Gli sviluppatori di Netwalker prendono di mira le persone tramite la campagna di truffa del coronavirus
A causa della pandemia in corso, i truffatori hanno iniziato attivamente l’epidemia di CORONA come tema per la loro campagna di phishing e malware. È stata segnalata una di queste campagne che porta alla pericolosa installazione di Netwalker Ransomware nel dispositivo dei destinatari.
Mentre l’e-mail effettiva non ci veniva inviata, MalwareHunterTeam è riuscito a trovare un allegato che conduce alla fine l’installazione di Netwalker. Toll Group e il campione Urbana Public Health District di Illionis sono i due che sono stati segnalati vittime di attacchi da questa minaccia.
La nuova campagna di phishing Netwalker o Mailto utilizza un file allegato denominato CORONAVIRUS_COVID-19.vbs che contiene un codice eseguibile e offuscato del Ransomware per estrarlo e avviarlo sul dispositivo.
Quando viene eseguito lo script, l’eseguibile si salva nel file% Temp% \ qeSw.exe e avvia il processo di crittografia sul dispositivo.
Un ricercatore di SentinelLabs di nome Vitali Kremez ha detto che questa versione del ransomware termina il client di protezione endpoint Fortinet. Alla domanda sul perché il ransowmare lo fa, il kremez ha detto che potrebbe essere per evitare il rilevamento.
“Suppongo che potrebbe essere perché hanno già disabilitato la funzionalità antivirus direttamente dal pannello di amministrazione del cliente; tuttavia, non vogliono far scattare un allarme terminando i client”, ha detto Kremez.
Una volta completata la crittografia, gli utenti trovano una nota di riscatto denominata extension –Readme.txt che contiene le istruzioni su come accedere al sito Tor Payment del ransomware per pagare la richiesta di riscatto.
Al momento, non sono noti punti deboli nel ransomware, il che significa che nessuno strumento di decrittazione ufficiale è disponibile per il ransomware Netwalker. Quindi, se sei stato infettato da questo malware, devi provare a recuperare i file utilizzando il backup esistente o devi ricrearlo.