Preventivo sconto multi-licenza
Database delle minacce Riscatto Ransomware Zollo

Ransomware Zollo

Entro Mezo nel Riscatto
Traduci in:

Le minacce malware continuano a evolversi in termini di sofisticazione, rendendo la protezione dei dispositivi una priorità fondamentale sia per i singoli individui che per le organizzazioni. Gli attacchi ransomware, in particolare, possono causare gravi interruzioni operative, perdite finanziarie ed esposizione di dati sensibili. Una minaccia osservata di recente è Zollo Ransomware, un programma dannoso progettato per crittografare i file ed estorcere un riscatto alle vittime. Comprendere come funziona questa minaccia e come si diffonde è essenziale per costruire difese più efficaci contro attacchi simili.

L’emergere del ransomware Zollo

Il ransomware Zollo è stato identificato come una variante della famiglia di ransomware MedusaLocker. Come altri membri di questa famiglia, è progettato per infiltrarsi nei sistemi, crittografare file importanti e fare pressione sulle vittime affinché paghino un riscatto in cambio della decrittazione.

Una volta eseguito su un dispositivo compromesso, il malware analizza il sistema alla ricerca di file accessibili e li crittografa utilizzando potenti algoritmi crittografici. Dopo la crittografia, il ransomware modifica i nomi dei file aggiungendo un'estensione distintiva come 'zollo6'. Ad esempio:

  • 1.png diventa 1.png.zollo6
  • 2.pdf diventa 2.pdf.zollo6

Il numero nell'estensione può variare, ma il risultato rimane lo stesso: i file crittografati diventano inaccessibili all'utente. Oltre a bloccare i file, il ransomware modifica lo sfondo del desktop del sistema e posiziona sul dispositivo una nota di riscatto intitolata "READ_NOTE.html".

Metodi di crittografia e messaggio di riscatto

La nota di riscatto lasciata dagli aggressori afferma che i file sono stati protetti utilizzando una combinazione di crittografia RSA e AES, metodi crittografici comunemente impiegati nelle moderne operazioni di ransomware. Secondo la nota, qualsiasi tentativo di ripristinare, rinominare o modificare i file crittografati potrebbe causare danni permanenti ai dati.

Gli aggressori insistono sul fatto che nessun software disponibile pubblicamente sia in grado di recuperare i file e affermano che solo il loro strumento di decrittazione proprietario può ripristinare l'accesso. Alle vittime viene chiesto di contattare gli operatori tramite gli indirizzi email forniti:

  • recovery1@salamati.vip
  • recovery1@amniyat.xyz

Il messaggio introduce anche un elemento di pressione temporale: le vittime vengono avvertite che l'importo del riscatto aumenterà se non si riuscirà a stabilire un contatto entro 72 ore.

Furto di dati e tattiche di doppia estorsione

Una caratteristica particolarmente preoccupante di questa variante di ransomware è l'affermazione che i dati riservati siano stati rubati prima della crittografia. Gli aggressori dichiarano che queste informazioni sono archiviate su un server privato sotto il loro controllo.

Secondo il messaggio di riscatto, il pagamento comporterà la cancellazione dei dati rubati dai loro server. Se il riscatto non viene pagato, gli operatori minacciano di pubblicare o vendere le informazioni. Questa strategia, nota come doppia estorsione, aumenta la pressione sulle vittime combinando la crittografia dei dati con il rischio di divulgazione pubblica degli stessi.

Anche quando le vittime cedono alle richieste di riscatto, non vi è alcuna garanzia che gli aggressori forniscano uno strumento di decrittazione funzionante o che eliminino le informazioni rubate. Per questo motivo, gli esperti di sicurezza informatica generalmente sconsigliano di pagare il riscatto.

Come si diffonde il ransomware Zollo

Le campagne ransomware si basano spesso sull'inganno e sull'ingegneria sociale per infiltrarsi nei sistemi. Gli aggressori spesso mascherano i file dannosi come file legittimi per indurre gli utenti ad eseguirli.

I vettori di infezione più comuni includono:

  • Allegati o link dannosi incorporati nelle email di phishing
  • Falsi avvisi di supporto tecnico progettati per indurre le vittime a scaricare malware.
  • Software crackato, generatori di chiavi non ufficiali e applicazioni pirata
  • Software obsoleto con vulnerabilità non corrette
  • Siti web compromessi, pubblicità dannose e reti di condivisione file peer-to-peer
  • Downloader di terze parti o unità USB infette

Una volta avviato, il ransomware inizia immediatamente a crittografare i file e potrebbe tentare di diffondersi tra i sistemi connessi all'interno della stessa rete.

Sfide di recupero e risposta agli incidenti

Dopo la crittografia, le vittime in genere non possono aprire i file compromessi senza la chiave di decrittazione degli aggressori. Il recupero è possibile solo in determinate circostanze, soprattutto in presenza di backup sicuri che non erano collegati al sistema infetto al momento dell'attacco.

Una volta rilevato, è fondamentale rimuovere immediatamente il ransomware. Se il malware rimane attivo su un dispositivo, potrebbe continuare a crittografare altri file o tentare di propagarsi ad altre macchine della rete. Isolare tempestivamente il sistema infetto può quindi limitare i danni e prevenire un'ulteriore diffusione.

Pratiche di sicurezza essenziali per prevenire il ransomware

Adottare solide abitudini di sicurezza riduce significativamente la probabilità di infezione da minacce come il ransomware Zollo. Una protezione efficace richiede una combinazione di controlli tecnici proattivi e un comportamento prudente da parte dell'utente.

Aggiornare regolarmente sistemi operativi, applicazioni e strumenti di sicurezza è fondamentale, poiché molte campagne ransomware sfruttano le vulnerabilità dei software obsoleti. Altrettanto importante è l'utilizzo di soluzioni antivirus o di protezione degli endpoint affidabili, in grado di rilevare comportamenti sospetti.

Mantenere backup offline o basati su cloud è una delle misure di sicurezza più efficaci. I backup devono essere archiviati separatamente dal sistema principale, in modo che non possano essere crittografati durante un attacco. In caso di infezione, i backup integri consentono di ripristinare i sistemi senza dover pagare un riscatto.

Gli utenti dovrebbero inoltre prestare attenzione agli allegati e ai download delle e-mail. I file sospetti, soprattutto quelli che dichiarano urgenza o richiedono un'azione immediata, dovrebbero essere verificati prima di essere aperti. Le organizzazioni spesso rafforzano questa difesa attraverso il filtraggio delle e-mail, l'isolamento degli allegati e la formazione sulla sicurezza informatica.

La segmentazione della rete può ridurre ulteriormente il rischio limitando la diffusione del ransomware una volta penetrato in un ambiente. In combinazione con i controlli di accesso e i sistemi di monitoraggio, la segmentazione contribuisce a contenere le infezioni prima che compromettano le infrastrutture critiche.

Considerazioni finali

Le minacce ransomware come Zollo Ransomware evidenziano l'importanza di misure di sicurezza informatica proattive. Crittografando i file, minacciando l'esposizione dei dati e mettendo sotto pressione le vittime con richieste di riscatto a tempo limitato, gli aggressori mirano a costringerle a pagamenti rapidi.

Una strategia di difesa a più livelli, che combini aggiornamenti di sistema, backup affidabili, software di sicurezza e pratiche di utilizzo prudenti, rimane il modo più efficace per mitigare queste minacce. L'individuazione precoce e una risposta tempestiva possono ridurre drasticamente l'impatto degli attacchi ransomware e proteggere i dati preziosi da perdite irreversibili.

System Messages

The following system messages may be associated with Ransomware Zollo:

Your personal ID:
-
YOUR COMPANY NETWORK HAS BEEN PENETRATED
Your files are safe! Only modified.(RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT. DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment. If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.
email:

recovery1@salamati.vip

recovery1@amniyat.xyz

* To contact us, create a new free email account on the site: protonmail.com

IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

* Tor-chat to always be in touch:-

Tendenza

I più visti

Caricamento in corso...