Intorno a luglio di quest’anno, il ransomware HavanaCrypt è emerso nel mondo informatico. Ha portato avanti attacchi con un interessante colpo di scena. HavanaCrypt si presenta come un aggiornamento del software di Google per criptare le macchine virtuali.
Il ransomware è scritto in linguaggio .NET e utilizza un offuscatore OpenSource chiamato Obfuscate per nascondere i nomi delle funzioni utilizzate nel ransomware.
Il gruppo dietro il ransomware è riuscito a implementare meccanismi anti-analisi, riuscendo a rendersi praticamente invisibile agli occhi degli utenti e dei programmi di sicurezza.
Il punto esatto di introduzione nel sistema della vittima non è ancora noto. I ricercatori affermano che è possibile che ciò avvenga attraverso campagne di posta elettronica o il download involontario di un software che trasporta il malware.
Ciò che è chiaro è che le informazioni dell’eseguibile dannoso sono state modificate per suggerire che l’autore è Google e il nome del programma è Google Software Update.
Sappiamo che i creatori di HavanaCrypt hanno fatto di tutto per garantire che le scansioni di sicurezza statiche e automatiche non rilevino il malware. Utilizzano controlli di sicurezza, prima di eseguire la crittografia.
Se il controllo è negativo, il malware non viene eseguito. In caso di esito positivo, il ransomware scarica un file .txt da un indirizzo IP collegato ai servizi di web hosting di Microsoft. Questo file è uno script che aggiunge determinate cartelle all’elenco di esclusione di Windows Defender.
Il ransomware raccoglie quindi informazioni sulla macchina infetta, quindi esfiltra i dati infetti che vengono inviati a un server di comando e controllo (C2), che assegna un token di identificazione unico e genera chiavi di crittografia uniche.
Il virus scansiona il sistema per tutti i file, le cartelle, le unità e i dischi e aggiunge l’estensione .Havana a tutti i file crittografati. I file diventano quindi inaccessibili per l’utente.
A differenza di altri ransomware, HavanaCrypt non genera alcuna richiesta di riscatto. Questo ci porta a pensare che il ransomware HavanaCrypt utilizzi un altro mezzo per generare i suoi guadagni.
Recuperare i file crittografati da HavanaCrypt ransomware
Oggi potete affidarvi ad aziende qualificate per il recupero dei dati criptati. Tra questi c’è il Recupero digitale.
Presente sul mercato del recupero dati da oltre 23 anni, Digital Recovery ha acquisito esperienza e generato soluzioni senza precedenti per molte aziende.
Con il crescente numero di attacchi ransomware in tutto il mondo, il nostro team di sviluppo ha studiato, analizzato attentamente e sviluppato una soluzione che ci permette di recuperare i file crittografati da ransomware su qualsiasi dispositivo di archiviazione.
Questa soluzione, chiamata Tracer, è stata creata sulla base della sicurezza dei dati dei nostri clienti. Per ogni progetto viene stipulato un accordo di riservatezza (NDA).
Siamo in grado di operare a distanza in qualsiasi paese del mondo. Dopo una diagnosi avanzata, possiamo determinare le possibilità di guarigione.
Mettetevi in contatto con noi! Il nostro team multilingue è disponibile 24 ore su 24, 7 giorni su 7, ed è qui per servirvi nel miglior modo possibile.
