Ransomware

Rocklee Ransomware è una variante della famiglia di ransomware Makop che prende di mira i computer per crittografare i dati e richiedere un riscatto per la chiave di decrittazione. Dopo l'infezione, Rocklee Ransomware crittografa i file e modifica i nomi dei file aggiungendo l'ID della vittima, l'indirizzo e-mail dell'aggressore e il nome .rocklee estensione. Ad esempio, un file denominato 1.jpg verrebbe rinominato in 1.jpg.[random-ID].[cyberrestore2024@onionmail.org].rocklee. L'algoritmo di crittografia specifico utilizzato da Rocklee Ransomware non è dettagliato nelle fonti fornite. Tuttavia, ransomware di questo tipo utilizzano in genere algoritmi di crittografia potenti che sono difficili da decifrare senza la chiave di decrittazione univoca detenuta dagli aggressori. Rocklee Ransomware rilascia una richiesta di riscatto denominata +README-WARNING+.txt nelle directory con file crittografati. Questa nota informa le vittime che i loro file sono stati crittografati e fornisce istruzioni su come pagare il riscatto per recuperare i file. Include anche le informazioni di contatto degli aggressori e avverte di non tentare di decrittografare i file senza la chiave adeguata, poiché ciò potrebbe causare ulteriori danni.

Kool Ransomware è un tipo di software dannoso che appartiene alla categoria più ampia dei ransomware. È progettato per infiltrarsi nel computer dell'utente, crittografare i file e richiedere un riscatto per la chiave di decrittazione. Kool Ransomware fa parte della famiglia di ransomware STOP/Djvu, nota per prendere di mira gli utenti Windows e crittografare file con varie estensioni. Una volta che Kool Ransomware ha infettato un computer, crittografa i file e aggiunge un'estensione di file specifica ai file crittografati, che è .kool in questo caso. La crittografia utilizzata da Kool Ransomware è generalmente un algoritmo simmetrico o asimmetrico che rende i file inaccessibili senza la chiave di decrittazione univoca. Dopo aver crittografato i file, Kool Ransomware genera una richiesta di riscatto, generalmente denominata _readme.txt o simile e lo inserisce nelle cartelle contenenti i file crittografati. Questa nota contiene istruzioni per la vittima su come pagare il riscatto e spesso include una scadenza e avvertimenti sulle conseguenze del mancato rispetto. In questo articolo mostriamo come rimuovere Kool Ransomware e decrittografare i file .kool gratuitamente in Windows 11, 10, 8, 7.

Proton Ransomware è un software dannoso progettato per crittografare i file sul computer della vittima, rendendoli inaccessibili fino al pagamento di un riscatto. Proton Ransomware è un tipo di malware che crittografa i file sul computer infetto, aggiungendo estensioni specifiche ai nomi dei file e chiedendo un riscatto alla vittima per ripristinare l'accesso ai file crittografati. È stato scoperto in varie forme, con alcune varianti che aggiungono estensioni come .c77l, .ZENEX or .SWIFT estensioni dei file interessati insieme ai messaggi di posta elettronica (.[decrypt.computer@gmail.com].c77L, [decrypthelp0@gmail.com].ZENEX, .[swift_1@tutamail.com].SWIFT). Fondamentalmente, SWIFT Ransomware e ZENEX Ransomware sono solo varianti di Proton Ransomware. Queste variazioni creano i seguenti file di richieste di riscatto: #Zenex-Help.txt, #SWIFT-Help.txt or #Restore-files.txt. Il ransomware utilizza gli algoritmi AES (Advanced Encryption Standard) ed ECC (Elliptic Curve Cryptography) per crittografare i file, garantendo che la crittografia sia sufficientemente potente da impedire la decrittazione non autorizzata senza la chiave univoca detenuta dagli aggressori. Questo articolo mira a fornire una panoramica completa di Proton Ransomware, compresi i suoi metodi di infezione, le estensioni di file che aggiunge, gli algoritmi di crittografia che utilizza, la richiesta di riscatto che crea e le possibilità di decrittazione.

LockBit 3.0, noto anche come LockBit Black, è un sofisticato ceppo di ransomware che crittografa i dati sui sistemi presi di mira, interrompendo l'accesso alle risorse di sistema e di rete. Fa parte di un'operazione Ransomware-as-a-Service (RaaS), il che significa che viene utilizzato dagli affiliati che lo utilizzano per attacchi informatici in cambio di una quota dei profitti del riscatto. LockBit 3.0 è noto per le sue capacità di crittografia rapida ed è attivo almeno da marzo 2022. Durante il processo di crittografia, LockBit 3.0 aggiunge un'estensione specifica ai file crittografati. Questa estensione può variare, ma gli esempi includono "HLJkNskOq" e "19MqZqZ0s". Il ransomware cambia le icone dei file crittografati e altera lo sfondo del desktop per informare le vittime dell'attacco. LockBit 3.0 rilascia una richiesta di riscatto, generalmente denominata [stringa_casuale].README.txt o un file di testo simile, in ogni cartella crittografata. La nota contiene istruzioni per contattare gli aggressori e pagare il riscatto, spesso chiedendo il pagamento in criptovaluta.

RansomHub Ransomware è un tipo di software dannoso che rientra nella categoria dei virus di crittografia dei file. È progettato per infiltrarsi nei sistemi informatici, crittografare i file e richiedere un riscatto per la chiave di decrittazione. A differenza del ransomware tradizionale, che crittografa i file e richiede il pagamento, RansomHouse, associato a RansomHub, si concentra sulla violazione delle reti tramite vulnerabilità per rubare dati e costringere le vittime a pagare senza necessariamente utilizzare la crittografia. Il ransomware RansomHub può aggiungere varie estensioni di file ai file crittografati, come .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o un'estensione di lunghezza 6-7 composta da caratteri casuali. Gli algoritmi di crittografia specifici utilizzati da RansomHub non sono dettagliati, ma il ransomware utilizza in genere metodi di crittografia avanzati come AES o RSA per impedire la decrittografia non autorizzata. RansomHub crea richieste di riscatto con istruzioni per le vittime su come pagare il riscatto e potenzialmente recuperare i propri file. I nomi comuni dei file delle richieste di riscatto includono README_{stringa-casuale}.txt, e vari altri. La posizione della richiesta di riscatto è in genere all'interno delle directory dei file crittografati.

BlackLegion Ransomware è un tipo di software dannoso progettato per crittografare i file sul computer di una vittima, rendendoli inaccessibili e quindi richiedendo un riscatto per la chiave di decrittazione. Una volta installato su un computer, BlackLegion crittografa i file e aggiunge un'estensione univoca ai nomi dei file. Tutti i file crittografati con BlackLegion Ransomware avranno 8 caratteri casuali seguiti dall'e-mail della vittima e dal file .BlackLegion estensione. Ad esempio, un file denominato photo.jpg potrebbe essere rinominato in photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion dopo la crittografia. BlackLegion crea una richiesta di riscatto sotto forma di file di testo, in genere denominato DecryptNote.txt o una sua variante. Questa nota include istruzioni su come pagare il riscatto, solitamente in criptovaluta, e può offrire di decrittografare gratuitamente un singolo file come prova che gli aggressori possono ripristinare i file della vittima.

WantToCry Ransomware è un tipo di virus di crittografia, ovvero un sottoinsieme di malware che crittografa i file sul computer di una vittima e richiede un riscatto per la chiave di decrittazione. Questo particolare cryptor prende di mira i dispositivi NAS. Il ransomware WantToCry aggiunge il file .want_to_cry estensione ai file che crittografa. Ciò indica chiaramente quali file sono stati compromessi e sono inaccessibili senza la chiave di decrittazione. Sebbene il metodo di crittografia specifico utilizzato da WantToCry non sia dettagliato nella fonte fornita, il ransomware utilizza generalmente algoritmi di crittografia avanzati come AES (Advanced Encryption Standard) o RSA (Rivest–Shamir–Adleman) per bloccare i file, rendendoli inaccessibili senza una chiave di decrittografia univoca . È un virus crittografico che blocca i file e costringe le vittime a pagare per riottenere l'accesso ai propri dati WantToCry crea una richiesta di riscatto denominata !want_to_cry.txt rimasto sul computer della vittima. Questa nota informa la vittima che i suoi dati sono stati crittografati e fornisce istruzioni su come pagare il riscatto, che è fissato a 300 dollari. Alle vittime viene chiesto di scaricare e installare qTOX, creare un profilo e contattare i criminali informatici tramite la chat qTOX per organizzare il pagamento.

Mallox Ransomware, noto anche come "TargetCompany" o "Fargo", è un software dannoso che crittografa i file sul computer della vittima e richiede un riscatto per la chiave di decrittazione. È attivo dalla metà del 2021 e opera secondo un modello Ransomware-as-a-Service (RaaS), sfruttando forum e mercati clandestini per reclutare affiliati e pubblicizzare i propri servizi. Mallox crittografa i file utilizzando l'algoritmo di crittografia ChaCha20 e aggiunge varie estensioni di file ai file crittografati, come ad esempio .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx e altri. In alcuni casi utilizza anche i nomi delle vittime come estensione. Il ransomware rilascia una richiesta di riscatto (HOW TO RESTORE FILES.txt) in ogni directory dell'unità della vittima, spiegando l'infezione e fornendo le informazioni di contatto degli aggressori. La nota richiede alle vittime di inviare il proprio ID personale all'indirizzo e-mail degli aggressori per ricevere istruzioni di pagamento per lo strumento di decrittazione.