Matrix ransomware

I ricercatori sulla sicurezza del PC hanno osservato Matrix Ransomware, un Trojan ransomware di crittografia, il 3 aprile 2018. Le vittime potrebbero ricevere Matrix Ransomware sui loro computer tramite l'uso di messaggi di posta elettronica spam, che conterranno allegati di file danneggiati, che utilizzano script macro per il download e installa Matrix Ransomware sul computer della vittima. Matrix Ransomware ha due versioni, entrambe utilizzate per crittografare i file della vittima, quindi le vittime dovrebbero pagare un riscatto per ricevere una chiave di decrittazione. Questo comportamento si osserva nella maggior parte dei trojan ransomware di crittografia. Matrix Ransomware semplifica il riconoscimento dei file che crittografa perché Matrix Ransomware aggiungerà l'estensione del file ".matrix" ai nomi dei file.

Quali sono le conseguenze di un attacco Matrix Ransomware

I trojan come Matrix Ransomware utilizzano algoritmi di crittografia avanzati per rendere inaccessibili i file. Matrix Ransomware prenderà di mira il file generato dall'utente nel suo attacco, che può includere file con le seguenti estensioni:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Dopo che Matrix Ransomware ha terminato la crittografia dei file, il sistema operativo Windows non riconoscerà questi file e appariranno come icone vuote e visualizzeranno messaggi di errore quando l'utente del PC tenta di aprirli. Matrix Ransomware richiederà che la vittima contatti i suoi operatori via e-mail per pagare un riscatto sostanziale in cambio della chiave di decrittazione. Diverse varianti di Matrix Ransomware utilizzano diverse e-mail di contatto e i seguenti indirizzi e-mail sono stati associati a Matrix Ransomware:

files4463@tuta.io
files4463@protonmail.ch
files4463@gmail.com
restorfile@tutanote.com
restorefile@protonmail.com
restorefile@qq.com

Matrix Ransomware consegna la sua richiesta di riscatto sotto forma di un file HTA che visualizza il seguente messaggio sul computer infetto:

'COSA È SUCCESSO AI TUOI FILE?
I tuoi documenti, database, backup, cartelle di rete e altri file importanti sono crittografati con codici RSA-2048 e AES-128. Maggiori informazioni su RSA e AES sono disponibili qui:
h[tt]p://en.wikipedia[.]org/wiki/RSA (crittosistema)
h[tt]p://en.wikipedia[.]org/wiki/Advanced Encryption Standard
Significa che non potrai più accedervi finché non verranno decifrati con la tua chiave di decrittazione personale! Senza la tua chiave personale e il tuo software speciale il recupero dei dati è impossibile! Se seguirai le nostre istruzioni, ti garantiamo che puoi decifrare tutti i tuoi file in modo rapido e sicuro!
Se vuoi ripristinare i tuoi file, scrivici alle e-mail: [STRING OF EMAILS] Nell'oggetto del tuo messaggio scrivi il tuo ID personale: [EDITATO]
Ti consigliamo di inviare il tuo messaggio SU OGNUNO DEI NOSTRI 3 EMAIL, poiché il messaggio potrebbe non raggiungere il destinatario previsto per una serie di motivi! Per favore, scrivici in inglese o usa un traduttore professionista! Se vuoi ripristinare i tuoi file, devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi.
Se preferisci la messaggistica live puoi inviarci Bitmessages da un browser web attraverso la pagina web h[tt]ps://bitmsg[.]me.'

Gestire il Ransomware Matrix

Sfortunatamente, una volta che Matrix Ransomware ha crittografato i file, non saranno più recuperabili. Per questo motivo, è necessario che gli utenti di computer adottino misure per assicurarsi di aver protetto preventivamente i propri dati da queste minacce. La migliore protezione contro minacce come Matrix Ransomware è disporre di backup dei file, che daranno alle vittime l'opportunità di recuperare i propri file.

Aggiornamento 14 novembre 2018 — Matrix-FASTA Ransomware

Il ransomware Matrix-FASTA è una variante della famiglia Matrix, una famiglia di minacce ransomware emerse nell'aprile 2018 e che hanno visto varie varianti dal loro rilascio iniziale. Il Ransomware Matrix-FASTA, come altre varianti di Matrix, è progettato per crittografare i file delle vittime e quindi richiedere il pagamento di un riscatto dalla vittima. È fondamentale che gli utenti di computer adottino misure per proteggere i propri PC dal Ransomware Matrix-FASTA e da attacchi simili.

Come funziona il Trojan ransomware Matrix-FASTA

Il Ransomware Matrix-FASTA viene in genere consegnato al computer della vittima tramite l'uso di allegati di posta elettronica di spam. Una volta che Matrix-FASTA Ransomware è stato installato sul computer della vittima, Matrix-FASTA Ransomware crittograferà i file generati dall'utente che trova sul computer della vittima, che possono includere file con le seguenti estensioni di file:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, . prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, . pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, . qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, . cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, . clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

L'attacco Matrix-FASTA Ransomware danneggerà i dati mirati in un modo che non sarà recuperabile senza la chiave di decrittazione, il che significa che potrebbe essere perso in modo permanente. I criminali tenteranno di costringere la vittima a pagare un riscatto in cambio dei dati compromessi dall'attacco Matrix-FASTA Ransomware.

Come viene consegnato il ransomware Matrix-FASTA alle sue vittime

La variante Matrix-FASTA Ransomware è stata osservata per la prima volta il 14 novembre 2018. Ci sono state diverse varianti in questa famiglia di ransomware che sono state rilasciate nel 2018. Come altre varianti Matrix , il modo più comune in cui il Ransomware Matrix-FASTA viene consegnato a computer delle vittime tramite allegati e-mail di spam, che utilizzano script macro incorporati per scaricare e installare Matrix-FASTA Ransomware sul computer della vittima. La richiesta di riscatto Matrix-FASTA Ransomware, che richiede il pagamento della vittima, chiede alla vittima di contattare i criminali tramite l'indirizzo e-mail "fastbk@qq.com" per ripristinare i dati interessati. Il Ransomware Matrix-FASTA contrassegna i file crittografati dall'attacco aggiungendo l'estensione del file ".FASTA" a ciascun file crittografato dall'attacco. Matrix-FASTA Ransomware rinominerà anche i file crittografati dall'attacco sostituendo i nomi dei file con l'indirizzo di contatto e-mail Matrix-FASTA Ransomware e una stringa di caratteri crittografati. Un tipico riscatto Matrix-FASTA Ransomware è compreso tra 300 e 1.000 USD.

Protezione dei dati da minacce come il ransomware Matrix-FASTA

La migliore protezione contro le minacce come il Ransomware Matrix-FASTA è avere i backup dei file archiviati in un luogo sicuro. Gli specialisti della sicurezza consigliano agli utenti di computer di avere copie di backup dei propri dati archiviate sul cloud o su un dispositivo di memoria esterno. Oltre ai backup dei file, gli utenti di computer dovrebbero anche utilizzare un programma di sicurezza per intercettare l'infezione Matrix-FASTA Ransomware o rimuoverla una volta installata.

Aggiornamento 22 ottobre 2018 — Matrix-GMPF Ransomware

Il Matrix-GMPF Ransomware è classificato come una versione leggermente modificata del Matrix Ransomware che è stato rilasciato nell'aprile del 2018. La nuova variante è stata segnalata il 22 ottobre 2018 e aggiunta ai database AV. La minaccia informatica prende il nome dall'indicatore di file mostrato agli utenti compromessi: ".GMPF". Le versioni precedenti presentavano nomi simili e includevano Matrix-THDA Ransomware e Matrix-ITLOCK Ransomware . Il Ransomware Matrix-GMPF è realizzato per utilizzare le cifre AES e RSA e rendere illeggibili i dati sui dispositivi infetti. Quindi, agli utenti viene mostrato un file di testo chiamato '#GMPF-README#.txt' e viene chiesto di inviare un'e-mail all'account e-mail 'GetMyPass@qq.com'. La minaccia è programmata per inviare la chiave di decrittazione ai programmatori tramite la rete TOR e impedire a terzi di scoprire un modo per decrittografare i dati interessati. Puoi riconoscere i file crittografati guardando i loro nomi. Il Trojan Ransomware Matrix-GMPF utilizza il modello — [GetMyPass@qq.com]..GMPF — per contrassegnare gli oggetti crittografati. Ad esempio, "Hanuman.pptx" può essere rinominato in [GetMyPass@qq.com].Z2VuZXJp-YwdGV89t.GMPF.' Come accennato in precedenza, il messaggio di riscatto viene fornito come "#GMPF-README#.txt", che puoi caricare nel Blocco note di Microsoft e leggere quanto segue:

'COSA È SUCCESSO AI TUOI FILE?
I tuoi documenti, database, backup, cartelle di rete e altri file importanti sono crittografati con codici RSA-2048 e AES-128. Maggiori informazioni su RSA e AES sono disponibili qui:
h[tt]p://en.wikipedia[.]org/wiki/RSA (crittosistema)
h[tt]p://en.wikipedia[.]org/wiki/Advanced Encryption Standard
Significa che non potrai più accedervi finché non verranno decifrati con la tua chiave di decrittazione personale! Senza la tua chiave personale e il tuo software speciale il recupero dei dati è impossibile! Se seguirai le nostre istruzioni, ti garantiamo che puoi decifrare tutti i tuoi file in modo rapido e sicuro!
Se vuoi ripristinare i tuoi file, scrivici alle e-mail: getmypass@qq.com'

Gli autori delle minacce cambiano spesso account di posta elettronica per mantenere le loro operazioni in esecuzione ed evitare di lanciare allarmi con i fornitori di servizi di posta elettronica. Si consiglia di avviare i backup dei dati per il ripristino da potenziali attacchi. I nomi di rilevamento per il ransomware Matrix-GMPF includono:

Generic.Riscatto.Matrix.B38FC644
Agente riscatto!8.6B7 (CLOUD)
Riscatto.Matrix.S3765495
Ransom_MATRIX.THAOOBAH
Troj/Matrix-K
W32/Agente!tra
W32/Generic.AC.41B59B!tr
malware (punteggio ai=100)

Aggiornamento 20 dicembre 2018 — Matrix-PRCP Ransomware

I ricercatori di sicurezza hanno individuato una nuova variante di Matrix Ransomware negli ultimi giorni prima di Natale 2018 chiamata Matrix-PRCP Ransomware. La nuova derivazione di Matrix applica l'estensione .PRCP ai file crittografati.

La richiesta di riscatto è contenuta in un file denominato "#README_PRCP#.rtf". L'e-mail utilizzata dagli autori della nuova variante che le vittime possono utilizzare per contattarli è radrigoman@protonmail[.]com. Sembra che questa e-mail venga utilizzata anche nel modo in cui il ransomware codifica i file. Matrix-PRCP Ransomware rinomina tutti i file che ha crittografato utilizzando il seguente modello '[radrigoman@protonmail.com].[stringa di caratteri casuale]-[stringa di caratteri casuale].PRCP.

Aggiornamento 14 gennaio 2019 — Matrix-GRHAN Ransomware

Matrix-GRHAN Ransomware è un aggiornamento minore della linea Matrix di trojan di crittografia che ha iniziato a comparire nell'aprile 2018. Matrix-GRHAN Ransomware differisce leggermente rispetto alle iterazioni precedenti e l'unica differenza notevole è che utilizza un nuovo modello di ridenominazione. La minaccia applica una cifratura AES-256 modificata a immagini, audio, video, testo e database. I file elaborati da Matrix-GRHAN Ransomware sono rappresentati da icone bianche generiche e nomi di funzioni che seguono il modello '[greenelephan@qq.com]..GRHAN.' Ad esempio, "Jotunheim.docx" può essere rinominato in "[greenelephan@qq.com].VC6NJ9-XWI88P.GRHAN" e gli utenti non sono in grado di riprendersi dall'attacco utilizzando gli snapshot del volume ombra. È noto che la minaccia in questione utilizza il servizio Shadow Volume ed elimina i punti di ripristino del sistema, nonché le istantanee del volume Shadow create di recente. Il ransomware Matrix-GRHAN è segnalato per rilasciare '!README_GRHAN!.rtf' ai sistemi infetti e offrire il seguente messaggio:

'COSA È SUCCESSO AI TUOI FILE?
I tuoi documenti, database, backup, cartelle di rete e altri file importanti sono crittografati con codici RSA-2048 e AES-128. Maggiori informazioni su RSA e AES sono disponibili qui:
h[tt]p://en.wikipedia[.]org/wiki/RSA (crittosistema)
h[tt]p://en.wikipedia[.]org/wiki/Advanced Encryption Standard
Significa che non potrai più accedervi finché non verranno decifrati con la tua chiave di decrittazione personale! Senza la tua chiave personale e il tuo software speciale il recupero dei dati è impossibile! Se seguirai le nostre istruzioni, ti garantiamo che puoi decifrare tutti i tuoi file in modo rapido e sicuro!
Se vuoi ripristinare i tuoi file, scrivici alle e-mail: greenelephan@qq.com'

Il Trojan Matrix-GRHAN Ransomware può interferire con il lavoro dei gestori di database e di alcuni gestori di backup. La minaccia informatica è progettata per infiltrarsi ed essere eseguita su reti aziendali, server farm e reti di piccole imprese. Si consiglia di assicurarsi che non vi siano porte aperte e servizi connessi a Internet tramite connessioni non sicure. Non è consigliabile contattare gli operatori di ransomware tramite 'greenelephan@qq.com' e altri canali che potrebbero essere associati a Matrix-GRHAN Ransomware. Dovresti utilizzare backup puliti ed eseguire scansioni complete del sistema se sei stato infettato da Matrix-GRHAN Ransomware. La rimozione di questa minaccia dovrebbe essere facilitata da esperti certificati e prodotti di sicurezza affidabili.

SpyHunter rileva e rimuove Matrix ransomware