Ransomware REVRAC (Makop)
Il pericolo rappresentato dal ransomware è più grande che mai. Con violazioni dei dati e attacchi malware che fanno regolarmente notizia, è fondamentale che gli utenti rimangano vigili e adottino solide pratiche di sicurezza informatica. Tra le ultime minacce in circolazione c'è una variante recentemente identificata del ransomware REVRAC, un ceppo sofisticato e altamente dannoso appartenente alla famiglia di ransomware Makop. Questa analisi approfondisce il funzionamento di questa minaccia, i suoi metodi di infezione e i modi più efficaci per difendersi.
Sommario
Un nome familiare con una svolta pericolosa
Sebbene in passato sia già stato individuato un ransomware denominato REVRAC, la variante attuale rappresenta un'evoluzione completamente nuova e pericolosa. Questa versione è stata inequivocabilmente collegata alla famiglia di ransomware Makop, nota per la sua crittografia aggressiva e le sue capacità distruttive. Una volta eseguito sul sistema di destinazione, REVRAC inizia immediatamente a crittografare i file dell'utente, inclusi documenti, immagini, database e altri dati preziosi.
I file infetti vengono rinominati seguendo uno schema ben preciso: il nome originale del file viene modificato per includere l'ID univoco della vittima, l'indirizzo email degli aggressori e l'estensione .REVRAC. Ad esempio, un file come '1.png' viene rinominato in '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC.'
Oltre a bloccare i file, il ransomware modifica lo sfondo del desktop del sistema e crea una richiesta di riscatto denominata "+README-WARNING+.txt". Questa nota descrive le richieste degli aggressori e mette in guardia dall'utilizzo di strumenti di terze parti o dalla rinominazione dei file, minacciando danni permanenti o richieste di riscatto più elevate.
La nota di riscatto: estorsione progettata
Il messaggio di riscatto lasciato da REVRAC mira a costringere le vittime ad acconsentire, usando paura e urgenza. Informa gli utenti che i loro file non possono essere ripristinati senza una chiave di decrittazione univoca, posseduta solo dagli aggressori. Le vittime sono invitate a contattare "onlybuy@cyberfear.com", fornendo il proprio ID personale, come visualizzato nei nomi dei file. La nota sottolinea che qualsiasi tentativo non autorizzato di decrittografare o modificare i dati crittografati potrebbe portare alla perdita irreversibile dei dati.
Nonostante queste affermazioni, gli esperti di sicurezza informatica sconsigliano vivamente di pagare il riscatto. Non vi è alcuna garanzia che il pagamento comporti il recupero dei file, e farlo non fa che alimentare ulteriori attività criminali.
Come REVRAC infetta i sistemi
Il ransomware REVRAC si diffonde attraverso una varietà di tattiche ingannevoli e dannose. I vettori di infezione più comuni includono:
Falsi programmi di installazione di software : malware mascherati da programmi craccati, generatori di chiavi o strumenti di attivazione non autorizzati.
Email di phishing : messaggi che inducono gli utenti a scaricare allegati dannosi o a cliccare su link pericolosi.
Siti web e pubblicità compromessi : siti web o pubblicità dall'aspetto legittimo che installano segretamente malware.
Supporti rimovibili e propagazione in rete : infezioni che si diffondono tramite unità USB o lateralmente attraverso sistemi connessi.
Sfruttamento delle vulnerabilità del software : utilizzo di bug non corretti in software legittimi per ottenere l'accesso ed eseguire il payload del ransomware.
Il malware è spesso incorporato in formati di file quali file eseguibili (.exe), documenti (.docx, .xls), script (.js, .vbs) o archivi (.zip, .rar).
Le migliori pratiche per prevenire le infezioni da ransomware
Per difendersi da minacce come REVRAC, gli utenti devono adottare un approccio di sicurezza informatica proattivo e a più livelli. Alcune delle pratiche di sicurezza più efficaci includono:
- Mantenere tutti i sistemi operativi, le applicazioni e gli strumenti di sicurezza completamente aggiornati.
- Utilizzare una soluzione antivirus o antimalware affidabile con protezione in tempo reale.
- Disattivare le macro nei file di Microsoft Office provenienti da fonti sconosciute.
Conclusione: restate vigili, restate protetti
Il ransomware REVRAC è un esempio lampante di come il ransomware continui a evolversi, diventando sempre più mirato e dannoso. La sua affiliazione alla famiglia Makop ne evidenzia il potenziale di gravi danni. Tuttavia, con le giuste precauzioni, dall'igiene del software alla formazione degli utenti e alle routine di backup, sia gli individui che le organizzazioni possono proteggere i propri dati e sistemi dal rischio che cadano nelle mani dei criminali informatici. La prevenzione rimane lo strumento più efficace contro il ransomware.
Messaggi
Sono stati trovati i seguenti messaggi associati a Ransomware REVRAC (Makop):
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
