TransCrypt Ransomware blocca le unità infette
Esaminando il malware TransCrypt, abbiamo scoperto che si tratta di una forma di ransomware derivata dal ransomware Chaos. TransCrypt funziona crittografando i file, aggiungendo estensioni casuali ai nomi dei file, alterando lo sfondo del desktop e inviando una richiesta di riscatto denominata "RECOVERFILES.txt".
Per illustrare come TransCrypt altera i nomi dei file, considera l'esempio di rinominare "1.jpg" in "1.jpg.wwm1" e "2.png" in "2.png.vile", tra le altre modifiche.
La richiesta di riscatto spiega la crittografia del computer della vittima utilizzando un algoritmo di livello militare, sottolineando l'impossibilità di recupero senza l'assistenza dei riscattatori. La nota dissuade le vittime dal cercare soluzioni alternative e sottolinea la necessità di utilizzare il loro servizio di decrittazione.
La richiesta di riscatto garantisce un recupero sicuro e diretto di tutti i file previo pagamento. Fornisce istruzioni specifiche per la vittima, incluso l'acquisto di bitcoin per un valore di 500 dollari e l'invio a un indirizzo specificato. Inoltre, le vittime vengono indirizzate a inviare tramite e-mail la prova della transazione insieme alla chiave di decrittazione a tramoryp@proton.me.
Nota di riscatto TransCrypt per intero
Il testo completo della richiesta di riscatto di TransCrypt è il seguente:
you became a victim of the transcrypt ransomware!
the harddisk of your computer have been encrypted with an military grade encryption algorithm.
there is no way to restore your data without our help.
perhaps you are busy looking for a way to recover your files,but don’t waste your time.
nobody can recover your files without our decryption service.we garantee that you can recover all your files safely and easily……..
all you need to do is submit the payment and purchase the decryption key…please follow the instructions:
- buy 500 dollars worth of bitcoin
- send the bitcoin to the following btc-adress: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
- send an email to tramoryp@proton.me with proof of
the transaction and your decryption key -
Come possono ransomware come TransCrypt entrare nel tuo sistema?
Il ransomware, comprese varianti come TransCrypt, può infiltrarsi nei sistemi informatici in vari modi. Ecco i metodi comuni attraverso i quali il ransomware ottiene l'accesso ai sistemi:
E-mail di phishing: i criminali informatici spesso utilizzano e-mail di phishing per distribuire ransomware. Queste e-mail possono contenere allegati o collegamenti dannosi che, se cliccati, scaricano ed eseguono il ransomware sul sistema della vittima. Le e-mail possono essere camuffate da messaggi legittimi provenienti da fonti attendibili, che invitano il destinatario ad aprire un allegato o a fare clic su un collegamento.
Siti Web dannosi: visitare siti Web compromessi o dannosi può esporre il sistema al ransomware. Alcuni siti Web possono sfruttare le vulnerabilità del browser o dei plug-in per distribuire ed eseguire ransomware all'insaputa dell'utente.
Malvertising: la pubblicità dannosa, o malvertising, coinvolge i criminali informatici che inseriscono annunci infetti su siti Web legittimi. Fare clic su questi annunci può portare al download e all'esecuzione di ransomware sul sistema della vittima.
Download drive-by: il ransomware può essere distribuito tramite download drive-by, in cui il malware viene automaticamente scaricato e installato sul dispositivo dell'utente senza il suo consenso, spesso quando visita siti Web compromessi.
Sfruttare le vulnerabilità del software: gli autori di ransomware spesso sfruttano le vulnerabilità di software, sistemi operativi o applicazioni per ottenere l'accesso non autorizzato a un sistema. È fondamentale mantenere aggiornato il software per correggere le vulnerabilità note.
Attacchi RDP (Remote Desktop Protocol): se il protocollo Remote Desktop non è adeguatamente protetto, gli aggressori possono utilizzare attacchi di forza bruta o sfruttare password deboli per ottenere l'accesso a un sistema. Una volta entrati, possono distribuire ransomware.
