Un'altra aggiunta alla famiglia DJVU: Qual Ransomware
Table of Contents
Cos'è Qual Ransomware?
Qual Ransomware è una variante del software dannoso identificata come parte della famiglia di ransomware Djvu. Qual Ransomware presenta le caratteristiche tipiche di questo famigerato gruppo di minacce informatiche. Quando attivato, crittografa i file della vittima, rinominandoli aggiungendo un'estensione ".qual". Ad esempio, un file originariamente denominato "picture.png" diventa "picture.png.qual" e così via. Al termine del processo di crittografia, una richiesta di riscatto viene inserita in un file di testo denominato "_readme.txt".
La richiesta di riscatto e le sue richieste
La richiesta di riscatto lasciata da Qual Ransomware informa le vittime che i loro file essenziali, inclusi database, documenti e immagini, sono stati crittografati. Per recuperare i dati crittografati, alle vittime viene chiesto di acquistare un programma di decrittazione e una chiave dagli aggressori. Le vittime possono testare il processo di decrittazione inviando un singolo file crittografato ai criminali informatici. Gli aggressori richiedono 999 dollari per gli strumenti di decrittazione, ma se contattati entro 72 ore, il riscatto viene ridotto a 499 dollari. La nota mette esplicitamente in guardia dal chiedere aiuto a terzi.
Ecco il testo della nota:
Come funzionano i programmi ransomware
I programmi ransomware come Qual mirano principalmente a estorcere denaro alle vittime crittografando i loro dati e chiedendo un riscatto per il loro rilascio. Appartenente alla famiglia Djvu , Qual Ransomware utilizza catene di infezione a più fasi per infiltrarsi nei dispositivi. Utilizza diversi codici shell prima del payload finale, che è la fase di crittografia dei dati. Questi programmi ransomware utilizzano anche meccanismi come il looping per estendere il loro runtime e la risoluzione API dinamica per accedere a strumenti critici. Un'altra tecnica, il process svuotamento, consente al malware di mascherarsi da processo benigno, riducendo le possibilità di rilevamento.
La sfida della decrittazione
Decifrare i file colpiti da ransomware come Qual senza la chiave di decrittazione degli aggressori è generalmente impossibile. La decrittazione avviene solo in rari casi che coinvolgono programmi ransomware gravemente difettosi senza l'intervento degli aggressori. Anche in questo caso, il pagamento del riscatto non garantisce il recupero dei file, poiché i criminali informatici spesso non riescono a fornire le chiavi o il software di decrittazione promessi anche dopo aver effettuato il pagamento. Gli esperti sconsigliano vivamente di pagare il riscatto, poiché sostiene e incoraggia l’attività criminale.
Prevenire ulteriori danni
Per impedire un'ulteriore crittografia dei dati da parte di Qual Ransomware, è fondamentale rimuovere il malware dal sistema operativo. Tuttavia, la rimozione del ransomware non ripristinerà i file già crittografati. L'unica soluzione a portata di mano è recuperarli da un backup, a condizione che sia stato effettuato prima dell'infezione e archiviato separatamente dal sistema infetto. Mantenere i backup in più posizioni sicure, come server remoti o dispositivi di archiviazione scollegati, è la pratica migliore per garantire la sicurezza dei dati.
Metodi comuni di distribuzione del ransomware
I ransomware come Qual si diffondono principalmente attraverso tecniche di phishing e ingegneria sociale. Spesso si maschera da o viene fornito in bundle con software o file multimediali legittimi. Questi file sono disponibili in vari formati, inclusi archivi (ZIP, RAR), eseguibili (.exe, .run), documenti (PDF, Microsoft Office, Microsoft OneNote) e JavaScript. I metodi di distribuzione comuni includono trojan di tipo backdoor o loader, download drive-by, allegati o collegamenti dannosi in e-mail di spam, malvertising, truffe online, canali di download dubbi, strumenti di attivazione di software illegali e aggiornamenti falsi.
Vigilanza e pratiche di sicurezza
Per proteggersi dal ransomware, è essenziale prestare attenzione durante la navigazione online e la gestione delle e-mail e dei messaggi in arrivo. I messaggi di posta sospetti o irrilevanti, in particolare quelli contenenti allegati o collegamenti, dovrebbero essere evitati poiché possono essere dannosi o contagiosi. Tutti i download dovrebbero essere eseguiti da fonti ufficiali e verificate e i programmi dovrebbero essere attivati e aggiornati utilizzando strumenti legittimi. L'acquisizione di software da fonti di terze parti aumenta il rischio di infezione da malware.
Pensieri finali
Qual ransomware è una minaccia significativa che evidenzia i pericoli posti dalla famiglia di ransomware Djvu. Crittografa i dati critici e richiede un riscatto, mettendo le vittime in una posizione difficile. Tuttavia, il pagamento del riscatto non è consigliabile a causa dell'inaffidabilità dei criminali informatici. La prevenzione tramite vigilanza, pratiche di navigazione sicura e backup regolari archiviati in posizioni sicure è la migliore difesa contro tali minacce ransomware.
