LockBit (.lockbit) Mac ransomware virus - opzioni di rimozione e decrittazione
Scitto da Tomas Meskauskas il (aggiornato)
Che cos'è LockBit ransomware?
LockBit è il nome di un ransomware che prende di mira i sistemi operativi Mac (OS). È associato alla banda del ransomware LockBit: gli sviluppatori di LockBit, LockBit 2.0, LockBit 3.0 e varie altre varianti. Il suddetto malware prende di mira i server Windows, Linux e VMware ESXi.
Al momento in cui scriviamo, LockBit (Mac) è il primo ransomware noto per MacOS sviluppato da una vasta banda di criminali informatici. Tuttavia, il campione che abbiamo ricercato è ancora in fase di sviluppo ed è stato rilasciato per i test.
In genere, il ransomware opera crittografando i file delle vittime per richiedere il pagamento per la loro decrittazione. È altamente improbabile che questa versione di LockBit svolga il suo scopo. In primo luogo, la sua firma non valida viene rilevata come non attendibile dai sistemi operativi e il ransomware tende a bloccarsi durante l'esecuzione manuale. Tuttavia, va detto che potenziali varianti future potrebbero essere in grado di crittografare con successo i dispositivi Mac.
Panoramica del ransomware LockBit
La variante ricercata di LockBit si rivolge a dispositivi con Apple Silicon, ma può essere lanciata anche su versioni precedenti. Secondo l'analisi condotta da Objective-See, LockBit's utilizza il codice della versione Linux compilato per Mac. Contiene anche artefatti delle varianti Windows del ransomware, che sono del tutto irrilevanti per i sistemi operativi Mac.
Sulla base del fatto che questo programma dannoso è il primo ransomware per Mac di una vasta banda di ransomware e il suo design imperfetto, è evidente che questa versione di LockBit è stata rilasciata a scopo di test.
Anche la nota di riscatto ("!!!-Restore-My-Files-!!!.txt") creata da un'esecuzione riuscita di questo malware contiene un testo generico che sarebbe appropriato per i ransomware che prendono di mira le aziende e sono in grado di esfiltrare i dati (per finalità di doppia estorsione), cosa che questa variante non è in grado di fare.
Questo ransomware attualmente rappresenta una minaccia minima o nulla per gli utenti Mac. I sistemi operativi Mac rilevano la firma non valida del malware e visualizzano avvisi o semplicemente non sono in grado di aprire il file infetto.
Potrebbe essere possibile per gli utenti eseguire manualmente il file e quindi attivare il processo di crittografia di LockBit, che comporterebbe la crittografia dei dati e aggiungerebbe i nomi dei file interessati con un'estensione ".lockbit" (ad esempio, "1.jpg" apparirebbe come " 1.jpg.lockbit", "3.png" come "3.png.lockbit", ecc.). Tuttavia, durante la nostra analisi e negli sforzi di ricerca intrapresi da altri analisti, il ransomware in genere si arrestava in modo anomalo a causa del suo codice difettoso.
Pertanto, sebbene possa crittografare con successo i dati, è improbabile che ciò avvenga nella sua attuale iterazione. Tuttavia, i gravi difetti di questa variante potrebbero essere corretti nelle versioni future, il che significa che le versioni successive potrebbero essere in grado di crittografare i dispositivi delle vittime.
Un ransomware ben progettato è altamente pericoloso. I file crittografati da tale malware non possono essere decrittografati senza l'interferenza degli aggressori. Tuttavia, è fortemente sconsigliato soddisfare le richieste di riscatto, poiché il recupero dei dati non è garantito (i criminali informatici spesso non inviano le chiavi/il software di decrittazione) e anche il pagamento supporta questa attività illegale.
Il consiglio generale che possiamo dare per garantire la sicurezza dei dati è di conservare i backup in più posizioni diverse (ad esempio, server remoti, dispositivi di archiviazione scollegati, ecc.).
Nome | LockBit virus |
Tipologia di minaccia | Mac malware, Mac virus, Ransomware, Crypto Virus, Files locker |
Estensioni dei file criptati | .lockbit |
Messaggio di richiesta riscatto | !!!-Restore-My-Files-!!!.txt |
Strumenti di decriptazione gratuita? | No (controlla il Sito web del progetto No More Ransom) |
Contatti dei criminali | Tor network websites |
Nomi rilevati | Avast (Multi:Filecoder-X [Ransom]), Ikarus (Win32.Outbreak), Kaspersky (HEUR:Trojan-Ransom.OSX.Agent.gen), TrendMicro ( Ransom.MacOS.LOCKBIT.YXDDPZ), ZoneAlarm by Check Point ( HEUR:Trojan-Ransom.OSX.Agent.gen), elenco completo dei rilevamenti (VirusTotal) |
Sintomi | Impossibile aprire i file memorizzati sul tuo computer, i file precedentemente funzionanti ora hanno un'estensione diversa (ad esempio, 1.jpg.locked). Sul desktop viene visualizzato un messaggio di richiesta di riscatto. I criminali informatici richiedono il pagamento di un riscatto (di solito in bitcoin) per sbloccare i tuoi file. |
Metodi distributivi | Allegati email infetti, siti Web torrent, annunci dannosi. |
Danni | Tutti i file sono crittografati e non possono essere aperti senza pagare un riscatto. Ulteriori trojan che rubano password e infezioni da malware possono essere installati insieme a un'infezione da ransomware. |
Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware per Mac
Abbiamo analizzato innumerevoli programmi dannosi che hanno come obiettivo i sistemi operativi Mac.; MacStealer, GIMMICK, DazzleSpy, SysJoker – sono solo alcuni esempi, e EvilQuest è un ransomware specifico per Mac.
Il malware può avere un'ampia varietà di scopi, dalla crittografia dei file al furto di dati. Sebbene il ransomware funzioni praticamente allo stesso modo (ovvero crittografa i dati e richiede il pagamento), questi programmi presentano due differenze significative nel mezzo. Possono utilizzare diversi algoritmi crittografici (simmetrici o asimmetrici) e chiedere riscatti di varie dimensioni.
Tuttavia, indipendentemente dal modo in cui opera il software dannoso, la sua presenza su un sistema mette a rischio l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il rilevamento.
In che modo un ransomware ha infettato il mio computer?
Ogni malware viene distribuito principalmente utilizzando tattiche di phishing e ingegneria sociale. È comunemente camuffato o in bundle con programmi/media regolari. I file virulenti possono essere in vari formati e infettare i dispositivi dopo essere stati aperti.
I metodi di proliferazione più utilizzati includono: download drive-by (furtivi/ingannevoli), allegati o collegamenti dannosi in e-mail/messaggi di spam, truffe online, fonti di download dubbie (ad es. condivisione di reti, ecc.), software piratato e strumenti di attivazione di programmi illegali ("cracking") e falsi aggiornamenti.
Come proteggersi dalle infezioni da ransomware?
Consigliamo vivamente di prestare attenzione durante la navigazione poiché i contenuti online fraudolenti e dannosi di solito appaiono legittimi e innocui. La stessa vigilanza deve essere estesa alle e-mail e agli altri messaggi in arrivo. Gli allegati o i collegamenti trovati nella posta sospetta/irrilevante non devono essere aperti, in quanto possono essere infettivi.
Inoltre, tutti i download devono essere eseguiti da canali ufficiali e verificati. È altrettanto importante attivare e aggiornare il software utilizzando funzioni/strumenti originali, in quanto quelli acquisiti da fonti di terze parti potrebbero contenere malware.
Dobbiamo sottolineare che avere un antivirus affidabile installato e mantenuto aggiornato è essenziale per la sicurezza del dispositivo/utente. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le minacce rilevate. Se il tuo computer è già stato infettato da LockBit, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente questo ransomware.
Schermata della richiesta di riscatto di LockBit ransomware ("!!!-Restore-My-Files-!!!.txt"):
Testo presentato in questo messaggio:
~~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
Tor Browser Links:
-
Links for normal browser:
-
...
>>>> Very important! For those who have cyber insurance against ransomware attacks.
Insurance companies require you to keep your insurance information secret, this is to never pay the maximum amount specified in the contract or to pay nothing at all, disrupting negotiations. The insurance company will try to derail negotiations in any way they can so that they can later argue that you will be denied coverage because your insurance does not cover the ransom amount. For example your company is insured for 10 million dollars, while negotiating with your insurance agent about the ransom he will offer us the lowest possible amount, for example 100 thousand dollars, we will refuse the paltry amount and ask for example the amount of 15 million dollars, the insurance agent will never offer us the top threshold of your insurance of 10 million dollars. He will do anything to derail negotiations and refuse to pay us out completely and leave you alone with your problem. If you told us anonymously that your company was insured for $10 million and other important details regarding insurance coverage, we
>>>>> If you do not pay the ransom, we will attack your company again in the future.
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cos'è "LockBit"?
- STEP 1. Rimuovi i file e le cartelle relativi a delle PUA da OSX.
- STEP 2. Rimuovi le estensioni non autorizzate da Safari.
- STEP 3. Rimuovi i componenti aggiuntivi canaglia da Google Chrome.
- STEP 4. Rimuovere i plug-in potenzialmente indesiderati da Mozilla Firefox.
Rimozione di applicazioni potenzialmente indesiderate:
Rimuovi le applicazioni potenzialmente indesiderate dalla cartella "Applicazioni":
Fare clic sull'icona del Finder. Nella finestra del Finder, seleziona "Applicazioni". Nella cartella delle applicazioni, cerca "MPlayerX", "NicePlayer" o altre applicazioni sospette e trascinale nel Cestino. Dopo aver rimosso le applicazioni potenzialmente indesiderate che causano annunci online, scansiona il tuo Mac alla ricerca di eventuali componenti indesiderati rimanenti.
Rimuovere i file e le cartelle legate a lockbit virus:
Cliccare l'icona del Finder, dal menu a barre, scegliere Vai, e cliccare Vai alla Cartella...
Verificare la presenza di file generati da adware nella cartella / Library / LaunchAgents:
Nella barra Vai alla Cartella..., digita: /Library/LaunchAgents
Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.
Verificare la presenza di file generati da adware nella cartella /Library/Application Support:
Nella barra Vai alla Cartella..., digita: /Library/Application Support
Nella cartella “Application Support”, lcercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “MplayerX” o “NicePlayer”,
Verificare la presenza di file generati da adware nella cartella ~/Library/LaunchAgents:
Nella barra Vai alla Cartella..., digita: ~/Library/LaunchAgents
Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.
Verificare la presenza di file generati da adware nella cartella /Library/LaunchDaemons:
Nella barra Vai alla Cartella..., digita: /Library/LaunchDaemons
Nella cartella “LaunchDaemons”, cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc..
Scansiona il tuo Mac con Combo Cleaner:
Se hai seguito tutti i passaggi nell'ordine corretto, il Mac dovrebbe essere privo di infezioni. Per essere sicuro che il tuo sistema non sia infetto, esegui una scansione con Combo Cleaner Antivirus. Scaricalo QUI. Dopo aver scaricato il file fare doppio clic sul programma di installazione combocleaner.dmg, nella finestra aperta trascinare e rilasciare l'icona Combo Cleaner in cima all'icona Applicazioni. Ora apri il launchpad e fai clic sull'icona Combo Cleaner. Attendere fino a quando Combo Cleaner aggiorna il suo database delle definizioni dei virus e fare clic sul pulsante "Avvia scansione combinata".
Combo Cleaner eseguirà la scansione del tuo Mac alla ricerca di infezioni da malware. Se la scansione antivirus mostra "nessuna minaccia trovata", significa che è possibile continuare con la guida alla rimozione, altrimenti si consiglia di rimuovere eventuali infezioni trovate prima di continuare.
Dopo aver rimosso i file e le cartelle generati dal adware, continuare a rimuovere le estensioni canaglia dal vostro browser Internet.
LockBit virus rimozione da homepage e motore di ricerca degli Internet browsers:
Rimuovere le estensioni malevole da Safari:
Rimuovere le estensioni di lockbit virus da Safari:
Aprire Safari, Dalla barra del menu, selezionare "Safari" e clicare su "Preferenze...".
Nella finestra delle preferenze, selezionare "Estensioni" e cercare eventuali estensioni sospette recentemente installate. Quando le trovate, fare clic sul pulsante "Disinstalla". Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Safari - nessuna è fondamentale per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Safari.
Rimuovere le estensioni malevole da Mozilla Firefox:
Rimuovere i componenti aggiuntivi legati a lockbit virus da Mozilla Firefox:
Aprire il browser Mozilla Firefox. In alto a destra dello schermo, fare clic sul pulsante (tre linee orizzontali) "Apri Menu". Dal menu aperto, scegliere "componenti aggiuntivi".
Scegliere la scheda "Estensioni" e cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando vengono trovati, fare clic sul pulsante "Rimuovi" che si trova accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Mozilla Firefox - nessuna è cruciale per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Mozilla Firefox.
Rimuovere estensioni pericolose da Google Chrome:
Rimuovere le estensioni di lockbit virus da Google Chrome:
Aprire Google Chrome e fare clic sul pulsante (tre linee orizzontali) "Menu Chrome" che si trova nell'angolo in alto a destra della finestra del browser. Dal menu a discesa, scegliere "Altri strumenti" e selezionare "Estensioni".
Nella finestra "Estensioni", cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando li trovate, fate clic sul pulsante "Cestino" accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Google Chrome - non ce ne sono di fondamentali per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Google Chrome.
Domande Frequenti (FAQ)
In che modo è stato violato il mio computer e in che modo gli hacker hanno crittografato i miei file?
Le vittime stesse spesso eseguono (aperti) eseguibili ransomware poiché questi file possono essere camuffati o raggruppati con contenuti ordinari. I programmi di tipo ransomware vengono distribuiti principalmente tramite download drive-by, email/messaggi di spam, truffe online, canali di download non affidabili (ad es. siti di freeware e di terze parti, reti di condivisione P2P, ecc.), strumenti di attivazione di software illegali ("crack" ) e falsi aggiornamenti.
Come aprire i file ".lockbit"?
Se i tuoi file sono stati crittografati con successo da un ransomware, possono essere aperti/utilizzati solo dopo essere stati decrittati.
Dove dovrei cercare strumenti di decrittazione gratuiti per LockBit ransomware?
In caso di attacco ransomware, ti consigliamo di dare un'occhiata al sito del progetto No More Ransom.
Posso pagarti un sacco di soldi, puoi decifrare i file per me?
Non offriamo tali servizi. Infatti, a parte i casi che coinvolgono ransomware profondamente difettoso, la decrittazione è impossibile senza l'interferenza dei criminali informatici. Pertanto, le terze parti che offrono la decrittazione a pagamento sono spesso truffe o servizi di intermediazione tra vittime e criminali.
Combo Cleaner mi aiuterà a rimuovere il ransomware LockBit?
Sì, Combo Cleaner eseguirà la scansione del tuo dispositivo ed eliminerà le infezioni ransomware rilevate. Va sottolineato che mentre l'utilizzo di un programma antivirus è il primo passo per il ripristino del sistema dall'infezione da ransomware, il software di sicurezza non è in grado di decrittografare i dati.
▼ Mostra Discussione