Home Akira ransomware: guida completa

Akira ransomware: guida completa

Visto per la prima volta nel marzo 2023, Akira è un ransomware che prende di mira i sistemi Windows e Linux. È emerso rapidamente e ha fatto numerose vittime in organizzazioni di diversi paesi. Akira prende di mira anche diversi settori industriali. È importante avvertire che questo Akira non ha alcuna prova nota che possa essere correlato a un altro ceppo di ransomware con lo stesso nome del 2017. Gli esperti hanno trovato somiglianze tra Akira e Conti ransomware, come l'elenco di esclusione dei tipi di file, l'elenco di esclusione delle directory e la struttura della coda dei file. Ciò suggerisce che gli autori abbiano utilizzato il codice sorgente del ransomware Conti trapelato. Nel giugno 2023,Avast ha rilasciato un decryptor Akira gratuito per Windowse sta lavorando al decryptor della variante Linux. Tuttavia, ciò non significa che Akira non rappresenti una minaccia per le aziende e le organizzazioni di tutto il mondo. Questo perché gli autori del ransomware Akira minacciano di far trapelare i dati che hanno rubato. Pertanto, lavorare sulla prevenzione è la soluzione migliore contro il ransomware Akira.

Che tipo di malware è Akira?

Akira ransomware è un ransomware Crypto che crittografa i dati e modifica i nomi dei file di tutti i file interessati aggiungendo l'estensione “.akira”. Si tratta di una nuova famiglia di ransomware utilizzata per la prima volta negli attacchi della criminalità informatica nel marzo 2023. Il ransomware Akira si diffonde all'interno di una rete aziendale e prende di mira più dispositivi una volta ottenuto l'accesso. Prima di crittografare i file, il ransomware evita determinate cartelle, tra cui Cestino, Informazioni sul volume di sistema, Avvio, ProgramData e Windows, nonché specifici file di sistema di Windows con estensioni .exe, .lnk, .dll, .msi e .sys.Il sistema Windows e le versioni Linux del ransomware Akira sono molto simili nel modo in cui crittografano i dispositivi, ma la versione Linux utilizza la libreria Crypto++ invece della CryptoAPI di Windows. Esfiltra i dati sensibili e critici delle vittime prima di crittografarli e quindi minacciare di divulgarli a meno che non paghino il riscatto. Questa tattica nota come doppia estorsione è un metodo comune di profitto degli hacker. Akira utilizza una combinazione di crittografia AES e RSA per bloccare i file delle vittime. L'Advanced Encryption Standard (AES) è una crittografia avanzata utilizzata anche per la sicurezza informatica. L'algoritmo di crittografia Rivest–Shamir–Adleman (RSA) è un algoritmo di crittografia asimmetrico.

Tutto quello che sappiamo sul ransomware Akira

Questo elenco contiene le informazioni di base sul nuovo ceppo di ransomware noto come Akira.Nome confermato

  • Virus Akira

Tipo di minaccia

  • Ransomware
  • Criptovirus
  • Armadietto dei file
  • Doppia estorsione

Estensione file crittografati

  • .akira

Messaggio di richiesta di riscatto

  • akira_readme.txt

Nomi di rilevamento

  • AvastWin64:RansomX-gen [Riscatto]
  • AVGWin64:RansomX-gen [Riscatto]
  • EmsisoftGen:Variant.Midie.124870 (B)
  • KasperskyTrojan-Ransom.Win64.Akira.a
  • MalwarebytesMalware.AI.2152310429
  • MicrosoftRiscatto:Win64/Akira.GID!MTB

Famiglia, tipo e variante del ransomware

  • Il ransomware Akira si basa sul codice sorgente trapelato del ransomware Conti
  • Questo non è lo stesso ransomware Akira del 2017

Metodi di distribuzione

  • Troiani
  • Credenziali deboli
  • Attacchi di download drive-by
  • E-mail di phishing
  • Siti Web dannosi

Conseguenze

Lettura consigliata:BlackSuit Ransomware: la guida completa

  • Esfiltrazione dei dati
  • Crittografia dei file
  • Il ransomware si diffonde attraverso il movimento laterale

È disponibile un decryptor gratuito?

SÌ. Sebbene Akira sia un malware recente (avvistato per la prima volta nel marzo 2023), Avast ha rilasciato nel giugno 2023 unchiave di decrittazione gratuitaper sistemi Windows a 64 e 32 bit. Avast consiglia vivamente di utilizzare il fileDecrittatore a 64 bit, poiché anche il ransomware è a 64 bit. Tuttavia, se il tuo sistema non è in grado di supportarlo, hanno anche rilasciato un fileDecrittatore a 32 bit.

Sintomi del ransomware Akira

  • Dati crittografati con l'estensione .akira aggiunta ai nomi di tutti i file interessati
  • Sul desktop e in ogni cartella viene visualizzata una richiesta di riscatto in cui si spiega con tono condiscendente che il percorso più semplice per ripristinare il normale funzionamento dell'azienda è pagare il riscatto.
  • La tecnica della doppia estorsione in cui gli aggressori esfiltrano e crittografano i dati della vittima e minacciano di vendere o diffondere i dati rubati nel dark web se il riscatto non viene pagato
  • Infiltrazione nelle reti aziendali e diffusione laterale su altri dispositivi
  • Travestito da contenuto legittimo, il che porta le vittime a eseguire inconsapevolmente il malware

Cosa c'è nella richiesta di riscatto di Akira

La richiesta di riscatto di Akira ha un tono condiscendente e spiega i passaggi che le vittime devono compiere per recuperare i propri dati. Ha anche una password univoca per ciascuna vittima da utilizzare per negoziare con il gruppo di hacker. La nota afferma che il percorso più semplice per riportare l’azienda a funzionare normalmente è pagare il riscatto.Non pagare il riscatto né negoziare con gli autori delle minacce. Contatta immediatamente gli esperti di SalvageData per ripristinare i tuoi file e le autorità locali per segnalare il ransomware.

In che modo Akira infetta un computer o una rete

Akira ransomware è un malware pericoloso che può infettare un computer o una rete in diversi modi, tra cui:

  • E-mail di spam e phishing che fingono di essere aziende legittime. I truffatori inviano e-mail che sembrano provenire da aziende legittime, come PayPal, UPS, FedEx e altre. Queste e-mail contengono collegamenti o allegati che mettono a rischio i tuoi dati e la tua rete. Un clic su un collegamento o il download di un allegato può bloccare tutti fuori dalla tua rete.
  • Troiani.Un trojan è un tipo di software che promette di eseguire un'attività ma ne esegue un'altra diversa, per lo più dannosa. Prendono la forma di programmi falsi, allegati e altri tipi di file, ingannando le vittime.
  • Rete infiltrata.Il ransomware viola una rete aziendale e si diffonde lateralmente ad altri dispositivi. Prima di crittografare i file, il ransomware evita determinate cartelle e file di sistema specifici di Windows con estensioni .exe, .lnk, .dll, .msi e .sys.
  • Siti Web dannosi.I siti Web infetti scaricano automaticamente malware sul computer o sulla rete della vittima.
  • Installazioni di software crackati.Gli hacker utilizzano la tecnologia di offuscamento in combinazione con altri metodi per infettare il dispositivo senza che l'utente se ne accorga. Le installazioni di software crackate consentono l'ingresso di file dannosi nel sistema.

Come funziona il ransomware Akira

Una volta che il ransomware Akira ottiene l’accesso a un computer o a una rete, crittograferà i file della vittima utilizzando sofisticati algoritmi di crittografia. Ai file della vittima verrà aggiunta l’estensione .akira. Il ransomware viola una rete aziendale e si diffonde lateralmente ad altri dispositivi. Prima di crittografare i dati, Akirail ransomware si diffonderà nella reteutilizzando il protocollo RDP (Remote Desktop Protocol). Questo è il motivo per cui è fondamentale segmentare la rete e bloccare l’accesso degli utenti ai dati di cui non hanno bisogno per svolgere le proprie attività. Ciò impedirà alle minacce di diffondersi tramite movimento laterale. Akira elimina anche le copie shadow e i backup dal sistema. Il processo di attacco del ransomware Akira prevede due fasi principali: esfiltrazione e crittografia. Ecco una ripartizione del processo:

Esfiltrazione

Prima di attivare la routine di crittografia del ransomware Akira e inviare una richiesta di riscatto, i criminali informatici esfiltrano i dati dalle reti aziendali compromesse. Il ransomware Akira in genere utilizza le risorse proprie della macchina per eseguire l'esfiltrazione dei dati, imponendo così un carico pesante sulle risorse del sistema. Dopo aver esfiltrato i dati della vittima, gli aggressori minacciano di vendere o diffondere i dati rubati sul dark web se il riscatto non viene pagato. Il loro sito web di leak ha un design retrò che ricorda le console con schermo verde degli anni '80 e probabilmente prende il nome dal popolare film anime del 1988 con lo stesso nome.

Crittografia

Prima di crittografare i file, il ransomware evita determinate cartelle, tra cui Cestino, System Volume Information, Boot, ProgramData e Windows, nonché specifici file di sistema Windows con estensioni .exe, .lnk, .dll, .msi e .sys. Akira ransomware crittografa i file della vittima utilizzando sofisticati algoritmi di crittografia, come AES-256. Una volta completata la crittografia, i file della vittima vengono bloccati e non è possibile accedervi.

Come gestire un attacco ransomware Akira

Il primo passo per riprendersi dall'attacco Akira è isolare il computer infetto disconnettendolo da internet e rimuovendo qualsiasi dispositivo connesso. Successivamente è necessario contattare le autorità locali. Per i residenti e le imprese statunitensi, è ilufficio locale dell'FBIe ilCentro reclami sulla criminalità su Internet (IC3).Per segnalare un attacco ransomware è necessario raccogliere tutte le informazioni possibili al riguardo, tra cui:

  • Screenshot della richiesta di riscatto
  • Comunicazioni con gli attori di Akira (se li hai)
  • Un campione di un file crittografato

Tuttavia, se preferiscicontattare i professionisti, quindi non fare nulla.Lascia ogni macchina infetta così com’èe chiedi unservizio di rimozione ransomware di emergenza. Il riavvio o l'arresto del sistema potrebbe compromettere il servizio di ripristino. Catturare la RAM di un sistema live può aiutare a ottenere la chiave di crittografia, mentre catturare un file dropper potrebbe essere sottoposto a ingegneria inversa e portare alla decrittografia dei dati o alla comprensione di come funziona. È necessarionon eliminare il ransomwaree conservare ogni prova dell'attacco. Questo è importante perforense digitalein modo che gli esperti possano risalire al gruppo di hacker e identificarli. È utilizzando i dati presenti sul sistema infetto che le autorità possono farloindagare sull'attacco e trovare il responsabile.Un'indagine su un attacco informatico non è diversa da qualsiasi altra indagine penale: ha bisogno di prove per trovare gli aggressori.

1. Contatta il tuo fornitore di risposta agli incidenti

Una risposta agli incidenti informatici è il processo di risposta e gestione di un incidente di sicurezza informatica. Un Incident Response Retainer è un contratto di servizio con un fornitore di sicurezza informatica che consente alle organizzazioni di ottenere aiuto esterno in caso di incidenti di sicurezza informatica. Fornisce alle organizzazioni una forma strutturata di competenza e supporto attraverso un partner di sicurezza, consentendo loro di rispondere in modo rapido ed efficace in caso di incidente informatico. Un servizio di risposta agli incidenti offre tranquillità alle organizzazioni, offrendo supporto esperto prima e dopo un incidente di sicurezza informatica. La natura specifica e la struttura di un impegno per la risposta agli incidenti varierà in base al fornitore e ai requisiti dell'organizzazione. Un buon servizio di risposta agli incidenti dovrebbe essere robusto ma flessibile e fornire servizi comprovati per migliorare la strategia di sicurezza a lungo termine di un'organizzazione. Se contatti il ​​tuo fornitore di servizi IR, si prenderanno cura di tutto il resto. Tuttavia, se decidi di rimuovere il ransomware e ripristinare i file con il tuo team IT, puoi seguire i passaggi successivi.

2. Identificare l'infezione ransomware

Puoiidentificare quale ransomwareha infettato il tuo computer tramite l'estensione del file (alcuni ransomware utilizzano l'estensione del file come nome), oppure sarà sulla richiesta di riscatto. Con queste informazioni, puoi cercare una chiave di decrittazione pubblica. Puoi anche verificare il tipo di ransomware tramite i suoi IOC. Gli indicatori di compromesso (IOC) sono indizi digitali che i professionisti della sicurezza informatica utilizzano per identificare compromissioni del sistema e attività dannose all'interno di una rete o di un ambiente IT. Si tratta essenzialmente di versioni digitali delle prove lasciate sulla scena del crimine e i potenziali IOC includono traffico di rete insolito, accessi di utenti privilegiati da paesi stranieri, strane richieste DNS, modifiche ai file di sistema e altro ancora. Quando viene rilevato un IOC, i team di sicurezza valutano le possibili minacce o ne convalidano l'autenticità. Gli IOC forniscono anche prove di ciò a cui un utente malintenzionato ha avuto accesso se si è infiltrato nella rete.

IOC di Akira Ransomware

Gli indicatori di compromesso (IOC) sono artefatti osservati su una rete o in un sistema operativo che indicano un'intrusione informatica con elevata probabilità. Gli IOC possono essere utilizzati per il rilevamento precoce di futuri tentativi di attacco utilizzando sistemi di rilevamento delle intrusioni e software antivirus.Versioni di Windows

  • 3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c
  • 5c62626731856fb5e669473b39ac3deb0052b32981863f8cf697ae01c80512e5
  • 678ec8734367c7547794a604cc65e74a0f42320d85a6dce20c214e3b4536bb33
  • 7b295a10d54c870d59fab3a83a8b983282f6250a0be9df581334eb93d53f3488
  • 8631ac37f605daacf47095955837ec5abbd5e98c540ffd58bb9bf873b1685a50
  • 1b6af2fbbc636180dd7bae825486ccc45e42aefbb304d5f83fafca4d637c13cc
  • 9ca333b2e88ab35f608e447b0e3b821a6e04c4b0c76545177890fb16adcab163
  • d0510e1d89640c9650782e882fe3b9afba00303b126ec38fdc5f1c1484341959
  • 6cadab96185dbe6f3a7b95cf2f97d6ac395785607baa6ed7bf363deeb59cc360

Versione Linux

  • 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296

3. Rimuovere il ransomware ed eliminare gli exploit kit

Prima di recuperare i tuoi dati, devi garantire che il tuo dispositivo sia privo di ransomware e che gli aggressori non possano sferrare un nuovo attacco tramite exploit kit o altre vulnerabilità. Un servizio di rimozione ransomware può eliminare il ransomware, creare un documento forense per le indagini, eliminare le vulnerabilità e recuperare i tuoi dati. Utilizza un software antimalware/antiransomware per mettere in quarantena e rimuovere il software dannoso.

Importante:Contattando i servizi di rimozione ransomware puoi assicurarti che il tuo computer e la tua rete non abbiano traccia del ransomware Akira. Inoltre, questi servizi possono applicare patch al tuo sistema, prevenendo nuovi attacchi.

4. Utilizzare un backup per ripristinare i dati

I backup sono il modo più efficiente per ripristinare i dati. Assicurati di conservare backup giornalieri o settimanali, a seconda dell'utilizzo dei dati.

5. Contatta un servizio di recupero ransomware

Se non disponi di un backup o hai bisogno di aiuto per rimuovere il ransomware ed eliminare le vulnerabilità, dovresti contattare un servizio di recupero dati. Il pagamento del riscatto non garantisce che i tuoi dati ti verranno restituiti. L'unico modo garantito per ripristinare ogni file è se ne hai un backup. In caso contrario, i servizi di recupero dati ransomware possono aiutarti a decrittografare e recuperare i file. Gli esperti di SalvageData possono ripristinare in sicurezza i tuoi file e impedire al ransomware Akira di attaccare nuovamente la tua rete. Inoltre, offriamo unrapporto forense digitaleche puoi utilizzare per ulteriori indagini e per capire come è avvenuto l'attacco informatico. Contatta i nostri esperti 24 ore su 24, 7 giorni su 7 per il servizio di ripristino di emergenza.

Previeni l'attacco del ransomware Akira

Prevenire il ransomware è la soluzione migliore per la sicurezza dei dati. è più facile ed economico che recuperarli. Il ransomware Akira può costare il futuro della tua azienda e persino chiudere i battenti. Questi sono alcuni suggerimenti per assicurarti di poterlo fareevitare attacchi ransomware:

  • Antivirus e antimalware
  • Utilizza soluzioni di sicurezza informatica
  • Utilizza password complesse
  • Software aggiornato
  • Sistema operativo aggiornato (OS)
  • Firewall
  • Tieni a portata di mano un piano di ripristino (scopri come creare un piano di ripristino dei dati con la nostra guida approfondita)
  • Pianifica backup regolari
  • Non aprire un allegato e-mail da una fonte sconosciuta
  • Non scaricare file da siti Web sospetti
  • Non fare clic sugli annunci se non sei sicuro che sia sicuro
  • Accedi solo a siti Web provenienti da fonti affidabili

Related Posts

Come gestire la telemetria di Windows 11/10 e la raccolta dei dati

Come gestire la telemetria di Windows 11/10 e la raccolta dei dati

2025-03-27
Come utilizzare Microsoft Edge Game Assist per la navigazione Web in-game

Come utilizzare Microsoft Edge Game Assist per la navigazione Web in-game

2025-03-29
Custodiale vs portafogli non affidadiali: mantieni il tuo cripto sicuro e sano

Custodiale vs portafogli non affidadiali: mantieni il tuo cripto sicuro e sano

2025-05-29
Violazione dei dati di Pandabuy: rischi, conseguenze e suggerimenti per la sicurezza

Violazione dei dati di Pandabuy: rischi, conseguenze e suggerimenti per la sicurezza

2025-09-11
Come convertire il video di YouTube in gioco su iPhone

Come convertire il video di YouTube in gioco su iPhone

2025-05-08
Come disabilitare WebRTC

Come disabilitare WebRTC

2025-11-14
Gemini ora ti consente di creare libri di storia AI personalizzati

Gemini ora ti consente di creare libri di storia AI personalizzati

2025-08-06
Revisione Unifi U7 Lite

Revisione Unifi U7 Lite

2025-03-31
Come eliminare contemporaneamente tutti i video piaciuti e i commenti nell'account YouTube

Come eliminare contemporaneamente tutti i video piaciuti e i commenti nell'account YouTube

2025-01-13
Come eseguire un hard reset Xiaomi/Redmi/Mi con/senza computer? 6 Opzioni

Come eseguire un hard reset Xiaomi/Redmi/Mi con/senza computer? 6 Opzioni

2024-10-14
Etichetta:alternative

Etichetta:alternative

2025-04-07
7 modi per correggere Windows 11 indicizzazione non in esecuzione o funzionamento

7 modi per correggere Windows 11 indicizzazione non in esecuzione o funzionamento

2024-08-01
Propagazione DNS: cos'è e perché è importante

Propagazione DNS: cos'è e perché è importante

2024-11-26
Non sono stato in grado di eseguire la diagnostica di Windows Update

Non sono stato in grado di eseguire la diagnostica di Windows Update

2025-02-07
Correggi le legende apice disconnesse errore di mancata corrispondenza dei dati rilevati

Correggi le legende apice disconnesse errore di mancata corrispondenza dei dati rilevati

2024-01-04