Preventivo sconto multi-licenza
Database delle minacce Riscatto Ransomware DeadLock

Ransomware DeadLock

Entro Mezo nel Riscatto
Traduci in:

Le moderne campagne ransomware sono progettate appositamente per trasformare i tuoi dati personali o aziendali in una leva finanziaria. Una volta crittografati i file critici, gli aggressori hanno tutte le carte in regola, a meno che tu non ti sia preparato in anticipo. Una solida igiene di sicurezza, difese a più livelli e strategie di backup resilienti riducono drasticamente le probabilità che un singolo allegato dannoso, un programma di installazione craccato o un download non autorizzato possa causare l'interruzione dell'attività o la perdita permanente di dati. Il ransomware DeadLock è un buon esempio dell'importanza di questi principi fondamentali.

Cosa distingue DeadLock

DeadLock è una famiglia di ransomware che crittografa i file e assegna a ogni vittima un identificatore univoco. Durante un attacco, cripta i dati utente e rinomina ogni file crittografato aggiungendo l'ID della vittima e l'estensione ".dlock" al nome originale. Ad esempio: "1.png" diventa "1.png.F8C6A8.dlock" e "2.pdf" diventa "2.pdf.F8C6A8.dlock". Questo ID viene utilizzato durante l'intero processo di estorsione per rintracciare la vittima e collegare i pagamenti alle chiavi di decrittazione. DeadLock rilascia anche una richiesta di riscatto il cui nome file include lo stesso identificatore (ad esempio, "READ ME.F8C6A8.txt") e modifica lo sfondo del desktop per rafforzare l'idea che il sistema sia stato compromesso.

All’interno della nota di riscatto

La nota contiene diversi punti chiave pensati per orientare le mosse successive della vittima. Afferma che i file crittografati non possono essere ripristinati senza una "chiave di decrittazione univoca" posseduta solo dagli aggressori. Alle vittime viene chiesto di installare il servizio di messaggistica Session Messenger, incentrato sulla privacy, e di contattare l'utente utilizzando un ID di sessione fornito (che si collega nuovamente all'identificativo di ogni vittima incorporato nei nomi dei file). Gli aggressori chiedono alla vittima di inviare un file crittografato e la "chiave personale" (il suo ID univoco) per la verifica. Questa è una tattica comune, volta a creare fiducia decifrando un campione innocuo.

Tattiche di pagamento e pressione

Gli operatori di DeadLock richiedono criptovalute, in particolare Bitcoin o Monero. Promettono che, dopo il pagamento, forniranno un decryptor funzionante. Come per la maggior parte delle operazioni ransomware, non esiste alcuna garanzia vincolante. La nota sfrutta anche la paura per scoraggiare i tentativi di recupero indipendenti: avverte le vittime di non rinominare i file crittografati e di non provare strumenti di decrittazione di terze parti, sostenendo che tali azioni potrebbero danneggiare i dati in modo permanente o far aumentare il costo del recupero. Questi avvertimenti sono in parte tecnici (una gestione impropria può effettivamente complicare il recupero) e in parte psicologici.

Controllo della realtà della decrittazione

L'esperienza con i ransomware in generale e la comunicazione degli stessi operatori confermano una dura verità: nella maggior parte dei casi, non è possibile decifrare i file criptati da DeadLock senza la collaborazione e gli strumenti degli aggressori. Questo lascia due possibili percorsi di recupero: (1) backup funzionanti offline, fuori sede, con versioni aggiornate o comunque non accessibili al malware al momento dell'attacco; oppure (2) pagare il riscatto e sperare che i criminali rispettino l'accordo. Pagare è rischioso: gli aggressori potrebbero sparire, consegnare un decryptor non funzionante o usare il pagamento come segnale che siete un bersaglio facile per future estorsioni. Ove possibile, affidatevi a backup non compromessi invece di pagare un riscatto.

Perché la rimozione completa è importante

Anche dopo il completamento della crittografia, lasciare il ransomware sul sistema è pericoloso. I componenti residui potrebbero crittografare nuovamente i file appena creati, raccogliere credenziali, aprire backdoor o tentare di spostarsi lateralmente attraverso la rete locale. L'eradicazione, supportata dalla scansione degli endpoint, dall'ispezione della memoria e dalla revisione delle attività pianificate, delle voci di avvio e dei controller di dominio, è fondamentale per prevenire danni ripetuti.

Vettori comuni di infezione da DeadLock

Gli aggressori hanno bisogno di un punto d'appoggio iniziale. Le campagne ransomware sono state associate a molteplici canali di distribuzione che sfruttano la fiducia degli utenti, la loro curiosità e scorciatoie per ridurre i costi:

  • Software commerciale piratato o "craccato", tra cui generatori di chiavi in bundle e strumenti per bypassare le licenze che installano segretamente malware.
  • Crack software, keygen e attivatori non ufficiali estratti da siti warez o torrent.
  • Allegati e-mail dannosi: documenti Word con trappola (spesso dotati di macro), PDF, archivi ZIP, file di script o payload eseguibili camuffati da fatture, avvisi di spedizione o moduli urgenti per le risorse umane.
  • Malvertising (pubblicità dannose) che reindirizzano gli utenti verso kit di exploit o pagine di download non autorizzate.
  • Piattaforme di condivisione peer-to-peer e hub di download di terze parti che riconfezionano i programmi di installazione con payload nascosti.
  • Supporti rimovibili (ad esempio, unità USB infette) che si eseguono automaticamente o inducono gli utenti ad avviare file contaminati.
  • Falsi portali di supporto tecnico che spingono gli utenti a scaricare "correzioni" o "aggiornamenti" che in realtà contengono il ransomware loader.
  • Siti web legittimi compromessi che sono stati infettati con download drive-by o script iniettati che forniscono il payload.

Le migliori pratiche di sicurezza per rafforzare la tua difesa

La sicurezza a più livelli riduce drasticamente il raggio d'azione di un attacco ransomware. Di seguito sono riportate le misure difensive prioritarie che aiutano a prevenire il successo di DeadLock e minacce simili:

  • Mantenere backup offline affidabili dei dati critici.
  • Applicare tempestivamente patch ai sistemi operativi, alle applicazioni e al firmware, in particolare ai servizi esposti e alle suite di produttività soggette ad abusi di macro o exploit.
  • Utilizza una protezione degli endpoint/EDR affidabile con rilevamento del ransomware basato sul comportamento e isolamento automatico.
  • Applicare account utente con privilegi minimi; disabilitare l'amministratore locale dove non necessario; separare le credenziali di amministratore dall'uso quotidiano.
  • Limitare l'esecuzione di macro, gli interpreti di script e i file binari non firmati tramite criteri di gruppo, inserimento nell'elenco delle applicazioni consentite e accesso controllato alle cartelle.
  • Implementa filtri di sicurezza per la posta elettronica: archivia gli allegati in sandbox, ispeziona i link e segnala tipi di file sospetti o domini di mittenti falsificati.
  • Disattivare l'esecuzione automatica sui supporti rimovibili ed eseguire la scansione dei dispositivi USB prima del montaggio.
  • Richiedi l'autenticazione a più fattori (MFA) per l'accesso remoto, le console di amministrazione e le interfacce di gestione dei backup.

Lezioni a lungo termine

DeadLock rafforza un tema ricorrente in tutte le famiglie di ransomware: gli aggressori non hanno bisogno di exploit all'avanguardia se gli utenti finali scaricano regolarmente strumenti craccati, aprono allegati non verificati o navigano su reti pubblicitarie non affidabili. Tecniche di sicurezza di base, applicazione disciplinata delle patch, controlli degli accessi, backup monitorati e consapevolezza degli utenti trasformano una potenziale crisi in un evento recuperabile. Investi subito in queste difese; il costo è di gran lunga inferiore a un riscatto pagato sotto pressione.

Pensieri conclusivi

La resilienza al ransomware si costruisce molto prima che un attacco raggiunga lo schermo. Comprendendo il funzionamento di DeadLock e implementando controlli preventivi e di ripristino a più livelli, vi preparate a resistere a questa e ad altre minacce simili. Diffidate di tutto ciò che non avete cercato o verificato intenzionalmente. La vostra vigilanza è la prima, e spesso la migliore, linea di difesa.

Messaggi

Sono stati trovati i seguenti messaggi associati a Ransomware DeadLock:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Tendenza

I più visti

Caricamento in corso...