Ransomware

Rs-jon è un'infezione ransomware che crittografa i dati archiviati nel sistema e richiede alle vittime di pagare 50 $ per la sua decrittazione. Pur limitando l'accesso ai file, assegna il file .rsjon estensione. Ad esempio, un file precedentemente denominato 1.pdf cambierà in 1.pdf.rsjon e ripristina la sua icona originale. Dopo la corretta crittografia dei file, il virus cambia gli sfondi del desktop e istruisce le vittime a seguire le istruzioni all'interno del file READ_ME_PLZ.txt nota.

Lumino_Ransom è un'infezione ransomware progettata per crittografare l'accesso ai dati. Durante la crittografia, aggiunge il file .lumino_locked estensione a tutti i dati bloccati. Ad esempio, un file precedentemente denominato 1.pdf cambierà in 1.pdf.lumino_locked e diventare non più accessibile. Inoltre, la variante ricercata di Lumino_Ransom Ransomware ha anche creato quattrocento file completamente vuoti sul desktop (chiamati da Lumine1 a Lumine400 in ordine sequenziale). Immediatamente dopo la corretta crittografia, il ransomware ha visualizzato una nota senza titolo con istruzioni gradualmente visualizzate (sia in inglese che in francese).

Basato su un altro ransomware chiamato Jigsaw, Roblox Ransomware è un programma dannoso che funziona come un file encryptor. In altre parole, esegue la crittografia dei dati archiviati nel sistema e incoraggia le vittime a eseguire alcune azioni. Nota che questo virus non ha nulla a che fare con il videogioco online Roblox ufficiale, nonostante abbia riferimenti ad esso. Mentre la crittografia è in corso, il file encryptor assegna il .Encrypted_Roblox@mail.com estensione, che rende i file non più accessibili. È stata individuata anche un'altra variante del ransomware che aggiungeva il file .fun_VB estensione invece. Ad esempio, un file precedentemente denominato 1.pdf cambierà in 1.pdf.Encrypted_Roblox@mail.com or 1.pdf.fun_VB e ripristina la sua icona originale. Dopo aver limitato con successo l'accesso ai dati, Roblox Ransomware mostra una finestra pop-up eseguibile (Jigsaw.exe) con le istruzioni di decrittazione.

CMLOCKER è un'infezione ransomware che crittografa i dati archiviati nel sistema con algoritmi crittografici RSA e aggiunge il nuovo .CMLOCKER estensione. Ad esempio, un file precedentemente denominato 1.pdf cambierà in 1.pdf.CMLOCKER e ripristina la sua icona originale. Dopo che tutti i file sono stati limitati all'accesso, il virus crea una nota di testo chiamata HELP_DECRYPT_YOUR_FILES.txt per ricattare le vittime facendole pagare denaro per la decrittazione dei dati.

HARDBIT è un virus ransomware che prende di mira gli utenti Windows per crittografare i dati archiviati nel sistema e ricattare le vittime facendole pagare una tariffa per la decrittazione e la non divulgazione dei dati esfiltrati. Mentre rende i file inaccessibili, il file-encryptor assegna alcune modifiche visive per evidenziare i dati bloccati. Ad esempio, un file originariamente denominato 1.pdf cambierà in qualcosa del tipo 1.pdf.[id-GSD557NO60].[boos@keemail.me].hardbit al termine della crittografia. Questa stringa di simboli appena assegnata è composta dall'ID della vittima, dall'indirizzo e-mail dei criminali informatici e .hardbit estensione. Immediatamente dopo che il processo di crittografia si avvicina alla fine, HARDBIT cambia gli sfondi del desktop e rilascia due file che spiegano le istruzioni di decrittazione: Help_me_for_Decrypt.hta ed How To Restore Your Files.txt.

FBI Ransomware è un crittografo di file che limita l'accesso ai dati e ricatta le vittime facendole pagare $ 250 per il recupero. Durante l'esecuzione della crittografia, il virus rinomina tutti i file interessati aggiungendo l'estensione .fbi estensione. Ad esempio, un file come 1.pdf verrà rinominato 1.pdf.fbi e ripristina la sua icona originale come risultato di questa modifica. Successivamente, il programma dannoso crea tre note completamente vuote (readme.txt, LOCKEDBYFBI.htae decryptfiles.html), che non contengono alcuna informazione. Il messaggio vero e proprio viene visualizzato nella finestra a schermo intero non trattabile, che si apre automaticamente al termine della crittografia.

JiangLocker è una recente infezione ransomware. Come altri malware di questo tipo, è progettato per limitare l'accesso a parti di dati potenzialmente importanti eseguendo la crittografia sicura. Durante questo processo, il virus assegna a tutti i dati bloccati il ​​file .jiang estensione. Per illustrare, un file precedentemente denominato 1.pdf cambierà in 1.pdf.jiang e ripristina la sua icona originale. Successivamente, JiangLocker cambia gli sfondi del desktop, visualizza una finestra pop-up e crea una nota di testo chiamata read.ini. La nota di testo duplica le informazioni fornite all'interno della finestra a comparsa.

Cyberone è un'infezione ransomware piuttosto recente che esegue la crittografia dei dati e chiede alle vittime di pagare 1 Bitcoin per la sua decrittazione. Mentre blocca l'accesso ai dati memorizzati nel sistema, il virus assegna i propri .cyberone estensione, rendendo vuote tutte le icone dei file. Ad esempio, un file originariamente denominato 1.pdf cambierà in 1.pdf.cyberone e diventare non più accessibile. Si noti che la maggior parte delle versioni di Cyberone che abbiamo osservato può essere decifrato gratuitamente con l'aiuto di uno strumento di decrittazione rilasciato da Avast. Puoi trovare maggiori informazioni a riguardo nell'articolo qui sotto. Dopo aver completato la crittografia, l'ultimo pezzo dell'ultimo a iniziare a ricattare le vittime è la creazione ___RECOVER__FILES__.cyberone.txt e la visualizzazione di una finestra pop-up contenente le linee guida per la decrittazione scritte dai criminali informatici.