Ransomware

Se sei stato attaccato dal virus, i tuoi file sono crittografati, non accessibili e ricevuti .hhmm estensioni, ciò significa che il tuo PC è stato infettato da Hhmm Ransomware (a volte chiamato STOP Ransomware or Djvu Ransomware, prende il nome .djvu estensione, inizialmente aggiunta ai file crittografati). Questo virus di crittografia è stato molto attivo dal 2017 (.hhmm è apparso a metà febbraio 2023) e ha causato gravi danni finanziari a migliaia di utenti. Sfortunatamente, è molto difficile rintracciare i malfattori, perché usano server TOR anonimi e criptovaluta. Tuttavia, con le istruzioni fornite in questo articolo sarai in grado di rimuovere Hhmm Ransomware e restituire i tuoi file. Hhmm Ransomware crea _readme.txt file, che si chiama "richiesta di riscatto" e contiene le istruzioni di pagamento e i dettagli di contatto. Virus lo mette sul desktop e nelle cartelle con file crittografati. Gli sviluppatori possono essere contattati tramite e-mail: support@freshmail.top ed datarestorehelp@airmail.cc.

Vvoo Ransomware è un nome condizionale, dato da esperti di sicurezza, per la versione recente di STOP/Djvu Ransomware, che si aggiunge .vvoo estensioni ai file. STOP Ransomware è un'infezione ransomware diffusa e di lunga durata, attiva dal 2017. Poiché utilizza la crittografia della crittografia RSA-1024 e la chiave online (nella maggior parte dei casi), la decrittografia diretta utilizzando i decryptor rilasciati non è attualmente efficace. Tuttavia, alcuni metodi di ripristino dei file, forniti in questo articolo, possono aiutarti a ripristinare alcuni dei tuoi file o anche tutti i dati. Se i tuoi file sono stati crittografati con la chiave offline (2-3% di tutti i casi), la decrittazione al 100% diventa possibile con STOP Djvu Decryptor da EmsiSoft, presenti nella pagina sottostante. In generale, Vvoo Ransomware crea una nota di riscatto _readme.txt, che contiene le condizioni di decrittazione, l'importo del riscatto e i dettagli di contatto.

PYAS è classificato come ransomware. Questo software dannoso è progettato per crittografare i dati archiviati nel sistema e tenerli in ostaggio per far pagare agli utenti un riscatto. Il nome di questo crittografatore di file deriva dal formato .PYAS estensione, che viene assegnata a ciascun file interessato durante la crittografia. Ad esempio, un file come 1.pdf cambierà in 1.pdf.PYAS, e così via con altri dati. Dopo la corretta crittografia, il virus elimina il file README.txt nota di testo che contiene le istruzioni di decrittazione. La nota contiene un breve testo che dice che tutti i tipi di dati essenziali sono stati crittografati e che le vittime devono contattare gli estorsori tramite la piattaforma Discord (nome utente "mtkiao129#2443") per ottenere la decrittazione dei file. Di norma, i criminali informatici dietro le infezioni ransomware cercano di estorcere denaro alle vittime, quindi è meno probabile che PYAS sia un'eccezione. È altamente sconsigliato pagare il riscatto o fornire informazioni sensibili agli aggressori.

Vvmm Ransomware è un virus che esegue la crittografia dei dati e richiede alle vittime di pagare una tassa di riscatto per il suo ritorno. Viene dal STOP/Djvu famiglia che sviluppa e rilascia molte versioni di ransomware ogni mese. In effetti, tutti i crittografi di file STOP/Djvu condividono caratteristiche quasi identiche: modificano i file con estensioni prese dai loro nomi e creano praticamente la stessa nota contenente le istruzioni di decrittazione (_readme.txt). Questa variante di ransomware si chiama Vvmm, il che significa che altera i file crittografati con l'estensione .vvmm estensione. Ad esempio, un file come 1.pdf cambierà in 1.pdf.vvmm, 1.png a 1.png.vvmme così via con altri dati interessati. Dopo che questo processo è terminato e tutti i file di destinazione non sono più accessibili, le vittime possono vedere le istruzioni di decrittazione presentate all'interno del file _readme.txt nota.

Mimic è il nome di un'infezione ransomware che crittografa l'accesso ai dati, aggiunge l' .QUIETPLACE estensione, e alla fine chiede alle vittime di pagare un riscatto per la decrittazione. Questo virus è una delle varianti tra gli altri crittografi di file che sono stati presumibilmente sviluppati dagli stessi criminali informatici. Altre versioni sono note per assegnare estensioni come .HONESTBITCOIN, .Fora, .PORTHUB, .KASPERSKY estensioni composte da 5-10 caratteri casuali. Durante la crittografia, il malware prenderà di mira tutti i tipi di file potenzialmente importanti e li renderà non più accessibili eseguendo una crittografia algoritmica avanzata. Come accennato, Mimic Ransomware aggiunge anche il proprio .QUIETPLACE estensione, che significa un file come 1.pdf probabilmente cambierà in 1.pdf.QUIETPLACE, e così via. Successivamente, Mimic ha visualizzato due richieste di riscatto identiche: una prima della schermata di accesso e la seconda in un file di testo denominato Decrypt_me.txt.

NEVADA è un virus ransomware che crittografa i dati sui sistemi operativi Windows e Linux e sollecita le vittime a pagare per la decrittazione e la non divulgazione delle informazioni raccolte. Al momento della crittografia dell'accesso ai dati, il virus assegna anche il suo .NEVADA estensione ai file interessati. Ad esempio, un file originariamente denominato 1.pdf cambierà in 1.pdf.NEVADA resetta la sua icona e diventa non più utilizzabile. Successivamente, il malware crea readme.txt - una nota di testo con le linee guida per la decrittazione. I criminali informatici dietro NEVADA Ransomware possono variare poiché questo crittografo di file è disponibile per l'acquisto da parte di altri malfattori (Ransomware come modello di servizio).

Erop è una nuova variante ransomware derivata dalla famiglia STOP/Djvu. Il malware di questo tipo è progettato per crittografare i dati degli utenti e richiedere alle vittime di pagare denaro per la sua decrittazione. Oltre a diventare inaccessibili dopo la crittografia, i file mirati vengono anche alterati visivamente, ricevendo il nuovo .erop estensione. Per illustrare, un file come 1.pdf cambierà in 1.pdf.erop e diventano non più accessibili. Una volta che la crittografia è riuscita, Erop genera una nota di testo chiamata _readme.txt che contiene le linee guida per la decrittazione. Questo nome di richiesta di riscatto è piuttosto generico ed è stato utilizzato anche da altre varianti di STOP/Djvu, solo con una leggera variazione nelle informazioni di contatto dei criminali informatici. All'interno di questa nota, alle vittime viene detto che è necessario acquistare un software di decrittazione specializzato per $ 980 (o $ 490 se pagato entro 72 ore dall'infezione). Mentre stabiliscono una comunicazione e-mail con i truffatori, le vittime possono anche allegare 1 file crittografato che non contiene informazioni preziose e i criminali informatici lo decrittograferanno gratuitamente.

Nigra è il nome di un crittografatore di file segnalato di recente che è considerato una variante di Sojusz Ransomware. I criminali informatici dietro l'attacco riuscito crittografano l'accesso ai dati e quindi tentano di estorcere denaro alle vittime per la decrittazione. I file crittografati da questa infezione verranno probabilmente modificati in base a questo schema [victim's ID>].[cybercriminals' e-mail address] o [ID della vittima>].[nome file] e the .nigra estensione alla fine. Ciò significa che il file interessato potrebbe apparire così .[9347652d51].[nigra@skiff.com].nigra oppure saggio. Si noti che il processo di aggiunta di una nuova estensione ai nomi di file originali è solo una formalità visiva e non modifica in alcun modo il fatto della crittografia dei file. Dopo la crittografia completa, il virus lascerà un file di testo con le linee guida per la decrittazione sul desktop di una vittima. Il nome della nota di testo di Nigra Ransomware non è stato ancora divulgato pubblicamente, tuttavia è probabile che sia simile o simile a questi esempi -----README_WARNING-----.txt, #_README-WARNING_#.TXT, README_WARNING_.txt,!!!HOW_TO_DECRYPT!!!.txt, #HOW_TO_DECRYPT#.txt, #HOW_TO_DECRYPT#.txt.