Ransomware PayForRepair

In un'epoca in cui le operazioni digitali governano la nostra vita personale, professionale e finanziaria, l'importanza di mantenere una solida sicurezza informatica non può essere sottovalutata. Il ransomware, in particolare, si è evoluto in una delle minacce più pericolose nel panorama informatico, in grado di bloccare l'accesso degli utenti ai propri dati e di richiedere ingenti somme di denaro per la loro restituzione. Una recente minaccia che sta facendo scalpore negli ambienti della sicurezza informatica è il ransomware PayForRepair, una variante della famigerata famiglia Dharma . Ecco tutto ciò che devi sapere per rimanere al sicuro.

Un nuovo volto in una vecchia famiglia: cos’è il ransomware PayForRepair?

Il ransomware PayForRepair è una variante sofisticata del ransomware Dharma. Il suo obiettivo principale è crittografare i dati delle vittime ed estorcere denaro per la decifratura. Una volta eseguito su un dispositivo, il malware prende di mira un'ampia gamma di tipi di file, aggiungendovi un identificativo univoco: un ID specifico della vittima, l'indirizzo email di contatto dell'aggressore (ad esempio, payforrepair@tuta.io) e l'estensione ".P4R". Ad esempio, un file originariamente denominato "1.jpg" potrebbe diventare "1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R".

Oltre a crittografare i file, il malware invia un messaggio di riscatto in un file di testo chiamato info.txt a tutte le directory interessate e apre un messaggio pop-up con richieste più dettagliate. Alle vittime viene chiesto di contattare gli aggressori via email e pagare in Bitcoin per presumibilmente recuperare i propri file. Come esca, i criminali offrono un test di decrittazione gratuito per un numero limitato di file per ottenere fiducia.

Tattiche e comportamento: come funziona PayForRepair

PayForRepair mostra diversi comportamenti tipici delle varianti di Dharma:

• Crittografia selettiva : evita la manomissione dei file di sistema essenziali per mantenere il sistema operativo in funzione, garantendo che le vittime possano comunque visualizzare le richieste di riscatto ed effettuare i pagamenti.
• Terminazione del processo : arresta i processi attivi, come i software di database o di documenti, per accedere ai file aperti.
• Meccanismi di persistenza : il ransomware si installa in '%LOCALAPPDATA%', aggiunge voci di registro per l'avvio automatico e si assicura di essere eseguito dopo ogni riavvio del sistema.
• Eliminazione delle copie shadow : rimuove le copie shadow del volume per impedire semplici opzioni di ripristino dei file.
• Targeting basato sulla geolocalizzazione : in base ai dati di geolocalizzazione, potrebbe ignorare determinate regioni o darne la priorità ad altre in base a considerazioni economiche o politiche.

Come si diffonde: punti di ingresso e vettori di infezione

Sebbene il ransomware Dharma si diffonda tradizionalmente tramite attacchi brute-force del protocollo RDP (Remote Desktop Protocol), PayForRepair non fa eccezione e utilizza molteplici tecniche di distribuzione:

• Servizi RDP sfruttati : gli endpoint RDP scarsamente protetti vengono spesso sottoposti a forza bruta per ottenere l'accesso.
• Email e link di phishing : gli allegati o i link fraudolenti presenti nelle email e nei messaggi diretti continuano a essere un vettore di infezione preferito.
• Download indiscriminati e software falsi : download ingannevoli da siti di terze parti, malvertising e falsi crack o aggiornamenti software contribuiscono a diffondere il malware.
• Propagazione in rete e su unità rimovibili : una volta all'interno di una rete, il ransomware può diffondersi ad altri sistemi e dispositivi connessi.

Non pagare, proteggiti invece: le migliori pratiche di sicurezza

Pagare un riscatto non dovrebbe mai essere considerato una soluzione praticabile. Non c'è alcuna garanzia che i criminali informatici manterranno le loro promesse. Piuttosto, rafforza le tue difese con queste pratiche di sicurezza informatica:

1. Rafforzare la sicurezza dei dispositivi e della rete
2. Utilizzare password complesse e creative per tutti gli account; implementare l'autenticazione a più fattori.
3. Disattivare i servizi di accesso remoto non utilizzati come RDP o limitarli tramite VPN e whitelisting degli IP.
4. Mantieni attivo il firewall e configuralo correttamente per bloccare le attività sospette.
5. Aggiorna spesso i sistemi operativi e i software per correggere le vulnerabilità note.
6. Adottare abitudini sicure per i file e il Web
7. Siate cauti con gli allegati e i link nelle e-mail: non aprite nulla che provenga da fonti sconosciute.
8. Scarica software solo da piattaforme ufficiali o affidabili.
9. Evita di utilizzare programmi pirata, crack o keygen, che spesso contengono malware.
10. Installare e mantenere un software antivirus/antimalware efficiente con protezione in tempo reale.
11. Crea regolarmente backup offline dei file essenziali e archiviali su dispositivi disconnessi o su piattaforme cloud sicure.

Considerazioni finali: prevenire è la cura migliore

Poiché un'infezione ransomware come PayForRepair ha compromesso il sistema, le opzioni di ripristino sono scarse e incerte. Rimuovere il malware è essenziale, ma non decrittografa i file: solo backup preesistenti o strumenti di decrittazione (se disponibili) possono essere d'aiuto. La miglior difesa è proattiva: rafforza la tua strategia di sicurezza informatica, mantieni la vigilanza online e informa le persone intorno a te. Il cybercrimine non scomparirà, ma con la giusta preparazione, non è detto che vinca.