NEFILIM ransomware
Il NEFILIM Ransomware è una minaccia rilevata in natura dagli esperti di sicurezza informatica. Le minacce ransomware sono una delle minacce più cattive da affrontare come utente normale, poiché questi trojan si intrufolano nel tuo sistema, bloccano tutti i tuoi dati e richiedono un pagamento in cambio di un software che ti aiuterà a recuperare i tuoi file. A peggiorare le cose, la maggior parte degli utenti che pagano i creatori di minacce ransomware non riceve mai la chiave di decrittazione promessa.
Nefilim è apparso per la prima volta verso la fine di febbraio. Gli esperti non sono ancora sicuri di come viene distribuito, ma molto probabilmente è attraverso l'uso di Servizi Desktop remoto. Gli esperti concordano anche sul fatto che Nefilim sembra condividere parte dello stesso codice della minaccia Nemty 2.5.
La principale differenza tra i due virus è che Nefilim utilizza le comunicazioni e-mail invece di richiedere pagamenti tramite Tor. Nefilim rimuove anche il modello ransomware-as-a-service (RaaS) e sembra essere un virus proprietario.
Sommario
Propagazione e crittografia
Le e-mail di spam sono uno dei vettori di infezione più comunemente utilizzati quando si tratta di distribuzione di minacce ransomware. Queste campagne di solito coinvolgono e-mail che contengono un messaggio fasullo e un allegato con macro-lacci, che infetterebbero il computer del bersaglio una volta aperto. I criminali informatici che diffondono minacce ransomware tendono anche a fare affidamento su malvertising, download/aggiornamenti di software falsi, tracker di torrent, copie piratate fasulle di varie applicazioni, ecc. Questa minaccia ransomware è probabilmente programmata per applicare il suo algoritmo di crittografia a tutti i file presenti sul tuo computer. Ciò significa che nulla verrà risparmiato: immagini, file audio, documenti, archivi, fogli di calcolo, database, presentazioni, video, ecc. Quando NEFILIM Ransomware ha terminato di bloccare i tuoi file, potresti notare che questa minaccia ha cambiato nome aggiungendo un ulteriore estensione. Il ransomware NEFILIM aggiunge un'estensione '. NEFILIM' ai nomi di tutti i file appena bloccati. Ad esempio, un file chiamato "blue-blood.mp3" originariamente verrà rinominato "blue-blood.mp3. NEFILIM.'
La nota di riscatto
Il messaggio di riscatto di NEFILIM Ransomware è contenuto in un file chiamato 'NEFILIM-DECRYPT.txt.' Nella richiesta di riscatto, gli aggressori affermano di aver crittografato i dati dell'utente con un algoritmo di crittografia di livello militare. I creatori del NEFILIM Ransomware forniscono agli utenti una scadenza di sette giorni per contattarli. Se la vittima non rispetta la scadenza fissata, gli aggressori dichiarano che inizieranno a divulgare i dati dell'utente online. Gli autori del NEFILIM Ransomware chiedono all'utente di inviare loro due file, che decrittograferanno per dimostrare di avere una chiave di decrittazione funzionante. Gli aggressori offrono tre indirizzi e-mail come mezzo di comunicazione: 'jamesgonzaleswork1972@protonmail.com,' pretty_hardjob2881@mail.com' e dprworkjessiaeye1955@tutanota.com.'
La nota di riscatto recita:
Tutti i tuoi file sono stati crittografati con algoritmi di livello militare.
Ci assicuriamo che l'unico modo per recuperare i tuoi dati sia con il nostro software.
Faremo in modo di recuperare i tuoi dati in modo rapido e sicuro quando le nostre richieste saranno soddisfatte.
Il ripristino dei tuoi dati richiede una chiave privata che solo noi possediamo.
Una grande quantità dei tuoi file privati è stata estratta e conservata in un luogo sicuro.
Se non ci contatti entro sette giorni lavorativi dalla violazione, inizieremo a divulgare i dati.
Dopo averci contattato, ti forniremo la prova che i tuoi file sono stati estratti.
Per confermare che il nostro software di decrittazione funziona inviaci un'e-mail con 2 file da computer casuali.
Riceverai ulteriori istruzioni dopo averci inviato i file di prova.
jamesgonzaleswork1972@protonmail.com
pretty_hardjob2881@mail.com
dprworkjessiaeye1955@tutanota.com
Non valeva la pena prestare molta attenzione a questa minaccia in passato, ma i tempi sono cambiati. Con tutte le minacce virali là fuori in questi giorni, ci sono molte prove che gli hacker sono più che disposti ad accettare le loro prelibatezze.
Ti consigliamo di mantenere crittografate tutte le informazioni essenziali sul tuo computer e di trasferirle solo utilizzando canali crittografati. Questo aiuta a prevenire il furto o l'intercettazione dei dati. È necessario conservare e mantenere backup regolari dei dati in modo da poter ripristinare i file in modo sicuro in caso di perdita di dati o attacco ransomware. Più backup hai, meglio è.
Crittografia Nefilim
Nefilim crittografa i file utilizzando l'algoritmo di crittografia AES-128. La chiave di crittografia per i file viene quindi crittografata nuovamente utilizzando una chiave pubblica RSA-2048 integrata nel file eseguibile per il ransomware.
La chiave crittografata viene aggiunta ai file e può essere decifrata solo con una chiave privata RSA. Gli attori della minaccia dietro l'attacco conservano l'unica copia della chiave. Nefilim cambia anche l'estensione di ogni file in .NEFILIM. Un file chiamato ABC.doc, ad esempio, diventerebbe ABC.doc.NEFILIM.
Si consiglia di evitare qualsiasi contatto con criminali informatici come i responsabili del ransomware NEFILIM. I criminali informatici mantengono raramente le loro promesse e, anche se paghi la tassa di riscatto richiesta, potresti non ottenere mai la chiave di decrittazione necessaria per recuperare i tuoi file. Prendi in considerazione il download e l'installazione di un'applicazione anti-spyware originale che non solo rimuoverà NEFILIM Ransomware dal tuo computer in modo sicuro, ma manterrà anche il tuo sistema e i tuoi file al sicuro in futuro.
