Nzqw Ransomware crittografa i file delle vittime
Durante l'analisi di campioni di software dannoso, il nostro team si è imbattuto nel ransomware Nzqw, che fa parte della famiglia di malware Djvu. Dopo aver compromesso un computer, Nzqw crittografa una varietà di file e aggiunge l'estensione ".nzqw" ai nomi dei file originali. Ad esempio, un file precedentemente chiamato "1.jpg" verrebbe modificato in "1.jpg.nzqw" e "2.png" verrebbe modificato in "2.png.nzqw" e così via.
Oltre alla crittografia dei file, Nzqw genera anche una richiesta di riscatto trovata come file di testo denominato "_readme.txt". Inoltre, la distribuzione di Nzqw potrebbe comportare la collaborazione con altri malware come Vidar e RedLine, che mirano al furto di informazioni. La richiesta di riscatto contenuta nel file "_readme.txt" evidenzia che il processo di decrittazione si basa su un software di decrittazione specializzato e su una chiave univoca. I destinatari di questa nota sono invitati a mettersi in contatto con gli aggressori tramite gli indirizzi e-mail forniti (support@freshmail.top o datarestorehelp@airmail.cc) per ricevere ulteriori istruzioni.
Inoltre, la richiesta di riscatto presenta due importi diversi, nello specifico $ 980 e $ 490, il che implica che le vittime potrebbero essere in grado di ottenere gli strumenti di decrittazione a un prezzo scontato se stabiliscono un contatto con gli aggressori entro una finestra di 72 ore.
La nota di riscatto di Nzqw richiede $ 980 di riscatto
Il testo completo della richiesta di riscatto di Nzqw è il seguente:
ATTENZIONE!
Non preoccuparti, puoi restituire tutti i tuoi file!
Tutti i tuoi file come immagini, database, documenti e altri importanti sono crittografati con la crittografia più potente e una chiave univoca.
L'unico metodo per recuperare i file è acquistare uno strumento di decrittografia e una chiave univoca per te.
Questo software decodificherà tutti i tuoi file crittografati.
Che garanzie hai?
Puoi inviare uno dei tuoi file crittografati dal tuo PC e noi lo decodificheremo gratuitamente.
Ma possiamo decrittografare solo 1 file gratuitamente. Il file non deve contenere informazioni preziose.
Puoi ottenere e guardare lo strumento di decrittografia della panoramica video:
hxxps://we.tl/t-E4b0Td2MBH
Il prezzo della chiave privata e del software di decrittografia è di $ 980.
Sconto del 50% disponibile se ci contatti nelle prime 72 ore, il prezzo per te è $ 490.
Tieni presente che non ripristinerai mai i tuoi dati senza pagamento.
Controlla la cartella "Spam" o "Posta indesiderata" della tua posta elettronica se non ricevi risposta per più di 6 ore.Per ottenere questo software è necessario scrivere alla nostra e-mail:
support@freshmail.topRiserva l'indirizzo email per contattarci:
datarestorehelp@airmail.ccIl tuo ID personale:
In che modo il ransomware può infettare il tuo sistema?
Il ransomware può infettare il tuo sistema attraverso vari metodi, spesso sfruttando vulnerabilità o azioni umane. Ecco alcuni modi comuni in cui il ransomware può infettare un sistema:
- Allegati e-mail: i criminali informatici possono inviare e-mail dannose contenenti allegati infetti. Quando gli utenti aprono questi allegati, il ransomware viene eseguito e inizia a crittografare i file nel sistema.
- Collegamenti di phishing: il ransomware può essere distribuito tramite e-mail di phishing con collegamenti a siti Web dannosi. Facendo clic su questi collegamenti è possibile scaricare ed eseguire il ransomware.
- Download dannosi: il download di file o software da fonti non affidabili, come software crackati o siti Web non ufficiali, può introdurre ransomware nel sistema.
- Kit di exploit: i kit di exploit prendono di mira le vulnerabilità nelle applicazioni software o nei sistemi operativi. Se il tuo sistema non è aggiornato con le ultime patch di sicurezza, il ransomware può essere diffuso attraverso queste vulnerabilità.
- Malvertising: annunci pubblicitari dannosi, o malvertisement, possono contenere codice che attiva download di ransomware quando viene cliccato. Questi annunci possono essere visualizzati su siti Web legittimi.
- Download drive-by: la visita di siti Web compromessi può portare a download "drive-by", in cui il codice dannoso viene scaricato ed eseguito silenziosamente sul sistema.
- Unità USB e dispositivi esterni: i dispositivi esterni infetti come le unità USB possono diffondere ransomware se collegati al sistema. Le funzionalità di esecuzione automatica su questi dispositivi possono eseguire il ransomware al momento della connessione.
- Macro dannose: il ransomware può essere incorporato in documenti che contengono macro dannose. Quando gli utenti abilitano le macro, il ransomware viene eseguito.