Divsouth Ransomware

Divsouth Ransomware è un Trojan che blocca i file che fa parte della famiglia relativamente piccola di MedusaLocker Ransomware. Il Divsouth Ransomware può eliminare i backup, bloccare i file dell'utente con la crittografia e includere una pagina Web con una richiesta di riscatto che promuove il suo sito Web TOR. Gli utenti dovrebbero ignorare i servizi basati su riscatto da parte di criminali e utilizzare altre opzioni di ripristino dei dati dopo aver rimosso Divsouth Ransomware con un affidabile servizio anti-malware.

Il prossimo set di zanne dal ransomware MedusaLocker

Solo poco tempo dopo la prima conferma di un aggiornamento annuale per la famiglia MedusaLocker Ransomware dalla testa di serpente (vedi: Deathfiles Ransomware), i ricercatori di malware indicano ancora più campioni di questa famiglia in libertà. Il secondo Trojan del gruppo per il 2021, Divsouth Ransomware, include differenze nelle tipiche credenziali relative al riscatto come le e-mail. Tuttavia, la sua richiesta di riscatto e gli attacchi che distruggono i dati sono tutti caratteristici dei suoi antenati.

Esempi della famiglia di Divsouth Ransomware e degli attacchi di crittografia risalgono al 2019, attraverso casi come Decrypme Ransomware, Deadfiles Ransomware e Support Ransomware. Si rivolge a formati multimediali piuttosto che a file critici per il sistema e blocca la maggior parte dei documenti, immagini, audio, filmati e dati simili dell'utente crittografandoli. Questa routine di crittografia sicura impedisce l'apertura del file, mentre il Trojan lo contrassegna con un'estensione della campagna come "divsouth" in aggiunta.

Come la maggior parte dei trojan di blocco dei file di oggi, Divsouth Ransomware include una funzionalità completa di eliminazione della copia Shadow Volume. Questo attacco impedisce alle vittime di riprendersi tramite i punti di ripristino. La situazione pratica degli ostaggi dei file diventa leva per le richieste di riscatto dell'attore della minaccia, che forniscono tramite una nota HTML e un sito Web del browser TOR anonimo.

Ritorno a nord dopo un viaggio verso l'estorsione digitale

Il Divsouth Ransomware offre gli stessi pericoli agli utenti senza backup sicuri della maggior parte dei Trojan con blocco dei file, indipendentemente dalle loro famiglie. Gli utenti possono proteggersi salvando i propri file su altri dispositivi, indipendentemente dal fatto che le posizioni siano completamente staccabili o semplicemente godendo dei vantaggi della protezione tramite password. Gli esperti di malware incoraggiano questo passaggio in particolare per gli utenti Windows, che sono il target demografico più spesso (se non esclusivamente così esclusivo) dei Trojan che bloccano i file.

Gli attuali campioni del falso Divsouth Ransomware sono "svhost" dei componenti di Windows, un errore di battitura di "svchost"). Questo travestimento ha poca importanza per qualsiasi distribuzione o exploit di installazione che la sua campagna potrebbe utilizzare in modo improprio. Gli utenti dovrebbero controllare le tattiche tramite torrent, allegati di posta elettronica e falsi aggiornamenti del lettore multimediale come probabili fonti di infezione.

Senza un metodo di inversione prontamente disponibile per la crittografia di Divsouth Ransomware, gli utenti dipendono anche dalla prevenzione degli attacchi più che dalla cura. La maggior parte delle applicazioni anti-malware segnalerà questa minaccia e rimuoverà automaticamente le installazioni di Divsouth Ransomware.

Anche gli utenti con backup intatti non sono completamente immuni al Divsouth Ransomware. Con la vendita e la pubblicità dei dati che diventano parte delle attività di questi trojan, il modo migliore per prevenire qualsiasi perdita finanziaria è proteggere i propri computer e server in anticipo invece di annullare le conseguenze.