Intero ransomware

I ricercatori hanno scoperto una nuova minaccia ransomware chiamata "Whole". Questo software dannoso è progettato per crittografare i dati sui sistemi infetti e quindi richiedere un riscatto al proprietario del PC in cambio della chiave di decrittazione. Per eseguire la sua operazione distruttiva, Whole Ransomware blocca vari tipi di file e aggiunge ai nomi di ciascun file un'estensione ".whole". Ad esempio, se un file fosse stato originariamente denominato "1.jpg", dopo la crittografia verrebbe rinominato in "1.jpg.whole". Questo processo di ridenominazione influisce su tutti i tipi di file, come immagini, documenti e altro.

Oltre a crittografare i file, Whole Ransomware altera anche lo sfondo del desktop del sistema infetto, rendendo chiaro che il sistema è stato compromesso. Inoltre, il ransomware crea una richiesta di riscatto con il titolo "README-ID-[victim's_ID].txt" sul dispositivo violato. Il contenuto di questa nota funge da messaggio alla vittima, fornendo istruzioni su come pagare il riscatto richiesto e ottenere la chiave di decrittazione.

La richiesta di riscatto e altri indizi suggeriscono che questo particolare ransomware è rivolto principalmente ad aziende e organizzazioni piuttosto che a singoli utenti domestici. Ciò indica un livello più elevato di sofisticazione e forse richieste di riscatto più consistenti. Vale la pena notare che Whole Ransomware sembra condividere somiglianze con Keylock Ransomware , suggerendo una potenziale connessione o discendenza tra le due minacce.

L'intero ransomware impedisce alle vittime di accedere ai propri dati

Il messaggio visualizzato sullo sfondo del desktop da Whole Ransomware fornisce istruzioni alla vittima, invitandola a leggere il file di testo di accompagnamento denominato "README-ID-[victim's_ID].txt". Questa richiesta di riscatto funge da comunicazione cruciale da parte degli aggressori, rivelando che i file della vittima sono stati crittografati e ora sono inaccessibili. Si afferma inoltre che la chiave di decrittazione univoca richiesta per recuperare i dati crittografati è archiviata in modo sicuro sui server degli aggressori.

Alle vittime viene offerta la possibilità di testare gratuitamente il processo di decrittazione. Questo può essere fatto inviando alcuni file crittografati ai criminali informatici, soggetti a determinate specifiche. Un avvertimento importante è che se la vittima non riesce ad avviare la comunicazione con gli aggressori entro una finestra di 72 ore, i suoi dati aziendali sensibili sono minacciati di esposizione tramite fuga di dati o vendita.

Il messaggio di richiesta di riscatto si conclude con diversi avvertimenti. La vittima viene avvisata che qualsiasi tentativo di rinominare o modificare in altro modo i file interessati, nonché l'uso di strumenti di recupero dati o software di sicurezza di terze parti, potrebbe rendere i dati indecifrabili. Sottolinea che la decrittazione richiede in genere il coinvolgimento diretto dei criminali informatici, con solo rare eccezioni nei casi di ransomware gravemente difettosi.

Va notato che le vittime spesso non ricevono le chiavi o gli strumenti di decrittazione promessi, anche dopo aver soddisfatto le richieste di riscatto ed effettuato i pagamenti. Di conseguenza, è fortemente sconsigliato cedere alle richieste dei criminali, poiché il recupero dei dati rimane incerto e il pagamento del riscatto serve a perpetuare questa attività illegale.

Importanti misure di sicurezza da implementare sui tuoi dispositivi

Proteggere i tuoi dispositivi dalle intrusioni di malware è un aspetto cruciale del mantenimento della sicurezza informatica. Ecco cinque importanti misure di sicurezza, tra cui la creazione di backup regolari dei tuoi dati:

Creazione di backup regolari dei dati :

I backup regolari dei dati sono essenziali. In caso di attacco malware, avere backup aggiornati ti garantisce di poter recuperare le tue informazioni senza pagare un riscatto o subire una perdita permanente di dati. Esegui regolarmente il backup dei tuoi dati su dispositivi esterni, cloud storage o NAS (Network-Attached Storage). Automatizza questo processo, se possibile, e verifica l'integrità dei tuoi backup.

Installazione e aggiornamento del software di sicurezza :

Installa un software anti-malware affidabile e mantienilo aggiornato. I programmi di sicurezza possono rilevare e rimuovere malware noti, fornendo un livello cruciale di difesa contro le minacce. Assicurati che il tuo software antivirus aggiorni automaticamente le definizioni dei virus per proteggerti dalle nuove varianti di malware.

Aggiornamenti software regolari e gestione delle patch :

Mantieni aggiornati il sistema operativo, le applicazioni software e il firmware del tuo dispositivo. I malware spesso sfruttano le vulnerabilità dei software obsoleti. Applica regolarmente patch e aggiornamenti di sicurezza per chiudere queste vulnerabilità, riducendo il rischio di infiltrazione di malware.

Protezione firewall :

Abilita e configura un firewall sul tuo dispositivo. I firewall funzionano come una barriera tra il tuo dispositivo e Internet, aiutando a bloccare l'accesso non autorizzato e i dati potenzialmente dannosi. Utilizza firewall sia di rete che basati su host per migliorare la tua sicurezza e prendi in considerazione l'utilizzo di sistemi di rilevamento e prevenzione delle intrusioni per una protezione avanzata.

Pratiche sicure su Internet e posta elettronica :

Prestare attenzione quando si naviga in Internet e si gestiscono le e-mail. Evita di interagire con collegamenti sospetti o di scaricare allegati e-mail da fonti sconosciute o non verificate. Fai attenzione ai tentativi di phishing ed astieniti dal fornire informazioni personali o fare clic su annunci pop-up sospetti. Utilizza strumenti di filtraggio della posta elettronica per identificare e bloccare messaggi potenzialmente dannosi.

L'integrazione di queste misure di sicurezza nell'utilizzo del dispositivo ridurrà significativamente il rischio di intrusioni di malware. I backup regolari dei dati sono particolarmente importanti perché forniscono una rete di sicurezza nel caso in cui il malware dovesse violare le tue difese. Mantenendo un approccio alla sicurezza proattivo e multilivello, puoi proteggere meglio i tuoi dispositivi e i tuoi dati dalle minacce dannose.

Il testo completo della richiesta di riscatto creata da Whole Ransomware è:

'YOUR FILES ARE ENCRYPTED

-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:

pmmx@techmail.info

wholekey@mailfence.com -
IMPORTANT!

We recommend you contact us directly to avoid overpaying agents.

We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.

Our message may be recognized as spam, so be sure to check the spam folder.

If we do not respond to you within 24 hours, write to us from another email address.

Per favore non perdere tempo, ciò comporterà solo ulteriori danni alla tua azienda.

Si prega di non rinominare e provare a decrittografare i file da soli. Non saremo in grado di aiutarti se i file verranno modificati.

Se proverai a utilizzare software di terze parti per ripristinare i tuoi dati o soluzioni antivirus, esegui un backup di tutti i file crittografati.

Se elimini file crittografati dal computer corrente, potresti non essere in grado di decrittografarli.

L'immagine di sfondo del desktop di Whole Ransomware contiene il seguente messaggio:

Tutti i tuoi file vengono rubati e crittografati!
Trova README-ID-.txt e segui le istruzioni.'