Ransomware

Gash Ransomware è un virus complesso di tipo crittografico, che utilizza l'algoritmo AES (Salsa20) per cifrare i file utente. I dati interessati da questo malware diventano non disponibili senza una chiave di decrittazione speciale. Il virus viene leggermente modificato ogni settimana e la versione recente, apparsa alla fine di novembre, aggiunge la seguente estensione: .gash. Gash Ransomware non tocca i file di sistema, ma può bloccare la navigazione verso determinati siti Web di sicurezza utilizzando il file "host" di Windows. Quando gli utenti tentano di scaricare strumenti anti-malware o di decrittazione, il parassita non consentirà loro di farlo. Puoi facilmente scaricare i programmi consigliati dal nostro sito e leggere le istruzioni su come usarli. Il ransomware copia il file _readme.txt, la cosiddetta "nota di riscatto", al desktop e alle cartelle con file crittografati.

Qore è un altro criptatore di file sviluppato e diffuso dal STOP/Djvu famiglia. Copia tutti i tratti e le capacità delle versioni precedenti emesse dal gruppo STOP/Djvu. Il virus crittografa i dati memorizzati sul PC e richiede un riscatto crittografico per un software di decrittazione unico che decifrerà questi dati. Molto spesso, malware come Qore prendono di mira dati vitali come immagini, musica, video e documenti contenenti informazioni importanti. Dopo aver rilevato tali file, il programma ransomware genererà cifre univoche e le scriverà sui file per impedire agli utenti di accedervi. Oltre a questo, le infezioni da ransomware aggiungono anche nuove estensioni per evidenziare i dati crittografati. Nel caso di Qore Ransomware, gli utenti vedranno i propri dati modificati con il .qore estensione. Questo significa un file normale come 1.pdf cambierà il suo aspetto in qualcosa di simile 1.pdf.qore. Successivamente, gli sviluppatori di Qore creano una nota di testo chiamata _readme.txt che spiegano le istruzioni di decrittazione. Tieni presente che tutte queste modifiche avvengono in un batter d'occhio, quindi è impossibile tenere traccia di quale parte della crittografia si è verificata per prima. Questo è ciò che puoi vedere scritto all'interno della nota di testo con le richieste di riscatto.

BlackSuit è un virus di tipo ransomware che prende di mira la crittografia dei dati su entrambi i sistemi operativi Windows e Linux. Le vittime di questa infezione non potranno accedere ai propri file fino al pagamento del riscatto. Per fare ciò, le vittime sono incoraggiate a leggere le istruzioni di decrittazione presentate all'interno del file README.BlackSuit.txt nota di testo. Inoltre, il virus evidenzia anche i dati bloccati aggiungendo il nuovo .blacksuit estensione a loro. Per illustrare, un file come 1.pdf cambierà in 1.pdf.blacksuit, ripristina la sua icona originale e contemporaneamente diventa non più accessibile. IL README.BlackSuit.txt file afferma che le vittime sono state attaccate da un estorsore che sostiene di aver crittografato e caricato file cruciali su un server protetto. Si dice che dati come documenti finanziari, informazioni riservate, file personali e altri materiali sensibili siano ora a rischio di essere divulgati sul Web a meno che le vittime non obbediscano alle richieste degli aggressori. L'estorsore afferma che è possibile evitare tutte le implicazioni negative e ripristinare l'accesso ai dati per una certa somma di denaro. Per entrare in contatto con gli aggressori, le vittime sono invitate a utilizzare il collegamento del browser TOR fornito e a collaborare ulteriormente con i truffatori.

Qopz Ransomware è un virus informatico di crittografia dei file ad alto rischio, che appartiene alla famigerata famiglia di STOP/Djvu. Questo particolare virus è stato rilasciato nei primi giorni di maggio 2023. Ecco alcune delle sue caratteristiche: modifica le estensioni dei file con codice di 4 lettere .qopz; crittografa quei file con una forte combinazione di crittografia AES-256 e RSA-1024; crea una richiesta di riscatto _readme.txt, in cui gli autori richiedono un riscatto di $980/$490 per la decrittazione. Sfortunatamente, la decrittazione completa non è possibile se il virus ha utilizzato la chiave online (il tuo PC era online durante l'intero processo di crittografia). Ma non disperare, ci sono ancora possibilità di ripristinare i dati parzialmente o addirittura completamente con le istruzioni fornite in questa pagina e una certa dose di fortuna. Gli hacker si offrono di decrittografare 1 file gratuitamente e ti consigliamo di non perdere questa opportunità. Sebbene, dicono che il file non deve contenere informazioni importanti, invia loro 1 file cruciale, documento più importante o foto memorabile. Tuttavia, questa dovrebbe essere tutta la comunicazione con loro. Non pagare il riscatto, perché, nella maggior parte dei casi, i malfattori semplicemente smettono di rispondere.

GAZPROM è un'infezione ransomware sviluppata sulla base di un altro ransomware chiamato CONTI. Analogamente ad altri malware di questo tipo, GAZPROM prende di mira la crittografia dei file personali e quindi richiede alle vittime di pagare un riscatto per la loro decrittazione. Insieme alla crittografia, il virus crea due file contenenti le istruzioni di decrittazione (GAZPROM_DECRYPT.hta ed DECRYPT_GAZPROM.html). Inoltre, i dati crittografati vengono rinominati con l'estensione .GAZPROM estensione. Di conseguenza, i file con restrizioni iniziano ad avere il seguente aspetto: 1.pdf.GAZPROM, 1.png.GAZPROM, e così via. Per restituire i dati bloccati, alle vittime viene chiesto di contattare i criminali informatici sul messenger di Telegram e pagare per la decrittazione dei dati. Se le vittime non riescono a stabilire la comunicazione entro le prime 24 ore dalla crittografia, si dice che il prezzo aumenti. Gli attori delle minacce assicurano di essere in grado di restituire l'accesso ai dati bloccati e di fornire tutte le prove possibili per dimostrarlo.

Zhong è il nome di un'infezione ransomware che esegue la crittografia dei dati archiviati nel sistema e quindi sollecita le vittime a pagare per la decrittazione. Pur limitando l'accesso ai dati, il virus assegna anche il proprio .zhong estensione per evidenziare i dati crittografati. Si noti che questa modifica è puramente visiva e non ha nulla di diretto con la crittografia. Sfortunatamente, la semplice rimozione dell'estensione aggiunta non restituirà l'accesso ai dati. Per farlo, le vittime sono incoraggiate a seguire le istruzioni all'interno del file Restore.txt nota di testo che viene creata dopo la corretta crittografia. Il messaggio della nota di testo chiarisce che le vittime hanno 48 ore per contattare gli attori delle minacce via e-mail e pagare per la decrittazione. In caso contrario, i dati interessati verranno resi pubblici su varie risorse (presumibilmente quelle del dark web). Dicendo questo, i criminali informatici tentano di intimidire gli utenti e sostanzialmente li costringono a pagare il riscatto. Sebbene il costo della decrittazione sia sconosciuto, vari estorsori di ransomware possono richiedere da centinaia a persino migliaia di dollari per la decrittazione completa dei file.

H3r è un'infezione da ransomware progettata per rendere i file inaccessibili (utilizzando la crittografia) e richiedere successivamente il pagamento per il loro recupero. Oltre a eseguire la crittografia crittografica sicura, il virus modifica anche i nomi dei file interessati aggiungendo una nuova estensione che consiste nell'identificatore personale della vittima, nell'indirizzo e-mail dei criminali informatici e .h3r alla fine. Ad esempio, un file originale come 1.pdf dopo che la crittografia cambierà in qualcosa di simile 1.pdf.id-9ECFA84E.[herozerman@tutanota.com].h3r e diventano non più accessibili. Successivamente, il ransomware visualizzerà una finestra pop-up e creerà il file info.txt file, che presenta linee guida per la decrittazione alle vittime.

AttackSystem è un'infezione ransomware che ha capacità di crittografia dei file. Ciò significa che dopo essere state infettate da esso, le vittime non potranno accedere ai propri dati fino a quando non verrà effettuato un pagamento di riscatto. Inoltre, il ransomware altera anche l'aspetto del file aggiungendo l'estensione .attacksystem estensione. Ad esempio, un file precedentemente denominato 1.pdf cambierà in qualcosa del tipo 1.pdf.attacksystem e diventano non più utilizzabili. Informazioni su come restituire i dati bloccati forniti dai truffatori nel How_to_back_files.html file che viene creato dopo la crittografia. Vale anche la pena notare che è stato scoperto che AttackSystem Ransomware appartiene a un'altra famiglia di malware nota come MedusaLocker.