Cos'è Lucky Ransomware?
Lucky è un tipo di ransomware scoperto dai nostri ricercatori durante un'ispezione di routine di nuovi invii al sito Web di VirusTotal. Appartiene alla famiglia dei ransomware Phobos.
Table of Contents
Crittografia e note di riscatto
Lucky ransomware crittografa i file sulla macchina della vittima e ne modifica i nomi. I titoli originali vengono aggiunti con un ID univoco, l'indirizzo e-mail dei criminali informatici e un'estensione ".Lucky". Ad esempio, un file denominato "1.jpg" viene visualizzato come "1.jpg.id[9ECFA84E-3451].[ dopingen@rambler.ru ].Lucky".
Al termine del processo di crittografia, Lucky crea note di riscatto sotto forma di una finestra pop-up ("info.hta") e un file di testo ("info.txt").
Rischi e conseguenze del pagamento del riscatto
La richiesta di riscatto nel file di testo informa semplicemente la vittima che i suoi file sono stati crittografati e le ordina di contattare gli aggressori. La nota nella finestra pop-up fornisce maggiori dettagli sull'infezione, affermando che la vittima deve pagare un riscatto in criptovaluta Bitcoin per decrittografare i propri dati. Gli aggressori consentono alla vittima di testare il processo di decrittazione inviando fino a cinque file crittografati.
Tuttavia, il pagamento del riscatto non garantisce che verranno fornite le chiavi di decrittazione o il software. Infatti, molte vittime che pagano il riscatto non ricevono gli strumenti di decrittazione promessi. Si sconsiglia vivamente di pagare il riscatto, poiché supporta attività illegali e non vi è alcuna garanzia di recupero dei dati.
Prevenire e rimuovere Lucky Ransomware
Per impedire a Lucky ransomware di crittografare più file, è fondamentale eliminarlo dal sistema operativo. Tuttavia, la rimozione del ransomware non ripristinerà i file compromessi. L'unica soluzione è ripristinare i file da un backup, se disponibile. L'archiviazione dei backup in più posizioni separate, come server remoti e dispositivi di archiviazione non collegati, è altamente consigliata per la sicurezza dei dati.
Oltre a Lucky ransomware, esistono molti altri programmi di tipo ransomware. Alcuni esempi includono Rajah, Snea575 (Chaos), Waqq e Gaqq. Sebbene questi programmi funzionino in modo simile, differiscono negli algoritmi crittografici che utilizzano e nell'entità del riscatto richiesto.
Il ransomware, incluso Lucky, viene distribuito principalmente attraverso tecniche di phishing e social engineering. I programmi dannosi sono spesso camuffati o raggruppati con software o supporti ordinari.
I file infetti possono essere sotto forma di archivi (ZIP, RAR), eseguibili (.exe, .run), documenti (Microsoft Office, Microsoft OneNote), JavaScript e altro.