FORCE ransomware terrà prigionieri i tuoi file

Il nostro team di ricercatori si è imbattuto nella variante ransomware FORCE mentre conduceva un esame di routine di nuovi campioni di file. FORCE appartiene al lignaggio del ransomware Phobos.

Durante i test sul nostro sistema sperimentale, FORCE ha crittografato con successo i file e ha quindi richiesto il pagamento per la loro decrittografia. I nomi dei file crittografati sono stati modificati per includere un identificatore univoco assegnato alla vittima, l'indirizzo e-mail dei criminali informatici e l'estensione ".FORCE". Ad esempio, un file originariamente denominato "1.jpg" verrebbe visualizzato come "1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE".

Dopo il processo di crittografia sono state generate richieste di riscatto identiche: una sotto forma di pop-up ("info.hta") e l'altra come file di testo ("info.txt"). Questi messaggi venivano depositati sul desktop e distribuiti in tutte le directory contenenti file crittografati.

Le richieste di riscatto associate a FORCE indicano che i file della vittima sono stati crittografati e i dati sensibili sono stati compromessi. Per decrittografare i file è richiesto il pagamento di un riscatto in criptovaluta Bitcoin. Il mancato rispetto di queste richieste comporterebbe la vendita delle informazioni trapelate. Prima di effettuare qualsiasi pagamento, alla vittima viene offerta la possibilità di testare gratuitamente il processo di decrittazione, anche se con alcune limitazioni.

Questi messaggi mettono in guardia contro l'alterazione dei file crittografati o l'utilizzo di strumenti di ripristino di terze parti, poiché ciò potrebbe rendere i dati permanentemente inaccessibili. Inoltre, la vittima viene avvertita che chiedere assistenza a soggetti esterni potrebbe aggravare le sue perdite finanziarie.

Nota di riscatto FORCE per intero

Il testo completo della richiesta di riscatto FORCE recita quanto segue:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Come viene comunemente distribuito il ransomware online?

Il ransomware viene comunemente distribuito online attraverso vari metodi, tra cui:

E-mail di phishing: gli hacker inviano e-mail ingannevoli contenenti allegati o collegamenti dannosi. Queste e-mail spesso si spacciano per entità o organizzazioni legittime, invitando i destinatari ad aprire l'allegato o a fare clic sul collegamento, che quindi installa il ransomware sul loro sistema.

Malvertising: le pubblicità dannose visualizzate su siti Web legittimi possono reindirizzare gli utenti a siti Web che ospitano kit di exploit, che a loro volta distribuiscono ransomware sul dispositivo della vittima attraverso le vulnerabilità del loro software.

Kit di exploit: si tratta di pacchetti di codice già scritto che sfruttano le vulnerabilità di software o sistemi operativi obsoleti. Quando gli utenti visitano siti Web compromessi o fanno clic su collegamenti dannosi, i kit di exploit scaricano e installano silenziosamente il ransomware sui loro dispositivi.

Attacchi RDP (Remote Desktop Protocol): gli aggressori ottengono l'accesso non autorizzato ai sistemi con credenziali RDP deboli o predefinite. Una volta entrati, distribuiscono il ransomware direttamente sulla rete compromessa, causando spesso danni diffusi.

Download drive-by: il codice dannoso viene inserito nei siti Web legittimi, inducendo i visitatori a scaricare involontariamente ransomware sui propri dispositivi semplicemente navigando nel sito.

Vulnerabilità del software: gli autori di ransomware sfruttano le vulnerabilità del software o dei sistemi operativi per ottenere accesso non autorizzato ai sistemi e installare ransomware all'insaputa o al consenso dell'utente.

Reti peer-to-peer (P2P): il ransomware può essere camuffato da software crackato o contenuto piratato distribuito tramite reti P2P. Gli utenti ignari scaricano ed eseguono questi file, infettando inconsapevolmente i loro sistemi con ransomware.