E' indubbiamente stata, quella appena trascorsa, la settimana del ransomware Scarab, la cui famiglia conta ormai svariate decine di versioni. E' come se ci fosse un flusso continuo di nuove versioni che vengono rilasciate in continuazione: per fortuna sono già disponibili alcuni tool di decriptazione, grazie a Dr.Web.
Ricordiamo che chiunque subisca un'infezione da ransomware può visitare la pagina www.decryptolocker.it o scriverci all'indirizzo alessandro@nwkcloud.com inviandoci due file criptati e, possibilmente, la richiesta di riscatto: procederemo ad analisi gratuita dei file e quindi, nel caso l'infezione risulti risolvibile, ad approntare il necessario tool di decriptazione.
Le nuove varianti:
1) .good
Non modifica il nome dei file. Vi aggiunge solo l'estensione .good. La nota di riscatto si chiama "HOW the TO the RECOVER The ENCRYPTED files.txt", l'email di contatto per il pagamento del riscatto è filedecryption@protonmail.com.
Non modifica il nome dei file. Vi aggiunge solo l'estensione .good. La nota di riscatto si chiama "HOW the TO the RECOVER The ENCRYPTED files.txt", l'email di contatto per il pagamento del riscatto è filedecryption@protonmail.com.
Questa versione del ransomware non modifica il nome dei file, ma vi aggiunge due diverse estensioni:
- .fastrecovery@xmpp.jp
- .fastsupport @ xmpp.jp
La nota di riscatto si chiama "HOW TO RECOVER ENCRYPTED FILES-fastsupport@xmpp.jp.TXT" Nella nota, oltre a fornire le indicazioni e le email di contatto per il pagamento del riscatto, si specifica il tipo di algoritmo usato per la criptazione: il solidissimo RSA-2048.
Fonte: https://id-ransomware.blogspot.com/ |
Questa variante è risolvibile in alcuni casi, grazie ai nostro partner di Dr.Web.
3. .oneway
Scoperta da Michel Gillespie 6 giorni fa, non modifica il nome dei file, ma vi aggiunge l'estensione .oneway. La nota di riscatto si chiama "Расшифровать файлы oneway.TXT" e contiene la seguentie email di contatto: ibm14@horsefucker.org
4. .bomber
Questa versione del ransomware modifica il nome dei file criptati usando Base64, infine vi aggiunge l'estensione .bomber. Un esempio di file criptato è:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk = wJA.bomber.
Colpisce soltanto utenti russi. La nota di riscatto si chiama "AS recover encrypted FAYLY.TXT" e contiene ben 3 email di contatto:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk = wJA.bomber.
Colpisce soltanto utenti russi. La nota di riscatto si chiama "AS recover encrypted FAYLY.TXT" e contiene ben 3 email di contatto:
- soft2018@tutanota.com;
- soft2018@mail.ee;
- newsoft2018@yandex.by.
5. .recme
Il 21 Giugno invece viene individuata "in the wild" la versione .recme. Non modifica il nome dei file criptati, ma vi aggiunge l'estensione .recme.
La nota di riscatto si chiama "HOW_TO_RECOVER_ENCRYPTED_FILES.TXT" e contiene due modalità diverse di contatto per il pagamento del riscatto:
La nota di riscatto si chiama "HOW_TO_RECOVER_ENCRYPTED_FILES.TXT" e contiene due modalità diverse di contatto per il pagamento del riscatto:
- l'email recfiles@protonmail.com;
- un indirizzo Bitmessage (BM-2cTgGUjqALdcJp2kEhsgUUnhpFPgkikerB) qualora non fosse possibile la comunicazione via email.
6. dan@cock.email.
Il giorno dopo ancora una variante nuova, che cripta i file modificandone l'estensione in .dan@cock.email. La nota di riscatto si chiama "HOW TO RECOVER ENCRYPTED FILES - dan@cock.email.TXT": la mail di contatto per il pagamento del riscatto è dan@cock.email
Il giorno dopo ancora una variante nuova, che cripta i file modificandone l'estensione in .dan@cock.email. La nota di riscatto si chiama "HOW TO RECOVER ENCRYPTED FILES - dan@cock.email.TXT": la mail di contatto per il pagamento del riscatto è dan@cock.email
Nessun commento:
Posta un commento