Ransomware

OBZ è un virus di tipo ransomware che crittografa l'accesso ai dati e costringe le vittime a pagare denaro per la decrittazione. Al momento della crittografia, il virus altera i file mirati con l'estensione .OBZ estensione. Ad esempio, un file originariamente denominato 1.pdf si trasformerà in 1.pdf.OBZ or 1.pdf.obz a seconda della versione del ransomware penetrata nel sistema. Inoltre, le vittime hanno anche riferito di aver visto un processo dannoso denominato Traffic Light nel Task Manager di Windows. Una volta che il processo di crittografia giunge al termine, OBZ Ransomware crea un documento di testo (ReadMe.txt) che presenta le istruzioni di decrittazione. Vale la pena notare che il contenuto di questa richiesta di riscatto è identico ad altri scoperti in precedenza U2K ed MME ransomware, che potrebbe indicare che OBZ è stato sviluppato dallo stesso gruppo di sviluppatori.

CryWiper è un virus devastante che danneggia la configurazione dei dati per renderli inaccessibili e quindi richiede denaro alle vittime per una falsa decrittazione. Gli sviluppatori di CryWiper mascherano il loro software come ransomware che crittografa i dati, tuttavia, è in realtà un tergicristallo che corrompe semplicemente i file. Durante l'esecuzione della "crittografia", il virus elimina tutte le copie shadow dall'unità principale e aggiunge il nuovo file .CRY estensione per evidenziare i file. Ad esempio, un file originariamente denominato 1.pdf si trasformerà in 1.pdf.CRY e danneggiarsi in modo permanente. Successivamente, CryWiper crea un file chiamato README.txt con istruzioni di decrittazione fuorvianti. È noto che CryWiper evita di danneggiare i file .exe, .dll, .lnk, .msi e .sys e altri archiviati nelle directory Boot, System e Windows. Inoltre, è stato anche osservato che questo virus viene distribuito tramite il browserupdate.exe file dannoso, programmato in linguaggio C++ e destinato a organizzazioni localizzate in Russia.

Beijing è un'infezione classificata come ransomware che crittografa l'accesso ai dati e richiede che le vittime paghino denaro per la sua decrittazione. Questo crittografo di file è probabilmente rilasciato anche dagli stessi criminali informatici che in precedenza avevano sviluppato un altro ransomware chiamato LeakTheMall. Durante la crittografia, le vittime vedranno i loro file cambiare visivamente: è il nuovo .beijing che verrà eventualmente aggiunto a loro. Ad esempio, un nome originariamente 1.pdf cambierà in 1.pdf.beijing e diventano non più accessibili. Successivamente, il virus crea istruzioni di testo in !RECOVER.txt spiegando cosa si dovrebbe fare per recuperare i dati.

Trigona è il nome di un virus ransomware che crittografa i dati degli utenti aziendali (ad esempio, aziende) e richiede denaro per la decrittazione dei file. Durante la crittografia, aggiunge il nuovo ._locked estensione (ad esempio, 1.pdf._locked) e crea un file denominato how_to_decrypt.hta dopo il completamento con successo. Questo file contiene istruzioni con passaggi su ciò che le vittime dovrebbero fare per decrittografare i propri dati. Si dice che tutte le informazioni critiche, come documenti, database, backup locali e così via, siano state crittografate e trapelate. I criminali informatici menzionano anche che la decrittazione dei file è impossibile senza il loro coinvolgimento diretto. Inoltre, si dice che i dati di coloro che si rifiutano di collaborare con i criminali informatici saranno venduti a figure potenzialmente interessate al suo abuso. Per evitare tutto ciò, gli attori delle minacce guidano le vittime ad aprire una pagina di decrittazione tramite TOR Browser e contattano gli sviluppatori di ransomware.

Bazek è un'infezione da virus che presenta tutti i tratti inerenti al ransomware. In parole povere, crittografa l'accesso ai dati (utilizzando algoritmi AES-256) e chiede alle vittime di contattare i criminali informatici per ottenere una chiave di decrittazione speciale. Durante la crittografia, il virus assegna anche il nuovo .bazek estensione a ciascun file di destinazione. Per illustrare, un file denominato 1.pdf cambierà in 1.pdf.bazek e perde anche la sua icona originale. A seconda della versione di Bazek Ransomware che ha attaccato il computer, creerà una nota di testo chiamata README.txt o visualizzare una finestra pop-up con istruzioni di decrittazione simili.

Conosciuto anche come Sullivan, RansomBoggs è un'infezione ransomware progettata per crittografare i dati e richiedere successivamente il pagamento per la decrittazione. Recenti ricerche hanno mostrato che questo virus ha avuto numerosi attacchi a varie organizzazioni collocate in Ucraina. Durante la crittografia, RansomBoggs rinomina tutti i file mirati con l'estensione .chsch estensione. Ad esempio, un file originariamente intitolato come 1.pdf cambierà in 1.pdf.chsch e diventano non più accessibili. Successivamente, il ransomware crea anche una propria nota (SullivanDecryptsYourFiles.txt) con le istruzioni di decrittazione.

SEX3 è un virus informatico classificato come ransomware. Inoltre, è stato scoperto che si trattava di una nuova versione di un altro crittografatore di file chiamato SATANA Ransomware. Software di questo tipo sono sviluppati per crittografare dati potenzialmente preziosi e richiedere ai proprietari di file di pagare per la loro decrittazione. Durante l'esecuzione della crittografia, SEX3 Ransomware è programmato per alterare i file mirati con l'estensione .SEX3 estensione. Questa è semplicemente una modifica visiva per evidenziare i dati bloccati oltre alla crittografia riuscita. Successivamente, il virus cambia gli sfondi del desktop e crea anche una nota di testo chiamata !satana!.txt che contiene brevi istruzioni su come sbloccare l'accesso ai file.

Onelock è un'infezione ransomware sviluppata dalla famiglia ransomware Medusa. Il suo scopo è crittografare l'accesso a dati potenzialmente importanti (utilizzando algoritmi di crittografia RSA e AES) ed estorcere denaro alle vittime per la decrittazione completa. Durante il rendering dei file inaccessibili, il virus aggiunge il nuovo .onelock estensione, che renderebbe un file simile 1.pdf cambia in 1.pdf.onelock e ripristinare la sua icona originale. Lo stesso modello si applica ad altri file che vengono presi di mira dall'infezione. Dopo il completamento con successo, Onelock crea il file how_to_back_files.html file to feature decryption instructions. Overall, it is said that ransomware developers are the only figures able to decrypt victims' data. For this, victims are therefore instructed to contact cybercriminals using a chat link in Tor Browser (or e-mail) and pay some specified amount of ransom.