Vehu Ransomware blocca i sistemi infetti

Abbiamo identificato il ransomware Vehu durante la nostra analisi di nuovi campioni di malware. La nostra indagine ha rivelato che Vehu fa parte della famiglia di ransomware Djvu. Crittografa i file e aggiunge l'estensione ".vehu" ai nomi dei file, oltre a presentare una richiesta di riscatto denominata "_README.txt". È importante notare che il ransomware Djvu viene spesso distribuito insieme a RedLine, Vidar o software dannoso simile.

Ad esempio, Vehu altera i nomi dei file aggiungendovi ".vehu", rinominando "1.jpg" in "1.jpg.vehu" e "2.png" in "2.png.vehu" e così via.

La richiesta di riscatto afferma che tutti i file, comprese immagini, database e documenti, vengono crittografati utilizzando una crittografia avanzata. Per riottenere l'accesso ai file, la vittima deve acquistare uno strumento e una chiave di decrittazione. Lo strumento di decrittazione ha un prezzo di 999 dollari, ma se la vittima contatta gli aggressori entro 72 ore, può essere acquistato per 499 dollari.

Le istruzioni indirizzano la vittima a inviare un'e-mail a support@freshingmail.top o datarestorehelpyou@airmail.cc. Avverte che i file non verranno ripristinati senza pagamento. Inoltre nella nota si afferma che la vittima può inviare agli aggressori un file crittografato e riceverlo decrittografato a titolo dimostrativo, a condizione che il file non contenga informazioni preziose.

Vehu utilizza una richiesta di riscatto Djvu standardizzata

Il testo completo della richiesta di riscatto di Vehu recita quanto segue:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

In che modo il ransomware può infettare il tuo sistema?

Il ransomware può infettare il tuo sistema attraverso vari metodi, spesso sfruttando le vulnerabilità o facendo affidamento su tattiche di ingegneria sociale. Ecco alcuni modi comuni in cui il ransomware può infiltrarsi nel tuo sistema:

E-mail di phishing: uno dei metodi più diffusi è tramite e-mail di phishing. Gli aggressori inviano e-mail ingannevoli che sembrano legittime, spesso con allegati o collegamenti. Facendo clic su questi collegamenti o scaricando gli allegati puoi scaricare ed eseguire ransomware sul tuo sistema.

Collegamenti dannosi: i criminali informatici possono anche distribuire ransomware tramite collegamenti dannosi su siti Web, piattaforme di social media o app di messaggistica istantanea. Facendo clic su questi collegamenti è possibile scaricare e installare il ransomware.

Kit di exploit: il ransomware può sfruttare le vulnerabilità nel software o nei sistemi operativi utilizzando kit di exploit. Questi kit sono strumenti automatizzati utilizzati dagli aggressori per identificare e sfruttare i punti deboli del software per diffondere malware, incluso il ransomware.

Attacchi RDP (Remote Desktop Protocol): gli aggressori possono tentare di ottenere l'accesso non autorizzato ai sistemi con credenziali RDP (Remote Desktop Protocol) deboli o predefinite. Una volta entrati, possono distribuire il ransomware direttamente sul sistema compromesso.

Download drive-by: il ransomware può essere scaricato e installato silenziosamente quando visiti siti Web compromessi o dannosi. Questo metodo spesso sfrutta le vulnerabilità del tuo browser web o dei plugin.

Malvertising: gli aggressori utilizzano pubblicità dannose (malvertising) su siti Web legittimi per distribuire ransomware. Fare clic su questi annunci o talvolta anche semplicemente visualizzarli può attivare il download e l'esecuzione del ransomware.

Vulnerabilità del software: sfruttare le vulnerabilità del software senza patch o obsolete è un altro modo in cui il ransomware può infiltrarsi nei sistemi. Se non installi gli aggiornamenti di sicurezza, il tuo sistema diventa vulnerabile allo sfruttamento da parte di ransomware e altri malware.