Il ransomware Exorcist è un tipo di malware che utilizza un sofisticato algoritmo di crittografia che è in grado di bloccare facilmente tutti i tipi di sistemi operativi basati su Windows, nonché di crittografare tutti i file. Durante il processo di crittografia a tutti i file viene aggiunta un’estensione composta da caratteri stringa. Dopo aver completato la crittografia, Exorcist cambia lo sfondo del desktop e rilascia le applicazioni HTML [random-string] -decrypt.hta “(ad esempio” rnyZoV-decrypt.hta “) – nelle cartelle interessate. Questi file contengono note di riscatto identiche.
Il ransomware Exorcist è stato individuato per la prima volta nella seconda metà di luglio 2020 dal gruppo di ricerca sulla sicurezza MalwareHunterTeam. Nonostante non si sappia ancora molto in proposito, sul malware sono emersi alcuni dettagli: una delle caratteristiche più distintive del ransomware Exorcist è che controlla innanzitutto il layout della tastiera del computer host, come ad esempio i malware Avaddon , Nefilim , REvil , GandCrab , Anatova e molti altri. Nel caso in cui una potenziale vittima provenga da uno dei paesi appartenenti all’organizzazione intergovernativa del Commonwealth of Independent States (CIS), il ransomware lascerà la macchina senza infettarla. Questa tecnica è molto comune e praticata da numerosi criminali informatici che probabilmente eseguono le loro operazioni illegali da paesi che appartengono alla CSI. In questo modo, si assicurano che le autorità locali non avviino le indagini e chiudano definitivamente l’attività illegale.
Gli autori del ransomware Exorcist non forniscono un’e-mail come la maggior parte degli altri criminali informatici, ma chiedono invece agli utenti di accedere a un sito Web appositamente predisposto, in cui le vittime devono immettere la chiave di autorizzazione per procedere ulteriormente ed effettuare un pagamento in Bitcoin o in un’altra criptovaluta per recuperare il decodificatore di file.
Dal momento che Exorcist ransomware non è stato ancora studiato a fondo e finora esistono pochissime vittime, non ci sono informazioni precise su come si diffonda il malware. Sappiamo però che la maggior parte degli sviluppatori di ransomware sceglie diversi metodi di distribuzione per renderli più efficaci. Queste tecniche includono:
- Allegati e-mail di spam e collegamenti ipertestuali incorporati
- Software crack / caricatori / keygens e repack installers
- Vulnerabilità del software e kit di exploit
- Connessioni RDP scarsamente protette
- Pubblicità dannose e script Java, ecc.
Una volta che Exorcist ha ottenuto l’accesso al computer (dopo aver eseguito i controlli del layout della tastiera), inizia a preparare Windows per la crittografia dei dati: modifica la persistenza del registro di Windows, elimina migliaia di file dannosi, stabilisce connessioni HTTP in background e molto altro. Queste modifiche a volte potrebbero rimanere sul sistema dopo la rimozione di Exorcist ransomware.
Non appena il sistema è pronto, Exorcist ransomware avvia il processo di crittografia dei file. Durante questo periodo, il malware esegue la scansione della macchina alla ricerca dei tipi di file più comunemente utilizzati (PDF, documenti MS Office, archivi, file di immagine, database, ecc.). Quindi li blocca con un robusto algoritmo di crittografia. Non è ancora noto se il virus utilizzi un algoritmo simmetrico o asimmetrico per tale scopo.
Il processo di blocco dei dati viene eseguito quasi istantaneamente e alle vittime viene quindi presentata una richiesta di riscatto – una finestra pop-up che dice:
[random] DecryptAll your data has been encrypted with Exorcist Ransomware.
Do not worry: you have some hours to contact us and decrypt your data by paying a ransom.
To do this, follow instructions on this web site: http://217.8.117.26/pay
Also, you can install Tor Browser and use this web site: http://4dnd3utjsmm2zcsb.onion/payIMPORTANT: Do not modify this file, otherwise you will not be able to recover your data!
Your authorization key:
rnyZoV Decrypt
Tutti i tuoi dati sono stati crittografati con Exorcist ransomware.
Non preoccuparti: hai qualche ora per contattarci e decifrare i tuoi dati pagando un riscatto.
Per fare ciò, seguire le istruzioni su questo sito Web: hxxp: //217.8.117.26/pay
Inoltre, è possibile installare Tor Browser e utilizzare questo sito Web: hxxp: //4dnd3utjsmm2zcsb.onion/payIMPORTANTE: non modificare questo file, altrimenti non sarai in grado di recuperare i tuoi dati!
La tua chiave di autorizzazione:
Il consiglio è di non pagare i criminali informatici, in quanto non vi è alcuna garanzia che forniscano successivamente lo strumento di decrittazione promesso, che farà recuperare i file, oppure, poiché la varietà di malware è nuova, il software di decodifica potrebbe non funzionare con conseguente perdita sia dei file che del denaro.
Se non si dispone di backup, il pagamento dei criminali informatici potrebbe sembrare l’unica scelta, ma esistono alcuni metodi che potrebbero aiutare a recuperare almeno una parte dei dati: bisogna innanzitutto rimuovere Exorcist ransomware immediatamente, al fine di impedire che i file rimanenti vengano crittografati in futuro. Dopo aver completato il processo di rimozione, la vittima può recuperare i propri file utilizzando il backup nel modulo o sul disco rigido esterno. Se non è disponibile alcun backup, è possibile ripristinare i dati utilizzando il software di recupero di terze parti.
Come sempre, è molto importante dotare la macchina di potenti software anti-malware in grado di rilevare intrusioni non autorizzate e terminarle prima che possano causare danni. Non aprire e-mail sospette, in particolare quelle ricevute da un mittente sconosciuto. Se un allegato sembra sospetto, non deve essere aperto. Inoltre, è necessario mantenere aggiornato il sistema, evitare siti Web potenzialmente pericolosi e eseguire backup frequenti dei dati più importanti su un supporto separato.
https://www.2-spyware.com/remove-exorcist-ransomware.html
