Ransomware

Kiop Ransomware è un altro rappresentante di STOP/Djvu virus, che tormenta gli utenti dal 2017. Questa particolare versione è stata rilasciata all'inizio di aprile 2023 e aggiunge .kiop estensione a tutti i file crittografati, come si può vedere dal suo nome. Oltre a questo, è lo stesso virus che crittografa i file e richiede un riscatto come centinaia dei suoi predecessori. I ransomware di questo tipo utilizzano la stessa crittografia, purtroppo ancora non decifrabile. Kiop Ransomware, come altre varianti di STOP/Djvu Ransomware, in genere utilizza una combinazione di algoritmi di crittografia simmetrici e asimmetrici per crittografare i file della vittima. Nello specifico, il ransomware utilizza la crittografia AES-256 per crittografare i file della vittima in modo simmetrico, quindi utilizza la crittografia RSA-2048 per crittografare la chiave di crittografia AES in modo asimmetrico. Ciò significa che l'aggressore detiene la chiave RSA privata necessaria per decrittografare la chiave di crittografia AES e quindi può decrittografare i file della vittima dopo aver ricevuto il pagamento. Le uniche cose che sono cambiate negli ultimi anni sono l'estensione e gli indirizzi e-mail di contatto. Il nome della richiesta di riscatto rimane invariato (_readme.txt) e puoi controllare il contenuto nella casella di testo sottostante.

Skylock è una nuova variante di ransomware originata dalla famiglia MedusaLocker. In caso di infiltrazione riuscita, il virus crittografa l'accesso ai file (basato sulla crittografia AES e RSA) e assegna il .skylock estensione a loro. Ad esempio, un file come 1.pdf cambierà in 1.pdf dopo la crittografia riuscita. Per invertire il danno e restituire i dati bloccati, i criminali informatici presentano istruzioni di decrittazione all'interno del file How_to_back_files.html file. In generale, alle vittime viene detto che devono acquistare uno speciale software di decrittazione dai criminali informatici dietro l'infezione. Per fare ciò, devono stabilire un contatto con gli estorsori utilizzando uno dei canali di comunicazione (tramite il collegamento nel browser TOR o gli indirizzi e-mail forniti). Si dice anche che le vittime possano inviare 2-3 file che non contengono informazioni importanti e recuperarli decrittografati gratuitamente. Questo per dimostrare che gli attori delle minacce sono effettivamente in grado di decrittografare i file. Se le vittime si rifiutano di mettersi in contatto con gli estorsori e di pagare per la decrittazione, i loro dati verranno divulgati a risorse pubbliche, il che potrebbe causare danni alla reputazione dell'azienda o dell'identità personale degli utenti. Sfortunatamente, nonostante la decrittazione possa essere insostenibile o inutile per alcuni utenti, i criminali informatici sono solitamente le uniche figure in grado di decrittografare l'accesso ai dati.

Se i tuoi file sono diventati non disponibili, illeggibili e hanno ottenuto .kiwm estensioni significa che il tuo computer è stato infettato Kiwm Ransomware (variazione di STOP Ransomware o come viene, a volte, chiamato DjVu Ransomware). È un programma dannoso che appartiene al gruppo dei virus ransomware. Questa particolare versione è stata rilasciata all'inizio di aprile 2023. Questo virus può infettare quasi tutte le versioni moderne dei sistemi operativi della famiglia Windows, inclusi Windows 7, Windows 8, Windows 10 e l'ultimo Windows 11. Il malware utilizza una crittografia ibrida modalità e una lunga chiave RSA, che elimina virtualmente la possibilità di selezionare una chiave per l'autodecrittografia dei file. Come altri virus simili, l'obiettivo di Kiwm Ransomware è costringere gli utenti ad acquistare il programma e la chiave necessari per decrittografare i file che sono stati crittografati. La versione, oggi allo studio, è pressoché identica alle precedenti, fatta eccezione per le nuove e-mail utilizzate per contattare i malintenzionati e per l'aggiunta di nuove estensioni.

Kitz Ransomware (appartiene alla famiglia di STOP Ransomware or Djvu Ransomware) è un virus di crittografia dei file ad alto rischio, che colpisce i sistemi Windows. All'inizio di aprile 2023, la nuova generazione di questo malware ha iniziato a codificare i file utilizzando .kitz estensioni. Il virus prende di mira tipi di file importanti e preziosi come foto, documenti, video, archivi, file crittografati che diventano inutilizzabili. Il ransomware mette _readme.txt file, che viene chiamato "nota di riscatto" o "nota di richiesta di riscatto" sul desktop e nelle cartelle con i file crittografati. Gli sviluppatori utilizzano le seguenti e-mail per i contatti: support@freshmail.top ed datarestorehelp@airmail.cc. Gli hacker richiedono $ 980 per la decrittazione dei tuoi file (il messaggio afferma che le vittime riceveranno uno sconto del 50% se contatteranno i criminali informatici entro 72 ore dalla crittografia). Secondo molti rapporti, i malfattori spesso non rispondono alle vittime, quando ricevono il pagamento del riscatto. Sconsigliamo vivamente di pagare denaro. I file crittografati da alcune versioni di Kitz Ransomware possono essere decifrati con l'aiuto di STOP Djvu Decryptor.

BlackByteNT è un'infezione da ransomware scoperta di recente. Dopo che il sistema si è infiltrato con esso, tutti i tipi di file potenzialmente importanti diventeranno inaccessibili a causa della crittografia completa. Oltre a crittografare l'accesso ai dati, il crittografatore di file sostituisce anche i nomi di file originali con una stringa casuale di caratteri e il .blackbytent estensione alla fine. Ad esempio, un file come 1.pdf cambierà in qualcosa del tipo dnoJJlc=.blackbytent e perde anche la sua icona originale. L'ultima parte significativa del ransomware è BB_Readme_[stringa_casuale].txt⁣ – una richiesta di riscatto che contiene le linee guida per la decrittazione. I criminali informatici affermano che i dati sono stati crittografati ed esfiltrati sui loro server. Al fine di restituire l'accesso ed evitare che i dati finiscano per essere trapelati, le vittime sono invitate a collaborare con gli estorsori e seguire le informazioni presentate tramite il collegamento TOR fornito all'interno della nota. Se le vittime ritardano la comunicazione, il prezzo per la decrittazione aumenterà e, entro 4 giorni dall'inazione, le vittime non saranno più in grado di utilizzare i servizi di decrittazione dei criminali informatici. Infine, i criminali informatici mettono in guardia le vittime dall'utilizzo di strumenti di decrittazione di terze parti supponendo che vi sia il rischio di danneggiarli e quindi di perdere la possibilità di decrittografarli.

STOP Ransomware (Djvu Ransomware) è ufficialmente il virus di crittografia più comune al mondo. Il crittografo funziona secondo lo schema classico: crittografa i file, aggiunge loro una nuova estensione e inserisce una richiesta di riscatto sulla macchina infetta. Più del 50% dei computer infettati da ransomware sono infettati da STOP Ransomware. Ha un secondo nome – ⁣Djvu Ransomware, dopo l'estensione .djvu, che è stato aggiunto ai file sui primi computer infetti. Con diverse modifiche minori e importanti, il virus continua la sua attività devastante nei giorni nostri. Una recente variante del malware (Kifr Ransomware apparso nell'aprile 2023) aggiunge .kifr estensione ai file. Kifr Ransomware crittografa i file delle vittime utilizzando l'algoritmo di crittografia AES. AES (Advanced Encryption Standard) è un algoritmo di crittografia simmetrica ampiamente utilizzato che è considerato sicuro e viene utilizzato per proteggere i dati sensibili in molte applicazioni. La crittografia AES utilizza una chiave segreta per crittografare e decrittografare i dati e la forza della crittografia dipende dalla lunghezza della chiave utilizzata. Naturalmente, i file interessati diventano inaccessibili senza uno speciale "decryptor", che deve essere acquistato dagli hacker.

Nitz Ransomware è una grande famiglia di virus di crittografia con oltre un anno di storia. Ha subito molteplici modifiche visive e tecniche nel corso del tempo. Questo articolo descriverà le proprietà peculiari delle ultime versioni di questo malware. Dall'inizio di aprile 2023, STOP Ransomware ha iniziato ad aggiungere le seguenti estensioni ai file crittografati: .nitz. E dopo il nome dell'estensione, si chiama "Nitz Ransomware". Il virus modifica il file "hosts" per bloccare gli aggiornamenti di Windows, i programmi antivirus e i siti relativi alle notizie sulla sicurezza. Il processo di infezione assomiglia anche all'installazione degli aggiornamenti di Windows, il malware genera una finestra falsa e una barra di avanzamento per questo. Questa versione di STOP Ransomware ora utilizza i seguenti indirizzi e-mail: support@freshmail.top ed datarestorehelp@airmail.cc. STOP Ransomware crea un file di richiesta di riscatto _readme.txt.

Se sei atterrato su questo articolo, molto probabilmente sei stato colpito Niwm Ransomware, che ha crittografato i tuoi file e modificato le loro estensioni in .niwm. Il nome Niwm viene dato a questo malware solo per aiutare gli utenti a trovare la soluzione di rimozione e decrittazione e in base al suffisso che aggiunge. In realtà, questa è solo la 681a versione di STOP Ransomware (a volte chiamato Djvu Ransomware), che è attivo da più di 5 anni ed è diventato una delle famiglie di ransomware più diffuse. Niwm è stato rilasciato nei primi giorni di aprile 2023. Sfortunatamente, ora ci sono poche possibilità di decrittografia al 100% poiché utilizza potenti algoritmi di crittografia, tuttavia, con le istruzioni di seguito sarai in grado di recuperare alcuni file. utilizza la combinazione di algoritmi di crittografia RSA e AES per crittografare i file della vittima. L'algoritmo RSA viene utilizzato per crittografare la chiave AES e l'algoritmo AES viene utilizzato per crittografare i file della vittima. La chiave AES viene generata in modo casuale per ogni vittima e viene memorizzata sul server dell'aggressore. Ma prima devi rimuovere i file ransomware e terminare i suoi processi. Di seguito è riportato un esempio di richiesta di riscatto di Niwm Ransomware, che lascia sul desktop (_readme.txt). È abbastanza tipico e rimane quasi lo stesso con piccole modifiche per diversi anni.