Ransomware

GREEDYFATHER è un tipo di ransomware, un software dannoso che crittografa i dati sul computer della vittima e richiede un riscatto per la sua decrittazione. Questo articolo fornirà una comprensione completa del ransomware GREEDYFATHER, dei suoi metodi di infezione, delle estensioni di file che aggiunge, della crittografia che utilizza, della richiesta di riscatto che crea e dei potenziali strumenti e metodi di decrittazione. GREEDYFATHER Ransomware aggiunge il file .GREEDYFATHER estensione ai nomi dei file crittografati. Ad esempio, un file denominato 1.jpg verrebbe rinominato in 1.jpg.GREEDYFATHER. L'algoritmo di crittografia specifico utilizzato dal ransomware GREEDYFATHER non è esplicitamente menzionato nei risultati della ricerca. Tuttavia, il ransomware utilizza in genere algoritmi di crittografia avanzati, come AES (Advanced Encryption Standard) o RSA (Rivest-Shamir-Adleman), per crittografare i file. Questi metodi di crittografia sono praticamente indistruttibili senza la chiave di decrittazione corretta. Dopo aver crittografato i file, GREEDYFATHER crea una richiesta di riscatto denominata GREEDYFATHER.txt in ogni directory contenente i file crittografati. La nota rassicura la vittima sul fatto che i file crittografati possono essere ripristinati e le chiede di inviare un paio di file bloccati agli aggressori per una decrittazione di prova. Mette inoltre in guardia contro l'uso di strumenti di decrittazione gratuiti.

Ljaz Ransomware è un tipo di software dannoso che crittografa i file sul computer della vittima, rendendoli inaccessibili. Gli aggressori richiedono quindi un riscatto, spesso sotto forma di criptovaluta, in cambio della fornitura della chiave di decrittazione o dello strumento necessario per sbloccare i file crittografati. Ljaz Ransomware aggiunge il file .ljaz estensione del file ai file crittografati. Ljaz Ransomware crea una richiesta di riscatto in un file di testo denominato _readme.txt. Questa nota di solito contiene istruzioni su come pagare il riscatto per ottenere la chiave o lo strumento di decrittazione. La famiglia STOP/Djvu Ransomware utilizza l'algoritmo di crittografia Salsa20 per crittografare i file della vittima. Utilizza anche la crittografia RSA, che è uno dei metodi di crittografia più comunemente utilizzati dai gruppi di ransomware. Il ransomware inizia la sua catena di esecuzione con diversi livelli di offuscamento progettati per rallentare l'analisi del suo codice da parte degli analisti delle minacce e dei sandbox automatizzati.

Ljuy Ransomware è un tipo di malware che appartiene alla famiglia Djvu. È progettato per infiltrarsi in un sistema informatico, crittografare i file e quindi richiedere un riscatto per la decrittografia di questi file. Il ransomware utilizza un robusto algoritmo di cifratura noto come Salsa20, comune a tutti gli altri membri della famiglia di ransomware STOP/Djvu. Una volta all'interno di un sistema, Ljuy ransomware crittografa i file e aggiunge la sua estensione (.ljuy) ai nomi dei file. Ad esempio, cambia 1.jpg a 1.jpg.ljuy, 2.png a 2.png.ljuy, e così via. Ljuy ransomware crea un file di testo denominato _readme.txt, che funge da richiesta di riscatto. Questa nota contiene informazioni di pagamento e di contatto. Informa la vittima che i suoi file, incluse immagini, database, documenti e altri dati cruciali, sono stati crittografati utilizzando un potente algoritmo e possono essere recuperati solo tramite l'acquisto di uno strumento di decrittazione.

BuLock Ransomware è un tipo di software dannoso, o malware, che crittografa i file sul computer o sulla rete di una vittima, rendendoli inaccessibili. Gli aggressori richiedono quindi un riscatto alla vittima in cambio della chiave di decrittazione per sbloccare i file. Il ransomware è noto anche come Crypto Virus o File Locker a causa delle sue capacità di crittografia. BuLock Ransomware aggiunge il file .bulock16 estensione ai file che crittografa. La cifra nell'estensione può variare a seconda della variante del ransomware. BuLock Ransomware utilizza una combinazione di algoritmi crittografici RSA e AES per crittografare i file. Si tratta di metodi di crittografia robusti che rendono difficile decrittografare i file senza la chiave di decrittografia specifica. BuLock Ransomware crea una richiesta di riscatto denominata HOW_TO_BACK_FILES.html. Questa nota informa la vittima che la sua rete è stata compromessa e i suoi file crittografati. Si avverte inoltre che gli aggressori hanno sottratto alla rete dati riservati, che minacciano di vendere o divulgare online se non viene pagato il riscatto. La nota offre inoltre alla vittima la possibilità di testare la decrittazione su 2-3 file prima di pagare il riscatto.

Hhaz Ransomware è un tipo di software dannoso che crittografa i dati di un utente, rendendoli inaccessibili. È una variante associata alla famiglia di ransomware Djvu. Il ransomware altera i nomi dei file aggiungendo l'estensione .hhaz estensione e crea un file di testo denominato _readme.txt che include una richiesta di riscatto. Ad esempio, si trasforma 1.jpg ai miglioramenti 1.jpg.hhaz, 2.png ai miglioramenti 2.png.hhaz, e così via. Il ransomware Hhaz utilizza l'algoritmo di crittografia Salsa20. Se Hhaz non riesce a stabilire una connessione al proprio server prima di avviare il processo di crittografia, utilizza una chiave offline. Questa chiave è la stessa per tutte le vittime, rendendo potenzialmente possibile decrittografare i file .hhaz in futuro. La richiesta di riscatto garantisce all'individuo preso di mira che i suoi file bloccati possano essere recuperati acquisendo uno strumento di decrittazione e una chiave specifica. Il costo per la decriptazione dei dati è fissato a 980 dollari, con uno sconto del 50% disponibile se le vittime contattano gli autori delle minacce entro una finestra di 72 ore. La nota sottolinea l'assoluta impossibilità di recupero dei dati senza effettuare il pagamento previsto.

Hhuy Ransomware è una variante della famigerata famiglia di ransomware STOP/DJVU. Crittografa immagini, documenti e altri file importanti sui computer infetti, rendendoli inaccessibili. Il ransomware richiede quindi un riscatto, in genere compreso tra $ 490 e $ 980, pagabili in Bitcoin, per decrittografare i file. Il ransomware Hhuy prende di mira un'ampia gamma di estensioni di file, incluse ma non limitate a .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .pdf e .psd. Una volta crittografato un file, il ransomware aggiunge l'estensione .hhuy estensione al nome del file, rendendone impossibile l'apertura con qualsiasi programma. Hhuy ransomware utilizza l'algoritmo di crittografia Salsa20. Sebbene non sia il metodo più potente, fornisce comunque un numero enorme di possibili chiavi di decrittazione, rendendo gli attacchi di forza bruta praticamente impossibili con l'attuale tecnologia informatica. Dopo aver eseguito correttamente la crittografia, Hhuy ransomware crea una richiesta di riscatto denominata _readme.txt. Questa nota in genere contiene istruzioni su come pagare il riscatto, insieme alle informazioni di contatto degli aggressori, solitamente sotto forma di indirizzi e-mail.

Nbwr Ransomware è un tipo di malware per la crittografia dei file che appartiene alla famiglia Djvu. È un software dannoso che crittografa i dati dell'utente, rendendoli inaccessibili. Il ransomware modifica i nomi dei file aggiungendo l'estensione .nbwr estensione e genera un file di testo (_readme.txt) contenente una richiesta di riscatto. La richiesta di riscatto assicura alla vittima che i suoi file crittografati possono essere ripristinati acquistando uno strumento di decrittografia e una chiave univoca. Il prezzo della decrittazione dei dati è generalmente elevato, con uno sconto del 50% disponibile se gli autori delle minacce vengono contattati entro 72 ore. Il ransomware Nbwr utilizza l'algoritmo di crittografia Salsa20. Questo metodo fornisce una quantità enorme di possibili chiavi di decrittazione, rendendo praticamente impossibili gli attacchi di forza bruta. La richiesta di riscatto assicura alla vittima che i suoi file crittografati possono essere ripristinati acquistando uno strumento di decrittografia e una chiave univoca.

GrafGrafel è un tipo di ransomware, un software dannoso che crittografa i dati e richiede un riscatto per la sua decrittazione. Fa parte della famiglia di ransomware Phobos. Il ransomware GrafGrafel prende di mira sia i file locali che quelli condivisi in rete, lasciando inalterati i file di sistema critici. Una volta che il ransomware GrafGrafel infetta un computer, crittografa i file e ne altera i nomi. Ai titoli originali viene aggiunto un ID univoco assegnato alla vittima, l'indirizzo e-mail dei criminali informatici e un file .GrafGrafel estensione. Ad esempio, un file inizialmente denominato 1.jpg sembrerebbe come 1.jpg.id[G7RF34WQE-5687].[GrafGrafel@tutanota.com].GrafGrafel successiva alla crittografia. L'algoritmo di crittografia specifico utilizzato dal ransomware GrafGrafel è ancora sconosciuto. Tuttavia, il ransomware utilizza in genere algoritmi di crittografia avanzati che possono essere sbloccati solo da un codice di decrittazione noto solo all'aggressore. Una volta completato il processo di crittografia, GrafGrafel ransomware crea richieste di riscatto in un pop-up (info.hta) e file di testo (info.txt). Queste note vengono rilasciate in directory crittografate e sul desktop.