Risen Ransomware

En l'era digital actual, protegir els dispositius de les amenaces de programari maliciós és crucial. El programari maliciós, com ara el ransomware, pot tenir efectes devastadors tant en persones com en organitzacions, provocant una pèrdua important de dades, danys financers i interrupcions operatives. Una de les amenaces més noves en aquest àmbit és el Risen Ransomware, un programari amenaçador que xifra els fitxers dels usuaris i exigeix el pagament d'un rescat per a la seva recuperació. Entendre com funciona Risen Ransomware i com protegir-se d'aquestes amenaces és essencial per mantenir la ciberseguretat.

Una visió general del ransomware Risen

El Risen Ransomware va ser descobert per investigadors de ciberseguretat que van identificar les seves característiques i mètodes de funcionament únics. En infectar un sistema, Risen xifra els fitxers i els canvia el nom afegint una adreça de correu electrònic i un identificador d'usuari a les seves extensions. Per exemple, "1.png" passa a ser "1.png.Default@firemail.de].E86EQNTPTT", i "2.pdf" passa a ser "2.pdf.Default@firemail.de].E86EQNTPTT".

Notes de rescat i amenaces

El Risen Ransomware crea dues notes de rescat: '$Risen_Note.txt' i '$Risen_Guide.hta'. A més, canvia el fons de pantalla de l'escriptori i mostra un missatge a la pantalla d'inici de sessió, assegurant que la víctima és conscient de la violació. Les notes de rescat afirmen que els atacants s'han infiltrat a tota la xarxa de la víctima a causa de fallades de seguretat i han xifrat tots els fitxers mitjançant un algorisme fort. També afirmen que s'han robat dades crítiques, com ara documents, imatges, dades d'enginyeria, informació comptable i detalls dels clients.

Tàctiques d'extorsió

Les notes de rescat amenacen que si les víctimes no cooperen en un termini no especificat, els atacants filtraran o vendran les dades recopilades. Les notes indiquen que les còpies de seguretat també s'han xifrat i són inaccessibles, la qual cosa implica que l'única manera de recuperar fitxers és mitjançant una eina de desxifrat específica proporcionada pels atacants. Les víctimes poden enviar fins a tres fitxers de prova per al desxifrat gratuït i han d'utilitzar les adreces de correu electrònic proporcionades, default1@tutamail.com i default@firemail.de, per contactar amb els atacants, inclòs el seu identificador de màquina a l'assumpte. Si no hi ha resposta en un termini de 72 hores, es demana a les víctimes que es posin en contacte amb els atacants a través d'un bloc de TOR proporcionat.

Els riscos de pagar el rescat

Malgrat les promeses dels atacants, no es recomana pagar el rescat. Hi ha un risc important de ser enganyat, ja que és possible que els atacants no proporcionin l'eina de desxifrat fins i tot després del pagament. A més, el ransomware pot continuar xifrant fitxers i estenent-se per la xarxa mentre roman actiu, causant més danys.

Mesures de seguretat per prevenir infeccions per ransomware

La protecció contra el ransomware com Risen requereix un enfocament polifacètic. Aquestes són algunes de les mesures de seguretat crítiques que els usuaris haurien d'implementar:

• Còpies de seguretat regulars : configureu periòdicament una còpia de seguretat de les dades importants i assegureu-vos que les còpies de seguretat s'emmagatzemen fora de línia o en una solució segura basada en núvol. Això garanteix la recuperació de dades en cas d'atac.
• Programari actualitzat : conserva tot el programari, incloses les aplicacions i els sistemes operatius, actualitzat amb els darrers pedaços de seguretat per tancar les vulnerabilitats que pot explotar el ransomware.
• Anti-malware fort : utilitzeu solucions anti-malware de bona reputació per exposar i bloquejar el ransomware abans que pugui causar danys. Assegureu-vos que aquestes eines s'actualitzen periòdicament.
• Filtrat de correu electrònic i web : implementeu solucions de filtratge de correu electrònic i web per bloquejar correus electrònics fraudulents i llocs web que poden oferir càrregues útils de ransomware.
• Formació d'usuaris : eduqueu els usuaris sobre els perills del ransomware i les pràctiques segures en línia. Destaqueu la importància de no obrir fitxers adjunts de correu electrònic sospitosos ni fer clic en enllaços desconeguts.
• Segmentació de la xarxa : segmenteu la vostra xarxa per regular la propagació del ransomware. Això pot ajudar a contenir una infecció i evitar que afecti tota la xarxa.
• Controls d'accés : implementeu controls d'accés estrictes per restringir els permisos dels usuaris i bloquejar l'accés no autoritzat a dades i sistemes sensibles.

El Risen Ransomware representa una amenaça important en el panorama de les amenaces cibernètiques. Comprendre el seu funcionament i la importància del procediment de seguretat proactiu pot ajudar a mitigar el risc d'infecció. Mitjançant la implementació de pràctiques sòlides de ciberseguretat, els usuaris poden protegir les seves dades i xarxes dels impactes devastadors del ransomware.

El text de la nota de rescat que es deixa a les víctimes del Risen Ransomware és:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

El fitxer de text generat pel Risen Ransomware conté el missatge següent dels atacants:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'