Udaigen Ransomware crittograferà i file delle vittime
Durante la nostra indagine sui nuovi invii di file, il nostro team ha fatto una scoperta interessante: una variante del ransomware chiamata Udaigen. Questo programma dannoso funziona crittografando i file e quindi richiedendo un riscatto in cambio della chiave di decrittazione.
Dopo aver testato Udaigen sulla nostra macchina designata, abbiamo osservato che crittografava i file e ne modificava i nomi aggiungendo un'estensione ".jcrypt". Ad esempio, un file denominato "1.jpg" trasformato in "1.jpg.jcrypt" e "2.png" è diventato "2.png.jcrypt" e così via. Una volta concluso il processo di crittografia, il ransomware ha presentato una finestra pop-up accanto a un file di testo denominato "_RECOVER__FILES.jcrypt.txt".
Sia il messaggio pop-up che il file di testo contenevano note di riscatto che trasmettevano informazioni simili. I messaggi informavano la vittima che i suoi file erano stati crittografati e fornivano istruzioni per facilitare il processo di decrittazione. Alla vittima è stato chiesto di trasferire un pagamento di 2 BTC (criptovaluta Bitcoin) per acquisire la chiave di decrittazione necessaria. Al momento in cui scriviamo, tale importo equivale a circa 57 mila dollari. Vale la pena notare che i tassi di cambio sono soggetti a frequenti fluttuazioni e, pertanto, la conversione potrebbe non essere del tutto accurata al momento.
La nota di riscatto di Udaigen elenca i file crittografati
Il testo completo della richiesta di riscatto di Udaigen recita come segue:
Tutti i tuoi file sono stati crittografati.
Per sbloccarli, invia 2 bitcoin all'indirizzo BTC: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Successivamente, invia un'e-mail con l'ID transazione a: udai@membermail.netEssere un po' pigro non ti restituirà i tuoi file.
Registro di crittografia:
(elenco dei file)
In che modo un ransomware come Udaigen può entrare nel tuo computer?
Esistono diversi modi attraverso i quali ransomware come Udaigen può infettare il tuo computer. Ecco alcuni metodi comuni:
- Allegati e-mail: il ransomware può essere distribuito tramite allegati e-mail dannosi. I criminali informatici spesso inviano e-mail di phishing camuffate da messaggi legittimi provenienti da fonti attendibili. Queste e-mail possono contenere allegati infetti, come documenti o file compressi, che, una volta aperti, eseguono il ransomware sul tuo computer.
- Download e siti Web infetti: visitare siti Web compromessi o dannosi può esporre il computer al ransomware. I criminali informatici possono iniettare codice dannoso nei siti Web, che possono sfruttare le vulnerabilità nel tuo browser Web o plug-in per scaricare e installare silenziosamente ransomware sul tuo sistema. Anche i download illegittimi da fonti non attendibili possono contenere ransomware.
- Collegamenti e annunci dannosi: fare clic su collegamenti o annunci dannosi può portare a infezioni da ransomware. Questi collegamenti possono essere trovati in e-mail, piattaforme di social media o persino siti Web dall'aspetto legittimo. Una volta cliccati, possono reindirizzarti a siti Web che ospitano ransomware o avviare un download drive-by, installando automaticamente il ransomware sul tuo computer a tua insaputa.
- Sfruttamento delle vulnerabilità del software: gli sviluppatori di ransomware spesso sfruttano le vulnerabilità della sicurezza nei sistemi operativi, nelle applicazioni software o nei plug-in. Sfruttando queste vulnerabilità, possono ottenere l'accesso non autorizzato al tuo computer e distribuire ransomware.
- Attacchi Remote Desktop Protocol (RDP): se hai abilitato Desktop remoto sul tuo computer senza adeguate misure di sicurezza, i criminali informatici possono sfruttare credenziali deboli o predefinite per ottenere l'accesso al tuo sistema. Una volta dentro, possono installare ransomware o altri malware.
- Aggiornamenti software dannosi: gli aggressori possono compromettere i meccanismi di aggiornamento software legittimi e distribuire falsi aggiornamenti contenenti ransomware. Quando gli utenti installano inconsapevolmente questi aggiornamenti, il ransomware viene distribuito sui loro sistemi.