Tianrui Ransomware: una minaccia informatica che tiene in ostaggio i dati

Cos'è il ransomware Tianrui?

Tianrui è un ceppo di ransomware che funziona come molte altre famiglie di ransomware note, come Hush , MoneyIsTime e Boramae . Questo software dannoso crittografa i file delle vittime e poi chiede un riscatto in cambio della decrittazione.

Dopo aver infettato un sistema, Tianrui rinomina i file crittografati aggiungendo un identificatore univoco seguito dall'estensione ".tianrui". Ad esempio, un file inizialmente denominato "document.pdf" apparirebbe come "document.pdf.{UniqueID}.tianrui" dopo la crittografia. Una volta completato il processo di crittografia, il ransomware genera una nota di riscatto intitolata "README.TXT" per informare le vittime dell'attacco e delle richieste dei criminali informatici.

Ecco cosa dice la richiesta di riscatto:

I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work.
2. Its only takes for us at list 20 minutes after payment to completely decrypt you,
to its original state, it's very simple for us!
3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit!
4.They also contact the police. Again, only you suffer from this treatment!
5. We have developed a scheme for your secure decryption without any problems, unlike the above companies,
who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!

6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!

We will also publicize this attack using social networks and other media, which will significantly affect your reputation!

7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!

8. Do not under any circumstances try to decrypt the files yourself; you will simply break them!
YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!

9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !

10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!!

Contacts :

Download the (Session) messenger (hxxps://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"

MAIL:tianrui@mailum.com

Come funziona il ransomware Tianrui?

Come altre varianti di ransomware, Tianrui segue uno schema di attacco strutturato. Si infiltra nel sistema della vittima, crittografa i file e quindi presenta una richiesta di riscatto che spiega i passaggi successivi. La richiesta di riscatto avverte che se la vittima non paga, le informazioni sensibili rubate durante l'attacco, come database, registri finanziari ed e-mail, verranno condivise con altri gruppi di hacker. Inoltre, gli aggressori minacciano di rendere pubblica la violazione, danneggiando potenzialmente la reputazione dell'azienda o dell'individuo preso di mira.

Alle vittime viene chiesto di contattare gli aggressori entro 12 ore per ricevere uno sconto sull'importo del riscatto. La nota mette inoltre in guardia dal tentare di decifrare manualmente i file o dal cercare assistenza da terze parti, sostenendo che tali azioni potrebbero rendere i dati permanentemente inaccessibili.

La natura degli attacchi ransomware

Il ransomware opera utilizzando tecniche di crittografia che rendono i dati illeggibili senza una chiave di decrittazione univoca. Vengono utilizzati due tipi principali di crittografia: simmetrica e asimmetrica. Entrambi i metodi rendono quasi impossibile recuperare i file bloccati senza l'intervento degli aggressori.

Uno dei rischi maggiori associati agli attacchi ransomware è che pagare il riscatto non garantisce che le vittime riceveranno la chiave di decrittazione promessa. I criminali informatici non hanno alcun obbligo di portare a termine il pagamento e, in molti casi, le vittime che pagano non riottengono l'accesso ai propri dati. Inoltre, pagare il riscatto alimenta ulteriori reati informatici finanziando futuri attacchi.

Come si diffonde il ransomware Tianrui

Tianrui, come molti altri programmi ransomware, si diffonde principalmente tramite tattiche ingannevoli, tra cui e-mail di phishing e ingegneria sociale. I criminali informatici utilizzano messaggi fraudolenti per indurre le vittime ad aprire allegati dannosi o a cliccare su link pericolosi. Questi file infetti possono assumere varie forme, come:

• File di archivio (ZIP, RAR, ecc.)
• File eseguibili (.exe, .run, ecc.)
• Documenti (Microsoft Office, PDF, OneNote, ecc.)
• File JavaScript

Altri metodi comuni di infezione includono:

• Malware trojan che si maschera da software legittimo
• Download drive-by da siti web compromessi o falsi
• Pubblicità dannose (malvertising)
• Pirateria informatica e strumenti di "cracking" illegali
• Aggiornamenti software falsi che installano segretamente malware
• Meccanismi di diffusione in rete che propagano le infezioni attraverso unità condivise o dispositivi di archiviazione rimovibili

I file infetti possono essere recuperati?

Recuperare i file criptati da Tianrui è difficile, se non impossibile, senza lo strumento di decrittazione dei criminali informatici. A meno che il ransomware non contenga un difetto nel suo algoritmo di crittografia, le vittime hanno poche speranze di sbloccare i propri file senza pagare il riscatto.

La soluzione migliore è affidarsi a backup sicuri. Eseguire regolarmente il backup di file importanti in più posizioni, tra cui storage offline e basati su cloud, garantisce che i dati rimangano al sicuro in caso di attacco. Tuttavia, i backup devono essere tenuti separati dal sistema primario, poiché alcune varianti di ransomware tentano di crittografarli o eliminarli.

Misure preventive per evitare infezioni da ransomware

La prevenzione è la miglior difesa contro le minacce ransomware. Seguendo le best practice di sicurezza informatica, individui e organizzazioni possono ridurre al minimo il rischio di infezione:

1. Utilizza fonti di download verificate : scarica software e aggiornamenti solo da fonti ufficiali e affidabili. Evita di utilizzare piattaforme di terze parti che potrebbero ospitare versioni dannose di programmi legittimi.
2. Fai attenzione agli attacchi di phishing : i criminali informatici spesso distribuiscono ransomware tramite e-mail di phishing. Fai attenzione quando apri allegati o clicchi su link provenienti da mittenti sconosciuti o sospetti.
3. Mantieni il software aggiornato : assicurati che i sistemi operativi, le applicazioni e gli strumenti di sicurezza siano aggiornati. Gli aggiornamenti spesso includono patch di sicurezza che correggono le vulnerabilità sfruttate dal ransomware.
4. Abilita la sicurezza multilivello : utilizza software antivirus e antimalware per rilevare e bloccare i file dannosi prima che possano essere eseguiti.
5. Limita i privilegi di amministratore : limita i permessi degli utenti per impedire installazioni di software non autorizzate e modifiche del sistema.
6. Disattiva macro ed esecuzione script : gli script dannosi nascosti nei documenti possono innescare infezioni ransomware. Disattiva l'esecuzione automatica delle macro in Microsoft Office ed evita di abilitare script non necessari.
7. Backup dei dati importanti : esegui regolarmente il backup dei file critici in posizioni offline sicure per garantire il ripristino dei dati in caso di attacco.

Considerazioni finali

Il ransomware Tianrui è un altro esempio di come i criminali informatici sfruttino la tecnologia di crittografia per estorcere denaro alle vittime. Questa particolare variante segue la stessa strategia di altri ceppi di ransomware: crittografia dei file, richiesta di pagamento e minaccia di fuga di dati sensibili. Nonostante la pressione a pagare, gli esperti di sicurezza informatica sconsigliano vivamente di farlo, poiché non garantisce il recupero dei dati e incentiva solo ulteriori attività criminali.

La migliore protezione contro il ransomware è un approccio proattivo alla sicurezza informatica che includa backup regolari dei dati, aggiornamenti software e vigilanza contro i tentativi di phishing. Comprendendo le tattiche utilizzate dagli aggressori e prendendo le precauzioni necessarie, individui e aziende possono ridurre significativamente il rischio di minacce ransomware.