TOR ransomware

Sembra che la famiglia Dharma Ransomware stia mantenendo la sua posizione come una delle scelte migliori tra i criminali informatici quando si tratta di sviluppare nuove minacce ransomware. Una delle ultime varianti basate su Dharma è il TOR Ransomware. La minaccia mira a intrufolarsi nei computer degli utenti e quindi avviare un processo di crittografia che bloccherà la maggior parte dei dati archiviati lì. Le conseguenze potrebbero essere devastanti con gli utenti interessati che perdono l'accesso a quasi tutti i file personali o aziendali.

Il TOR Ransomware segue il modello di denominazione stabilito osservato nella maggior parte delle varianti Dharma. Ogni file crittografato avrà una stringa che rappresenta l'ID univoco assegnato alla vittima aggiunta al suo nome originale. Successivamente, la minaccia aggiungerà un'e-mail sotto il controllo dei suoi operatori, prima di schiaffeggiare definitivamente ".TOR" come nuova estensione di file. Alle vittime verranno fornite due note di riscatto: quella principale verrà visualizzata in una finestra pop-up mentre un messaggio secondario sarà contenuto all'interno di un file di testo denominato "FILES ENCRYPTED.txt".

Dettagli dei messaggi di riscatto

La finestra pop-up generata dal TOR Ransomware afferma che le vittime possono ripristinare i propri file ma solo se soddisfano le richieste degli hacker. Nessuno dei dettagli importanti, come l'importo del riscatto, è menzionato nella nota. Per maggiori dettagli, gli utenti sono indirizzati a contattare due indirizzi e-mail: todecrypt@disroot.org o todecrypt@onionmail.org. Il resto della finestra pop-up è occupato da una sezione che elenca diversi avvertimenti. Il file di testo, invece, contiene solo un paio di brevi frasi che ribadiscono che le vittime dovrebbero iniziare il contatto tramite le due email degli hacker.

Il testo completo del messaggio nella finestra pop-up è:

'I TUOI FILE SONO CRIPTATI

Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli, segui questo link: email todecrypt@disroot.org IL TUO ID -
Se non hai ricevuto risposta tramite il link entro 12 ore, scrivici via e-mail:todecrypt@onionmail.org

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro commissione alla nostra) o puoi diventare vittima di una truffa.

Il file di testo contiene le seguenti istruzioni:

tutti i tuoi dati ci sono stati bloccati
Vuoi tornare?
scrivi email a decrypt@disroot.org oa todecrypt@onionmail.org .'