Ransomware

Alice Ransomware è un programma dannoso progettato per crittografare i dati personali degli utenti e richiedere denaro per la sua decrittazione. Durante la crittografia dell'accesso ai file con l'aiuto di algoritmi sicuri, il crittografatore di file assegna anche l'estensione .alice estensione ai dati crittografati. Ad esempio, un file come 1.pdf probabilmente cambierà in 1.pdf.alice e ripristinare la sua icona originale. Molte infezioni da ransomware assegnano la loro estensione personalizzata per distinguere i file crittografati e far notare agli utenti la modifica. Le istruzioni su come restituire i file sono presentate all'interno del file How To Restore Your Files.txt file di testo, che viene creato dopo la corretta crittografia. Questa nota di testo presenta linee guida scritte in russo, il che indica che questo crittografo si rivolge principalmente agli utenti di lingua russa. Vale la pena notare che Alice è stata vista distribuita in due varianti con testo della richiesta di riscatto leggermente variabile.

STOP Ransomware è una piaga del 2017-2023, un virus tenace basato sulla tecnologia di crittografia, Qotr Ransomware ne è una versione recente. Il ransomware utilizza l'algoritmo di crittografia AES per codificare file importanti ed estorcere un riscatto in Bitcoin per la decrittazione. Questo malware si rivolge principalmente ai paesi occidentali, ma sono state rilevate migliaia di infezioni in altre parti del mondo. Qotr Ransomware utilizza gli stessi schemi ma aggiunge estensioni diverse per modificare i file. La versione che osserviamo oggi si aggiunge .qotr estensione. Il cripto-virus colpisce i dati preziosi dell'utente: foto, video e documenti, prende in ostaggio file potenzialmente critici. Allo stesso tempo, mantiene intatti i file di sistema di Windows. Tutte le versioni recenti utilizzavano un file di richiesta di riscatto chiamato _readme.txt, e questa variazione non fa eccezione. Tutti i campioni appartengono agli stessi autori, poiché utilizzano gli stessi recapiti: support@freshmail.top ed datarestorehelp@airmail.cc.

Qoqa Ransomware (che fa parte di una grande famiglia di STOP/Djvu Ransomware) è un virus odioso, che crittografa i file sui computer utilizzando l'algoritmo di crittografia AES, li rende non disponibili e richiede denaro in cambio del cosiddetto "decryptor". I file elaborati dall'ultima versione di STOP Ransomware, in particolare, possono essere distinti da .qoqa estensioni. L'analisi ha mostrato che il programma di installazione crittografico caricato con il "crack" o adware è installato con un nome arbitrario nel %LocalAppData%\ cartella. Quando viene eseguito, carica quattro file eseguibili lì: 1.exe, 2.exe, 3.exe ed updatewin.exe. Il primo è responsabile della neutralizzazione di Windows Defender, il secondo è del blocco dell'accesso ai siti di sicurezza delle informazioni. Dopo aver avviato il malware, sullo schermo viene visualizzato un messaggio falso che dice sull'installazione dell'aggiornamento per Windows. In effetti, in questo momento, quasi tutti i file degli utenti sul computer sono crittografati. In ogni cartella contenente documenti crittografati, un file di testo (_readme.txt), in cui gli aggressori spiegano il funzionamento del virus. Si offrono di pagare loro un riscatto per la decrittazione, esortandoli a non utilizzare programmi di terze parti, poiché ciò può portare alla cancellazione di tutti i documenti.

Roghe è un virus ransomware che prende di mira i dati personali delle vittime. Dopo che il malware ha infettato un sistema mirato, avvia la crittografia di file potenzialmente importanti rendendoli inaccessibili fino a quando non viene recuperata una chiave di decrittazione. Durante il processo di crittografia, Roghe Ransomware assegna il file .enc estensione ai file infetti. Ad esempio, un file come 1.pdf si rivolgerà a 1.pdf.enc e così via con altri file interessati. Una volta che tutti i file vengono crittografati, il virus cambia gli sfondi del desktop e forza l'apertura di una finestra pop-up che presenta le linee guida per la decrittazione. Il testo presente sugli sfondi appena assegnati consente agli utenti di sapere che sono stati infettati e li incoraggia a seguire le istruzioni dalla finestra pop-up aperta. Inoltre, presenta anche un codice QR che porta a ulteriori informazioni sul malware. La finestra "Roghe Decryptor" dice che le vittime hanno 15 minuti per recuperare la chiave e incollarla per sbloccare l'accesso ai file, altrimenti i file crittografati verranno eliminati per sempre. Dice anche che entro 20 minuti il ​​sistema operativo sarà inaccessibile, diventando essenzialmente bloccato.

Nuova ondata di STOP Ransomware l'infezione continua Qowd Ransomware, che si aggiunge .qowd estensioni. STOP Ransomware è stato rilevato per la prima volta nel 2018 e da allora si è evoluto in uno dei tipi più diffusi di ransomware. Quelle estensioni ".qowd" vengono aggiunte ai file crittografati alla fine di febbraio 2023. Questo virus complicato utilizza l'algoritmo di crittografia AES per codificare le informazioni importanti degli utenti. Di norma, Qowd Ransomware attacca foto, video e documenti: dati che le persone apprezzano. Gli sviluppatori di malware estorcono il riscatto e promettono di fornire in cambio una chiave di decrittazione. La decrittografia completa dei dati persi è possibile in una minoranza di casi, se è stata utilizzata una chiave di crittografia offline, altrimenti, utilizzare le istruzioni sulla pagina per recuperare i file crittografati. Il ransomware crea anche una richiesta di riscatto (_readme.txt) che informa la vittima dell'attacco e richiede il pagamento in Bitcoin o altre criptovalute in cambio della chiave di decrittazione.

Iotr Ransomware (a volte chiamato STOP Ransomware or DjVu Ransomware) è un virus di crittografia molto diffuso, apparso per la prima volta nel dicembre 2017. Da allora, sono state apportate molte modifiche tecniche e di progettazione e sono cambiate alcune generazioni di malware. Il ransomware utilizza l'algoritmo di crittografia AES-256 (modalità CFB) per codificare i file dell'utente e dopo quest'ultima versione (apparsa alla fine di febbraio 2023) si aggiunge .iotr estensioni. Dopo la crittografia, il virus crea un file di testo _readme.txt, che si chiama "nota di riscatto", in cui gli hacker rivelano l'importo del riscatto, le informazioni di contatto e le istruzioni per pagarlo. STOP Ransomware con estensioni di file .iotr utilizza le seguenti e-mail: support@freshmail.top ed datarestorehelp@airmail.cc, proprio come dozzine dei suoi predecessori.

Kangaroo è un'infezione ransomware rilasciata dagli sviluppatori dietro precedenti crittografi di file, come Apocalypse, Fabiansomware ed Esmeralda. Sebbene questo crittografatore di file circolasse attivamente nel 2021, alcuni utenti potrebbero ancora finire per essere penetrati da esso in questi giorni. Lo scopo del malware all'interno di questa categoria è crittografare dati potenzialmente importanti ed estorcere denaro per la decrittazione alle vittime. La caratteristica che fa risaltare Kangaroo tra le altre comuni infezioni da ransomware è che configura i valori del registro per visualizzare un messaggio di riscatto prima di accedere alla schermata di accesso di Windows. Subito dopo aver effettuato l'accesso al sistema, mostra anche una finta schermata con lo stesso messaggio di riscatto ma questa volta con un campo dedicato per l'inserimento di una password per sbloccarlo. Durante la crittografia, Kangaroo assegna anche il file .crypted_file estensione e crea messaggi di riscatto identici sotto forma di note di testo. Tali note di testo vengono create in aggiunta a ciascun file crittografato e sono denominate in base al nome del file post-crittografia (come qui 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (aka STOP Ransomware or Djvu Ransomware) è un virus estremamente pericoloso che crittografa i file utilizzando l'algoritmo di crittografia AES-256 e aggiunge .ioqa estensioni ai file interessati. L'infezione coinvolge principalmente file importanti e di valore, come foto, documenti, database, e-mail, video, ecc. Ioqa Ransomware non tocca i file di sistema per consentire a Windows di funzionare, quindi gli utenti potranno pagare il riscatto. Se il server del malware non è disponibile (il computer non è connesso a Internet, il server degli hacker remoti non funziona), lo strumento di crittografia utilizza la chiave e l'identificatore codificati al suo interno ed esegue la crittografia offline. In questo caso sarà possibile decifrare i file senza pagare il riscatto. Ioqa Ransomware crea _readme.txt file, che contiene messaggi di riscatto e dettagli di contatto, sul desktop e nelle cartelle con file crittografati. Gli sviluppatori possono essere contattati via e-mail: support@freshmail.top ed datarestorehelp@airmail.cc.