La campagna di WickrMe Ransomware va dopo i server Microsoft SharePoint obsoleti
Il WickrMe Ransomware (chiamato anche Hello Ransomware) è un pericoloso Trojan per la crittografia dei file, che finora viene utilizzato contro un insieme molto specifico di obiettivi. È importante aggiungere che non ha nulla a che fare con i servizi di messaggistica WickrMe. I creatori di questo malware non lo stanno diffondendo a utenti casuali su Internet e, invece, stanno eseguendo attacchi attentamente orchestrati contro i server vulnerabili di Microsoft SharePoint. Ovviamente, gli amministratori di sistema che mantengono il loro software aggiornato non sono minacciati da questo attacco poiché la campagna WickrMe Ransomware si basa su una vulnerabilità, che risale al 2019. Sfortunatamente, molti sistemi sono ancora vulnerabili a causa dell'utilizzo di software obsoleto e sono l'obiettivo esatto di WickrMe Ransomware.
A parte il vettore di infezione relativamente speciale, WickrMe Ransomware si comporta proprio come gli altri Trojan di crittografia dei file. Il suo attacco prevede diverse fasi, che non sono fuori dal comune:
- Disabilita i processi utilizzati dal software di gestione del database e da altre utilità che potrebbero impedire al malware di accedere ai file che desidera crittografare.
- Esegue la scansione delle partizioni del disco per i tipi di file che si intende crittografare, quindi ne blocca il contenuto.
- Aggiunge il suffisso ".hello" ai nomi dei file che blocca.
- Elimina la richiesta di riscatto "Leggimi !!!. Txt", che include e-mail personalizzate per quella specifica vittima.
Ovviamente i criminali chiedono un riscatto tramite Bitcoin. Oltre alle e-mail, i criminali forniscono anche nomi utente WickrMe, che possono essere utilizzati per entrare in contatto con loro: questa è la prima volta che questo servizio viene utilizzato dagli operatori di ransomware.
Sfortunatamente, la crittografia di WickrMe Ransomware è indistruttibile e il software di decrittazione gratuito è fuori questione. Le vittime di questo attacco, tuttavia, non dovrebbero accettare di collaborare con gli aggressori poiché il rischio di essere truffate è troppo alto. Invece di contattare i criminali informatici, le vittime del WickrMe Ransomware dovrebbero utilizzare un software antivirus per eliminare la minaccia e quindi provare a ripristinare i file tramite un backup o tramite il popolare software di ripristino.