NUURI Ransomware è una variante di Phobos

Durante la nostra indagine sui campioni di file, il nostro team di ricercatori di malware ha scoperto un nuovo ransomware chiamato NURRI. Ulteriori analisi hanno rivelato che NURRI fa parte della famiglia di ransomware Phobos. Questo software dannoso crittografa i file e ne modifica i nomi aggiungendo l'estensione ".NURRI", insieme all'ID della vittima e a un indirizzo e-mail (nury_espitia@tuta.io). Inoltre, NURRI lascia due richieste di riscatto, ovvero "info.hta" e "info.txt".

Per illustrare come NURRI rinomina i file crittografati, facciamo un esempio: un file originariamente denominato "1.jpg" verrebbe modificato in "1.jpg.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI", mentre "2.png" diventerebbe "2.png.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI" e così via.

La nota di riscatto spiega che tutti i file sono stati crittografati a causa di un problema di sicurezza sul computer dell'utente. Fornisce un indirizzo e-mail (nury_espitia@tuta.io) e un ID per contattare gli aggressori per avviare il processo di ripristino dei file. Il pagamento del riscatto, richiesto in Bitcoin, varia a seconda della velocità con cui l'utente contatta gli aggressori.

La nota menziona anche un'opzione per l'utente di inviare fino a tre file per la decrittazione gratuita come garanzia. Sconsiglia di rinominare i file crittografati o di utilizzare software di decrittazione di terze parti per evitare la perdita permanente di dati o cadere vittima di truffe. La seconda richiesta di riscatto ("info.txt") include ulteriori informazioni di contatto, come un nome utente Telegram (@HostUppp).

La nota di riscatto NUURI chiede il riscatto di Bitcoin

Il testo completo della nota di riscatto NUURI recita quanto segue:

Tutti i tuoi file sono stati crittografati!
Tutti i tuoi file sono stati crittografati a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'e-mail nury_espitia@tuta.io
Scrivi questo ID nel titolo del tuo messaggio -
Se non ricevi una risposta entro 24 ore, contattaci tramite l'account Telegram.org: @HostUppp
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decritterà tutti i tuoi file.
Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 3 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)
Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.

Come puoi proteggere i tuoi dati da attacchi ransomware simili a NUURI?

Proteggere i tuoi dati da attacchi ransomware come NURRI richiede un approccio proattivo e una combinazione di misure preventive. Ecco alcuni passaggi che puoi adottare per migliorare la sicurezza dei tuoi dati:

• Esegui il backup dei tuoi dati: esegui regolarmente il backup dei tuoi file importanti su una soluzione di archiviazione offline o cloud. Assicurati che i backup siano crittografati e verifica periodicamente la loro integrità.
• Mantieni aggiornato il software: installa aggiornamenti e patch per il sistema operativo, le applicazioni e il software di sicurezza. Questi aggiornamenti spesso includono importanti correzioni di sicurezza che possono proteggere da vulnerabilità note.
• Usa un robusto software di sicurezza: installa e mantieni un affidabile software antivirus/anti-malware su tutti i tuoi dispositivi. Tienilo aggiornato ed esegui scansioni regolari per rilevare e rimuovere eventuali minacce potenziali.
• Prestare attenzione con allegati e-mail e download: prestare attenzione quando si aprono allegati e-mail o si scaricano file da fonti non attendibili o sospette. Evita di fare clic sui collegamenti nelle e-mail indesiderate e fai attenzione a scaricare file da siti Web non verificati.
• Abilita impostazioni di sicurezza avanzate: utilizza funzionalità di sicurezza integrate come firewall e blocchi popup per aggiungere un ulteriore livello di protezione. Abilita la scansione automatica degli allegati e-mail e dei download alla ricerca di malware.
• Istruisci te stesso e il tuo staff: tieniti informato sulle ultime tecniche di phishing e sulle tattiche di social engineering utilizzate negli attacchi ransomware. Allena te stesso e i tuoi dipendenti a identificare ed evitare e-mail, collegamenti e allegati sospetti.
• Abilita la sicurezza delle macro: disabilita le macro nelle applicazioni per ufficio per impostazione predefinita e abilitale solo quando necessario. Prestare attenzione quando viene richiesto di abilitare le macro nei documenti provenienti da fonti sconosciute o non attendibili.
• Utilizza password complesse e uniche: implementa password complesse e complesse per tutti i tuoi account ed evita di riutilizzare le password su più piattaforme. Prendi in considerazione l'utilizzo di un gestore di password per archiviare e generare password univoche in modo sicuro.
• Abilita l'autenticazione a due fattori (2FA): abilita 2FA quando possibile per aggiungere un ulteriore livello di sicurezza. Ciò richiede agli utenti di fornire un metodo di verifica aggiuntivo, come un codice univoco inviato al proprio dispositivo mobile, insieme alla password.