*Fonte del reclamo SH può rimuoverlo.
Abbiamo creato le informazioni di seguito per guidarti nella rimozione del ransomware TellYouThePass e istruirti su come evitare infezioni ripetute. Rimuoverlo è solo metà dell'opera. L'altra parte è eliminare la vulnerabilità CVE-2024-4577 e garantire che sul PC infetto non ci sia nulla che possa ripristinare il ransomware TellYouThePass.
Che tipo di minaccia è il ransomware TellYouThePass?
TellYouThePass è un ransomware "di livello base" emerso per la prima volta nel 2019. Ciò è stato affermato più volte nei notiziari, ma è di ben poca consolazione per le vere vittime del malware. In parole povere: il ransomware TellYouThePass non è molto sofisticato, ma una volta completata la crittografia dei file, non c'è differenza tra esso e altri ransomware. Hai una possibilità molto bassa di recuperare i tuoi file se non disponi di backup.
Recentemente (giugno 2024) TellYouThePass Ransomware ha guadagnato rinnovata attenzione per lo sfruttamento di vulnerabilità scoperte di recente come Log4j di Apache. Ma, a differenza di altri gruppi di criminali informatici, TellYouThePass non mantiene un blog pubblico o un archivio di dati sulle vittime, il che aggiunge un livello di imprevedibilità alle sue operazioni. Si rivolge sia alle imprese che ai privati, con un raggio d'azione incredibilmente ampio in termini di potenziali vittime.
Download Removal Toolto remove TellYouThePassIn passato abbiamo osservato TellYouThePass Rnsomware sfruttare CVE-2021-44228, ma molto più recentemente ha preso di mira la vulnerabilità CVE-2024-4577 appena scoperta. Il gruppo di ransomware sta attualmente sfruttando molto pesantemente l'esecuzione di codice remoto sfruttabile recentemente patchato in PHP. Ciò consente agli aggressori di fornire webshell ed eseguire i propri payload di crittografia sui sistemi di destinazione.
Gli attacchi per cui probabilmente sei qui sono iniziati l'8 giugno, appena 48 ore dopo che i manutentori di PHP hanno rilasciato gli aggiornamenti di sicurezza. Gli aggressori hanno utilizzato codice exploit disponibile pubblicamente (su Github). Ciò comportava l'esecuzione di codice PHP arbitrario utilizzando il file binario di Windows mshta.exe per eseguire un'applicazione HTML dannosa. Il gruppo mostra una chiara preferenza per lo sfruttamento delle vulnerabilità note nei linguaggi di sviluppo web open source. Ciò purtroppo significa che TellYouThePass Ransomware non è limitato a Windows, ma può infettare anche gli utenti Linux.
Come TellYouThePass sfrutta CVE-2024-4577
Queste informazioni sono più adatte a persone esperte di tecnologia:
Diverse versioni di PHP precedenti alla 8.3.8 presentano una vulnerabilità significativa se utilizzate con Apache e PHP-CGI. Se vengono impostate determinate tabelle codici, Windows potrebbe utilizzare un comportamento "Best-Fit", sostituendo i caratteri nella riga di comando fornita alle funzioni API Win32. Tale comportamento fa sì che il CGI confonda questi caratteri con opzioni PHP, il che a sua volta consente a un criminale di passare opzioni al binario PHP. Lo inseriamo qui come semplice spiegazione nel caso in cui desideri il contesto di ciò che sta succedendo.
Se ti abbiamo perso qui, ti consigliamo di contattare un amministratore di sistema o semplicemente di utilizzare SpyHunter come consigliato nei nostri annunci.
Download Removal Toolto remove TellYouThePassTellYouThePass utilizza il file binario Windows mshta.exe per eseguire un file HTA, che è un contenitore per uno script VB con una stringa con codifica base64. La stringa viene decodificata in un binario, carica una variante .NET del ransomware nella memoria dell'host e a quel punto sei già infetto da TellYouThePass Ransomware. Il malware invia una richiesta HTTP a un server di comando e controllo (C2) sotto forma di una falsa richiesta di risorse CSS. Da quel momento in poi funziona come un ransomware standard: crittografa i file sulla macchina infetta.
Dopo aver terminato la crittografia, TellYouThePass Ransomware inserisce una richiesta di riscatto intitolata "READ_ME10.html" con le istruzioni su come ripristinare i file. La maggior parte delle vittime purtroppo si accorge dell’infezione solo a quel punto, quando è troppo tardi per intervenire. L'attuale richiesta di riscatto è fissata a 0,1 BTC (circa 6.700 dollari). Diversi siti Web online sono attualmente infetti e possono fungere da vettori se il problema persiste.
Come evitare infezioni ripetute da TellYouThePass Ransomware
Esistono modi per mitigare l'exploit del difetto PHP e prevenire ulteriori attacchi da parte di TellYouThePass Ransomware (o un altro malware che segue l'esempio). Innanzitutto, puoi applicare una patch ai sistemi interessati, il che sembra un gioco da ragazzi. Ma è un passaggio essenziale. Molti siti Web non si aggiornano regolarmente per paura di interrompere le funzionalità nel back-end o nel front-end, ma ciò garantisce che il virus non ritorni.
Secondo, non eseguire PHP con la modalità CGI abilitata. Come puoi vedere con Log4j, è difficile aggiornare ogni sistema interessato da un difetto in un linguaggio di scripting web. Puoi migrare verso architetture più sicure come Mod-PHP, FastCGI o PHP-FPM. In generale PHP CGI è obsoleto e problematico.
Puoi anche seguire altre best practice, ma queste sono più generali e non direttamente correlate a TellYouThePass Ransomware. Fai regolarmente il punto su tutte le risorse e le applicazioni nel tuo ambiente di lavoro. Puoi correggere eventuali vulnerabilità che li riguardano. Utilizza la tecnologia firewall Web per fermare gli attacchi e poiché sei qui, ti consigliamo di acquistare un programma anti-malware come prima linea di difesa.
Cosa puoi fare per mitigare il danno causato dal ransomware TellYouThePass?
È fondamentale agire immediatamente e spegnere il dispositivo infetto se si rileva subito TellYouThePass Ransomware. Isola immediatamente il sistema infetto da altri dispositivi sulla rete altrimenti il ransomware può diffondersi su di essi. Ciò aiuta a contenere l'infezione e impedisce l'ulteriore crittografia dei file.
Successivamente, identifica il ceppo di ransomware con cui hai a che fare. Sapendo che è TellYouThePass ciò significa che ai file verrà aggiunta l'estensione .LOCKED. Puoi trovare strumenti o risorse di decrittazione specifici qui, ma probabilmente non ti aiuteranno. Sfortunatamente, non esiste un metodo garantito per decrittografare i file senza pagare il riscatto, ma rivolgersi alle società di sicurezza informatica può fornire delle opzioni.
Il ripristino del backup è la soluzione migliore per ripristinare i file, ma è fattibile solo se si dispone di backup in primo luogo. Se li possiedi, assicurati che siano archiviati offline altrimenti TellYouThePass Ransomwaare può diffondersi ad essi. Assicurati di pulire accuratamente i tuoi sistemi prima di ripristinare il sistema allo stato precedente all'attacco per evitare una nuova infezione.
Learn how to remove TellYouThePass from your computer
- Step 1. Elimina TellYouThePass tramite anti-malware
- Step 2. Elimina TellYouThePass utilizzando Ripristino configurazione di sistema
- Step 3. Recupera i tuoi dati
Step 1. Elimina TellYouThePass tramite anti-malware
a) Windows 7 / Vista / XP
- Start → Spegni → Riavvia.
- Quando il PC inizia a caricarsi, continuare a premere F8 finché non vengono visualizzate le opzioni di avvio avanzate.
- Seleziona Modalità provvisoria con rete.
- Quando il computer viene caricato, scarica l'anti-malware utilizzando il browser.
- Usa l'anti-malware per sbarazzarti del ransomware.
b) Windows 8/10
- Apri il menu Start, premi il logo Power.
- Tieni premuto il tasto Maiusc e premi Riavvia.
- Quindi Risoluzione dei problemi → Opzioni avanzate → Impostazioni di avvio.
- Vai a Abilita modalità provvisoria (o Modalità provvisoria con rete).
- Premi Riavvia.
- Quando il computer viene caricato, scarica l'anti-malware utilizzando il browser.
- Usa l'anti-malware per sbarazzarti del ransomware.
Step 2. Elimina TellYouThePass utilizzando Ripristino configurazione di sistema
a) Windows 7 / Vista / XP
- Start → Spegni → Riavvia.
- Quando il PC inizia a caricarsi, continuare a premere F8 finché non vengono visualizzate le opzioni di avvio avanzate.
- Seleziona Modalità provvisoria con prompt dei comandi.
- Nella finestra che appare, digita cd restore e premi Invio.
- Digita rstrui.exe e premi Invio.
- Nella finestra che appare, seleziona un punto di ripristino e premi Avanti. Assicurati che il punto di ripristino sia precedente all'infezione.
- Nella finestra di conferma visualizzata, premere Sì.
b) Windows 8/10
- Apri il menu Start, premi il logo Power.
- Tieni premuto il tasto Maiusc e premi Riavvia.
- Quindi Risoluzione dei problemi → Opzioni avanzate → Prompt dei comandi.
- Fare clic su Riavvia.
- Nella finestra che appare, digita cd restore e premi Invio.
- Digita rstrui.exe e premi Invio.
- Nella finestra che appare, premi Avanti, scegli un punto di ripristino (prima dell'infezione) e premi Avanti.
- Nella finestra di conferma visualizzata, premere Sì.
Step 3. Recupera i tuoi dati
a) Metodo 1. Utilizzo di Data Recovery Pro per recuperare i file
- Ottieni Data Recovery Pro dal sito ufficiale.
- Installalo e aprilo.
- Usa il programma per cercare file crittografati.
- Se i file sono recuperabili, il programma ti permetterà di farlo.
b) Metodo 2. Utilizzo delle versioni precedenti di Windows per recuperare i file
Affinché questo metodo funzioni, è necessario che Ripristino configurazione di sistema sia stato abilitato prima delle infezioni.- Fare clic con il pulsante destro del mouse sul file che si desidera ripristinare.
- Seleziona Proprietà.
- Vai alla scheda Versioni precedenti, seleziona la versione del file che desideri e fai clic su Ripristina.
c) Metodo 3. Utilizzo di Shadow Explorer per recuperare i file
Il tuo sistema operativo crea automaticamente copie shadow dei tuoi file in modo che tu possa recuperare i file se il tuo sistema si è bloccato. È possibile ripristinare i file in questo modo dopo un attacco ransomware, ma alcune minacce riescono a eliminare le copie shadow. Se sei fortunato, dovresti essere in grado di recuperare i file tramite Shadow Explorer.- È necessario scaricare il programma Shadow Explorer, che può essere ottenuto dal sito ufficiale, shadowexplorer.com.
- Installalo e aprilo.
- Seleziona il disco in cui si trovano i file, scegli la data e quando vengono visualizzate le cartelle con i file, premi Esporta.