Ransomware

Cylance è il nome di un'infezione ransomware che prende di mira gli utenti Windows e Linux. Gli utenti infettati da questo tipo di malware non saranno più in grado di accedere ai propri dati a causa della crittografia. Inoltre, le vittime vedranno anche i file interessati modificati con l'estensione .Cylance estensione. Successivamente, non saranno più accessibili e le vittime dovranno seguire le istruzioni di decrittazione nella richiesta di riscatto generata (denominata CYLANCE_README.txt). Tieni presente che Cylance Ransomware non ha nulla a che fare con Cylance di BlackBerry, legittime soluzioni di sicurezza informatica aziendale. In generale, la richiesta di riscatto afferma che i dati della vittima sono stati crittografati e che i criminali informatici sono gli unici detentori di chiavi private in grado di decrittografarli. Per ottenere questa chiave e presumibilmente il software per eseguire la decrittazione, alle vittime viene chiesto di contattare i truffatori via e-mail e trasferire loro denaro. Il prezzo non è reso noto e molto probabilmente calcolato separatamente per ciascuna vittima. Inoltre, i criminali informatici offrono anche di testare la decrittazione gratuitamente inviando un file crittografato. Non importa quanto sembrino affidabili i criminali informatici, è sempre sconsigliato collaborare con loro e pagare il riscatto. Molte vittime finiscono per essere ingannate e non ricevono gli strumenti di decrittazione promessi. Anche se questo non è stato segnalato per Cylance Ransomware, il rischio esiste comunque.

Nifr Ransomware, essendo una parte di STOP Ransomware (DjVu Ransomware), è un elaborato virus crittografico, che crittografa i file dell'utente e li rende inaccessibili. Il malware utilizza un algoritmo di crittografia AES (Salsa20) infrangibile e la decrittazione è possibile solo nel 2-3% dei casi. Prima genera una chiave di crittografia AES-256 univoca per ogni file che crittografa, che viene utilizzata per crittografare il contenuto del file. Questo processo è noto come crittografia simmetrica, poiché la stessa chiave viene utilizzata per crittografare e decrittografare il file. Dopo aver crittografato il file con la chiave AES-256, Nifr Ransomware crittografa quindi la chiave AES-256 con una chiave pubblica RSA-1024, inclusa nel codice del ransomware. Questo processo è noto come crittografia asimmetrica, poiché utilizza chiavi diverse per la crittografia e la decrittografia. La versione recente di STOP Ransomware aggiunge il seguente suffisso o estensione: .nifr. La variante del virus corrispondente ha ricevuto i nomi: Nifr Ransomware. Dopo la crittografia, il ransomware crea _readme.txt file, che gli specialisti chiamano "nota di riscatto", e di seguito puoi conoscere il contenuto di questo file. La nota contiene le istruzioni su come contattare gli operatori del ransomware e pagare il riscatto per ricevere la chiave di decrittazione. Il ransomware viene generalmente distribuito tramite e-mail di spam, aggiornamenti software falsi e crack software/keygen. È importante notare che non è consigliabile pagare il riscatto, poiché incoraggia i criminali e non vi è alcuna garanzia che verrà fornita la chiave di decrittazione.

D7k è il nome di un'infezione da ransomware scoperta di recente. Analogamente ad altre infezioni all'interno di questa categoria, è progettato per crittografare i dati archiviati nel sistema ed estorcere denaro per la sua decrittazione dalle vittime. Durante la crittografia, tutti i file mirati otterranno .D7k estensione e reimpostare le loro icone su vuoto. Di conseguenza, gli utenti non saranno più in grado di accedere ai propri file, anche dopo aver rimosso manualmente l'estensione appena assegnata. Una volta che la crittografia è riuscita, il virus crea un file di testo chiamato note.txt, che contiene le linee guida per la decrittazione. La nota contiene un breve testo che richiede 500 dollari per la decrittazione dei file. Questo importo deve essere inviato al portafoglio bitcoin attaccato dai criminali informatici. Il messaggio non include alcun canale di comunicazione, il che rende ambiguo il processo di decrittazione. Il pagamento del riscatto non è raccomandato perché molti criminali informatici ingannano le loro vittime e non inviano in cambio i mezzi di decrittazione promessi. Tuttavia, in questo caso, sembra essere ancora più rischioso a causa della mancanza di canali di comunicazione per contattare gli estorsori. Nonostante ciò, i criminali informatici sono solitamente le uniche figure in grado di sbloccare l'accesso ai dati in modo completo e sicuro. Nel momento in cui questo articolo è stato scritto, non sono noti strumenti pubblici di terze parti per aggirare le cifre assegnate da D7k Ransomware. La decrittazione utilizzando strumenti di terze parti o copie shadow di Windows è possibile solo in rari casi in cui il ransomware è difettoso o accidentalmente danneggiato durante il suo funzionamento per qualsiasi motivo. In caso contrario, gli unici modi per recuperare i dati sono collaborare con gli sviluppatori di ransomware o recuperare i dati dalle copie di backup esistenti. I backup sono copie di dati archiviati su dispositivi esterni come unità USB, dischi rigidi esterni o SSD.

Jycx Ransomware (in altra classificazione STOP Ransomware or Djvu Ransomware) è un malware dannoso, che blocca l'accesso ai file dell'utente crittografandoli e richiede un buyout. È stato rilasciato negli ultimi giorni di marzo 2023 e ha colpito decine di migliaia di computer. Il virus utilizza un algoritmo di crittografia infrangibile (AES-256 con chiave RSA-1024) e richiede un riscatto da pagare in Bitcoin. Tuttavia, a causa di alcuni errori di programmazione, ci sono casi in cui i tuoi file possono essere decrittografati. Una versione di STOP Ransomware, che stiamo considerando oggi, aggiunge .jycx estensioni ai file crittografati e quindi ha ottenuto il nome Jycx Ransomware. Dopo la crittografia, presenta file _readme.txt alla vittima. Questo file di testo contiene informazioni sull'infezione, dettagli di contatto e false dichiarazioni sulle garanzie di decrittazione. Le seguenti e-mail sono utilizzate dai malfattori per la comunicazione: support@freshmail.top ed datarestorehelp@airmail.cc.

Hairysquid è una variante recentemente scoperta di Mimic ransomware. Dopo la penetrazione, modifica Windows GroupPolicy, disattiva la protezione di Windows Defender e disabilita altre funzionalità di Windows per escludere qualsiasi deterrenza della sua attività dannosa. L'obiettivo di questa infezione è crittografare l'accesso ai dati archiviati nel sistema e richiedere denaro per la sua decrittazione. Durante i processi di crittografia, il virus attacca il file .Hairysquid estensione a tutti i file interessati. Una volta fatto, un file come 1.pdf si rivolgerà a 1.pdf.Hairysquid e cambiare la sua icona alla fine. Le istruzioni su come decrittografare i dati bloccati sono presentate all'interno del file READ_ME_DECRYPTION_HAIRYSQUID.txt note, che viene creato insieme alla crittografia riuscita. Nel complesso, si dice che le vittime siano state attaccate da ransomware, che ha crittografato i loro dati. Per invertire il danno e recuperare i file, le vittime devono contattare i truffatori tramite uno dei canali di comunicazione forniti (TOX messenger, ICQ messenger, Skype ed e-mail) e pagare per la decrittazione in Bitcoin. Si dice che il prezzo per la decrittazione sia calcolato in base al numero e al valore potenziale dei dati crittografati. Inoltre, è anche consentito testare gratuitamente la decrittazione inviando 3 file bloccati ai criminali informatici. Purtroppo, di solito è impossibile decrittografare i dati bloccati senza il coinvolgimento degli stessi criminali informatici.

Jyos Ransomware (aka Djvu Ransomware or STOP Ransomware) crittografa i file della vittima con Salsa20 (sistema di crittografia del flusso) e aggiunge una delle centinaia di possibili estensioni, inclusa l'ultima scoperta .jyos. Questo è apparso alla fine di marzo 2023 e ha infettato migliaia di computer in tutto il mondo. STOP è oggi uno dei ransomware più attivi, ma se ne parla poco. La prevalenza di STOP è confermata anche dal thread del forum estremamente attivo su Bleeping Computer, dove le vittime cercano aiuto. Il fatto è che questo malware attacca principalmente gli appassionati di contenuti piratati, i visitatori di siti sospetti ed è distribuito come parte di pacchetti pubblicitari. Esiste la possibilità di una decrittazione riuscita, tuttavia, ad oggi, esistono più di duecento varianti di STOP Ransomware note ai ricercatori e una tale varietà complica notevolmente la situazione.

Jypo Ransomware è la prossima generazione di STOP Ransomware famiglia dagli stessi autori. La famiglia dei ransomware è nota per la sua distribuzione capillare e i frequenti aggiornamenti con nuove varianti. Come altri membri della famiglia Djvu, Jypo Ransomware è progettato per crittografare i file della vittima e richiedere un pagamento di riscatto in cambio della chiave di decrittazione. La nota di riscatto lasciata da Jypo Ransomware indica alla vittima di contattare gli aggressori via e-mail per negoziare il pagamento del riscatto. Questo virus prende di mira importanti file dell'utente, come documenti, foto, database, musica, posta. Il ransomware li codifica con la crittografia AES e aggiunge .jypo estensioni ai file interessati. Tutte queste varianti utilizzano algoritmi simili, che sono infrangibili, tuttavia, in determinate condizioni, i file .jypo, crittografati dal ransomware, possono essere decrittografati utilizzando STOP Djvu Decryptor (fornito di seguito). Questa versione di STOP Ransomware utilizza i seguenti indirizzi e-mail: support@freshmail.top ed datarestorehelp@airmail.cc. Jypo ransomware crea _readme.txt file della richiesta di riscatto.

Jywd è un'infezione ransomware originata da Djvu/STOP famiglia. Questa famiglia è un gruppo di sviluppatori responsabili dell'infezione di un gruppo di utenti con diversi crittografi di file. Jywd è nuovo, apparso a fine marzo 2023, ma ha tratti molto simili ai suoi precursori. Jywd Ransomware, come altre varianti della famiglia STOP/Djvu Ransomware, utilizza una combinazione di algoritmi di crittografia AES-256 e RSA-1024 per crittografare i file della vittima. AES-256 viene utilizzato per crittografare i file stessi, mentre RSA-1024 viene utilizzato per crittografare la chiave AES-256. Ciò rende estremamente difficile recuperare i file crittografati senza la chiave di decrittazione. Il virus crittografa i dati personali durante l'assegnazione del file .jywd estensione. Per illustrare, un file chiamato 1.pdf sperimenterà un cambiamento in 1.pdf.jywd e ripristina la sua icona originale dopo la crittografia riuscita. Per decifrare i dati bloccati, le vittime ricevono istruzioni da seguire all'interno di una richiesta di riscatto (_readme.txt).