RZML Virus (.rzml File) Ransomware — Correggi e decifra i dati

by Brendan Smith
Settembre 2, 2023

Il virus Rzml è una famiglia STOP/DJVU di infezioni di tipo ransomware. Questo virus crittografa i tuoi file (video, foto, documenti) che possono essere monitorati da una specifica estensione “.rzml”. Utilizza un metodo di crittografia forte, che rende impossibile calcolare la chiave in alcun modo.

Rzml utilizza una chiave univoca per ogni vittima, con un’eccezione:

  • Se Rzml non riesce a stabilire una connessione al proprio server di comando e controllo (Server C&C) prima di avviare il processo di crittografia, utilizza la chiave offline. Questa chiave è la stessa per tutte le vittime e consente di decrittografare i file crittografati durante un attacco ransomware.

Ho raccolto una raccolta completa di tutte le possibili soluzioni, suggerimenti e pratiche per neutralizzare il virus Rzml e decrittare i file. In alcuni casi, è facile recuperare i file. E a volte è semplicemente impossibile.

Esistono diversi metodi universali per il recupero di file .rzml crittografati, che verranno illustrati di seguito. È fondamentale leggere attentamente l’intero manuale di istruzioni e assicurarsi di capirlo tutto. Non saltare alcun passaggio. Ognuno di questi passaggi è molto importante e deve essere completato da te.

Rzml virus?

☝️ Rzml può essere correttamente identificato come virus di tipo ransomware STOP/DJVU.

Rzml

🤔 Rzml virus è un ransomware che ha origine dalla famiglia DJVU/STOP. Il suo scopo principale è crittografare i file che sono importanti per te. Dopo che il virus ransomware chiede alle sue vittime una tassa di riscatto ($490-$980) in BitCoin.

Il ransomware Rzml è un tipo specifico di minaccia che crittografa i tuoi file e quindi ti costringe a pagare per ripristinarli. Tieni presente che la famiglia Djvu/STOP ransomware è stata rivelata e scoperta per la prima volta dall’analista di virus Michael Gillespie.

Il virus Rzml è sostanzialmente simile ad altri ransomware DJVU come: Rzkd, Teza , Nzqw. Questo virus crittografa tutti i tipi di file più diffusi e aggiunge la propria estensione “.rzml” a tutti i file. Ad esempio, il file “1.jpg”, verrà modificato in “1.jpg.rzml“. Non appena la crittografia è completata, il virus rilascia uno speciale file di testo “_readme.txt” e lo inserisce in tutte le cartelle che contengono i file modificati.

L’immagine sotto dà una visione chiara di come appaiono i file con estensione “.rzml”:

Rzml Virus - encrypted .rzml files

File Rzml (STOP/DJVU ransomware)

Nome Virus Rzml
Famiglia ransomware1 DJVU/STOP2 ransomware
Estensione .rzml
Nota ransomware _readme.txt
Riscatto Da $ 490 a $ 980 (in Bitcoin)
Contatta [email protected], [email protected]
Rilevamento Spyware:Win32/Stealc, Trojan:Win32/Gepys.A!MTB, Win32:Monder-V [Trj]
Sintomi
  • Cripta la maggior parte dei tuoi file (foto, video, documenti) e aggiunge una particolare estensione “.rzml”;
  • Può eliminare le copie Shadow del volume per rendere impossibili i tentativi della vittima di ripristinare i dati;
  • Installa nel sistema un trojan che ruba le password, come Vidar Stealer o RedLine Stealer;
  • Riesce a installare la backdoor SmokeLoader.
Strumento di correzione Per rimuovere possibili infezioni da malware, scansiona il tuo PC:
Prova gratuita di 6 giorni disponibile.

Questo messaggio che chiede il pagamento è per recuperare i file tramite la chiave di decrittazione:

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – L’avviso spaventoso che chiede agli utenti di pagare il riscatto per decifrare i dati codificati contiene questi avvertimenti frustranti

Il ransomware Rzml arriva come un insieme di processi che hanno lo scopo di eseguire diverse attività sul computer di una vittima. Uno dei primi ad essere lanciato è winupdate.exe, un processo complicato che visualizza un falso prompt di aggiornamento di Windows durante l’attacco. Questo ha lo scopo di convincere la vittima che un improvviso rallentamento del sistema è causato da un aggiornamento di Windows. Tuttavia, allo stesso tempo, il ransomware esegue un altro processo (di solito denominato da quattro caratteri casuali) che avvia la scansione del sistema per i file di destinazione e la crittografia. Successivamente, il ransomware elimina le copie shadow del volume dal sistema utilizzando il seguente comando CMD:

vssadmin.exe Delete Shadows /All /Quiet

Una volta eliminato, diventa impossibile ripristinare lo stato precedente del computer utilizzando i punti di ripristino del sistema. Il fatto è che gli operatori di ransomware si stanno sbarazzando di qualsiasi metodo basato sul sistema operativo Windows che potrebbe aiutare la vittima a ripristinare i file gratuitamente. Inoltre, i truffatori modificano il file HOSTS di Windows aggiungendo un elenco di domini e mappandoli all’IP localhost. Di conseguenza, la vittima incontrerà un errore DNS_PROBE_FINISHED_NXDOMAIN quando accede a uno dei siti Web bloccati.

Abbiamo notato che il ransomware tenta di bloccare i siti Web che pubblicano varie guide pratiche per gli utenti di computer. È evidente che limitando domini specifici, i truffatori cercano di impedire alla vittima di accedere a informazioni pertinenti e utili relative agli attacchi ransomware online. Il virus salva anche due file di testo sul computer della vittima che forniscono dettagli relativi all’attacco: la chiave di crittografia pubblica e l’ID personale della vittima. Questi due file sono chiamati bowsakkdestx.txt e PersonalID.txt.

Rzml ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Dopo tutte queste modifiche, il malware non si ferma. Le varianti di STOP/DJVU tendono a rilasciare Trojan AZORULT per il furto di password sui sistemi compromessi. Questa minaccia ha un lungo elenco di funzionalità, come ad esempio:

  • Rubare login/password di Steam, Telegram, Skype;
  • Rubare portafogli di criptovaluta;
  • Scaricare malware sul computer ed eseguirlo;
  • Rubare cookie del browser, password salvate, cronologia di navigazione e altro;
  • Visualizzazione e manipolazione di file sul computer della vittima;
  • Consentire agli hacker di eseguire altre attività in remoto sul computer della vittima.

L’algoritmo di crittografia utilizzato dal virus DJVU/STOP è AES-256. Quindi, se i tuoi dati sono stati crittografati con una chiave di decrittazione online, che è totalmente unica. La triste realtà è che è impossibile decrittografare i file senza la chiave univoca.

Nel caso in cui Rzml abbia funzionato in modalità online, è impossibile accedere alla chiave AES-256. È memorizzato su un server distante di proprietà dei criminali che promuovono il virus Rzml.

Per ricevere la chiave di decrittazione il pagamento dovrebbe essere di $980. Per ottenere i dettagli del pagamento, le vittime sono incoraggiate dal messaggio a contattare i truffatori via e-mail ([email protected]).

Non pagare per Rzml!

Per favore, prova a utilizzare i backup disponibili o lo strumento Decrypter

Il file _readme.txt indica anche che i proprietari del computer devono mettersi in contatto con i rappresentanti di Rzml durante 72 ore a partire dal momento in cui i file sono stati crittografati. A condizione di essere contattati entro 72 ore, agli utenti verrà concesso uno sconto del 50%. Quindi l’importo del riscatto sarà ridotto al minimo fino a $ 490. Eppure, stai lontano dal pagare il riscatto!

Consiglio vivamente di non contattare queste frodi e di non pagare. Una delle soluzioni più vere per recuperare i dati persi – semplicemente usando i backup disponibili, oppure usa Decrypter strumento.

La particolarità di tutti questi virus applica un insieme simile di azioni per generare la chiave di decrittazione univoca per recuperare i dati cifrati.

Pertanto, a meno che il ransomware non sia ancora in fase di sviluppo o non possieda alcuni difetti difficili da rilevare, il ripristino manuale dei dati cifrati è una cosa che non puoi eseguire. L’unica soluzione per prevenire la perdita dei tuoi preziosi dati è eseguire regolarmente backup dei tuoi file cruciali.

Nota che anche se mantieni questi backup regolarmente, dovrebbero essere messi in una posizione specifica senza bighellonare, senza essere collegati alla tua workstation principale.

Ad esempio, il backup può essere conservato sull’unità flash USB o su un disco rigido esterno alternativo. Facoltativamente, puoi fare riferimento all’aiuto dell’archiviazione delle informazioni online (cloud).

Inutile dire che quando mantieni i tuoi dati di backup sul tuo dispositivo comune, potrebbero essere cifrati in modo simile così come altri dati.

Per questo motivo, individuare il backup sul computer principale non è sicuramente un’idea saggia.

Come sono stato contagiato?

Il ransomware ha vari metodi da incorporare nel tuo sistema. Ma non importa quale metodo abbia avuto luogo nel tuo caso.

Rzml infection attack

Attacco di virus Rzml a seguito di un tentativo di phishing riuscito.

Tuttavia, queste sono le perdite comuni attraverso le quali può essere iniettato nel tuo PC:

  • installazione nascosta insieme ad altre app, in particolare le utility che funzionano come freeware o shareware;
  • collegamento dubbio nelle e-mail di spam che portano al programma di installazione del virus
  • risorse di hosting gratuito online;
  • utilizzo di risorse peer-to-peer (P2P) illegali per scaricare software piratato.

Ci sono stati casi in cui il virus Rzml è stato camuffato da uno strumento legittimo, ad esempio, nei messaggi che richiedono l’avvio di alcuni software indesiderati o aggiornamenti del browser. Questo è in genere il modo in cui alcune frodi online mirano a costringerti a installare manualmente il ransomware Rzml, facendoti effettivamente partecipare direttamente a questo processo.

Sicuramente, l’avviso di aggiornamento fasullo non indicherà che stai per iniettare effettivamente il virus. Questa installazione sarà nascosta sotto alcuni avvisi che menzionano che dovresti aggiornare Adobe Flash Player o qualche altro programma dubbioso di sorta.

Naturalmente, anche le app crackate rappresentano il danno. L’utilizzo di P2P è illegale e può comportare l’iniezione di malware gravi, incluso il ransomware Rzml.

Per riassumere, cosa puoi fare per evitare l’iniezione del ransomware Rzml nel tuo dispositivo? Anche se non esiste una garanzia al 100% per evitare che il tuo PC si danneggi, ci sono alcuni suggerimenti che voglio darti per prevenire la penetrazione di Rzml. Devi essere cauto durante l’installazione di software gratuito oggi.

Assicurati di leggere sempre cosa offrono gli installatori oltre al programma gratuito principale. Evita di aprire allegati e-mail dubbi. Non aprire file da destinatari sconosciuti. Naturalmente, il tuo attuale programma di sicurezza deve essere sempre aggiornato.

Il malware non parla apertamente di se stesso. Non sarà menzionato nell’elenco dei tuoi programmi disponibili. Tuttavia, verrà mascherato da alcuni processi dannosi in esecuzione regolarmente in background, a partire dal momento in cui avvii il PC.

Come rimuovere il virus Rzml?

Oltre a codificare i file di una vittima, l’infezione Rzml ha anche iniziato a installare lo diversi spyware sul sistema per rubare credenziali dell’account, portafogli di criptovaluta, file desktop e altro ancora.3
Motivi per cui consiglierei GridinSoft4

  1. Esegui il file di installazione.

    Run Setup.exe
    GridinSoft Anti-Malware Setup

  2. Premi il pulsante “Installa”.

    GridinSoft Anti-Malware Install

  3. Una volta installato, Anti-Malware verrà eseguito automaticamente.

    GridinSoft Anti-Malware Splash-Screen

  4. Wait for complete.

    GridinSoft Anti-Malware Scanning

  5. Fare clic su “Pulisci ora”.

    GridinSoft Anti-Malware Scan Result

    6. Guida video

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment