Ransomware

Weon Ransomware è una delle versioni più recenti sviluppate da STOP (Djvu) famiglia. È stato individuato per la prima volta alla fine di maggio 2023. Questo ransomware prende di mira vari tipi di dati personali (ad esempio immagini, video, documenti, ecc.) utilizzando chiavi online generate casualmente per ogni vittima. Una volta applicati e i dati vengono crittografati, gli utenti non sono più in grado di accedervi e interagire con essi. Durante il processo di crittografia, tutti i file vengono assegnati con .weon estensione. Ciò significa che i file cambieranno il loro nome e resetteranno le loro icone. Ad esempio, un file come 1.pdf sarà cambiato in 1.pdf.weon e perde la sua icona iniziale alla fine della crittografia. Quindi, proprio come altre versioni recenti della famiglia STOP (Djvu), Weon crea una nota di testo chiamata _readme.txt che contiene le istruzioni di decrittazione. Indipendentemente da quale è stato rilasciato sul tuo PC, tutti visualizzano le stesse informazioni.

Jigsaw Ransomware è una famiglia di ransomware molto diffusa. Il ransomware è progettato per crittografare i file sul computer di una vittima, rendendoli inaccessibili, quindi richiede un riscatto in cambio della chiave di decrittazione necessaria per ripristinare i file. Jigsaw Ransomware ha attirato l'attenzione nell'aprile 2016 quando è stato scoperto per la prima volta. Prende il nome dal personaggio iconico del film "Saw" a causa dell'uso di un'immagine del personaggio come logo. Jigsaw Ransomware prende di mira i sistemi basati su Windows e si diffonde attraverso vari metodi come allegati e-mail dannosi, download infetti o exploit kit. Una volta che un computer è stato infettato da Jigsaw Ransomware, inizia a crittografare i file sul sistema, inclusi documenti, immagini, video e altri dati importanti. Quindi visualizza una richiesta di riscatto sullo schermo della vittima, chiedendo un pagamento, solitamente in Bitcoin, entro un periodo di tempo specificato. Se la vittima non riesce a pagare il riscatto entro il tempo stabilito, Jigsaw Ransomware minaccia di eliminare una parte dei file crittografati come forma di punizione. Visualizza anche un conto alla rovescia, aggiungendo un elemento psicologico di urgenza.

Alphaware Ransomware, un software dannoso, utilizza una sofisticata combinazione di algoritmi per crittografare i dati preziosi delle sue vittime. Dopo aver crittografato correttamente i file, questo ransomware rivela il suo nome originale, Alphaware, in una nota, mentre il file associato stesso è etichettato come Alphaware.exe. Gli autori di questa minaccia insidiosa si identificano come il gruppo di hacker Alpha. Il loro modus operandi prevede la richiesta di un riscatto di $ 300 in BTC (Bitcoin) in cambio della chiave di decrittazione, necessaria per ripristinare i file compromessi al loro stato originale. Alphaware Ransomware, che è emerso per la prima volta intorno alla metà di maggio 2023, si rivolge principalmente agli utenti di lingua inglese, ma ha il potenziale per infettare i sistemi in tutto il mondo. I file infetti subiscono una trasformazione nelle loro convenzioni di denominazione o codifica, accompagnata dall'aggiunta dell'estensione .Alfaware estensione. La richiesta di riscatto viene consegnata tramite un file denominato readme.txt.

Nuova generazione di STOP Ransomware (Djvu Ransomware) ha iniziato ad aggiungere .vatq estensioni ai file crittografati dalla fine di maggio 2023. Ti ricordiamo che Vatq Ransomware appartiene a una famiglia di cripto-virus, che estorcono denaro in cambio della decrittazione dei dati. Gli ultimi esempi di STOP Ransomware sono talvolta classificati come Djvu Ransomware, poiché utilizzano modelli quasi identici di richieste di riscatto dall'inizio del 2019, quando .djvu sono state aggiunte estensioni. Vatq Ransomware utilizza gli stessi indirizzi e-mail, utilizzati nelle ultime dozzine di versioni: support@freshmail.top ed datarestorehelp@airmail.cc. La decrittazione completa è possibile solo nell'1-2% dei casi quando è stata utilizzata la chiave di crittografia offline (tramite STOP Djvu Decryptor). In altri casi, utilizzare le istruzioni e gli strumenti offerti in questo articolo. Vatq Ransomware crea _readme.txt file della richiesta di riscatto, che sembra quasi lo stesso.

FAST Ransomware è un tipo di malware che il nostro team di ricerca ha scoperto di recente mentre esaminava gli invii sul sito web di VirusTotal. Questo particolare programma dannoso è classificato come ransomware, il che significa che è progettato per crittografare i dati sul computer di una vittima e richiedere un riscatto in cambio della sua decrittazione. Quando abbiamo testato il ransomware sulla nostra macchina, abbiamo notato che crittografava i file e ne modificava i nomi. I titoli dei file originali sono stati modificati aggiungendo l'indirizzo e-mail dei criminali informatici, un ID univoco della vittima e il file .FAST estensione. Ad esempio, un file denominato sample.pdf sembrerebbe come sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST dopo la crittografia. Dopo aver completato il processo di crittografia, il ransomware FAST ha rilasciato una nota di riscatto intitolata #FILEENCRYPTED.txt sul desktop della vittima.

EXISC è una forma di malware nota come ransomware che è venuta alla nostra attenzione durante la nostra indagine. Il suo scopo principale è crittografare i dati e richiedere il pagamento in cambio della chiave di decrittazione. Dopo aver eseguito un campione di questo ransomware sul nostro sistema di test, abbiamo osservato che crittografava i file e aggiungeva il .EXISC estensione ai loro nomi di file originali. Ad esempio, un file denominato sample.pdf sembrerebbe come sample.pdf.EXISC. Il ransomware ha anche creato una richiesta di riscatto intitolata Please Contact Us To Restore.txt. Sulla base del messaggio contenuto nella nota, è diventato evidente che EXISC si rivolge principalmente alle grandi organizzazioni piuttosto che ai singoli utenti domestici. Le vittime spesso non ricevono le chiavi o il software di decrittazione promessi, anche dopo aver soddisfatto le richieste di riscatto. Pertanto, sconsigliamo vivamente di pagare il riscatto, in quanto non garantisce il recupero dei dati e perpetua solo attività criminali.

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) è estorsore estorsivo di virus con crittografia di file. Questo è uno dei ransomware più pericolosi con un alto effetto dannoso e tasso di prevalenza. Utilizza l'algoritmo di crittografia AES-256 in modalità CFB con zero IV e un'unica chiave a 32 byte per tutti i file. Viene crittografato un massimo di 0x500000 byte (~ 5 Mb) di dati all'inizio di ogni file. Il virus si aggiunge .vaze estensioni ai file codificati. L'infezione colpisce file importanti e preziosi. Si tratta di documenti MS Office, OpenOffice, PDF, file di testo, database, foto, musica, video, file di immagini, archivi, file di applicazioni, ecc. Djvu Ransomware non crittografa i file di sistema, per assicurarsi che Windows funzioni correttamente e gli utenti siano in grado di navigare in internet, visitare la pagina di pagamento e pagare il riscatto. Vaze ransomware crea _readme.txt file, che si chiama "nota di riscatto" e contiene le istruzioni per effettuare il pagamento e i dettagli di contatto. Il virus lo colloca sul desktop e nelle cartelle con i file crittografati. Gli sviluppatori offrono i seguenti dettagli di contatto: support@freshmail.top ed datarestorehelp@airmail.cc.

Virus disastroso noto come STOP Ransomware, in particolare, la sua ultima variazione Vapo Ransomware non si allenta e continua la sua attività dannosa anche durante il picco dell'effettiva pandemia di coronavirus umano. Gli hacker rilasciano nuove varianti ogni 3-4 giorni ed è ancora difficile prevenire l'infezione e guarire da essa. Le versioni recenti hanno estensioni modificate, che vengono aggiunte alla fine dei file interessati, ora sono: .vapo. Sebbene siano disponibili strumenti di decrittazione di Emsisoft per le versioni precedenti, quelli più recenti di solito non sono decrittografabili. I processi di penetrazione, infezione e crittografia rimangono gli stessi: campagne di malvertising spam, download peer-to-peer, disattenzione dell'utente e mancanza di una protezione decente portano a una grave perdita di dati dopo la crittografia utilizzando potenti algoritmi AES-256. Dopo aver terminato la sua devastante attività, Vapo Ransomware lascia il file di testo: una richiesta di riscatto, chiamata _readme.txt, da cui possiamo apprendere, che la decrittazione costa da $490 a $980 ed è impossibile senza una determinata chiave di decrittazione.