Ransomware

Water Ransomware è un tipo di cripto-virus, un software dannoso progettato per crittografare i file sul computer di una vittima e richiedere un riscatto per la loro decrittazione. Appartiene a Phobos famiglia di ransomware. Questa minaccia informatica è particolarmente insidiosa poiché non solo limita l’accesso a dati importanti, ma comporta anche il rischio di perdita permanente di dati e richieste finanziarie. Una volta che un computer è stato infettato, Water Ransomware crittografa i file dell'utente con un sofisticato algoritmo di crittografia e rinomina i file aggiungendo un'estensione univoca. Il nuovo nome del file include l'ID della vittima, l'indirizzo email dell'aggressore e il file .water estensione, contrassegnando di fatto i file come inaccessibili. Ad esempio file 1.txt sarà cambiato in 1.txt.id[random-ID].[aquaman@rambler.ua].water. Il ransomware genera una richiesta di riscatto, che in genere si trova nei file denominati info.hta ed info.txt. Questa nota istruisce le vittime su come contattare gli aggressori per pagare il riscatto. Mette in guardia contro i tentativi di autodecrittazione o l'uso di software di terze parti, avvertendo che tali azioni potrebbero portare a una perdita irreversibile di dati. La nota sconsiglia inoltre di chiedere aiuto a società intermediarie, il che potrebbe portare a un aumento dei riscatti o a schemi fraudolenti.

Looy Ransomware è un software dannoso che appartiene alla famiglia di ransomware STOP/DJVU, nota per prendere di mira sia singoli utenti che aziende. È progettato per crittografare i file sul computer infetto, rendendoli inaccessibili all'utente, quindi richiede il pagamento di un riscatto in cambio della chiave di decrittazione. Dopo aver crittografato i file, Looy Ransomware aggiunge l'estensione .looy estensione ai nomi dei file, che è un chiaro indicatore dell'infezione. Looy Ransomware utilizza un robusto algoritmo di crittografia per bloccare i file. Sebbene il tipo specifico di crittografia non sia dettagliato nelle fonti fornite, è comune che ransomware come Looy utilizzino AES (Advanced Encryption Standard) o un metodo sicuro simile per crittografare i file. Dopo la crittografia, Looy Ransomware crea una richiesta di riscatto denominata _readme.txt e lo posiziona sul desktop o in cartelle contenenti file crittografati. Questa nota contiene istruzioni per la vittima su come contattare gli aggressori e pagare il riscatto per ricevere potenzialmente la chiave di decrittazione.

Vook Ransomware è un software dannoso che appartiene alla famiglia di ransomware STOP/Djvu, nota per il suo impatto diffuso sui dati personali e organizzativi. Questa variante del ransomware crittografa i file sui sistemi infetti, rendendoli inaccessibili agli utenti e richiede un riscatto per la decrittazione. Una volta che Vook Ransomware infetta un computer, utilizza l'algoritmo di crittografia Salsa20 per bloccare i file, aggiungendo il simbolo .vook estensione a ciascun file crittografato. Ciò rende i file inaccessibili e facilmente identificabili come crittografati da questo particolare ceppo di ransomware. Dopo il processo di crittografia, Vook Ransomware genera una richiesta di riscatto denominata _readme.txt e lo inserisce in cartelle contenenti file crittografati. Questa nota contiene istruzioni per le vittime su come contattare gli aggressori via e-mail e l'importo del riscatto, generalmente richiesto in criptovalute. La nota può anche offrire la decriptazione gratuita di un singolo file come "garanzia" che gli aggressori possano decriptare i file dietro pagamento.

Rocklee Ransomware è una variante della famiglia di ransomware Makop che prende di mira i computer per crittografare i dati e richiedere un riscatto per la chiave di decrittazione. Dopo l'infezione, Rocklee Ransomware crittografa i file e modifica i nomi dei file aggiungendo l'ID della vittima, l'indirizzo e-mail dell'aggressore e il nome .rocklee estensione. Ad esempio, un file denominato 1.jpg verrebbe rinominato in 1.jpg.[random-ID].[cyberrestore2024@onionmail.org].rocklee. L'algoritmo di crittografia specifico utilizzato da Rocklee Ransomware non è dettagliato nelle fonti fornite. Tuttavia, ransomware di questo tipo utilizzano in genere algoritmi di crittografia potenti che sono difficili da decifrare senza la chiave di decrittazione univoca detenuta dagli aggressori. Rocklee Ransomware rilascia una richiesta di riscatto denominata +README-WARNING+.txt nelle directory con file crittografati. Questa nota informa le vittime che i loro file sono stati crittografati e fornisce istruzioni su come pagare il riscatto per recuperare i file. Include anche le informazioni di contatto degli aggressori e avverte di non tentare di decrittografare i file senza la chiave adeguata, poiché ciò potrebbe causare ulteriori danni.

Kool Ransomware è un tipo di software dannoso che appartiene alla categoria più ampia dei ransomware. È progettato per infiltrarsi nel computer dell'utente, crittografare i file e richiedere un riscatto per la chiave di decrittazione. Kool Ransomware fa parte della famiglia di ransomware STOP/Djvu, nota per prendere di mira gli utenti Windows e crittografare file con varie estensioni. Una volta che Kool Ransomware ha infettato un computer, crittografa i file e aggiunge un'estensione di file specifica ai file crittografati, che è .kool in questo caso. La crittografia utilizzata da Kool Ransomware è generalmente un algoritmo simmetrico o asimmetrico che rende i file inaccessibili senza la chiave di decrittazione univoca. Dopo aver crittografato i file, Kool Ransomware genera una richiesta di riscatto, generalmente denominata _readme.txt o simile e lo inserisce nelle cartelle contenenti i file crittografati. Questa nota contiene istruzioni per la vittima su come pagare il riscatto e spesso include una scadenza e avvertimenti sulle conseguenze del mancato rispetto. In questo articolo mostriamo come rimuovere Kool Ransomware e decrittografare i file .kool gratuitamente in Windows 11, 10, 8, 7.

Proton Ransomware è un software dannoso progettato per crittografare i file sul computer della vittima, rendendoli inaccessibili fino al pagamento di un riscatto. Proton Ransomware è un tipo di malware che crittografa i file sul computer infetto, aggiungendo estensioni specifiche ai nomi dei file e chiedendo un riscatto alla vittima per ripristinare l'accesso ai file crittografati. È stato scoperto in varie forme, con alcune varianti che aggiungono estensioni come .c77l, .ZENEX or .SWIFT estensioni dei file interessati insieme ai messaggi di posta elettronica (.[decrypt.computer@gmail.com].c77L, [decrypthelp0@gmail.com].ZENEX, .[swift_1@tutamail.com].SWIFT). Fondamentalmente, SWIFT Ransomware e ZENEX Ransomware sono solo varianti di Proton Ransomware. Queste variazioni creano i seguenti file di richieste di riscatto: #Zenex-Help.txt, #SWIFT-Help.txt or #Restore-files.txt. Il ransomware utilizza gli algoritmi AES (Advanced Encryption Standard) ed ECC (Elliptic Curve Cryptography) per crittografare i file, garantendo che la crittografia sia sufficientemente potente da impedire la decrittazione non autorizzata senza la chiave univoca detenuta dagli aggressori. Questo articolo mira a fornire una panoramica completa di Proton Ransomware, compresi i suoi metodi di infezione, le estensioni di file che aggiunge, gli algoritmi di crittografia che utilizza, la richiesta di riscatto che crea e le possibilità di decrittazione.

LockBit 3.0, noto anche come LockBit Black, è un sofisticato ceppo di ransomware che crittografa i dati sui sistemi presi di mira, interrompendo l'accesso alle risorse di sistema e di rete. Fa parte di un'operazione Ransomware-as-a-Service (RaaS), il che significa che viene utilizzato dagli affiliati che lo utilizzano per attacchi informatici in cambio di una quota dei profitti del riscatto. LockBit 3.0 è noto per le sue capacità di crittografia rapida ed è attivo almeno da marzo 2022. Durante il processo di crittografia, LockBit 3.0 aggiunge un'estensione specifica ai file crittografati. Questa estensione può variare, ma gli esempi includono "HLJkNskOq" e "19MqZqZ0s". Il ransomware cambia le icone dei file crittografati e altera lo sfondo del desktop per informare le vittime dell'attacco. LockBit 3.0 rilascia una richiesta di riscatto, generalmente denominata [stringa_casuale].README.txt o un file di testo simile, in ogni cartella crittografata. La nota contiene istruzioni per contattare gli aggressori e pagare il riscatto, spesso chiedendo il pagamento in criptovaluta.

RansomHub Ransomware è un tipo di software dannoso che rientra nella categoria dei virus di crittografia dei file. È progettato per infiltrarsi nei sistemi informatici, crittografare i file e richiedere un riscatto per la chiave di decrittazione. A differenza del ransomware tradizionale, che crittografa i file e richiede il pagamento, RansomHouse, associato a RansomHub, si concentra sulla violazione delle reti tramite vulnerabilità per rubare dati e costringere le vittime a pagare senza necessariamente utilizzare la crittografia. Il ransomware RansomHub può aggiungere varie estensioni di file ai file crittografati, come .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o un'estensione di lunghezza 6-7 composta da caratteri casuali. Gli algoritmi di crittografia specifici utilizzati da RansomHub non sono dettagliati, ma il ransomware utilizza in genere metodi di crittografia avanzati come AES o RSA per impedire la decrittografia non autorizzata. RansomHub crea richieste di riscatto con istruzioni per le vittime su come pagare il riscatto e potenzialmente recuperare i propri file. I nomi comuni dei file delle richieste di riscatto includono README_{stringa-casuale}.txt, e vari altri. La posizione della richiesta di riscatto è in genere all'interno delle directory dei file crittografati.