FORZA ransomware
Durante un esame delle potenziali minacce malware, i ricercatori hanno scoperto il ransomware FORCE. Una volta infiltrato in un dispositivo, FORCE avvia la crittografia su vari tipi di file, compresi immagini, documenti, fogli di calcolo e altro ancora. L'obiettivo degli aggressori è tenere in ostaggio i dati crittografati e costringere le vittime colpite a pagare per la loro decrittografia. Per identificare le vittime e stabilire una comunicazione, il ransomware aggiunge identificatori univoci, indirizzi e-mail dei criminali informatici e un'estensione ".FORCE" ai nomi dei file crittografati. Ad esempio, un file inizialmente denominato "1.png" verrebbe trasformato in "1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
Una volta completato il processo di crittografia, il sistema visualizza richieste di riscatto identiche in due formati: una finestra pop-up ('info.hta') e un file di testo ('info.txt'). Questi messaggi vengono visualizzati sul desktop e in tutte le directory contenenti file crittografati. Ulteriori analisi hanno rivelato che FORCE appartiene alla famiglia Phobos Ransomware .
Sommario
Il ransomware FORCE estorce denaro alle vittime
Le richieste di riscatto emesse da FORCE sottolineano che i file della vittima sono stati crittografati e che i dati sensibili sono stati compromessi. Per riottenere l'accesso ai propri file, alla vittima viene chiesto di pagare un riscatto utilizzando solo la criptovaluta Bitcoin. Il mancato rispetto delle richieste elencate comporterà la vendita delle informazioni rubate. Prima di effettuare qualsiasi pagamento, alla vittima viene data la possibilità di testare gratuitamente il processo di decrittazione, anche se con alcune limitazioni.
I messaggi mettono in guardia contro l'alterazione dei file crittografati o l'utilizzo di strumenti di ripristino di terze parti, poiché tali azioni potrebbero rendere i dati irrecuperabili. Inoltre, la vittima viene avvertita che chiedere assistenza a terzi potrebbe aumentare le sue perdite finanziarie.
Il ransomware FORCE adotta misure per impedire un facile ripristino dei dati bloccati
Questo programma minaccioso, parte della famiglia Phobos Ransomware, è noto per il suo approccio metodico alla crittografia. A differenza di alcune varianti di ransomware che rendono le macchine infette completamente inutilizzabili, il malware Phobos prende di mira selettivamente i file per la crittografia, evitando i file di sistema critici per garantire che il sistema rimanga funzionale. Crittografa sia i file archiviati localmente che quelli condivisi in rete e termina i processi associati ai file aperti per impedire esenzioni basate sui file "in uso", come programmi di database o lettori di file di testo.
Per impedire la doppia crittografia, Phobos Ransomware mantiene un elenco di esclusione dei programmi ransomware più diffusi. I file già bloccati dal software in questo elenco rimangono inalterati. Inoltre, Phobos elimina le copie shadow del volume, un'opzione di ripristino comune, per contrastare ulteriormente i tentativi di ripristino dei dati.
Per garantire la persistenza sui dispositivi violati, il malware si copia nel percorso %LOCALAPPDATA% e si registra con chiavi di esecuzione specifiche, garantendo l'avvio automatico ad ogni riavvio del sistema. È interessante notare che il ransomware Phobos potrebbe astenersi dall'attaccare i dispositivi in base alla loro geolocalizzazione, in particolare quelli in regioni economicamente deboli o paesi allineati geopoliticamente.
Decrittografare i dati bloccati dal ransomware senza l'intervento dei criminali informatici è generalmente impossibile. Anche se le vittime soddisfano le richieste di riscatto, non vi è alcuna garanzia che riceveranno le chiavi o il software di decrittazione promessi. Pertanto, il pagamento del riscatto non solo non garantisce il recupero dei dati, ma perpetua anche attività illegali.
Sebbene la rimozione del ransomware dal sistema operativo impedisca un'ulteriore crittografia, non ripristina i file compromessi. L'unica soluzione affidabile è ripristinare i file da un backup, se disponibile.
Non correre rischi con la sicurezza dei tuoi dispositivi e dati
Gli utenti possono migliorare la difesa dei propri dati e dispositivi dalle minacce ransomware implementando un approccio multilivello alla sicurezza informatica. Ecco alcune strategie efficaci:
- Mantieni il software aggiornato : aggiorna regolarmente i sistemi operativi, le applicazioni software e i programmi antivirus per correggere le vulnerabilità della sicurezza e proteggerti dagli exploit noti. Abilita gli aggiornamenti automatici quando possibile.
- Installa un software di sicurezza affidabile : utilizza un software antimalware affidabile per rilevare e rimuovere ransomware e altre minacce dannose. Assicurarsi che il software antivirus venga aggiornato frequentemente per riconoscere le minacce più recenti.
- Esercitare vigilanza con allegati e collegamenti e-mail : prestare attenzione alle e-mail sospette, in particolare quelle provenienti da mittenti sconosciuti o contenenti allegati o collegamenti inaspettati. Cerca di non accedere a collegamenti o scaricare allegati da e-mail non richieste, poiché potrebbero contenere ransomware o altri malware.
- Backup regolare dei dati : imposta una solida strategia di backup eseguendo regolarmente il backup dei dati importanti su un disco rigido esterno, un servizio di archiviazione cloud o un dispositivo NAS (Network-Attached Storage). Assicurati che i backup siano archiviati in modo sicuro e non siano direttamente accessibili dal sistema primario per evitare che vengano crittografati dal ransomware.
- Utilizza password complesse e univoche : crea password complesse e complesse per tutti gli account e non utilizzare la stessa password su più account. Considera la possibilità di utilizzare un gestore di password affidabile per generare e archiviare le password in modo sicuro.
- Abilita l'autenticazione a due fattori (2FA) : abilita l'autenticazione a due fattori per massimizzare la sicurezza dei tuoi account. 2FA richiede agli utenti di includere una seconda forma di verifica, come la password o un codice inviato al proprio dispositivo mobile.
Adottando queste misure proattive, gli utenti possono ridurre le possibilità di cadere vittime di attacchi ransomware e proteggere meglio i propri dati e dispositivi in modo significativo.
La richiesta di riscatto rilasciata da FORCE Ransomware è:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
