Come fermare e rimuovere in modo sicuro Pomoch Ransomware

Il ransomware Pomoch, una variante recentemente identificata della famiglia di ransomware MedusaLocker, rappresenta una minaccia significativa per le aziende di tutto il mondo. Questo software dannoso crittografa i file sul sistema infetto, rendendoli inaccessibili senza la chiave di decrittazione. Il ransomware aggiunge l'estensione ".pomoch45" ai nomi dei file, facilitando l'individuazione dei file compromessi. Ad esempio, un file denominato "example.jpg" diventerebbe "example.jpg.pomoch45" dopo la crittografia.

Una volta completato il processo di crittografia, viene creata una richiesta di riscatto intitolata "How_to_back_files.html". Questa nota è specificamente pensata per prendere di mira le aziende piuttosto che i singoli utenti, utilizzando una tattica nota come doppia estorsione.

La richiesta di riscatto e le tattiche di estorsione

La richiesta di riscatto consegnata dal ransomware Pomoch informa la vittima che la sua rete è stata violata e che i file sono stati crittografati utilizzando una combinazione di algoritmi crittografici RSA e AES. La nota rivela inoltre che dati sensibili e riservati sono stati esfiltrati dalla rete, aggiungendo un ulteriore livello di pressione sulla vittima. Gli aggressori chiedono un riscatto in cambio della chiave di decrittazione e minacciano di divulgare i dati rubati se le loro richieste non vengono soddisfatte.

Alle vittime viene concessa una finestra di 72 ore per contattare gli aggressori. Se non lo fanno, l’importo del riscatto è destinato ad aumentare. Gli aggressori offrono una piccola concessione consentendo alla vittima di decrittografare fino a tre file non essenziali come prova della loro capacità di ripristinare i dati. Tuttavia, pagare il riscatto è rischioso, poiché le vittime spesso non ricevono gli strumenti di decrittazione promessi, anche dopo aver effettuato il pagamento.

La realtà degli attacchi ransomware

La nostra vasta esperienza con i ransomware ha dimostrato che raramente la decrittazione è possibile senza l'assistenza degli aggressori, a meno che il ransomware non sia mal progettato. Anche nel caso in cui venga pagato il riscatto, non vi è alcuna garanzia che gli aggressori forniscano le chiavi di decrittazione necessarie. Inoltre, il pagamento del riscatto non fa altro che alimentare l’impresa criminale dietro questi attacchi, incoraggiandola a continuare a prendere di mira più vittime.

La rimozione del ransomware Pomoch dal sistema interromperà l'ulteriore crittografia ma non recupererà i file già crittografati. La soluzione migliore è ripristinare i dati da un backup effettuato prima dell'infezione e archiviato in una posizione sicura e separata.

Prevenire le infezioni da ransomware

Per proteggersi dai ransomware come Pomoch, è fondamentale adottare solide pratiche di sicurezza informatica. Ecco alcune raccomandazioni chiave:

1. Scarica solo da fonti attendibili : assicurati di scaricare software e file solo da fonti ufficiali e verificate. I download di terze parti spesso contengono malware nascosto.
2. Prestare attenzione alle e-mail : fare attenzione alle e-mail indesiderate, in particolare quelle contenenti allegati o link. Il phishing è un metodo comune utilizzato per diffondere ransomware.
3. Usa un software di sicurezza affidabile : installa un programma antivirus affidabile e tienilo aggiornato. Esegui regolarmente la scansione del tuo sistema per individuare minacce e rimuovi tempestivamente eventuali problemi rilevati.
4. Mantieni backup regolari : esegui regolarmente il backup dei tuoi dati in più posizioni, inclusi server remoti e dispositivi di archiviazione offline. Questa pratica garantisce che tu possa recuperare i tuoi file anche se sono crittografati da ransomware.

Il ransomware Pomoch è una minaccia pericolosa e sofisticata che sottolinea l'importanza di misure di sicurezza informatica robuste. Restando vigili e seguendo le best practice, puoi ridurre significativamente il rischio di cadere vittima di tali attacchi. Se il tuo sistema è già stato infettato, è essenziale rimuovere immediatamente il ransomware e consultare professionisti della sicurezza informatica per mitigare ulteriori danni.