono stati crittografati
E la loro decrittazione ti costerà 0,06 bitcoin.
Per avviare il processo di decrittazione, seguire i passaggi seguenti
Passaggio 1) Assicurati di inviare 0,06 bitcoin a questo portafoglio:
bc1q73lm30rgv6h9wy42y88t0r8prjh9l9pzpvvm9c
Passaggio 2) Contattami a questo indirizzo email: korya@tuta.io
Con questo Oggetto: -
Dopo che il pagamento è stato confermato,
riceverai il decryptor e le chiavi per la decrittazione!
Altre informazioni:
Se non possiedi bitcoin, puoi acquistarlo qui molto facilmente
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com
Puoi trovare un elenco più ampio qui:
hxxps://bitcoin.org/en/exchange
Se il pagamento non viene effettuato entro 2 giorni, considererò che non desideri decrittografare i tuoi file,
e quindi le chiavi generate per il tuo PC verranno eliminate in modo permanente.
Pagare gli attori del ransomware non è una buona idea per diversi motivi. In primo luogo, non vi è alcuna garanzia che gli aggressori forniscano effettivamente gli strumenti di decrittazione dopo il pagamento. Anche se lo fanno, non vi è alcuna garanzia che gli strumenti funzioneranno come promesso. Inoltre, il pagamento del riscatto incoraggia solo gli aggressori a continuare le loro attività dannose e prendere di mira più vittime in futuro.
Inoltre, invia un messaggio ad altri criminali informatici che gli attacchi ransomware sono redditizi e possono essere utilizzati come un modo efficace per fare soldi. Infine, pagare un riscatto potrebbe anche essere illegale a seconda di dove vivi o di dove si trovano gli aggressori. Per questi motivi, è meglio evitare di pagare gli attori del ransomware e concentrarsi invece sulla prevenzione del verificarsi di tali attacchi adottando misure di sicurezza adeguate.
