Ransomware

Coty Ransomware fa parte di un grande famiglia di STOP/Djvu Ransomware. Ha preso il nome perché le versioni originali del malware aggiungevano l'estensione .stop (dopo .djvu) e li ha crittografati con una combinazione di crittografia AES e RSA per rendere i file inaccessibili sul computer Windows infetto. Coty Ransomware secondo il suo nome aggiunge .coty estensione. Questa versione è apparsa alla fine di aprile 2023. Una volta che il ransomware Coty/STOP ha completato la procedura di crittografia, il virus crea una richiesta di riscatto per _readme.txt file. Il messaggio dei truffatori dice che le vittime devono pagare il riscatto entro 72 ore. Gli autori del virus STOP chiedono $490 durante i primi tre giorni e $980 dopo questo periodo di tempo. Per fornire conferma, gli hacker consentono di inviare 1-3 file "non molto grandi" per la decrittazione gratuita support@freshmail.top or datarestorehelp@airmail.cc per un test.

Cooper è un virus ransomware che infetta i sistemi per crittografare file potenzialmente importanti e richiede denaro per la loro decrittazione. Oltre a eseguire la crittografia sicura, assegna anche il file .cooper estensione ai file interessati. Ad esempio, un file originariamente denominato 1.pdf cambierà in 1.pdf.cooper e perde la sua icona originale. Dopo questa modifica, i file non saranno più utilizzabili, anche se si rimuove l'estensione aggiunta. Per invertire queste modifiche, le istruzioni di decrittazione sono presentate all'interno del file Cooper_Recover.txt file. I criminali informatici sollecitano le vittime a contattarli via e-mail e pagare per un software di decrittazione unico. Gli autori delle minacce sono le uniche figure che vi hanno accesso e si dice che nessun altro strumento sia in grado di fornire la decrittazione dei file .cooper cifrati. Durante il contatto, alle vittime viene anche chiesto di includere l'ID nella riga dell'oggetto di un messaggio di posta elettronica. Sfortunatamente, a meno che tu non disponga di un backup disponibile che può essere utilizzato per recuperare copie di file crittografati, pagare il riscatto ai criminali informatici potrebbe essere l'unico modo per restituire i tuoi file. Molteplici infezioni da ransomware utilizzano potenti algoritmi di crittografia e generano chiavi online, garantendo che la decrittazione sia appena possibile senza l'aiuto degli sviluppatori iniziali.

Coza è un nuovo esempio di ransomware sviluppato dal famigerato gruppo di estorsori STOP/Djvu. Come molte altre varianti pubblicate da questi criminali informatici, anche questa utilizza un modello di crittografia ed estorsione quasi identico. Dopo essersi sistemato su una macchina infetta, il virus avvia la scansione e quindi la crittografia di dati potenzialmente importanti. In tal modo, il virus mira a creare maggiori incentivi affinché le vittime paghino per la decrittazione proposta dagli aggressori. Oltre alla crittografia, il malware si assicura anche che le vittime possano distinguere i file bloccati da quelli non bloccati, semplicemente assegnando l'estensione .coza estensione. Ad esempio, un file precedentemente denominato 1.xlsx cambierà in 1.xlsx.coza, 1.pdf a 1.pdf.coza e così via con altri tipi di file mirati. Per annullare la crittografia, si dice che le vittime seguano le istruzioni all'interno del file _readme.txt nota di testo.

Pwpdvl è un virus ransomware progettato per estorcere denaro alle vittime eseguendo la crittografia dei dati. In altre parole, le persone colpite da questo malware non saranno più in grado di accedere e visualizzare i propri file. Quando Pwpdvl cifra file potenzialmente importanti, assegna anche l'ID della vittima, insieme al .pwpdvl estensione alla fine. Ad esempio, un file come 1.pdf cambierà in qualcosa di simile 1.pdf.[ID-9ECFA84E].pwpdvl e riposa la sua icona originale. Per fare in modo che le vittime paghino denaro per il recupero, il crittografatore di file crea una richiesta di riscatto (RESTORE_FILES_INFO.txt), che contiene le istruzioni per la decrittazione. È richiesto alle vittime di contattare i truffatori (tramite Bitmessage o qTOX) e pagare per la decrittazione in criptovaluta Monero (XMR). Prima di inviare il pagamento, i criminali informatici offrono anche di testare la decrittazione gratuita: le vittime possono inviare 2 file crittografati (non importanti e 1 MB massimo) e ottenerlo sbloccato gratuitamente. Questa è una sorta di garanzia che gli estorsori offrono per dimostrare le loro capacità di decrittazione e dare maggiore sicurezza per il pagamento del riscatto. Tuttavia, tieni presente che fidarsi dei criminali informatici è sempre un rischio. Alcuni utenti vengono ingannati e non ricevono gli strumenti/le chiavi di decrittazione promessi indipendentemente dal soddisfare le richieste. Nonostante ciò, purtroppo sono solo gli sviluppatori di ransomware a detenere le chiavi di decrittazione necessarie per ripristinare in modo sicuro l'accesso ai dati. La decrittazione indipendente utilizzando strumenti di terze parti o copie shadow di Windows può essere possibile, ma in casi molto rari quando il ransomware contiene difetti o non è riuscito a crittografare i dati come previsto.

VapeV7 è un virus ransomware progettato per crittografare i dati su sistemi infettati con successo. In tal modo, il virus si assicura che gli utenti non siano più in grado di accedere/visualizzare i propri dati, il che consente agli attori delle minacce di richiedere denaro per la sua decrittazione. I file crittografati appariranno con il nuovo .VapeV7 estensione e reimpostare le loro icone originali su vuoto. Successivamente, alle vittime verranno presentate le istruzioni di decrittazione in una finestra pop-up dedicata. Per ripristinare l'accesso ai dati, alle vittime viene chiesto di inviare $ 200 al portafoglio BTC dei criminali informatici (tramite un indirizzo all'interno della finestra pop-up) e di informare gli estorsori con l'ID della transazione tramite e-mail. Si noti che i portafogli BTC e le e-mail di contatto cambiano ogni secondo creando molta incertezza su quale indirizzo di portafoglio ed e-mail utilizzare. Inoltre, i portafogli BTC visualizzati sono in realtà errati e quindi inesistenti. Un fenomeno così strano potrebbe essere un segno che VapeV7 Ransomware è buggato o ancora in fase di sviluppo. Tuttavia, non è escluso che i criminali informatici dietro questo ransomware rimuoveranno i bug e colpiranno le future vittime con linee guida di decrittazione più affidabili. Sfortunatamente, nonostante questo fatto, i file crittografati da VapeV7 Ransomware hanno meno probabilità di essere decrittografati manualmente.

Charmant è un programma dannoso che rientra nella categoria dei ransomware. Il malware di questo tipo è progettato per crittografare l'accesso ai dati e far pagare alle vittime denaro per la sua decrittazione. Durante la crittografia dell'accesso ai file archiviati nel sistema, questa variante di ransomware assegna anche l'estensione .charmant estensione per evidenziare i dati bloccati. Ad esempio, un file come 1.pdf cambierà in 1.pdf e perde la sua icona originale. Subito dopo che la crittografia è terminata, una nota di testo denominata #RECOVERY#.txt viene creato per presentare le linee guida di decrittazione. Per stabilire un contatto con i criminali informatici e richiedere la decrittazione dei file bloccati, alle vittime viene chiesto di scrivere tramite e-mail o client Jabber (un servizio di messaggistica sicuro). A seguito di una comunicazione riuscita con i criminali informatici, molto probabilmente alle vittime verrà richiesto di pagare una certa tassa di riscatto per ottenere un software speciale e una chiave di decrittazione. Inoltre, il messaggio avverte anche di non eseguire modifiche ai file o di tentare di decrittografarli utilizzando strumenti di terze parti poiché tali azioni potrebbero causare danni permanenti. Sebbene queste informazioni possano essere inizialmente progettate per spaventare gli utenti inesperti e alla fine pagare per la decrittazione, in realtà è vero. Senza le giuste chiavi di decrittazione archiviate dai criminali informatici, raramente è possibile decrittografare i file completamente e senza rischi di danni. Al momento della stesura di questo articolo, non è noto nessuno strumento di terze parti in grado di decrittografare i dati bloccati. In rari casi, gli strumenti di decrittazione generici possono funzionare solo se il ransomware conteneva difetti o non è riuscito a crittografare i file nel modo previsto.

Di recente, gli esperti hanno osservato l'epidemia del virus Boty Ransomware (una variante di STOP Ransomware or Djvu Ransomware). Questo malware è apparso nell'aprile 2023. È un virus di crittografia, che utilizza un potente algoritmo di crittografia AES-256 per crittografare i file degli utenti e li rende non disponibili per l'uso senza una chiave di decrittazione. Le ultime versioni di questo parassita aggiungono .boty estensioni ai file interessati. Boty Ransomware crea un file di testo speciale, chiamato "nota di riscatto" e denominato _readme.txt. In questo file di testo, i malintenzionati forniscono dettagli di contatto, informazioni generali sulla crittografia e opzioni per la decrittazione. Il virus lo copia sul desktop e nelle cartelle con i file crittografati. I malfattori possono essere contattati via e-mail: support@freshmail.top ed datarestorehelp@airmail.cc.

Boza Ransomware è una nuova variante del STOP/Djvu Ransomware emerso all'inizio di aprile 2023. Questo ransomware aggiunge il .boza estensione ai file crittografati, rendendoli inaccessibili all'utente. Come altre varianti di ransomware, Boza Ransomware utilizza algoritmi di crittografia avanzati per bloccare i file, chiedendo un riscatto in cambio della chiave di decrittazione. Il ransomware prende di mira un'ampia gamma di file, inclusi documenti, immagini, video, audio e altri dati degli utenti. Una volta che il ransomware ha infettato un computer, esegue la scansione dell'intero sistema alla ricerca di file e li crittografa utilizzando l'algoritmo di crittografia AES-256, rendendoli inaccessibili. Il ransomware rilascia anche una nota di riscatto chiamata _readme.txt, fornendo istruzioni all'utente per pagare il riscatto all'attaccante in cambio della chiave di decrittazione. Gli aggressori utilizzano anche una chiave di crittografia univoca per ciascun sistema infetto, rendendo difficile per i ricercatori di sicurezza sviluppare uno strumento di decrittazione universale.