2700 ransomware

La variante ransomware identificata come 2700 è stata scoperta durante l'analisi di potenziali minacce malware. Questo software dannoso utilizza un meccanismo di crittografia dei file, tramite il quale crittografa i file e aggiunge informazioni specifiche ai nomi dei file. I dati aggiunti includono l'ID della vittima, l'indirizzo email sqlback@memeware.net e l'estensione ".2700".

Oltre alle operazioni di crittografia, 2700 lascia due richieste di riscatto, denominate "info.txt" e "info.hta", come parte del suo modus operandi. Queste note in genere contengono istruzioni e richieste da parte degli aggressori in merito al pagamento del riscatto per la chiave di decrittazione.

Per illustrare come 2700 modifica i nomi dei file, considerare i seguenti esempi: '1.png' può essere trasformato in '1.jpg.id[9ECFA74E-3524].[sqlback@memeware.net].2700,' e '2.doc' potrebbe diventare '2.png.id[9ECFA74E-3524].[sqlback@memeware.net].2700.' Questo modello di ridenominazione dei file mostra il metodo coerente utilizzato da 2700 nell'aggiungere informazioni specifiche della vittima ai file crittografati. Gli utenti che riscontrano questa variante di ransomware dovrebbero prestare attenzione e applicare misure di sicurezza adeguate per proteggere i propri dati e sistemi. Il ransomware 2700 è stato collegato alla famiglia di malware Phobos .

Il ransomware 2700 estorce denaro alle sue vittime prendendo in ostaggio i dati

La richiesta di riscatto associata al ransomware 2700 fornisce istruzioni dettagliate alle vittime per stabilire un contatto con gli autori del reato tramite l'indirizzo e-mail specificato, sqlback@memeware.net, utilizzando un ID univoco menzionato nell'oggetto del messaggio. La richiesta di riscatto, generalmente pagabile in Bitcoin, varia in base alla velocità con cui la vittima risponde alla richiesta di riscatto.

Per incoraggiare la conformità, la nota offre un'opportunità limitata alle vittime di inviare fino a 2 file per la decrittazione gratuita, a condizione che la dimensione totale non superi i 2 megabyte e che i file siano ritenuti non critici. Le istruzioni guidano inoltre le vittime nel processo di ottenimento di Bitcoin, mettono in guardia contro la ridenominazione dei file crittografati e sconsigliano di tentare la decrittazione con software di terze parti, che potrebbe comportare la perdita permanente dei dati.

Significativamente, 2700 intraprende azioni strategiche per compromettere le difese del sistema preso di mira. Disabilita il firewall, una misura di sicurezza fondamentale, indebolendo la protezione complessiva del sistema. Inoltre, il ransomware elimina le copie shadow del volume, precludendo potenziali strade per il recupero dei dati. Sfruttando le vulnerabilità nei servizi RDP (Remote Desktop Protocol), 2700 ottiene l'accesso non autorizzato tramite attacchi di forza bruta e dizionario, in particolare su sistemi con credenziali di account mal gestite.

Oltre alle funzionalità di crittografia e compromissione, 2700 presenta funzionalità avanzate. Raccoglie dati sulla posizione e possiede la capacità di escludere specifiche posizioni predefinite, migliorandone così la longevità e l'impatto. Queste tattiche sfaccettate rendono il 2700 una minaccia formidabile, sottolineando l’importanza di disporre di pratiche di sicurezza informatica complete e di una maggiore consapevolezza per contrastare i suoi effetti dannosi.

È fondamentale stabilire solide misure di sicurezza su tutti i dispositivi

La protezione dei dispositivi dalle minacce ransomware richiede un approccio globale che comprenda una combinazione di misure preventive e pratiche proattive. Ecco le misure essenziali che gli utenti dovrebbero sempre implementare per proteggere i propri dispositivi dal ransomware:

• Backup regolari : la creazione di backup regolari dei tuoi dati importanti su dispositivi di archiviazione esterni e offline è fondamentale. Ciò garantisce che, anche se il dispositivo viene compromesso, gli utenti possano ripristinare i file interessati senza soccombere alle richieste di riscatto.
• Software di sicurezza : installa un software antimalware affidabile su tutti i dispositivi. Quindi, assicurati di mantenere aggiornato il software ed esegui scansioni regolari per rilevare e rimuovere potenziali minacce, incluso il ransomware.
• Aggiornamenti software : installa sempre nuovi aggiornamenti per il tuo software e sistema operativo sempre aggiornato con le ultime patch di sicurezza. Aggiornamenti regolari aiutano a eliminare le vulnerabilità che ransomware e altri malware potrebbero sfruttare.
• Consapevolezza della sicurezza e-mail : prestare attenzione quando si aprono allegati e-mail o si reagisce ai collegamenti, soprattutto nelle e-mail provenienti da fonti sconosciute o sospette. Fai attenzione ai tentativi di phishing, un metodo comune per avviare attacchi ransomware.
• Educazione degli utenti : informa te stesso e i tuoi utenti sui pericoli del ransomware. Formateli affinché siano in grado di riconoscere i tentativi di phishing, i collegamenti sospetti e l'importanza di non scaricare file da fonti non attendibili.
• Principio del privilegio minimo: abbraccia il principio del privilegio minimo. Limita i diritti di accesso degli utenti solo a ciò che è necessario per il loro ruolo, riducendo il potenziale impatto se un account viene compromesso.
• Segmentazione della rete : esegui la segmentazione della rete per isolare i sistemi critici dal resto della rete. Ciò impedisce il movimento laterale del ransomware all'interno di una rete.

Implementando costantemente queste misure, gli utenti possono massimizzare in modo significativo il livello di sicurezza dei propri dispositivi e ridurre al minimo la probabilità di cadere vittime di attacchi ransomware.

Alle vittime del ransomware 2700 viene lasciata la seguente richiesta di riscatto:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sqlback@memeware.net
Write this ID in the title of your message 9ECFA84E-3524
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is the OKX website. You must register, click "Buy Bitcoins" and select a merchant by payment method and price.
hxxps://okx.com
You can also find other places to buy bitcoins and a beginner's guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by 2700 Ransomware delivers the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: sqlback@memeware.net.'