Preventivo sconto multi-licenza
Database delle minacce Riscatto Ransomware NeZha

Ransomware NeZha

Entro Mezo nel Riscatto
Traduci in:

Il ransomware rimane una delle minacce più destabilizzanti per individui e organizzazioni. Una singola intrusione riuscita può bloccare le operazioni, corrompere o sottrarre dati sensibili e innescare costose attività di ripristino. Costruire difese solide e stratificate prima di un incidente è l'unico modo affidabile per minimizzare l'impatto quando, non se, gli aggressori tentano la fortuna.

Panoramica delle minacce

I ricercatori hanno identificato un ceppo sofisticato denominato ransomware NeZha. Come altre famiglie di ransomware di questa categoria, l'obiettivo principale di NeZha è semplice: crittografare il maggior numero possibile di file e poi esigere il pagamento di una chiave di decrittazione. I suoi autori si propongono come l'unica via per il ripristino e amplificano la pressione con limiti di tempo e minacce di fuga di dati.

Comportamento sul sistema e modifiche ai file

Una volta che NeZha si è insediato, inizia a crittografare i dati degli utenti e aziendali in posizioni comuni. Durante la crittografia, rinomina anche gli elementi aggiungendo un identificativo specifico della vittima e l'estensione ".NeZha". Nei casi osservati, i nomi dei file acquisiscono un ID simile a un GUID; ad esempio, un file innocuo come "1.png" è stato trasformato in un nome simile a "1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha". Dopo aver completato il passaggio, NeZha rilascia una richiesta di riscatto intitolata "README.TXT" nelle directory interessate.

Richiesta di riscatto e tattiche di pressione

La nota afferma che database, documenti, foto e altri file sono crittografati e che l'unica soluzione è acquistare una chiave di decrittazione dagli aggressori. Per aumentare la credibilità, i criminali spesso si offrono di decrittografare gratuitamente un file non critico. Mettono in guardia dal modificare file bloccati, dall'utilizzare decrittografi di terze parti o dal cercare aiuto esterno, sostenendo che ciò aumenterebbe le perdite. Viene fissata una scadenza di 24 ore per il contatto iniziale; in caso contrario, gli operatori minacciano di divulgare o vendere dati aziendali sensibili che affermano di aver esfiltrato, un esempio di "doppia estorsione".

La realtà del recupero e il dilemma dei pagamenti

Tecnicamente, la maggior parte dei ransomware moderni non può essere decifrata senza le chiavi private degli aggressori, a meno che il malware non sia gravemente imperfetto, uno scenario raro. Pagare, tuttavia, è rischioso e sconsigliato: molte vittime non ricevono mai decifratori funzionanti, nemmeno dopo aver trasferito i fondi, e il pagamento alimenta l'attività criminale. La soluzione più sicura è affidarsi a backup puliti e offline e a una risposta formale agli incidenti.

Contenimento e rimozione

La rimozione di NeZha interrompe l'ulteriore crittografia, ma non sblocca i file già interessati. Le priorità dovrebbero essere l'isolamento dei sistemi infetti dalla rete, la conservazione delle prove per le indagini forensi, l'eliminazione del malware utilizzando strumenti affidabili o una ricostruzione pulita, e il successivo ripristino da backup sicuramente funzionanti. Se si sospetta un'esfiltrazione di dati, è necessario attivare un piano di risposta alle violazioni e considerare gli obblighi legali, normativi e di notifica ai clienti.

Come si diffonde tipicamente NeZha

NeZha segue il copione di molte campagne ransomware, sfruttando sia metodi di distribuzione guidati dall'utente che da aggressori. Gli aggressori possono camuffare i payload come contenuti legittimi o inserirli in pacchetti software, per poi attivarne l'esecuzione all'apertura di un file o all'esecuzione di uno script. Alcune varianti possono anche propagarsi lateralmente nelle reti locali o copiarsi su supporti rimovibili.

Vettori di consegna comuni

  • Phishing e ingegneria sociale che portano all'apertura di allegati (Office/OneNote/PDF), script (JavaScript), archivi (ZIP/RAR) o file eseguibili (.exe/.run) contenenti trappole esplosive.
  • Programmi di installazione, loader e backdoor trojanizzati che introducono il ransomware nella seconda fase.
  • Download ingannevoli e intrusivi da siti compromessi o dannosi.
  • Fonti di download non affidabili (portali freeware, mirror di terze parti, reti P2P).
  • Campagne di spam, truffe online e malvertising che reindirizzano ai payload.
  • Strumenti di attivazione illegali ('crack'), software/supporti piratati e falsi prompt di aggiornamento.
  • Autodiffusione tramite reti locali e dispositivi di archiviazione rimovibili (unità USB, HDD esterni).

Pensieri conclusivi

NeZha si adatta perfettamente al moderno modello di ransomware: crittografia rapida, forte coercizione e minacce credibili di esposizione dei dati. Il miglior vantaggio si ottiene prima di un incidente, attraverso una rigorosa igiene, controlli a più livelli, backup testati e una risposta consolidata. Combinate misure di sicurezza tecniche con la formazione degli utenti e operazioni disciplinate per ridurre sia la probabilità che il raggio d'azione di un attacco NeZha.

Messaggi

Sono stati trovati i seguenti messaggi associati a Ransomware NeZha:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

Tendenza

I più visti

Caricamento in corso...