Ransomware

Essere parte di Djvu ed STOP famiglia di virus, Zouu Ransomware è un virus di crittografia dei file che gira per il web dalla metà di gennaio 2023. In effetti, gli sviluppatori distribuiscono una miriade di versioni che variano l'una dall'altra per estensioni, e-mail dei criminali informatici e altri dettagli. Esistono oltre 600 estensioni che STOP Ransomware ha utilizzato per attaccare i dati dell'utente. Nel nostro caso, STOP Ransomware si aggiunge .zouu estensione ai file in modo che vengano crittografati. Ad esempio, qualcosa di simile 1.mp4 verrà rinominato in 1.mp4.zouu e ripristina la sua icona predefinita dopo l'infezione. In sequenza, il programma crea una nota chiamata _readme.txt che contiene informazioni sul riscatto. Di solito, il contenuto generato è molto simile in tutti i tipi di ransomware.

Zoqw Ransomware, essendo una parte di STOP Ransomware è un virus critico, che mette in pericolo i file personali dell'utente. Appartiene alla famiglia dei malware di crittografia dei file, che utilizza l'algoritmo AES (Salsa20) e la chiave infrangibile. Questo virus, a volte, viene chiamato Djvu Ransomware, dopo la parola usata come estensione nelle prime versioni (.djvu). La variante della minaccia, che descriviamo oggi, modifica i file con .zoqw estensione è apparsa nella prima metà di gennaio 2023 e si comporta esattamente allo stesso modo rispetto a dozzine di versioni precedenti. I file vengono crittografati con una chiave sicura e ci sono possibilità piuttosto ridotte di decrittografarli completamente, soprattutto se è stata utilizzata una chiave online. Tuttavia, alcuni metodi manuali e strumenti automatici, descritti in questo articolo, possono aiutarti a decrittografare con successo alcuni dati. Nella casella di testo qui sotto puoi trovare la "nota di riscatto" - un piccolo file di testo con una breve introduzione al virus e le istruzioni per pagare il riscatto.

Una delle principali minacce alla sicurezza informatica oggi è il ransomware. Si tratta di virus informatici devastanti, che crittografano i file degli utenti utilizzando vari algoritmi crittografici ed estorcono il riscatto per la chiave di decrittazione. È particolarmente sensibile per gli utenti, poiché attacca file personali come video, foto, musica o dati aziendali come formati di file MS Office, e-mail, database. Tali file possono essere cruciali per le operazioni commerciali o estremamente importanti personalmente come parte della memoria familiare. I malfattori possono richiedere da diverse centinaia a diverse migliaia di dollari come riscatto. STOP Ransomware è ufficialmente la minaccia ransomware più diffusa e quindi più pericolosa. Ci sono state più di 650 versioni di questo virus in 5 anni. Ogni variazione infetta migliaia di computer e ci sono milioni di vittime di questo brutto malware. In questo articolo, spiegheremo i metodi tipici per combattere Bpto Ransomware e decrittografare i file interessati. Nel focus di oggi, le versioni di STOP (Djvu), che aggiungono .bpto estensioni. I campioni recenti utilizzano uno schema molto simile per infiltrarsi nei PC e crittografare i file. Dopo la crittografia, il ransomware crea un file (nota di riscatto), chiamato _readme.txt.

Theva è il nome di un virus ransomware che crittografa i dati archiviati nel sistema e richiede alle vittime di pagare denaro in Bitcoin per la sua decrittazione. Durante la crittografia, i file mirati vengono alterati visivamente, ad esempio 1.pdf cambierà in 1.pdf.[sql772@aol.com].theva e così via con altri file. Dopo aver bloccato con successo i dati, Theva Ransomware rappresenta le sue istruzioni di decrittazione in un documento di testo chiamato #_README_#.inf. Cambia anche gli sfondi del desktop delle vittime. Per recuperare i dati, le vittime sono invitate a contattare i criminali informatici tramite l'indirizzo e-mail fornito (sql772@aol.com) e pagare il riscatto in criptovaluta Bitcoin. Si dice che il prezzo per la decrittazione dipenda dalla velocità con cui le vittime stabiliscono un contatto con i truffatori. Dopo il pagamento andato a buon fine, gli attori delle minacce promettono di inviare lo strumento di decrittazione necessario che sbloccherà tutti i dati bloccati.

Eternity è un virus ransomware che è stato scoperto da Cyble ricercatori. Questo software dannoso appartiene alla famiglia di malware Eternity ed è progettato per estorcere denaro alle vittime crittografando dati potenzialmente preziosi (con algoritmi crittografici sicuri AES e RSA). Dasha è un'altra popolare variante di ransomware di questa famiglia. Esistono due versioni conosciute di Eternity: una non modifica visivamente i file e l'altra assegna il file .ecrp estensione ai nomi di file e altera le icone originali. Ad esempio, 1.pdf può rimanere lo stesso o diventare 1.pdf.ecrp dopo la crittografia a seconda della versione del ransomware che ha attaccato il sistema. Dopo aver completato con successo la crittografia, Eternity visualizza una finestra pop-up contenente le istruzioni per la decrittografia. Poiché Eternity Ransomware è un virus Malware-as-a-service (MaaS) pubblico, che molti attori delle minacce possono acquistare, anche il contenuto delle istruzioni (dettagli di contatto, dimensione del riscatto, conto alla rovescia, ecc.) può variare leggermente. Di seguito sono riportati esempi di testi di riscatto da due varianti di ransomware.

Black Hunt è un'infezione dannosa classificata come ransomware. Al momento dell'infiltrazione, inizia a crittografare i dati e poi ricatta le vittime facendole pagare per la decrittazione (in #BlackHunt_ReadMe.hta ed #BlackHunt_ReadMe.txt note di riscatto). Durante l'esecuzione della crittografia, il virus assegna anche l'ID della vittima, l'indirizzo e-mail del criminale informatico e .black estensione ai file influenzati. Per illustrare, un file originariamente chiamato 1.pdf cambierà in qualcosa del tipo 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] e ottieni anche la nuova icona Black Hunt. Anche gli sfondi del desktop vengono modificati. All'interno delle note di riscatto, i criminali informatici affermano che le vittime hanno 14 giorni per contattarli via e-mail e acquistare una chiave univoca per la decrittazione. A meno che la scadenza non venga rispettata, gli attori delle minacce affermano che inizieranno a vendere o far trapelare i dati raccolti a varie terze parti. Le vittime possono rivedere la loro "situazione dei dati" tramite il collegamento TOR fornito.

ScareCrow è un'infezione ransomware apparsa per la prima volta sui radar malware nel 2019. Da allora, il ransomware ha subito un paio di modifiche e aggiornamenti insignificanti. Ad esempio, a seconda di quali versioni di ScareCrow hanno attaccato il sistema .scrcrw or .CROW estensioni verranno assegnate ai file di destinazione. Le infezioni da ransomware sono progettate per crittografare dati potenzialmente preziosi e mantenerli bloccati finché le vittime non soddisfano le richieste dei criminali informatici di pagare un riscatto. ScareCrow utilizza una combinazione di algoritmi crittografici AES e RSA per crittografare completamente i dati. Dopo aver reso i file inaccessibili con successo, il virus apre automaticamente una finestra pop-up con le istruzioni di decrittazione. Tieni presente che il pagamento del riscatto potrebbe non essere obbligatorio: si consiglia alle vittime di contattare un ricercatore di ransomware affidabile Michael Gillespie e decifra i file di ScareCrow gratuitamente.

Lucknite (ETH) or LuckniteRansom è un virus ransomware che è stato recentemente ispezionato dai ricercatori di malware. Lo scopo di questo tipo di malware è crittografare dati potenzialmente importanti e tenerli in ostaggio fino a quando le vittime non pagano il riscatto. Durante la crittografia, questo ransomware assegna anche il file .lucknite estensione a ciascun file di destinazione. Ad esempio, originariamente chiamato 1.pdf cambierà in 1.pdf.lucknite e perde la sua icona di collegamento dopo la crittografia. Successivamente, i criminali informatici presentano istruzioni di decrittazione nel file README.txt nota. A volte il contenuto del riscatto può variare leggermente a seconda della versione del ransomware che ha colpito il sistema.