Carver ransomware

I ricercatori di Infosec hanno scoperto un programma dannoso noto come Carver. Il Carver Ransomware appartiene alla categoria ransomware, il che significa che il suo scopo principale è crittografare i dati della vittima e quindi richiedere un riscatto per il presunto ripristino dei file.

Se eseguito sui dispositivi infetti, il malware crittografa correttamente i file e ne modifica i nomi. In particolare, ai nomi dei file originali sono stati aggiunti un ID univoco, l'indirizzo e-mail dei criminali informatici e un'estensione ".Carver". Ad esempio, un file precedentemente denominato '1.doc' verrebbe visualizzato come '1.doc.id[9ECFA84E-3455].[ineedatool@rape.lol].Carver.'

Una volta completato il processo di crittografia, Carver Ransomware consegnerà due richieste di riscatto, ovvero "info.hta" sotto forma di finestra pop-up e "info.txt" come file di testo. Queste note contengono istruzioni su come pagare il riscatto e ottenere la chiave di decrittazione. È importante notare che Carver Ransomware fa parte della famigerata famiglia di malware Phobos.

Le vittime del ransomware Carver vengono estorte per denaro

Il file di testo generato dal ransomware Carver informa semplicemente le vittime che i loro dati sono stati crittografati e fornisce istruzioni per contattare gli aggressori. Nel frattempo, il messaggio della finestra pop-up fornisce maggiori dettagli sul processo di decrittazione. In particolare, informa le vittime che dovranno pagare un riscatto in criptovaluta Bitcoin per ottenere la chiave di decrittazione. Tuttavia, il messaggio non specifica l'importo esatto del riscatto ma indica che potrebbe dipendere dalla velocità con cui la vittima contatta i cybercriminali. Prima di effettuare qualsiasi pagamento, le vittime hanno la possibilità di testare gratuitamente il processo di decrittazione entro determinate specifiche.

Il messaggio nella finestra pop-up avverte anche di non rinominare i file crittografati o di utilizzare strumenti di decrittazione di terze parti, poiché ciò renderà i dati non decrittografabili. Sulla base della nostra ampia analisi e ricerca di migliaia di infezioni da ransomware, possiamo dedurre che la decrittazione è in genere impossibile senza il coinvolgimento degli aggressori. L'unica eccezione potrebbe essere se il ransomware è profondamente difettoso o ancora in fase di sviluppo.

Inoltre, anche se il riscatto viene pagato, le vittime potrebbero non ricevere le chiavi o il software di decrittazione promessi. Pertanto, sconsigliamo vivamente di pagare il riscatto e di sostenere involontariamente questa attività illegale.

Proteggere i tuoi dispositivi da minacce come il ransomware Carver è fondamentale

Le infezioni da ransomware possono essere devastanti per gli utenti, in quanto possono comportare la perdita di dati importanti e perdite finanziarie. Per proteggere i propri dispositivi dal ransomware, gli utenti possono adottare diverse misure di sicurezza. Una delle misure più importanti è mantenere i propri dispositivi aggiornati con le patch e gli aggiornamenti di sicurezza più recenti. Ciò garantirà la correzione di eventuali vulnerabilità nel sistema operativo o nel software del dispositivo, rendendo più difficile per il ransomware sfruttarle.

Un'altra misura essenziale è evitare di fare clic su collegamenti dubbi o scaricare file da fonti non attendibili. Il ransomware si diffonde spesso tramite allegati o collegamenti e-mail dannosi, pertanto gli utenti devono prestare attenzione quando aprono e-mail da mittenti sconosciuti o fanno clic sui collegamenti nelle e-mail. Dovrebbero anche utilizzare un software antivirus per scansionare i propri dispositivi alla ricerca di malware e mantenerli aggiornati con le definizioni dei virus più recenti.

È inoltre fondamentale eseguire regolarmente il backup dei dati e dei file essenziali su un'unità esterna o un servizio di archiviazione cloud. Questo può aiutare gli utenti a recuperare i propri dati nel caso in cui vengano crittografati dal ransomware. Inoltre, gli utenti devono creare password complesse e abilitare l'autenticazione a due fattori per proteggere i propri account.

Nel complesso, la protezione dal ransomware richiede una combinazione di misure preventive, come l'aggiornamento del software, l'eliminazione di collegamenti e allegati sospetti e l'utilizzo di software antivirus, nonché misure reattive, come il backup di dati e file essenziali. Eseguendo questi passaggi, gli utenti possono ridurre significativamente il rischio di cadere vittime di un attacco ransomware.

Il messaggio di richiesta di riscatto presentato in una finestra pop-up è:

'Tutti i tuoi file sono stati crittografati!

Tutti i tuoi file sono stati crittografati a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'indirizzo e-mail ineedatool@rape.lol
Scrivi questo ID nel titolo del tuo messaggio -
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decritterà tutti i tuoi file.

Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 3 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)

Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.

Il file di testo contiene il seguente messaggio:

!!!Tutti i tuoi file sono crittografati!!!
Per decifrarli inviare un'e-mail a questo indirizzo: ineedatool@rape.lol.'