Cip Ransomware

Entro CagedTech nel Ransomware

Traduci in:

I ricercatori di Infosec hanno identificato un'altra minaccia ransomware distruttiva che fa parte della famiglia di ransomware Dharma. Chiamata Cip Ransowmare, la minaccia segue da vicino il tipico comportamento del Dharma senza mostrare deviazioni significative. Il danno che può causare ai sistemi informatici infetti, però, non è da sottovalutare.

Cip utilizza un potente algoritmo di crittografia per bloccare quasi tutti i file delle sue vittime. Agli utenti interessati sarà impedito di accedere o utilizzare in alcun modo i propri documenti, PODF, archivi, database, immagini, foto, file audio e video, ecc. Durante il processo di crittografia, Cip Ransomware modificherà anche i nomi dei file presi di mira. La minaccia si attiene al consueto schema di denominazione del Dharma aggiungendo prima una stringa di caratteri che funge da ID della vittima. Successivamente, Cip aggiunge un indirizzo e-mail controllato dai suoi operatori. Infine, '.cip' verrà aggiunto come nuova estensione di file.

Alle vittime verranno lasciate due richieste di riscatto contenenti le istruzioni degli aggressori. Uno verrà posizionato sul desktop del sistema compromesso come file di testo denominato "info.txt". L'altra nota verrà visualizzata in una nuova finestra pop-up.

Le richieste di Cip Ransomware

L'obiettivo della minaccia è estorcere denaro in cambio del ripristino dei dati della vittima. In entrambe le sue richieste di riscatto, tuttavia, mancano molti dei dettagli cruciali osservati in altre minacce ransomware. I messaggi non menzionano l'importo del riscatto richiesto, se i fondi devono essere trasferiti utilizzando una specifica criptovaluta o se gli aggressori sono disposti a dimostrare la loro capacità di decrittografare i dati sbloccando un paio di file gratuitamente.

Invece, la nota nel file di testo elenca le due e-mail che le vittime possono utilizzare per la comunicazione: "ciphercrypt@tuta.io" e "cipherc@onionmail.org". Le istruzioni nella finestra pop-up non sono molto utili. Contengono semplicemente una sezione con vari avvisi come non rinominare i file crittografati o eseguire decryptor di terze parti in quanto ciò potrebbe danneggiare i dati e rendere i file irrecuperabili.

Il messaggio a comparsa è:

I TUOI FILE SONO CRITTOGRAFATI
1024
Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli, scrivi alla mail: ciphercrypt@tuta.io IL TUO ID -
Se non hai risposto via mail entro 12 ore, scrivici con un'altra mail:cipherc@onionmail.org
ATTENZIONE!
Ti consigliamo di contattarci direttamente per evitare di pagare in eccesso gli agenti
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.

La nota che si trova all'interno del file di testo è:

tutti i tuoi dati ci sono stati bloccati
Vuoi tornare?
scrivi un'e-mail ciphercrypt@tuta.io o cipherc@onionmail.org