Ransomware

Basn è un'infezione ransomware che prende di mira varie aziende. Al momento dell'infiltrazione, esegue rapidamente la scansione del sistema alla ricerca di file potenzialmente importanti (ad es. Documenti, database, video, immagini, ecc.) e ne crittografa l'accesso. Durante questo processo, il virus assegna anche il proprio .basn estensione per evidenziare i dati bloccati. Ad esempio, un file originariamente denominato 1.xlsx cambierà in 1.xlsx.basn e reimposta la sua icona su vuota. Dopo aver eseguito correttamente la crittografia, il crittografatore di file rilascia anche un file di testo denominato unlock your files.txt con le istruzioni di decrittazione all'interno. All'interno della nota viene chiarito che i dati della vittima sono stati crittografati ed estratti sui server dei criminali informatici. Per sbloccare i dati crittografati e impedire la fuga di dati verso risorse/cifre losche, gli estorsori chiedono alle vittime di pagare un riscatto in Bitcoin o criptovaluta Monero. Il prezzo non è divulgato nella nota in quanto è probabile che vari a seconda della quantità e del valore dei dati crittografati. Sfortunatamente, a meno che il virus non abbia gravi vulnerabilità che potrebbero essere sfruttate, i criminali informatici sono solitamente le uniche figure in grado di decrittografare l'accesso ai dati in modo completo e sicuro. Per ora, nessuna terza parte è in grado di aggirare la crittografia applicata da Basn Ransomware. Le uniche opzioni disponibili per il ripristino dei dati sono collaborare con gli sviluppatori di ransomware o ottenere dati da copie di backup esistenti. I backup sono copie di dati archiviati su dispositivi esterni come unità USB, dischi rigidi esterni o SSD. L'unico aspetto negativo dell'autoripristino è che gli attori delle minacce possono effettivamente pubblicare i dati raccolti e quindi danneggiare la reputazione di alcune aziende se effettivamente intendono farlo.

Dazx Ransomware è una versione di STOP/Djvu famiglia di ransomware. È un tipo di malware che crittografa i file sul computer di una vittima e richiede un riscatto in cambio della chiave di decrittazione. Quando Dazx Ransomware infetta un computer, crittograferà i file della vittima utilizzando un potente algoritmo di crittografia, rendendoli inaccessibili alla vittima. Il malware utilizza un algoritmo di crittografia simmetrica per crittografare i file della vittima. Nello specifico, utilizza il cifrario a flusso Salsa20 per crittografare i dati. La chiave di crittografia viene generata in modo casuale per ogni vittima ed è memorizzata sul server dell'aggressore. I file crittografati avranno una nuova estensione aggiunta ai loro nomi di file, ad esempio .dazx. Il Dazx Ransomware crea anche un file di richiesta di riscatto chiamato _readme.txt in ogni cartella che contiene file crittografati. Questo file contiene le istruzioni su come pagare il riscatto per ricevere la chiave di decrittazione. La richiesta di riscatto avverte inoltre la vittima di non tentare di decrittografare i file utilizzando software di terze parti, poiché ciò può comportare la perdita permanente dei dati.

Code è il nome di una nuova variante di ransomware che infetta le organizzazioni per eseguire la crittografia dei dati ed estorcere denaro in cambio della chiave di decrittazione. Durante la crittografia, aggiunge il file .code estensione e crea una nota di riscatto (chiamata !!!HOW_TO_DECRYPT!!!.txt) con le istruzioni su come decrittografare i dati bloccati. Ecco come apparirebbe un file infetto dopo la crittografia: 1.pdf.code, 2.png.codee così via con altri tipi di file presi di mira dal virus. Nella nota, i criminali informatici cercano di convincere le vittime a pagare il riscatto per la decrittazione. Si dice che le vittime debbano installare il messenger TOX e scrivere agli estorsori utilizzando l'ID TOX fornito. A meno che le vittime non soddisfino queste richieste e si rifiutino di acquistare la decrittazione, gli attori delle minacce minacciano di iniziare a condividere in modo casuale i dati crittografati con altre parti o di farli trapelare/vendere sul dark web e altre risorse losche.

Dapo Ransomware è una variante di STOP/Djvu Ransomware, che è un tipo di malware che crittografa i file sul computer di una vittima e richiede un pagamento di riscatto in cambio di una chiave di decrittazione per ripristinare i file. Durante la crittografia questo malware modifica le estensioni dei file in .dapo. Al termine del processo di crittografia, il ransomware rilascia una nota di riscatto sul desktop della vittima e in ogni cartella che contiene file crittografati. La nota contiene le istruzioni su come pagare il riscatto per ricevere la chiave di decrittazione. Gli aggressori di solito richiedono il pagamento in criptovaluta, come Bitcoin. È importante notare che non vi è alcuna garanzia che il pagamento del riscatto comporterà la decrittazione dei file. In alcuni casi, le vittime hanno pagato il riscatto ma non hanno mai ricevuto la chiave di decrittazione, mentre in altri casi la chiave di decrittazione fornita dagli aggressori si è rivelata inefficace. Il nome del file della nota di riscatto utilizzato da Dapo Ransomware segue la stessa convenzione di denominazione. Il file è denominato _readme.txt. La nota di riscatto contiene le istruzioni su come pagare il riscatto per ricevere la chiave di decrittazione e in genere include un indirizzo e-mail che la vittima può utilizzare per comunicare con gli aggressori.

Qarj è una nuova variante di ransomware sviluppata e pubblicata da un modello di famigerato STOP/Djvu famiglia. Questa particolare variante è stata rilasciata nel marzo 2023. Essendo un virus di crittografia dei file, blocca l'accesso ai dati personali utilizzando algoritmi di crittografia sicuri. Ciò significa che i file archiviati su un PC non verranno più aperti dagli utenti fino a quando non verranno decifrati. Attualmente, ci sono poche possibilità per la decrittazione dei file crittografati da Qarj. Solo l'1-2% dei casi è decifrabile, quando vengono soddisfatte determinate condizioni. Usa tutte le istruzioni in questa pagina fino a quando non avrai ripristinato alcuni dati. Per dimostrare che tutti i file sono stati bloccati, gli sviluppatori aggiungono il nuovo file .qarj estensione a ciascuno dei file. Ad esempio, un campione di file come 1.pdf cambierà in 1.pdf.qarj e reimpostare la sua icona alla fine. Al termine di questa parte della crittografia, il virus crea una nota di testo (_readme.txt) con istruzioni per il riscatto.

Qapo Ransomware è un nuovo programma di crittografia dei file sviluppato e pubblicato dagli autori di STOP/Djvu famiglia. Quasi tutte le versioni aventi diritto a questo gruppo di estorsori impiegano passaggi simili per estorcere denaro alle vittime. Questa particolare variante è stata rilasciata a metà marzo 2023. Una volta che Qapo entra nel tuo PC, esegue una rapida scansione del tuo sistema per trovare dati sensibili. Quindi, una volta terminato questo processo, il programma dannoso riesce a crittografare i tuoi dati. Durante questo, tutti i file vengono modificati con l'estensione .qapo estensione, che appare alla fine di ogni nome di file. Ad esempio, un file come 1.pdf cambierà in 1.pdf.qapo, e allo stesso modo. Una volta individuato un cambiamento così immediato, non sarai più in grado di accedere ai dati. Per decifrarlo, i criminali informatici istruiscono le vittime attraverso i passaggi elencati all'interno di una nota di testo (_readme.txt), che si apre alla fine della crittografia. Tutte le versioni recenti di questa famiglia di ransomware hanno utilizzato un testo identico nelle note.

Qazx Ransomware si chiama così, a causa di .qazx estensione, aggiunto ai file interessati, modificando le estensioni originali di vari tipi di dati sensibili. Questa versione è apparsa a metà marzo 2023. In effetti, tecnicamente lo è STOP Ransomware, che utilizza algoritmi di crittografia AES per crittografare i file dell'utente. Questo suffisso è una delle centinaia di estensioni diverse utilizzate da questo malware. Significa che hai perso i tuoi dati preziosi? Non necessariamente. Esistono alcuni metodi che ti consentono di recuperare i tuoi file completamente o parzialmente. Inoltre, c'è un'utilità di decrittazione gratuita chiamata STOP Djvu Decryptor da EmsiSoft, che viene costantemente aggiornato ed è in grado di decifrare centinaia di tipi di questo virus. Dopo aver terminato la sua disastrosa attività, Qazx Ransomware crea _readme.txt file (nota di riscatto), in cui informa gli utenti sul fatto della crittografia, sull'importo del riscatto e sulle condizioni di pagamento.

Se non riesci ad aprire i tuoi file, e loro hanno .craa estensione aggiunta alla fine dei nomi dei file, significa che il tuo PC è stato infettato da Craa Ransomware, la parte di STOP/Djvu Ransomware famiglia. Questo malware tormenta le sue vittime dal 2017 ed è già diventato il virus di tipo ransomware più diffuso della storia. Infetta migliaia di computer al giorno utilizzando vari metodi di distribuzione. Utilizza una complessa combinazione di algoritmi di crittografia simmetrica o asimmetrica, rimuove i punti di ripristino di Windows, le versioni precedenti dei file di Windows, le copie shadow e sostanzialmente lascia solo 3 possibilità di ripristino. Il primo è pagare il riscatto, tuttavia, non c'è assolutamente alcuna garanzia che i malfattori rimandino indietro la chiave di decrittazione. La seconda possibilità è molto improbabile, ma vale la pena provare, utilizzando uno speciale strumento di decrittazione di Emsisoft, chiamato STOP Djvu Decryptor. Funziona solo in una serie di condizioni, che descriviamo nel prossimo paragrafo. Il terzo utilizza programmi di recupero file, che spesso fungono da soluzione per i problemi di infezione da ransomware. Osserviamo il file della richiesta di riscatto (_readme.txt), che il virus colloca sul desktop e nelle cartelle con i file crittografati.