Cos'è il ransomware ZILLA (Dharma)?
ZILLA è un ceppo di ransomware appartenente alla famigerata famiglia Dharma. Dopo aver infettato un sistema, ZILLA crittografa i file, li rinomina e lascia richieste di riscatto in un popup e in un file di testo denominato "ZILLA-INFO.txt".
Table of Contents
Come ZILLA rinomina i file
Il ransomware rinomina i file aggiungendo l'ID della vittima, l'indirizzo email filezilla@cock.li e l'estensione ".ZILLA". Ad esempio, "1.jpg" diventa "1.jpg.id-9ECFA84E.[filezilla@cock.li].ZILLA" e "2.png" diventa "2.png.id-9ECFA84E.[filezilla@cock .li].ZILLA."
Panoramica della nota di riscatto ZILLA
Istruzioni nella richiesta di riscatto
La richiesta di riscatto indirizza le vittime a inviare un'e-mail a filezilla@cock.li, includendo il loro ID nel messaggio. Se non si riceve risposta entro 12 ore, viene fornita un'e-mail alternativa (filezilla@cyberfear.com). Alle vittime viene offerta la possibilità di decrittografare fino a tre file (meno di 3 MB ciascuno) gratuitamente prima del pagamento.
La richiesta di riscatto ZILLA è la seguente:
ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Avvertenze e raccomandazioni
La nota mette in guardia contro la ridenominazione di file crittografati o l'utilizzo di strumenti di decrittazione di terze parti, avvertendo che tali azioni potrebbero portare alla perdita permanente di dati o a costi aggiuntivi.
Ulteriori dettagli sul ransomware
Problemi di fiducia con i criminali informatici
Solo i criminali informatici dietro gli attacchi ransomware possiedono generalmente gli strumenti di decrittazione necessari per il recupero dei file. Tuttavia, spesso non forniscono questi strumenti anche dopo il pagamento. Pertanto, il pagamento del riscatto è altamente sconsigliato per evitare di perdere sia dati che denaro.
Potenziale di recupero senza pagare
Le vittime potrebbero recuperare i file senza pagare il riscatto se dispongono di backup o riescono a individuare strumenti di decrittazione di terze parti. È inoltre fondamentale rimuovere il ransomware per impedire ulteriori crittografie e impedire la diffusione del malware su una rete locale.
Caratteristiche del ransomware Dharma Family
Impatto e persistenza del sistema
Dharma ransomware crittografa i file locali e condivisi in rete, disabilita i firewall ed elimina le copie shadow del volume. Garantisce la persistenza copiandosi nel percorso "%LOCALAPPDATA%" e registrandosi con chiavi di esecuzione specifiche. Inoltre, raccoglie dati sulla posizione e può escludere determinate posizioni predeterminate.
Ransomware in generale
Definizione e funzione del ransomware
Il ransomware è un tipo di malware che i criminali informatici utilizzano per richiedere un pagamento in cambio di strumenti di decrittazione. Le vittime non possono accedere ai propri file senza pagare a meno che non dispongano di backup o strumenti di decrittazione di terze parti. È consigliabile archiviare file importanti su un server remoto o un dispositivo di archiviazione offline per proteggersi dagli attacchi ransomware.
Esempi di varianti di ransomware
Altri esempi di varianti di ransomware includono LostInfo, GameCrypt e RADAR.
In che modo il ransomware ha infettato il mio computer?
Metodi di infezione
Gli autori delle minacce utilizzano vari metodi per indurre gli utenti a infettare i loro computer. Questi metodi includono nascondere il ransomware in software piratato, strumenti di crack e generatori di chiavi, inviare e-mail fraudolente con allegati o collegamenti dannosi, sfruttare vulnerabilità in software o sistemi operativi obsoleti e creare pubblicità dannose.
Ulteriori canali di infezione
I criminali informatici utilizzano anche reti P2P, downloader di terze parti, siti Web compromessi o ingannevoli, truffe del supporto tecnico, siti di hosting di file gratuiti e canali simili per indurre gli utenti a scaricare ed eseguire malware. Il ransomware della famiglia Dharma spesso infetta i sistemi attraverso servizi RDP vulnerabili, utilizzando la forza bruta o attacchi a dizionario su credenziali mal gestite.
Come proteggersi dalle infezioni ransomware
Misure preventive
Per evitare infezioni da ransomware, prestare attenzione ai file e ai collegamenti presenti nelle e-mail inaspettate provenienti da mittenti sconosciuti. Astenersi dall'interagire con annunci, popup, pulsanti, collegamenti o altri contenuti su siti sospetti. Evita di scaricare software o strumenti piratati destinati a bypassare l'attivazione e ottieni sempre software e file da siti Web ufficiali e app store affidabili.
Manutenzione e protezione del sistema
Esegui regolarmente la scansione del tuo sistema alla ricerca di minacce utilizzando uno strumento di sicurezza affidabile e mantieni aggiornati il tuo sistema operativo e tutto il software. Se il tuo computer è già infetto da ZILLA, esegui una scansione con un'applicazione antimalware per eliminare automaticamente il ransomware.
