Ransomware

DVN è un'infezione ransomware che esegue una crittografia avanzata per ostaggiare file potenzialmente importanti fino al pagamento di un riscatto. Oltre alla crittografia, il virus assegna anche il file .devinn estensione per evidenziare i dati bloccati; cambia gli sfondi del desktop; e creare il unlock_here.txt nota di testo con le istruzioni per il recupero. I criminali informatici affermano che forniranno il software di decrittazione necessario solo se le vittime pagano 0.0077 BTC (circa $ 200). Si afferma che il pagamento può essere effettuato solo in Bitcoin e all'indirizzo crittografico allegato. A differenza di molte altre infezioni ransomware, gli sviluppatori dietro DVN Ransomware non includono alcun mezzo di comunicazione con loro (ad esempio, e-mail, vari messenger, ecc.). Pertanto, non è molto chiaro come le vittime comunicheranno con gli aggressori per ricevere lo strumento di decrittazione promesso dopo aver effettuato il pagamento. Pagare il riscatto è altamente sconsigliato poiché si rischia di non ottenere nulla in cambio. Sfortunatamente, dobbiamo notare che i criminali informatici sono solitamente le uniche figure effettivamente in grado di decrittografare completamente l'accesso ai dati.

Fofd Ransomware (versione di STOP Ransomware or DjVu Ransomware) è un virus di crittografia diffuso ad alto rischio, apparso per la prima volta circa 5 anni fa. Ha subito diversi cambiamenti visivi e tecnici nel corso del tempo. In questo tutorial, analizzeremo le versioni recenti di questo pericoloso malware. Alla fine di aprile 2023, STOP Ransomware ha iniziato ad aggiungere le seguenti estensioni ai file crittografati: .fofd. È per questo motivo che ha preso il nome "Fofd Ransomware" sebbene sia solo una delle varietà di STOP crypto-virus. Il virus modifica anche il file "host" per bloccare gli aggiornamenti di Windows, i programmi antivirus e i siti relativi alle notizie sulla sicurezza o che offrono soluzioni di sicurezza. Il processo di infezione assomiglia anche all'installazione degli aggiornamenti di Windows, il malware mostra la finta finestra, che imita il processo di aggiornamento. Un nuovo sottotipo di STOP Ransomware utilizza gli stessi indirizzi e-mail di poche generazioni precedenti: support@freshmail.top ed datarestorehelp@airmail.cc. Fofd ransomware crea _readme.txt file della richiesta di riscatto.

WannaCry (indicato anche come Wcry, Wana Decrypt0r 2.0, WanaDecryptore WNCRY virus) è un'infezione ransomware che crittografa i file personali utilizzando algoritmi AES-128 e richiede alle vittime di pagare per la decrittazione. Il virus è stato scoperto da un ricercatore di sicurezza S!Ri e ci sono un paio di varianti note di WannaCry. A seconda della variante che ha attaccato il sistema, i file interessati dalla crittografia verranno modificati utilizzando l'estensione .wcry, .wncry, o WNCRYT (per file .bmp crittografati). Ad esempio, un file come 1.pdf cambierà in 1.pdf.wcry o in modo simile a seconda della versione del ransomware. Successivamente, il virus visualizza le istruzioni di decrittazione in una finestra pop-up con apertura forzata. Una delle varianti cambia anche gli sfondi del desktop. IL Wana Decrypt0r 2.0 variant crea anche una richiesta di riscatto separata chiamata @Please_Read_Me@.txt.

Se i tuoi file hanno ricevuto di recente .foty estensioni, ciò significa che il tuo PC è stato infettato da un virus di crittografia chiamato Foty Ransomware (parte di STOP Ransomware or Djvu Ransomware famiglia, chiamata così perché si aggiungevano le prime versioni del virus di questo tipo .djvu estensione). Questo è un malware molto diffuso e distribuito attivamente. Il ransomware inizialmente utilizzava l'algoritmo di crittografia AES-256 e non c'era modo per la decrittazione. Tuttavia, se durante il processo di crittografia il PC infetto era fuori Internet o la connessione con un server remoto di hacker è stata interrotta, i tuoi file possono essere decrittografati, utilizzando i metodi forniti di seguito. STOP Ransomware ha una richiesta di riscatto chiamata _readme.txt. In questo file di testo, i malfattori forniscono informazioni di contatto e dettagli su come effettuare un pagamento. Il virus lo copia sul desktop e nelle cartelle con file crittografati. Gli hacker forniscono i seguenti contatti, e-mail: support@freshmail.top ed datarestorehelp@airmail.cc.

Foza Ransomware è un devastante virus di crittografia della serie di STOP Ransomware (Djvu Ransomware). Foza Ransomware è una variante della famiglia STOP/Djvu Ransomware, nota per l'utilizzo di una combinazione di due algoritmi di crittografia: RSA e AES. RSA viene utilizzato per crittografare la chiave AES simmetrica generata per ciascun file. Ciò significa che ogni file ha la propria chiave AES univoca, che viene utilizzata per crittografare e decrittografare il contenuto del file. La coppia di chiavi RSA viene generata dal ransomware sul computer della vittima e la chiave pubblica viene inviata al server dell'aggressore, che viene quindi utilizzato per crittografare la chiave AES simmetrica. Ha preso il nome da .foza estensione, che il ransomware aggiunge alla fine dei file crittografati. Da un punto di vista tecnico, il virus rimane lo stesso delle versioni precedenti. L'unica cosa che cambia negli ultimi due anni sono i dettagli di contatto dei malfattori.

Kafan è un nuovo virus ransomware che infetta gli utenti Windows per crittografare i dati personali ed estorcere denaro per la sua decrittazione dalle vittime. Una volta installato, il ransomware eseguirà una rapida scansione dei dati archiviati e avvierà il processo di crittografia utilizzando potenti algoritmi crittografici. Inoltre, il malware assegnerà anche il proprio .kafan estensione per distinguere i file bloccati. Ad esempio, un file originariamente denominato 1.pdf cambierà in 1.pdf.kafan e diventano non più accessibili. Infine, il crittografatore di file genera una nota di riscatto chiamata help_you.txt con le istruzioni su come restituire i dati. Il messaggio di riscatto richiede alle vittime di inviare un messaggio di posta elettronica ai criminali informatici (PYTHONHAVENONAME@163.COM) e pagare per la decrittazione. Durante l'invio del messaggio, alle vittime viene anche chiesto di scrivere il proprio ID nel titolo/oggetto del messaggio. Si dice che il prezzo per la decrittazione dipenda dalla velocità con cui le vittime stabiliscono la comunicazione con gli aggressori. I criminali informatici utilizzano tali tecniche di manipolazione per esercitare ulteriore pressione sulle vittime e potenzialmente costringerle ad accettare di pagare il riscatto.

Recov è una nuova variante ransomware della famiglia VoidCrypt. Dopo essersi infiltrato in un sistema, esegue la crittografia dei dati (per impedire alle vittime di accedere ai file) e dice alle vittime di pagare un kit di software di decrittazione + chiave RSA per sbloccare i file. Le istruzioni su come farlo sono presentate all'interno del file Decryption-guide.txt nota di riscatto. Un'altra cosa che fa questo ransomware è assegnare modifiche visive ai file crittografati: una stringa di caratteri composta dall'ID della vittima, dall'indirizzo e-mail dei criminali informatici e dal .Recov estensione verrà aggiunta ai nomi dei file. Ad esempio, un file originariamente denominato 1.pdf sarà cambiato in 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov o similmente. I criminali informatici chiedono alle vittime di stabilire un contatto con loro tramite e-mail (Recoverifiles@gmail.com o Recoverifiles@protonmail.com in caso di mancata risposta). Sebbene non sia chiaro di cosa abbiano bisogno gli estorsori, è probabile che richiederanno alle loro vittime di pagare una certa tariffa per uno strumento di decrittazione e una chiave RSA che sono disponibili solo per gli sviluppatori.

Kadavro Vector è un programma ransomware orientato verso utenti di lingua inglese, russa e norvegese. Lo scopo di questo virus è crittografare dati potenzialmente importanti ed estorcere denaro alle vittime per la sua decrittazione. Mentre rende i file inaccessibili, il malware aggiunge anche l'estensione .vector_ estensione ai file di destinazione. Ad esempio, un file originariamente denominato 1.pdf sperimenterà un cambiamento in 1.pdf.vector_ e ripristinare la sua icona originale. Subito dopo il successo della crittografia, Kadavro Vector forza l'apertura della sua finestra pop-up contenente le linee guida per la decrittazione. Inoltre, anche gli sfondi del desktop vengono modificati. La nota di riscatto istruisce le vittime a non spegnere Internet e il proprio computer poiché potrebbe altrimenti causare danni ai dati crittografati. Per restituire i dati, le vittime devono acquistare la criptovaluta Monero (XMR) del valore di $ 250 e inviarla all'indirizzo crittografico dei criminali informatici. Inoltre, c'è anche un timer che indica quanto tempo gli utenti devono pagare per la decrittazione. Se le vittime non riescono a farlo entro il periodo di tempo assegnato, si dice che tutti i file verranno eliminati utilizzando algoritmi high-edge, rendendoli permanentemente irrecuperabili in futuro. In tal modo, gli attori delle minacce cercano di esercitare ulteriore pressione sulle vittime e quindi costringerle a soddisfare le richieste di decrittazione.